IIS(InternetInformationServer互聯(lián)網(wǎng)信息服務(wù)).ppt

IIS（Internet Information Server，互聯(lián)網(wǎng)信息服務(wù)）,本章內(nèi)容 IIS基本配置 IIS的安全問題 IIS的輔助工具 提高IIS效率的方法,IIS簡介,IIS（Internet Information Server，互聯(lián)網(wǎng)信息服務(wù)）是一種Web（網(wǎng)頁）服務(wù)組件，其中包括Web服務(wù)器、FTP服務(wù)器、NNTP服務(wù)器和SMTP服務(wù)器，分別用于網(wǎng)頁瀏覽、文件傳輸、新聞服務(wù)和郵件發(fā)送等方面，它使得在網(wǎng)絡(luò)（包括互聯(lián)網(wǎng)和局域網(wǎng)）上發(fā)布信息成了一件很容易的事。本章內(nèi)容講述Windows 2000高級服務(wù)器版中自帶的IIS 5.0的配置和管理方法。 （目前最高版本是IIS 6.0),IIS是扮演所有用戶端服務(wù)要求的接口，和一般結(jié)構(gòu)不同的是對ASP文件的處理方式，當(dāng)IIS收到ASP文件的服務(wù)要求時，它會調(diào)用必須的ISAPI或DLL程序，對ASP程序進(jìn)行解釋執(zhí)行，經(jīng)過處理后，IIS再將結(jié)果轉(zhuǎn)為HTML格式傳回給使用者的Web瀏覽器。,IIS的安裝和運(yùn)行,進(jìn)入“控制面板”，依次選“添加/刪除程序添加/刪除Windows組件”，將“Internet信息服務(wù)（IIS）”前的小鉤去掉（如有），重新勾選中后按提示操作即可完成IIS組件的添加。用這種方法添加的IIS組件中將包括Web、FTP、NNTP和SMTP等全部四項服務(wù)。,IIS的運(yùn)行,當(dāng)IIS添加成功之后，再進(jìn)入“開始程序管理工具Internet服務(wù)管理器”以打開IIS管理器，對于有“已停止”字樣的服務(wù)，均在其上單擊右鍵，選“啟動”來開啟。,建立第一個Web站點(diǎn),請先在“默認(rèn)Web站點(diǎn)”上單擊右鍵，選“屬性”，以進(jìn)入名為“默認(rèn)Web站點(diǎn)屬性”設(shè)置界面。 1修改綁定的IP地址：轉(zhuǎn)到“Web站點(diǎn)”窗口，再在“IP地址”后的下拉菜單中選擇所需用到的本機(jī)IP地址“”。,2修改主目錄：轉(zhuǎn)到“主目錄”窗口，再在“本地路徑”輸入（或用“瀏覽”按鈕選擇）好自己網(wǎng)頁所在的“D:Wy”目錄。,3添加虛擬目錄：比如你的主目錄在“D:Wy”下，而你想輸入“/test”的格式就可調(diào)出“E:All”中的網(wǎng)頁文件，這里面的“test”就是虛擬目錄。請在“默認(rèn)Web站點(diǎn)”上單擊右鍵，選“新建虛擬目錄”，依次在“別名”處輸入“test”，在“目錄”處輸入“E:All”后再按提示操作即可添加成功。,4添加首頁文件名：轉(zhuǎn)到“文檔”窗口，再按“添加”按鈕，根據(jù)提示在“默認(rèn)文檔名”后輸入自己網(wǎng)頁的首頁文件名“Index.htm”。,添加多個Web站點(diǎn),多個IP對應(yīng)多個Web站點(diǎn) 如果本機(jī)已綁定了多個IP地址，想利用不同的IP地址得出不同的Web頁面，則只需在“默認(rèn)Web站點(diǎn)”處單擊右鍵，選“新建站點(diǎn)”，然后根據(jù)提示在“說明”處輸入任意用于說明它的內(nèi)容（比如為“我的第二個Web站點(diǎn)”）、在“輸入Web站點(diǎn)使用的IP地址”的下拉菜單處選中需給它綁定的IP地址即可；當(dāng)建立好此Web站點(diǎn)之后，再按上步的方法進(jìn)行相應(yīng)設(shè)置。,一個IP地址對應(yīng)多個Web站點(diǎn),當(dāng)按上步的方法建立好所有的Web站點(diǎn)后，對于做虛擬主機(jī)，可以通過給各Web站點(diǎn)設(shè)不同的端口號來實(shí)現(xiàn)，比如給一個Web站點(diǎn)設(shè)為80，一個設(shè)為81，一個設(shè)為82（如圖2），則對于端口號是80的Web站點(diǎn)，訪問格式仍然直接是IP地址就可以了，而對于綁定其他端口號的Web站點(diǎn)，訪問時必須在IP地址后面加上相應(yīng)的端口號，也即使用如“:81”的格式。,很顯然，改了端口號之后使用起來就麻煩些。如果你已在DNS服務(wù)器中將所有你需要的域名都已經(jīng)映射到了此惟一的IP地址，則用設(shè)不同“主機(jī)頭名”的方法，可以讓你直接用域名來完成對不同Web站點(diǎn)的訪問。 比如你本機(jī)只有一個IP地址為，你已經(jīng)建立（或設(shè)置）好了兩個Web站點(diǎn)，一個是“默認(rèn)Web站點(diǎn)”，一個是“我的第二個Web站點(diǎn)”，現(xiàn)在你想輸入“”可直接訪問前者，輸入“”可直接訪問后者。其操作步驟如下：,（1）請確保已先在DNS服務(wù)器中將你這兩個域名都已映射到了那個IP地址上；并確保所有的Web站點(diǎn)的端口號均保持為80這個默認(rèn)值。 （2）再依次選“默認(rèn)Web站點(diǎn)右鍵屬性Web站點(diǎn)”，單擊“IP地址”右側(cè)的“高級”按鈕，在“此站點(diǎn)有多個標(biāo)識下”雙擊已有的那個IP地址（或單擊選中它后再按“編輯”按鈕），然后在“主機(jī)頭名”下輸入“”再按“確定”按鈕保存退出 （3）接著按上步同樣的方法為“我的第二個Web站點(diǎn)”設(shè)好新的主機(jī)頭名為“”即可。 （4）最后，打開你的IE瀏覽器，在地址欄輸入不同的網(wǎng)址，就可以調(diào)出不同Web站點(diǎn)的內(nèi)容了。,3多個域名對應(yīng)同個Web站點(diǎn),你只需先將某個IP地址綁定到Web站點(diǎn)上，再在DNS服務(wù)器中，將所需域名全部映射向你的這個IP地址上，則你在瀏覽器中輸入任何一個域名，都會直接得到所設(shè)置好的那個網(wǎng)站的內(nèi)容。,對IIS服務(wù)的遠(yuǎn)程管理,1在“管理Web站點(diǎn)”上單擊右鍵，選“屬性”，再進(jìn)入“Web站點(diǎn)”窗口，選擇好“IP地址”。 2轉(zhuǎn)到“目錄安全性”窗口，單擊“IP地址及域名限制”下的“編輯”按鈕，點(diǎn)選中“授權(quán)訪問”以能接受客戶端從本機(jī)之外的地方對IIS進(jìn)行管理；最后單擊“確定”按鈕。,3則在任意計算機(jī)的瀏覽器中輸入如“:3598”（3598為其端口號）的格式后，將會出現(xiàn)一個密碼詢問窗口，輸入管理員帳號名（Administrator）和相應(yīng)密碼之后就可登錄成功，現(xiàn)在就可以在瀏覽器中對IIS進(jìn)行遠(yuǎn)程管理了！在這里可以管理的范圍主要包括對Web站點(diǎn)和FTP站點(diǎn)進(jìn)行的新建、修改、啟動、停止和刪除等操作。,IIS常見漏洞,（1）Null.htw IIS如果運(yùn)行了Index Server就包含了一個通過Null.htw有關(guān)的漏洞，即服務(wù)器上不存在此.htw結(jié)尾的文件。這個漏洞會導(dǎo)致顯示ASP腳本的源代碼， global.asa里面包含了用戶帳戶等敏感信息。如果攻擊者提供特殊的URL請求給IIS就可以跳出虛擬目錄的限制，進(jìn)行邏輯分區(qū)和ROOT目錄的訪問。而這個“hit-highlighting“功能在Index Server中沒有充分防止各種類型文件的請求，所以導(dǎo)致攻擊者訪問服務(wù)器上的任意文件。Null.htw功能可以從用戶輸入中獲得3個變量： CiWebhitsfile CiRestriction CiHiliteType 你可通過下列方法傳遞變量來獲得如default.asp的源代碼： http:/www.目標(biāo)機(jī).com/null.htw?CiWebhitsfile=/default.asp%20&%20 CiRestriction=none%20&%20&CiHiliteType=full其中不需要一個合法的.htw文件是因為虛擬文件已經(jīng)存儲在內(nèi)存中了。,（3）+.htr Bug 這個漏洞是由NSFOCUS發(fā)現(xiàn)的，對有些ASA和ASP追加+.htr的URL請求就會導(dǎo)致文件源代碼的泄露： http:/www.目標(biāo)機(jī).com/global.asa+.htr,4）NT Site Server Adsamples 漏洞 通過請求site.csc，一般保存在/adsamples/config/site.csc中，攻擊者可能獲得一些如數(shù)據(jù)庫中的DSN，UID和PASS的一些信息，如： http:/www.目標(biāo)機(jī).com/adsamples/config/site.csc,（5）webhits.dll & .htw 這個hit-highligting功能是由Index Server提供的允許一個WEB用戶在文檔上highlighted（突出）其原始搜索的條目，這個文檔的名字通過變量CiWebhitsfile傳遞給.htw文件，Webhits.dll是一個ISAPI應(yīng)用程序來處理請求，打開文件并返回結(jié)果，當(dāng)用戶控制了CiWebhitsfile參數(shù)傳遞給.htw時，他們就可以請求任意文件，結(jié)果就是導(dǎo)致可以查看ASP源碼和其他腳本文件內(nèi)容。要了解你是否存在這個漏洞，你可以請求如下條目： http:/www.目標(biāo)機(jī).com/nosuchfile.htw 如果你從服務(wù)器端獲得如下信息： format of the QUERY_STRING is invalid 這就表示你存在這個漏洞。,ISM.DLL 緩沖截斷漏洞,這個漏洞存在于IIS4.0和5.0中，允許攻擊者查看任意文件內(nèi)容和源代碼。通過在文件 名后面追加近230個+或者?%20?（這些表示空格）并追加?.htr?的特殊請求給IIS，會使IIS認(rèn)為客戶端請求的是?.htr?文件，而.htr文件的后綴映射到ISM.DLL ISAPI應(yīng)用程序，這樣IIS就把這個.htr請求轉(zhuǎn)交給這個DLL文件，然后ISM.DLL程序把傳遞過來的文件打開和執(zhí)行，但在ISM.DLL 截斷信息之前,緩沖區(qū)發(fā)送一個斷開的 .Htr 并會延遲一段時間來返回一些你要打開的文件內(nèi)容?？墒且⒁猓?WEB 服務(wù)停止并重啟過，否則這攻擊只能有效執(zhí)行一次。如果已經(jīng)發(fā)送過一個 .htr 請求到機(jī)器上,那么這攻擊會失效.它只能在 ISM.DLL 第一次裝入內(nèi)存時工作。 http:/www.目標(biāo)機(jī).com/global.asa%20%20（.=230）global.asa.htr,IIS存在的Unicode解析錯誤漏洞,NSFOCUS安全小組發(fā)現(xiàn)微軟IIS 4.0和IIS 5.0在Unicode字符解碼的實(shí)現(xiàn)中存在一個安全漏洞，導(dǎo)致用戶可以遠(yuǎn)程通過IIS執(zhí)行任意命令。當(dāng)IIS打開文件時，如果該文件名包含unicode字符，它會對其進(jìn)行解碼，如果用戶提供一些特殊的編碼，將導(dǎo)致IIS錯誤的打開或者執(zhí)行某些web根目錄以外的文件。 你可以使用下面的方法利用這個漏洞： （1） 如果系統(tǒng)包含某個可執(zhí)行目錄，就可能執(zhí)行任意系統(tǒng)命令。下面的URL可能列出當(dāng)前目錄的內(nèi)容： http:/www.目標(biāo)機(jī).com/scripts/%c1%1c/winnt/system32/cmd.exe?/c+dir （2） 利用這個漏洞查看系統(tǒng)文件內(nèi)容也是可能的： http:/www.目標(biāo)機(jī).com/a.asp/%c1%1c/%c1%1c/winnt/win.ini 這個漏洞是針對中文操作平臺，你也可以使用“%c0%af“或者“%c1%9c“來測試英文版本，原因就是編碼不同。,Win2000+IIS 5.0安全配置規(guī)范,Windows 2000安全配置 確保所有磁盤分區(qū)為NTFS分區(qū) 操作系統(tǒng)、Web主目錄、日志分別安裝在不同的分區(qū) 不要安裝不需要的協(xié)議，比如IPX/SPX, NetBIOS? 不要安裝其它任何操作系統(tǒng) 安裝Service Pack 安裝hotfix，一般需要安裝如下補(bǔ)丁 * Q260347_W2K_sp2_x86_cn(IISCrosssite) * Q262694_W2K_SP2_x86_CN(resetBrowseForm) * Q269049_W2K_SP2_x86_CN(shellpath) * Q269862_W2K_SP2_x86_CN(unicode) * Q270676_W2K_SP2_x86_CN(shurufa) * Q272743_W2K_SP2_x86_CN(NTLM) * Q277873_W2K_sp2_x86_CN(filerequest) * Q278499_W2K_sp2_x86_CN(indexserv) * Q280322_W2K_sp2_x86_CN(malwebform) * q285851_w2k_sp3_x86_cn(netdde) 具體可參考微軟網(wǎng)站：/Windows2000/downloads, 關(guān)閉所有不需要的服務(wù) * Alerter (disable) * ClipBook Server (disable) * Computer Browser (disable) * DHCP Client (disable) * Directory Replicator (disable) * FTP publishing service (disable) * License Logging Service (disable) * Messenger (disable) * Netlogon (disable) * Network DDE (disable) * Network DDE DSDM (disable) * Network Monitor (disable) * Plug and Play (disable after all hardware configuration) * Remote Access Server (disable) * Remote Procedure Call (RPC) locater (disable) * Schedule (disable) * Server (disable) * Simple Services (disable) * Spooler (disable) * TCP/IP Netbios Helper (disable) * Telephone Service (disable),在必要時禁止如下服務(wù)： * SNMP service (optional) * SNMP trap (optional) * UPS (optional 設(shè)置如下服務(wù)為自動啟動： * Eventlog ( required ) * NT LM Security Provider (required) * RPC service (required) * WWW (required) * Workstation (leave service on:will be disabled later in the document) * MSDTC (required) * Protected Storage (required),. 刪除 OS/2 和 POSIX 子系統(tǒng): 刪除如下目錄的任何鍵： HKEY_LOCAL_MACHINESOFTWARE MicrosoftOS/2 Subsystem for NT 刪除如下的鍵： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManagerEnvironmentOs2LibPath 刪除如下的鍵： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOptional HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsPosix HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOs2 刪除如下目錄： c:winntsystem32os2,. 帳號和密碼策略,1） 保證禁止guest帳號 2） 將administrator改名為比較難猜的帳號 3） 密碼唯一性：記錄上次的 6 個密碼 4） 最短密碼期限：2 5） 密碼最長期限：42 6） 最短密碼長度：8 7） 密碼復(fù)雜化(passfilt.dll)：啟用 8） 用戶必須登錄方能更改密碼：啟用 9） 帳號失敗登錄鎖定的門限：6 10）鎖定后重新啟用的時間間隔：720分鐘,保護(hù)文件和目錄,將C:winnt, C:winntconfig, C:winntsystem32, C:winntsystem等目錄的訪問權(quán)限做限制，限制everyone的寫權(quán)限，限制users組的讀寫權(quán)限 注冊表一些條目的修改 1） 去除logon對話框中的shutdown按鈕 將HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrent VersionWinlogon中 ShutdownWithoutLogon REG_SZ 值設(shè)為0 2） 去除logon信息的cashing功能 將HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrent VersionWinlogon中 CachedLogonsCount REG_SZ 值設(shè)為0,3） 隱藏上次登陸的用戶名 將HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrent VersionWinlogon中 DontDisplayLastUserName REG_SZ 值設(shè)為1 4）限制LSA匿名訪問 將HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlLSA中 RestricAnonymous REG_DWORD 值設(shè)為1 5） 去除所有網(wǎng)絡(luò)共享 將HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesLanManServerParameters中 AutoShareServer REG_DWORD 值設(shè)為0 . 啟用TCP/IP過濾 只允許TCP端口80和443（如果使用SSL） 不允許UDP端口 只允許IP Protocol 6 (TCP),. 移動部分重要文件并加訪問控制： 創(chuàng)建一個只有系統(tǒng)管理員能夠訪問的目錄，將system32目錄下的一些重要文件移動到此目錄： xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe, edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe, qbasic.exe,runonce.exe,syskey.exe,cacls.exe, ipconfig.exe, rcp.exe, secfixup.exe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe, regedit.exe, , netstat.exe, tracert.exe, nslookup.exe, rexec.exe, cmd.exe 安裝防病毒軟件,. 可以下載Hisecweb.inf安全模板來配置 Http://downl.US/hisecweb.exe 該模板配置基本的 Windows 2000 系統(tǒng)安全策略。 將該模板復(fù)制到 %windir%securitytemplates 目錄。 打開“安全模板”工具，查看這些設(shè)置。 打開“安全配置和分析”工具，然后裝載該模板。 右鍵單擊“安全配置和分析”工具，然后從上下文菜單中選擇“立即分析計算機(jī)”。 等候操作完成。 查看結(jié)果，如有必要就更新該模板。 右鍵單擊“安全配置和分析”工具，然后從上下文菜單中選擇“立即配置計算機(jī)”。,IIS的安全配置, 關(guān)閉并刪除默認(rèn)站點(diǎn)： 默認(rèn)FTP站點(diǎn) 默認(rèn)Web站點(diǎn) 管理Web站點(diǎn) 建立自己的站點(diǎn)，與系統(tǒng)不在一個分區(qū)，如 D:wwwroot3 建立 E:Logfiles 目錄，以后建立站點(diǎn)時的日志文件均位于此目錄，確保此目錄上的訪問控制權(quán)限是： Administrators（完全控制）System（完全控制） 刪除IIS的部分目錄： IISHelp C:winnthelpiishelp IISAdmin C:system32inetsrviisadmin MSADC C:Program FilesCommon FilesSystemmsadc 刪除 C:inetpub,. 刪除不必要的IIS映射和擴(kuò)展： IIS 被預(yù)先配置為支持常用的文件名擴(kuò)展如 .asp 和 .shtm 文件。IIS 接收到這些類型的文件請求時，該調(diào)用由 DLL 處理。如果您不使用其中的某些擴(kuò)展或功能，則應(yīng)刪除該 映射，步驟如下： 打開 Internet 服務(wù)管理器： 選擇計算機(jī)名，點(diǎn)鼠標(biāo)右鍵，選擇屬性： 然后選擇編輯 然后選擇主目錄， 點(diǎn)擊配置 選擇擴(kuò)展名 “.htw“,“.htr“,“.idc“,“.ida“,“.idq“和“.printer“，點(diǎn)擊刪除 如果不使用server side include，則刪除“.shtm“ “.stm“ 和 “.shtml“,. 禁用父路徑 : “父路徑”選項允許您在對諸如 MapPath 函數(shù)調(diào)用中使用“”。在默認(rèn)情況下，該選項 處于啟用狀態(tài)，應(yīng)該禁用它。 禁用該選項的步驟如下： 右鍵單擊該 Web 站點(diǎn)的根，然后從上下文菜單中選擇“屬性”。 單擊“主目錄”選項卡。 單擊“配置”。 單擊“應(yīng)用程序選項”選項卡。 取消選擇“啟用父路徑”復(fù)選框。,. 在虛擬目錄上設(shè)置訪問控制權(quán)限 主頁使用的文件按照文件類型應(yīng)使用不同的訪問控制列表： CGI (.exe, .dll, .cmd, .pl) Everyone (X) Administrators（完全控制） System（完全控制） 腳本文件 (.asp) Everyone (X) Administrators（完全控制） System（完全控制） include 文件 (.inc, .shtm, .shtml) Everyone (X) Administrators（完全控制） System（完全控制） 靜態(tài)內(nèi)容 (.txt, .gif, .jpg, .html) Everyone (R) Administrators（完全控制） System（完全控制） 在創(chuàng)建Web站點(diǎn)時，沒有必要在每個文件上設(shè)置訪問控制權(quán)限，應(yīng)該為每個文件類型創(chuàng)建一個新目錄，然后在每個目錄上設(shè)置訪問控制權(quán)限、允許訪問控制權(quán)限傳給各個文件。 例如，目錄結(jié)構(gòu)可為以下形式： D:wwwrootmyserverstatic (.html) D:wwwrootmyserverinclude (.inc) D:wwwrootmyserver script (.asp) D:wwwrootmyserver executable (.dll) D:wwwrootmyserverimages (.gif, .jpeg),. 啟用日志記錄,確定服務(wù)器是否被攻擊時，日志記錄是極其重要的。 應(yīng)使用 W3C 擴(kuò)展日志記錄格式，步驟如下： 打開 Internet 服務(wù)管理器： 右鍵單擊站點(diǎn)，然后從上下文菜單中選擇“屬性”。 單擊“Web 站點(diǎn)”選項卡。 選中“啟用日志記錄”復(fù)選框。 從“活動日志格式”下拉列表中選擇“W3C 擴(kuò)展日志文件格式”。 單擊“屬性”。 單擊“擴(kuò)展屬性”選項卡，然后設(shè)置以下屬性： * 客戶 IP 地址 * 用戶名 * 方法 * URI 資源 * HTTP 狀態(tài) * Win32 狀態(tài) * 用戶代理 * 服務(wù)器 IP 地址 * 服務(wù)器端口,IIS的輔助工具,使用MetaBase，管理員可以完成關(guān)于IIS的所有工作，例如，建立一個虛擬目錄；停止、啟動或暫停Web站點(diǎn)；建立、刪除、禁止或啟用應(yīng)用程序。微軟提供了一個可視化工具M(jìn)etaEdit幫助你讀寫MetaBase，你可以在這里下載它的最新版本。為了更有效地利用MetaBase，你應(yīng)該試一下命令行接口-IIS Administration Script，簡稱為adsutil.vbs，你可以在C:inetpubadminscripts或者%SystemRoot%system32inetsrvadminsamples目錄下找到它。,IIS的輔助工具-站點(diǎn)內(nèi)容壓縮,可以使用pipeboost壓縮站點(diǎn)功能,IIS的輔助工具-Web應(yīng)用程序緩存,你可以把不同的文件或目錄設(shè)置過期時間，打開IIS信息服務(wù)器，右擊站點(diǎn)內(nèi)容，單擊屬性，在跳出來的窗體中你就可以進(jìn)行相應(yīng)的設(shè)置了。如果你想讓開發(fā)者自己設(shè)置，請使用CacheRight 、XCache這些軟件,IIS的輔助工具-站點(diǎn)的安全,找出你的服務(wù)器信息和操作系統(tǒng)信息是攻擊者的第一個目標(biāo)，所以不要暴露你的HTTP頭讓別人知道你運(yùn)行的是IIS，使用 ServerMask這類軟件將HTTP頭刪除或替換掉。其次，你可以通過刪除不必要的文件擴(kuò)展名來進(jìn)一步安裝你的服務(wù)器環(huán)境。另外，你還可以掃描有問題的URL請求，微軟提供了一個免費(fèi)工具-URLScan。,IIS的輔助工具-補(bǔ)丁,下載安裝最新的補(bǔ)丁。你可以到微軟的站點(diǎn)，也可以到/，用IIS作為關(guān)鍵詞查詢。,IIS信息服務(wù)器排錯,IIS服務(wù)器出錯的原因是復(fù)雜的。象服務(wù)啟動失敗、IIS進(jìn)程中斷或者站點(diǎn)不能啟動這些錯誤都會在系統(tǒng)日志中記錄一個錯誤事件。不論IIS出現(xiàn)何種錯誤，在確定排錯方案之前，都應(yīng)先使用事件查看器查閱系統(tǒng)日志所記錄的相關(guān)事件。某些錯誤顯然是由服務(wù)器硬件的損壞而造成的，而另一些由于軟件原因造成的錯誤往往不易察覺。,重新啟動IIS,大多數(shù)軟件問題可以通過重新啟動到方法得以解決。作為IIS5.0的新功能之一，我們可以在不重新啟動計算機(jī)的情況下重啟IIS服務(wù)，甚至相當(dāng)嚴(yán)重的問題都可以采用這種方法解決。重新啟動IIS服務(wù)可以強(qiáng)迫系統(tǒng)重置IIS進(jìn)程的內(nèi)存空間，故由于內(nèi)存錯誤引起的問題可以得到解決。重啟IIS的方法主要用于下列情況：網(wǎng)站應(yīng)用程序癱瘓、且不能有效加以控制；網(wǎng)站應(yīng)用程序工作不正?；蛘卟环€(wěn)定。重新啟動IIS服務(wù)的過程中，全部當(dāng)前連接都不能保留，且重啟期間服務(wù)器上的全部站點(diǎn)都不能工作。如果重啟IIS服務(wù)不能解決問題，則重啟服務(wù)器亦不會有效。,當(dāng)站點(diǎn)應(yīng)用程序不能正常工作時，按照下述步驟重新啟動服務(wù)器的IIS服務(wù)： 1在IIS管理控制樹中展開IIS節(jié)點(diǎn)，選擇需要重新啟動IIS服務(wù)的計算機(jī)。 2單擊【操作】菜單，選擇【重新啟動IIS】。 3在【停止/啟動/重新啟動】對話框中的【您向要IIS做什么】下拉列表中選擇【重新啟動服務(wù)器的IIS】 ，單擊【確定】。 4正在關(guān)閉】對話框顯示重新啟動IIS的進(jìn)度，如果對話框長時間沒有反應(yīng)，單擊【現(xiàn)在結(jié)束】并重新進(jìn)行上述操作。 注意： 對于單個站點(diǎn)的穩(wěn)定性問題，不必重新啟動整個IIS進(jìn)程，只要重啟站點(diǎn)即可。,備份/還原IIS,IIS的實(shí)現(xiàn)機(jī)制包括一個類似注冊表的元數(shù)據(jù)庫：MetaBase，有關(guān)IIS本身和站點(diǎn)的配置屬性全部保存在Windows 2000和元數(shù)據(jù)庫MetaBase中。因此，只要將相關(guān)的注冊表和元數(shù)據(jù)庫進(jìn)行備份，即可保存站點(diǎn)相關(guān)的全部配置。即使在刪除站點(diǎn)甚至重新安裝IIS之后，仍然能夠利用備份恢復(fù)到原來的狀態(tài)。,備份IIS的步驟如下： 1在IIS管理器中展開IIS節(jié)點(diǎn)，選擇向要備份的計算機(jī)。 2單擊【操作】菜單，選擇【備份/還原配置】。 3在【備份/還原配置】對話框中的【備份】列表中列出全部備份文件以及備份時間。單擊【創(chuàng)建備份】按鈕。 4在【備份配置】對話框中指定新建備份的名稱，單擊【確定】。 5單擊【關(guān)閉】完成備份。 默認(rèn)情況下，備份文件將保存在 Winntsystem32inetsrvMetaBack目錄中。,IIS內(nèi)置的備份、還原功能只能在本地服務(wù)器中使用，但如果想在網(wǎng)絡(luò)中移植IIS網(wǎng)站配置信息到其它服務(wù)器，該工具就顯得力不從心了。 專門的備份工具 IIS備份精靈 IIS備份精靈只能用在相同版本的IIS網(wǎng)站間配置信息的移植 IIS Export Utility 可以對不同版本的IIS站點(diǎn)配置信息進(jìn)行移植,恢復(fù)備份的方法與此類似，在【備份/還原配置】對話框中的【備份】列表中選擇一個備份文件，單擊【還原】。然后再如左圖所示的提示對話框中單擊【確定】，一段時間之后，IIS服務(wù)器恢復(fù)到進(jìn)行備份時所處的狀態(tài)。,提高IIS網(wǎng)站服務(wù)器效率,1. 啟用HTTP的持續(xù)作用可以改善1520%的執(zhí)行效率。 2. 不啟用記錄可以改善58%的執(zhí)行效率。 3. 使用 獨(dú)立 的處理程序會損失20%的執(zhí)行效率。 4. 增加快取記憶體的保存文檔數(shù)量，可提高ActiveServer Pages之效能。 5. 勿使用CGI程式 6. 增加IIS 5.0電腦CPU數(shù)量。 7. 勿啟用ASP偵錯功能。 8. 靜態(tài)網(wǎng)頁采用HTTP 壓縮，大約可以減少20%的傳輸量。,1、啟用HTTP的持續(xù)作用 啟用HTTP的持續(xù)作用（Keep-Alive）時，IIS與瀏覽器的連線不會斷線，可以改善執(zhí)行效率，直到瀏覽器關(guān)閉時連線才會斷線。因為維持Keep-Alive狀態(tài)時，于每次用戶端請求時都不須重新建立一個新的連接，所以將改善服務(wù)器的效率。 此功能為HTTP 1.1預(yù)設(shè)的功能，HTTP 1.0加上Keep-Alive header也可以提供HTTP的持續(xù)作用功能。,2、啟用HTTP的持續(xù)作用可以改善1520%的執(zhí)行效率。 如何啟用HTTP的持續(xù)作用呢？步驟如下： 在 Internet服務(wù)管理員 中，選取整個IIS電腦、或Web站臺，內(nèi)容 之 主目錄 頁，勾選 HTTP的持續(xù)作用 選項。,3、不啟用記錄 不啟用記錄可以改善58%的執(zhí)行效率。 如何設(shè)定不啟用記錄呢？步驟如下： 在 Internet服務(wù)管理員 中，選取整個IIS電腦、或Web站臺，於 內(nèi)容 之 主目錄 頁，不勾選 啟用記錄 選項。 設(shè)定非獨(dú)立的處理程序 使用 獨(dú)立 的處理