Windows 網(wǎng)絡(luò)服務(wù)架構(gòu)

1、Windows 網(wǎng)絡(luò)服務(wù)架構(gòu)系列課程詳解Windows 網(wǎng)絡(luò)服務(wù)架構(gòu)系列課程詳解（三） -Web站點(diǎn)的部署方案 實(shí)驗(yàn)背景：WWW（word wide web）服務(wù)，即萬維網(wǎng)服務(wù)，指在網(wǎng)上發(fā)布的，并可以通過瀏覽器觀看的圖形界面的服務(wù)。萬維網(wǎng)服務(wù)是通過建立Web站點(diǎn)來實(shí)現(xiàn)的。在信息技術(shù)高速發(fā)展的今天，Internet之所以如此風(fēng)行，WWW服務(wù)功不可沒。因?yàn)樗僮骱唵?，界面魅力十足，可用來?lián)機(jī)購物、買書、看電影、聽廣播、看電視、玩游戲、找工作、查資料等。各大公司也通過Web站點(diǎn)提供售前售后服務(wù)，這種良性的互動(dòng)行為，直接提升了整體信息環(huán)境的便利性和普及性。常用的WWW服務(wù)軟件，在Windows系統(tǒng)中是

2、IIS，在Linux系統(tǒng)中是Apache。本實(shí)驗(yàn)主要介紹使用IIS 6.0（目前已經(jīng)為IIS7.0）在windows server 2003 上配置Web站點(diǎn)，實(shí)現(xiàn)WWW服務(wù)。實(shí)驗(yàn)?zāi)康模?、 介紹IIS 6.0的安裝過程。2、 配置Web站點(diǎn)（重點(diǎn)是主目錄和文檔的配置）3、 配置虛擬目錄4、 配置虛擬主機(jī)5、 淺談Web站點(diǎn)的安全性實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)洌簩?shí)驗(yàn)步驟1. IIS 6.0的安裝IIS（Internet Information Services，Internet信息服務(wù)）主要用于Windows環(huán)境中，同樣也是Microsoft公司提供的，存放在Windows server 2003操作系統(tǒng)中的

3、組件中。IIS 6.0主要包含的組件有WWW、FTP、SMTP Server、NNTP Servcer、Internet信息服務(wù)管理器、Internet打印、后臺(tái)智能傳輸服務(wù)（BITS）服務(wù)器擴(kuò)展等等。1.1、 首先在開始菜單里選擇“控制面板”-“添加或刪除程序”-“添加/刪除Windows組件(A)，打開windows組件安裝向?qū)А?1.2、 選擇“應(yīng)用程序服務(wù)器”組件，然后勾選“Internet信息服務(wù)（IIS），如圖點(diǎn)擊“下一步”則里面的所有的子組件都默認(rèn)被安裝上了。這并不是我們所需要的，而且安裝起來非常慢。 2. 配置Web站點(diǎn)2.1、 在選擇了“Internet 信息服務(wù)（IIS）”

4、之后，點(diǎn)擊“詳細(xì)信息”選擇“萬維網(wǎng)服務(wù)”進(jìn)行安裝就可以了。 2.2、 安裝完成之后，通過“開始”“程序”“管理工具”“Internet 信息服務(wù)(IIS)管理器”打開管理站點(diǎn)的服務(wù)器界面。（默認(rèn)情況下，主機(jī)里對(duì)于的子目錄里已經(jīng)建立好了一個(gè)默認(rèn)站點(diǎn)，描述為“默認(rèn)站點(diǎn)” 2.3、 網(wǎng)站的IP地址與TCP端口的配置選擇“默認(rèn)站點(diǎn)”右鍵單擊“屬性”，打開站點(diǎn)的屬性，然后選擇“網(wǎng)站”窗口，網(wǎng)站-網(wǎng)站標(biāo)識(shí)：描述(S)：可以描述一個(gè)站點(diǎn)是干什么的，默認(rèn)為“默認(rèn)站點(diǎn)”這里改為“上海站點(diǎn)”方便管理員使用控制臺(tái)管理。IP地址(I)：輸入此站點(diǎn)的IP地址，一臺(tái)主機(jī)的IP地址可以有多個(gè)，這里任意選擇一個(gè)即可，后面的“

5、高級(jí)”選項(xiàng)主要是為了配置“主機(jī)頭”使用的。TCP端口(T)：web服務(wù)器使用的是HTTP協(xié)議或者基于加密的HTTPS協(xié)議（銀行大部分都使用這種協(xié)議），而HTTP協(xié)議默認(rèn)使用的端口號(hào)為TCP 80端口，HTTPS協(xié)議默認(rèn)使用的端口號(hào)為TCP 443端口，如果使用默認(rèn)端口號(hào)，客戶端再訪問的時(shí)候，就不需要在網(wǎng)址后面加入端口便可以訪問，例如:8080/網(wǎng)站-連接：連接超時(shí)：在框中鍵入數(shù)字（以秒為單位）設(shè)置服務(wù)器在斷開與非活動(dòng)用戶的連接之前等待的時(shí)間，默認(rèn)為120秒。這項(xiàng)設(shè)置在啟用了“保持HTTP連接”勾選狀態(tài)才有效。保持HTTP連接：勾選該選項(xiàng)可以使客戶端與Web服務(wù)器保持連接，進(jìn)一步訪問該服務(wù)器上的

6、網(wǎng)頁時(shí)不需要重新建立連接。如果禁用了“保持HTTP連接”，那么瀏覽器將不得不為包含多個(gè)元素的頁面進(jìn)行大量的連接請(qǐng)求，可能需要為每個(gè)元素進(jìn)行單獨(dú)的連接。這些額外的請(qǐng)求和連接要求額外的服務(wù)器活動(dòng)和資源，這將會(huì)降低服務(wù)器的性能。建議啟用“保持HTTP連接”。時(shí)間上用“連接超時(shí)”加以限制。網(wǎng)站-啟用日志服務(wù)：活動(dòng)日志格式：主要保存客戶端訪問Web服務(wù)器的日志記錄。默認(rèn)為 “W3C擴(kuò)展日志文件格式”，日志記錄的內(nèi)容可以通過“屬性”進(jìn)行設(shè)置。2.4、 主目錄的設(shè)置設(shè)置主目錄之前，首先在本地磁盤（或者遠(yuǎn)程磁盤）上創(chuàng)建一個(gè)Web站點(diǎn)的目錄shanghai，并在里面編輯一個(gè)文檔并以shanghai.htm網(wǎng)頁的

7、格式命名以便做測(cè)試。完成這些操作的過程也可以在命令提示符下進(jìn)行操作，如下所示：主目錄的設(shè)置主要是設(shè)置客戶端訪問此站點(diǎn)的一些權(quán)限以及主目錄的存放問題。通過設(shè)置主目錄可以將網(wǎng)頁發(fā)布到Web站點(diǎn)上。主目錄的資源一般有三個(gè)來源：此計(jì)算機(jī)上的目錄：也就是在本地磁盤建立的目錄，默認(rèn)目錄存放的位置為“%systemroot%inetpubwwwroot”,將此目錄修改為C:shanghai目錄下。另一臺(tái)計(jì)算機(jī)上的共享：將網(wǎng)頁存放在網(wǎng)絡(luò)中其它計(jì)算機(jī)上，要求使用UNC（訪問共享文件夾的路徑）路徑，并需要用戶訪問權(quán)限。重定向到URL：選擇該選項(xiàng)時(shí)，客戶如果訪問次Web站點(diǎn)，則會(huì)重定向到其它站點(diǎn)。設(shè)置完之后，可以指

8、定客戶端訪問此web服務(wù)器的權(quán)限，默認(rèn)為“讀取”、“記錄訪問”和“資源索引”權(quán)限。2.5、 文檔的設(shè)置，也就是主頁的設(shè)置。設(shè)置完目錄之后，需要將所有網(wǎng)頁連接到首頁上，然后通過首頁進(jìn)行訪問。首先，打開上海站點(diǎn)屬性里的“文檔”，默認(rèn)情況下，有四個(gè)首頁“Deault.htm，Default.asp,index.htm，iisstart.htm”其中，index.htm是我們最常用的，當(dāng)然也可以自己指定首頁，如上海站點(diǎn)的首頁為shanghai.htm，可以通過“添加”按鈕將shanghai.htm添加進(jìn)來，然后，將其移動(dòng)到最頂端，當(dāng)應(yīng)用的時(shí)候，服務(wù)器是從上到下進(jìn)行首頁搜索的，放到最頂端的目的是為了讓客

9、戶端更快的找到首頁，其次是為了避免造成首頁的混亂。2.6、 測(cè)試上海站點(diǎn)的Web網(wǎng)頁在DNS服務(wù)器的正向查找區(qū)域（）里添加一臺(tái)主機(jī)，命名為shanghai，IP地址為(web站點(diǎn)的IP地址)。然后在客戶機(jī)端設(shè)置TCP/IP的具體參數(shù)，DNS指向。打開IE瀏覽器輸入3. 配置虛擬目錄剛才在C盤建立的目錄C:shanghai為主目錄，也叫物理目錄，主目錄里也可以創(chuàng)建不同的子文件夾來存放不同的內(nèi)容。如果文件很多，主目錄的空間可能不足，就需要將上述的文件存放到其它分區(qū)或者其它計(jì)算機(jī)上，而用戶訪問時(shí)上述文件夾在邏輯上還歸屬于網(wǎng)站之下，這種歸屬于網(wǎng)站之下的目錄稱

10、為虛擬目錄。可以利用虛擬目錄將一個(gè)網(wǎng)站的文件分散存儲(chǔ)在同一計(jì)算機(jī)的不同路徑和其它計(jì)算機(jī)中，這些目錄在邏輯上歸屬于主目錄。這樣做的好處有1、將數(shù)據(jù)分散保存到不同的磁盤或者計(jì)算機(jī)上，便于分別開發(fā)于維護(hù)。2、當(dāng)數(shù)據(jù)移動(dòng)到其它物理位置時(shí)，不會(huì)影響到Web站點(diǎn)的邏輯結(jié)構(gòu)。3.1、 創(chuàng)建虛擬目錄假設(shè)上海站點(diǎn)想添加兩個(gè)欄目，一個(gè)是news欄目，將最新的新聞發(fā)布上去，另一個(gè)是products欄目，將最新開發(fā)出來的產(chǎn)品特性發(fā)布上去。需要新建兩個(gè)虛擬目錄，首先在%systemroot%下新建兩個(gè)目錄，然后在里面各添加一個(gè)首頁，并以此命名為news.htm、products.htm。右擊“上海站點(diǎn)，選擇“新建”“虛

11、擬目錄”寫入別名“news”路徑寫入虛擬目錄的實(shí)際物理位置設(shè)置虛擬目錄的權(quán)限，默認(rèn)為“讀取”。點(diǎn)擊“完成”便建立好了news虛擬目錄。以同樣的方式建立products虛擬目錄。3.2、 配置虛擬目錄配置虛擬目錄和配置主目錄基本相同，注意：文檔和本地路徑的設(shè)置。配置完成之后，首先在IIS管理器中進(jìn)行瀏覽一下（右鍵單擊相應(yīng)的子目錄，選擇“瀏覽”），看是否能解析出虛擬目錄里首頁的內(nèi)容。然后再在客戶機(jī)上進(jìn)行解析。解析時(shí)，需要輸入4. 配置虛擬主機(jī)為了提高硬件資源的利用率，可以在一臺(tái)計(jì)算機(jī)上運(yùn)行多個(gè)網(wǎng)站，而不需要另加什么硬件，這些網(wǎng)站稱為虛擬主機(jī)。實(shí)現(xiàn)虛擬主機(jī)一般有三種方法：1、 使用不同的IP地址（網(wǎng)

12、頁這IP地址是一對(duì)一的關(guān)系，這種方式需要足夠的IP地址才行）2、 使用不同的IP地址、不同的TCP端口（需要記憶端口號(hào)，不便于瀏覽，不過這個(gè)在一些需要增強(qiáng)安全性的網(wǎng)站而已有點(diǎn)用處）3、 使用相同的IP地址和TCP端口、不同的主機(jī)頭（通過主機(jī)頭本質(zhì)上是站點(diǎn)對(duì)應(yīng)的FQDN）進(jìn)行區(qū)分不同站點(diǎn)。4.1、 使用不同IP地址訪問多個(gè)網(wǎng)站首先在web服務(wù)器上添加多個(gè)IP地址，在TCP/IP屬性的高級(jí)選項(xiàng)里添加。然后，新建一個(gè)網(wǎng)站，并命名為北京站點(diǎn)，建立好之后，在主目錄里將本地路徑設(shè)置為C:beijing，IP地址設(shè)置為，TCP端口號(hào)設(shè)置不變?yōu)?0，文檔中添加beijing.htm并移動(dòng)

13、到最頂層。在DNS的正向查找區(qū)域里添加一條主機(jī)A記錄為beijing，IP地址為。設(shè)置完成之后，在客戶端進(jìn)行測(cè)試即可。4.2、 利用相同的IP地址和TCP端口訪問不同的網(wǎng)頁。首先，將Web上設(shè)置的多個(gè)IP地址刪除掉，留下一個(gè)IP地址，以免造成干擾，當(dāng)將兩個(gè)網(wǎng)站的IP地址和TCP端口號(hào)配置成一樣時(shí)，就出現(xiàn)了網(wǎng)站沖突的現(xiàn)象，如下面所示，北京站點(diǎn)處于停止?fàn)顟B(tài)。打開北京站點(diǎn)的“屬性”，選擇“網(wǎng)站”選項(xiàng)，然后輸入TCP端口號(hào)為任意一個(gè)端口號(hào)（不能設(shè)置成80），最好在1024以后，因?yàn)?024以前的端口號(hào)都是具有特殊意義的，以免在網(wǎng)絡(luò)中造成沖突，設(shè)置TCP端口號(hào)

14、為3000，SSL端口可以設(shè)置為空，高級(jí)選項(xiàng)里的主機(jī)頭也為空。刪除剛在在DNS的區(qū)域上配置的主機(jī)beijing記錄，然后添加一條A記錄，命名為beijing，并將IP地址也改為。這樣，北京網(wǎng)站和上海網(wǎng)站就使用了同一個(gè)IP地址了。客戶端每次訪問的時(shí)候，最好清除一下DNS緩沖和網(wǎng)頁緩沖（刪除Cookies，刪除文件，清除歷史記錄），訪問的時(shí)候，應(yīng)該在IE瀏覽器里輸入:3000/，而http:/shanghai,4.3、 配置主機(jī)頭網(wǎng)站之間的差異可以通過網(wǎng)絡(luò)層的IP地址進(jìn)行區(qū)分，同時(shí)也可以通過傳輸層的端口號(hào)進(jìn)行區(qū)分。但是這都不是最好的解決辦法，而最好的解決辦法是讓所有的網(wǎng)頁使用

15、相同的IP地址和端口地址。主機(jī)頭便做到了這一點(diǎn)，它是通過區(qū)分各自的FQDN來實(shí)現(xiàn)的。4.4、 配置上海網(wǎng)站的主機(jī)頭，打開上海站點(diǎn)的屬性,IP地址設(shè)置成，端口號(hào)設(shè)置為80，然后選擇IP地址的 “高級(jí)”選項(xiàng)，編輯對(duì)應(yīng)的主機(jī)頭為。以同樣的方式打開北京站點(diǎn)的屬性窗口，設(shè)置同樣的IP地址和端口號(hào)，然后編輯IP地址的主機(jī)頭為，這也就是現(xiàn)在網(wǎng)絡(luò)上的好多虛擬主機(jī)租用為何如此便宜的原因了。 下面是在客戶端進(jìn)行的測(cè)試，可以看出，輸入網(wǎng)址的時(shí)候是不需要輸入端口號(hào)的。同時(shí)也沒浪費(fèi)IP地址。5. Web站點(diǎn)的安全性Web站點(diǎn)建立之后，就可以對(duì)用戶提供信息瀏覽服務(wù)，通常是運(yùn)行匿

16、名訪問的。但某些特殊網(wǎng)站（或者虛擬目錄）要求用戶提供用戶賬號(hào)和密碼才能訪問，或者限制某些IP地址能（或不能）訪問。5.1、 身份驗(yàn)證和訪問控制當(dāng)客戶端鏈接到Web站點(diǎn)時(shí)，Web站點(diǎn)會(huì)檢查是否運(yùn)行匿名訪問（首先要檢查IP地址是被允許的前提下）。如果Web站點(diǎn)不允許匿名訪問，就必須輸入用戶賬號(hào)和密碼。打開上海站點(diǎn)的屬性窗口，選擇“目錄安全性”單擊“身份驗(yàn)證和訪問控制”的“編輯”按鈕匿名身份驗(yàn)證：“啟用匿名訪問”使用戶無須輸入用戶名和密碼，便可以訪問Web站點(diǎn)。當(dāng)用戶試圖連接到網(wǎng)站時(shí)，Web服務(wù)器將連接分配給Windows用戶賬戶IUSR_computername，此處的computername是允

17、許IIS的計(jì)算機(jī)的名稱，此用戶在搭建IIS的web服務(wù)器的時(shí)候自動(dòng)建立生成?；旧矸蒡?yàn)證：該方法要求提供用戶名和密碼由于密碼在網(wǎng)絡(luò)上是以明文形式發(fā)送的，這些密碼很容易被截取，所以安全性較低。集成Windows身份驗(yàn)證：Windows集成身份驗(yàn)證比基本身份驗(yàn)證安全，而且在用戶具有Windows域賬戶的內(nèi)部網(wǎng)環(huán)境中能很好地發(fā)揮作用。在集成Windows身份驗(yàn)證中，瀏覽器嘗試使用當(dāng)前的用戶在域登陸過程中使用的憑據(jù)，如果此嘗試失敗，就會(huì)提示改用戶輸入用戶名和密碼。如果用戶作為域用戶登陸到本地計(jì)算機(jī)，則此用戶在訪問該域中的網(wǎng)絡(luò)計(jì)算機(jī)時(shí)不必再次進(jìn)行身份驗(yàn)證。該身份驗(yàn)證不能通過代理服務(wù)器使用。Windows

18、域服務(wù)器的摘要式身份驗(yàn)證：摘要式身份驗(yàn)證比基本身份驗(yàn)證安全。在使用摘要身份驗(yàn)證時(shí)，密碼不是以明文形式發(fā)送。摘要身份驗(yàn)證比集成Windows身份驗(yàn)證優(yōu)越的地方是前者可以通過代理服務(wù)器使用。Windows域服務(wù)器的摘要式身份驗(yàn)證需要使用域用戶。.NET passport身份驗(yàn)證：Miscrosoft .NET Passport是一項(xiàng)用戶身份驗(yàn)證服務(wù)，它允許單一簽入安全性，可使用戶在訪問啟用了.NET Passort的網(wǎng)站和服務(wù)時(shí)更改安全。啟用了.NET Passport的站點(diǎn)依靠.NET Passport中央服務(wù)器來對(duì)用戶進(jìn)行身份驗(yàn)證，但是，改中央服務(wù)器不會(huì)授權(quán)或拒絕特定用戶對(duì)各個(gè)啟用了.NET

19、Pssport的站點(diǎn)進(jìn)行訪問?？刂朴脩舻臋?quán)限由網(wǎng)站負(fù)責(zé)。選擇此選項(xiàng)時(shí)，對(duì)IIS的請(qǐng)求必須在查詢字符串或Cookie中包含有效的.NET Passport憑據(jù)。如果IIS不檢測(cè).NET Passport憑據(jù)，這些請(qǐng)求就會(huì)被重定向到.NET Passport登陸頁。注意：如果激活了匿名訪問，則匿名訪問會(huì)比其它身份驗(yàn)證方法優(yōu)先。首先，在web服務(wù)器上創(chuàng)建一個(gè)用戶命名為zhangsan，密碼為123456，然后在上海站點(diǎn)上右鍵選擇“權(quán)限”添加zhangsan用戶，并設(shè)置為讀取權(quán)限即可。不勾選“啟用匿名訪問”，勾選“集成Windows身份驗(yàn)證”，然后在客戶端的IE瀏覽器里輸入 （注意：清除客戶端IE瀏覽器的緩沖和DNS緩沖）便出現(xiàn)了一個(gè)登陸對(duì)話框，此時(shí)要求你輸入具有訪問網(wǎng)頁權(quán)限的用戶名和密碼，輸入剛才創(chuàng)建的用戶名和密碼即可訪問。5.2、 IP地址和域名限制除了上述訪問可以增加網(wǎng)站的安全性之外