Администрирование WEB

Администрирование
В разделе описаны способы администрирования IIS с помощью оснастки
IIS. Оснастка IIS в консоли MMC (Microsoft Management Console)
является мощным средством администрирования, обеспечивающим
доступ ко всем параметрам настройки сервера. Оснастка IIS позволяет
управлять сложными узлами корпоративной интрасети, а также
управлять пробным веб-узлом до помещения его содержимого на
сервере IIS.
В разделе рассматриваются следующие вопросы.



Управление веб-узлом. Создание содержимого узла и
формирование структуры каталогов, необходимой для его
опубликования.
Администрирование сервера. Сведения о дополнительной
настройке заданных по умолчанию свойств с целью повышения
производительности или улучшения безопасности.
Справочник администратора. Подробные сведения о
параметрах реестра и метабазы.
Примечание. Оснастка IIS является средством администрирования IIS,
интегрированным с другими административными функциями Windows XP.
В предыдущих версиях для этого средства использовалось название
«Диспетчер служб Интернета» .
Данная глава не содержит сведений по следующим вопросам.


Создание веб- или FTP-узла; см. Быстрое создание узла с помощью
IIS.
Сведения по установке и настройке; см. Установка IIS.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Управление веб-узлом
Вне зависимости от того, находится ли узел в интрасети или в
Интернете, принципы организации содержимого являются общими. Вебфайлы размещаются в каталогах на собственном сервере, что позволяет
пользователям устанавливать HTTP-подключение и просматривать эти
файлы в обозревателе. Однако кроме простого сохранения файлов на
сервере, пользователь имеет возможность управлять развертыванием и,
что еще более важно, развитием узла. В настоящее время интересный
веб-узел редко содержит статический набор страниц. Успешно
работающие веб-администраторы непрерывно обновляют содержимое
веб-узлов.
В настоящем разделе обсуждаются основы управления инфраструктурой
веб-узла, от переадресации запросов до динамического изменения вебстраниц.
В данном разделе описываются следующие вопросы.











Об управлении веб-узлом. Введение в процесс организации и
управления веб-узлами.
Выбор средства разработки. Обзор основных средств
разработки для выбора средства, отвечающего требованиям
пользователя..
Использование ASP для управления содержимым веб-узла.
Введение в Microsoft Active Server Pages (ASP) и описание способов
управления содержимым веб-узлов.
Смена домашнего каталога. Указание основного расположения
для элементов узла.
Создание виртуальных каталогов. Добавление каталогов на
узел.
Перенаправление запросов на каталог. Направление
запросов обозревателя на новое расположение.
Перенаправление запросов в программу. Направление
запросов обозревателя в приложение.
Включение средств ограничения срока действия
содержимого. Настройка информации, зависящей от времени.
Использование оценок содержимого. Оценка содержимого
узла, помогающая пользователям избегать предосудительных
материалов.
Добавление примечаний на веб-страницы. Автоматическая
вставка примечания на каждую HTML-страницу на узле.
Включения на стороне сервера. Включение в веб-страницу
команд сервера, которые обрабатываются после запроса страницы,
но до ее отправки в обозреватель.
Данная глава не содержит сведений по следующим вопросам.


Основы создания сценариев на стороне сервера с помощью ASP;
см. Active Server Pages.
Добавление веб-узлов; см. Узлы веб и FTP.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Об управлении веб-узлом
Предположим, сразу после открытия нового дорогостоящего веб-узла
обнаруживается, что логотип компании отсутствует на всех страницах
узла. Или внезапно возникает необходимость перенаправить тысячи
пользователей на альтернативные веб-узлы на время устранения
технических неполадок в компьютере. Такие вопросы являются только
малой частью проблем, которые нужно разрешать для успешного
управления веб-узлом. Хотя эффективность управления веб-узлом в
конечном счете зависит от квалификации администратора, существует
набор основных средств и процедур, которые можно использовать для
решения общих задач управления и в аварийных ситуациях.
Приступая к работе
Первым делом при установке веб-узла необходимо указать, в каких
каталогах будут содержаться публикуемые документы. Веб-сервер не
сможет публиковать документы, не находящиеся в указанных каталогах.
Поэтому при формировании веб-узла следует сначала определить, как
файлы будут организованы. После этого с помощью оснастки IIS следует
указать, какие каталоги являются частью узла.
Если веб-узел состоит только из файлов, расположенных на одном диске
компьютера, на котором выполняется Internet Information Services,
можно немедленно приступить к публикации документов без создания
специальной структуры каталогов. Для этого достаточно скопировать
файлы в стандартный домашний каталог C:\Inetpub\Wwwroot. (Для FTPузла следует скопировать файлы в каталог C:\Inetpub\Ftproot.)
Пользователи интрасети могут получить доступ к этим файлам, указав
следующий адрес URL: http://имя_сервера/имя_файла. Чтобы узнать,
как разместить несколько узлов и организовать различное содержимое,
см. процедуры в данном разделе. В данном разделе описаны действия по
изменению используемого по умолчанию расположения файлов и
добавлению каталогов, которые расположены на других дисках или
компьютерах в сети.
Указание домашних каталогов
Каждый веб- или FTP-узел должен иметь один домашний каталог.
Домашний каталог является центральным расположением публикуемых
страниц. Этот каталог содержит домашнюю страницу или файл указателя
с приветствием посетителям и ссылками на другие страницы веб-узла.
Домашний каталог сопоставляется с именем домена узла или именем
сервера. Например, если узел имеет в Интернете имя домена
www.microsoft.com и домашний каталог C:\Website\Microsoft, то вебобозреватели будут использовать адрес URL http://www.microsoft.com/
для доступа к файлам в этом домашнем каталоге. В интрасети, в которой
имеется сервер с именем AcctServer, веб-обозреватели будут
использовать для доступа к файлам в домашнем каталоге адрес URL
http://acctserver.
Стандартный домашний каталог создается при установке Internet
Information Services и при создании нового веб-узла. Имеется
возможность изменить домашний каталог; инструкции см. в разделе
Смена домашнего каталога.
Что такое виртуальный каталог?
Для публикации из любого каталога, не содержащегося в домашнем
каталоге, следует создать виртуальный каталог. Виртуальным каталогом
называют каталог, который физически не содержится в домашнем
каталоге, но выводится в клиентских веб-обозревателях как его
подкаталог.
Виртуальный каталог имеет псевдоним, т.е. имя, которое вебобозреватели используют для доступа к этому каталогу. Поскольку
псевдоним обычно оказывается более коротким, чем полное имя
каталога, пользователям легче его запоминать и вводить. Применение
псевдонимов является также более безопасным. Пользователи не знают,
где ваши файлы физически размещаются на сервере, и не могут
использовать эту информацию для изменения файлов. Псевдонимы
также упрощают перемещение файлов в узле. Вместо того чтобы
изменять адрес URL для каталога, достаточно изменить сопоставление
псевдонима и физического адреса каталога.
Например, настраивается веб-узел группы маркетинга в интрасети
компании. В приведенной ниже таблице показано соответствие
физического расположения файлов и адресов URL для доступа к ним.
Физическое
расположение
C:\Inetpub\wwwroot
Путь
URL
Псевдоним
домашний каталог
(отсутствует)
\\Server2\SalesData\ProdCustomers Customers
http://Sales
http://Sales/Customers
C:\Inetpub\wwwroot\Quotes
Отсутствуют
http://Sales/Quotes
C:\Inetpub\wwwroot\OrderStatus
Отсутствуют
http://Sales/OrderStatus
D:\Mktng\PR
PR
http://Sales/PR
И виртуальные каталоги, и физические каталоги (каталоги без
псевдонима) будут отображаться в оснастке IIS. Виртуальный каталог
представляется значком папки с глобусом в углу. На следующем рисунке
изображен веб-узел, описанный в примере выше. Каталоги /Customers и
/PR являются виртуальными каталогами.
Для простого веб-узла добавление виртуальных каталогов может
оказаться излишним. Достаточно просто поместить все файлы в
домашний каталог узла. Если имеется сложный узел или требуется
указать другие адреса URL для различных частей узла, следует добавить
необходимые виртуальные каталоги. Инструкции см. в разделе Создание
виртуальных каталогов.
Изменение маршрутов запросов
перенаправлением
Когда веб-обозреватель запрашивает страницу на веб-узле, веб-сервер
обнаруживает страницу по адресу URL и возвращает ее в вебобозреватель. При перемещении страницы на веб-узле не всегда удается
исправить все ссылки на старый адрес URL. Для того чтобы вебобозреватели могли находить страницу в ее новом положении, следует
обеспечить предоставление веб-сервером нового адреса URL для вебобозревателя. После этого веб-обозреватель использует новый адрес
URL для повторного запроса страницы. Этот процесс называют
«перенаправлением запроса веб-обозревателя» или «перенаправлением
URL». Перенаправление запроса для страницы аналогично пересылке
сообщений в почтовой службе. Указание адреса для пересылки
обеспечивает перенаправление писем и посылок, отправленных по
вашему старому адресу, на новый адрес.
Средство перенаправления адреса URL полезно, когда обновляется вебузел и требуется сделать часть узла временно недоступной, а также в
случае, когда изменяется имя виртуального каталога и требуется
обеспечить использование ссылок на файлы в исходном виртуальном
каталоге для доступа к тем же файлам в новом виртуальном каталоге.
Инструкции см. в разделе Перенаправление запросов на каталог.
Другие полезные средства
Часто бывает полезно динамически изменить содержимое после того, как
оно было запрошено, но перед передачей его в обозреватель. IIS
включает две возможности, обеспечивающие эти функции: включения
на стороне сервера (SSI) и среда создания сценариев Microsoft® Active
Server Pages (ASP).
С помощью SSI можно выполнить все множество задач управления вебузлом, от добавления динамических штампов времени до запуска
специальных команд при запросе файла. Команды SSI, называемые
директивами, добавляются к веб-странице на этапе разработки. Когда
страница запрашивается, веб-сервер производит разбор всех директив,
найденных на веб-странице, и затем выполняет их. Наиболее часто
используемая директива SSI вставляет, или включает, содержимое
файла в веб-страницу. Например, если на веб-странице требуется
неоднократно обновлять рекламное объявление, можно использовать SSI
для включения исходного HTML-текста объявления в веб-страницу.
Чтобы обновить рекламу, требуется только изменить файл, содержащий
исходный текст объявления. Чтобы использовать SSI, нет необходимости
знать язык сценариев, достаточно придерживаться правильного
синтаксиса директив.
Для получения подробного описания действий и справочной информации
см. раздел Включения на стороне сервера.
ASP представляет собой среду написания сценариев на стороне сервера,
которую можно использовать для динамического изменения вебсодержимого. Хотя ASP первоначально разрабатывался для разработки
веб-приложений, многие его возможности могут быть использованы для
облегчения управления веб-узлом. Например, ASP позволяет
отслеживать пользователей, посещающих веб-узел, или подстроить
содержимое под возможности веб-обозревателя. Однако в отличие от
SSI, ASP требует знания языка сценариев, например VBScript или JScript.
Более подробную информацию см. в разделе Использование ASP для
управления содержимым веб-узла.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Выбор средства разработки
Обзор основных понятий о выборе средства разработки, отвечающего
требованиям пользователя.



Общие сведения о доступных возможностях
Мультимедиа и другие форматы файлов
Разработка сложного веб-узла
Общие сведения о доступных возможностях
Бурное развитие Интернет- и интранет-технологий предъявило высокие
требования к специализированным средствам веб-разработки. Для
новичков выбор подходящего средства разработки может стать
трудноразрешимой задачей. Исходя из этих соображений, перед
выбором средства разработки ознакомьтесь с основными категориями
доступных средств.
WYSIWYG
Пользователям с недостаточным опытом разработки веб-страниц
рекомендуется использовать средство разработки, не требующее знания
HTML (то есть, позволяющее начать публикацию немедленно).
Некоторые средства разработки поддерживают пользовательский
интерфейс адекватного отображения (WYSIWYG), аналогичный
используемому в текстовых процессорах, таких как Microsoft® Word.
Таким образом, для создания веб-страниц достаточно иметь навыки
работы с текстовым процессором. Microsoft® FrontPage® является
хорошим примером простого в использовании редактора WYSIWYG,
который имеет удобный для пользователя интерфейс, мастера
форматирования и различные шаблоны для добавления таблиц и
графики на веб-страницы. По мере создания и редактирования вебстраницы в редакторе FrontPage, эта страница отображается так, как она
будет выглядеть при открытии в веб-обозревателе. FrontPage имеет
специальные программные расширения, которые увеличивают его
возможности с помощью веб-сервера. Дополнительные сведения см. на
веб-узле Microsoft FrontPage.
Преобразование в HTML
Привлекательной альтернативой созданию собственных веб-страниц
является опубликование существующих документов с преобразованием
их в документы HTML. Для этого следует импортировать файлы
текстового процессора и электронные таблицы в конвертер (программу
преобразования), который преобразует их в веб-страницы. Многие
текстовые процессоры, например Microsoft Word, поддерживают
преобразование в формат HTML. Однако следует знать, что большинство
конвертеров просто добавляют теги форматирования HTML и только
некоторые из них сохраняют исходный вид документа. Однако
конвертеры могут оказаться особенно удобными, если планируется
опубликовать большое количество существующих документов, не
требующих частого обновления.
Текстовый редактор
Еще одним способом является создание веб-страниц с помощью
практически любого стандартного текстового редактора, например
Блокнота. В текст добавляются теги HTML, файл сохраняется и затем
открывается в веб-обозревателе. Некоторые более опытные
пользователи предпочитают именно этот метод, поскольку он
обеспечивает лучший контроль за форматированием веб-страницы и
позволяет пользователям быстро внедрять и проверять последние
разработки в веб-технологии. Однако этот способ создания веб-страниц
требует знакомства с языком HTML и готовности затратить некоторое
время на отладку файлов HTML.
Существует также несколько гибридных средств, которые действуют как
стандартный текстовый редактор. Эти программы имеют ряд полезных
клавиатурных возможностей (типа тех, которые используются в
редакторах WYSIWYG), которые позволяют легко вставить готовые теги
HTML на страницы, что уменьшает дополнительный ввод.
Дополнительную информацию можно найти в Интернете или у
поставщиков программного обеспечения. Очень хорошим источником
информации о различных коммерческих средствах веб-разработки
является веб-узел Microsoft MSDN Online.
Мультимедиа и другие форматы файлов
Посетив ряд узлов Интернета, можно обратить внимание, что
содержимое веб-страниц не ограничивается текстами, таблицами и
графикой. Видео- и звуковые файлы становятся неотъемлемой частью
коммерческих веб-узлов. С помощью только стандартных тегов HTML
можно добавить привлекательные мультимедийные возможности на вебстраницы. Например, чтобы вставить видеоклип на веб-страницу,
используйте атрибут DYNSRC тега HTML <IMG>:
<IMG DYNSRC="MyVideo.avi" >
Видеоклип MyVideo.avi проигрывается после загрузки пользователем
веб-страницы, содержащей этот тег.
Чтобы реализовать более сложные возможности мультимедиа, например
потоковое воспроизведение видео, может потребоваться использование
специализированного программного обеспечения для создания и
редактирования веб-страниц. Технологии Microsoft® Windows Media
Technologies™ позволяют легко создавать, распространять и
воспроизводить потоковые файлы мультимедиа. Дополнительные
сведения о технологии потокового мультимедиа можно найти на веб-узле
Microsoft® Windows Media.
HTML позволяет создавать ссылки на файлы практически любых
форматов, в том числе на файлы Microsoft Office. Чтобы пользователи
имели возможность просматривать эти файлы, их веб-обозреватели
должны быть способны просматривать файлы, отличные от HTML.
Например, если известно, что у всех пользователей интрасети
установлены Microsoft® Excel и Microsoft® Internet Explorer версии 3.0
или более поздней, можно связать веб-узел с листами Excel. Когда
пользователь выберет ссылку, документ откроется в веб-обозревателе
на его компьютере в формате Microsoft Excel. Этот метод является
мощным средством создания веб-узлов, которые обеспечивают
совместный доступ к документации и тем самым повышают
эффективность работы коллектива.
Разработка сложного веб-узла
В настоящее время на большинстве коммерческих веб-узлов
используются сложные интерактивные веб-страницы, предлагающие
посетителям более информативное и интересное содержимое. Такие вебстраницы, часто называемые веб-приложениями, используют
обрабатывающие программы, которые называют сценариями, для
извлечения информации в ответ на действия пользователя. Электронный
книжный магазин или магазин одежды, который предлагает сделать
выбор и отслеживает заказ, является прекрасным примером вебприложения.
Полезным типом веб-приложений, которые могут создавать
пользователи, являются ASP-приложения. Приложение ASP содержит
сценарии на стороне сервера и команды, обрабатываемые
исключительно сервером. Сценарии ASP могут быть использованы для
соединения веб-узлов с базами данных и подстройки содержимого узла
под возможности веб-обозревателя пользователя. Сведения об
использовании ASP см. в разделе Active Server Pages.
Прежде чем начать разработку веб-приложений, необходимо получить
надежное и универсальное средство разработки. Microsoft® Visual
InterDev™ представляет мощный инструмент разработки вебприложений, позволяющий быстро создавать современные веб-узлы.
Особенностью Visual InterDev является интегрированный набор средств
для работы с базами данных, который значительно упрощает соединение
веб-узла с источниками данных OLE и базами данных, совместимыми с
ODBC. Дополнительные сведения см. на веб-узле Microsoft Visual
InterDev.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Использование ASP для
управления содержимым вебузла
После изучения HTML и создания веб-страницы вы, возможно, готовы
начать разработку веб-узла. Однако перед этим следует учесть
следующие вопросы.



Как поддерживать согласованный внешний вид во всем узле?
Как будут обновляться сведения, появляющиеся на каждой
странице, например сведения об авторских правах и логотипы?
Как будут объединяться сведения, полученные от разных авторов?
Даже если размер узла не очень велик, эти и другие вопросы
управления могут создать проблемы, решение которых требует больших
затрат времени. К счастью, веб-сервер включает Microsoft Active Server
Pages (ASP), рабочую среду сценариев на стороне сервера, которую
можно использовать для автоматизации и централизации многих задач
управления веб-узлом.
Основы написания сценариев
Сценарий — это последовательность операторов и команд, которую
можно использовать для программного изменения содержимого вебстраниц. В электронных магазинах, которые позволяют производить
поиск изделий и проверку их доступности, несомненно, используется
сценарий того или иного вида. Хорошее понимание принципов
написания сценариев способствует использованию всех возможностей
опубликования в Интернете.
Существует два вида сценариев: на стороне клиента и на стороне
сервера.
Сценарии на стороне клиента выполняются веб-обозревателем и
встроены в веб-страницу между тегами HTML <SCRIPT> и </SCRIPT>.
Если просматривать исходный текст на языке HTML динамической вебстраницы, скорее всего будет обнаружен сценарий на стороне клиента.
Сценарии на стороне сервера выполняются исключительно на вебсервере. Они наиболее часто используются для изменения веб-страниц
перед предоставлением их обозревателю. Сценарии на стороне сервера
могут дать веб-серверу указания выполнить действия, например
обработать сведения, введенные пользователем, или зарегистрировать
частоту посещения пользователем веб-узла. Можно рассматривать
сценарии на стороне сервера как указания по «сборке» веб-страниц
перед их отправкой обозревателю. Полезные при обработке данных и
автоматическом обновлении веб-страниц, сценарии на стороне сервера
облегчают управление содержимым веб-узла.
ASP: Краткий обзор
Для автоматизации повторяющихся задач в электронной таблице или
при обработке текста может быть написан макрос. Аналогично можно
создать сценарий на стороне сервера для автоматического выполнения
сложных или повторяющихся задач управления веб-узлом.
Предположим, что необходимо обновить веб-узел, состоящий из
нескольких дюжин страниц, имеющих одинаковое форматирование
(окантовка, логотип компании, сведения об авторских правах и так
далее). Обычно такая работа требует много времени и требует ручного
обновления (и проверки) каждой страницы. Альтернативой является
использование ASP для автоматизации такой работы.
ASP — мощная рабочая среда сценариев на стороне сервера, которую
можно использовать для написания сценариев только с помощью
текстового редактора, например блокнота. Например, с помощью ASP
можно создать основной файл, содержащий сведения, общие для всех
страниц веб-узла. Во время разработки веб-узла можно добавить на
каждую страницу команду сценария, состоящую из одной строки,
которая вставит содержимое общего файла. Всякий раз, когда
необходимо обновить, например, меню переходов узла, достаточно
обновить только основной файл, а изменения появятся после очередной
перезагрузки пользователем содержимого узла.
ASP использует ограничители для отделения команд сценария от
обычного текста и текста на языке HTML. Ограничители <% и %>
окаймляют команды сценария, которые выполняются сервером, в
отличие от ограничителей < и >, которые используются в HTML для
указания тегов, анализируемых веб-обозревателем.
Приведенный ниже пример иллюстрирует работу ASP:
<%
author = "Сергей Голубцов"
department= "Отдел технического контроля"
%>
Эта страница была обновлена <B>сегодня</B>, автор — <%= author %>,
подразделение —
<%= department %>.
При просмотре в веб-обозревателе страница, содержащая этот сценарий,
будет выглядеть следующим образом:
Эта страница была обновлена сегодня, автор — Сергей Голубцов, подразделение —
Отдел технического контроля.
Однако если просмотреть исходный текст для этой страницы, можно
увидеть только следующий текст:
Эта страница была обновлена <B>сегодня</B>, автор — Сергей Голубцов,
подразделение —
Отдел технического контроля.
Сценарий выполняется на сервере (то есть команды внутри
ограничителей <% и %> выполняются на сервере) и возвращает вебобозревателю пользователя только HTML.
Как минимум, все файлы ASP должны иметь расширение .asp и
содержать команды сценария, написанного на языке сценариев,
например Microsoft Visual Basic® Scripting Edition (VBScript) или Microsoft
JScript. Изучить основные принципы написания сценариев можно,
посетив веб-узел Microsoft Windows Script Technologies.
После самостоятельного изучения одного из языков написания
сценариев см. Active Server Pages для изучения принципов написания
сценариев на стороне сервера. Этот раздел содержит также
практическое учебное пособие. Дополнительные сведения см. в разделе
Учебник ASP.
Решения ASP
Ниже приведен список задач по управлению веб-узлом и предлагаемые
решения с помощью ASP:
Задача
Решение
Обновление
Используйте директиву ASP, выполняемую на сервере, #include для
форматирования вставки информации из общего файла на каждую страницу. Например,
веб-страницы
при проектировании узла вставьте следующую инструкцию в шаблон
веб-страницы:
<!- - #include file="Logo.txt"
- ->
Если после размещения узла необходимо обновить логотип, достаточно
обновить файл Logo.txt, содержащий изображение. Дополнительные
сведения см. в разделе Включение файлов.
Оповещение
пользователей о
перемещении
содержимого
веб-узла
Вместо оповещения пользователей — перенаправьте их. Используйте
метод ASP Redirect для автоматического перенаправления
обозревателя на другую веб-страницу или другой веб-узел. Например,
вставьте следующую инструкцию в начало веб-страницы для
перенаправления пользователей на другую страницу:
<% Response.Redirect(адрес URL новой веб-страницы) %>
Дополнительные сведения см. в разделе Отправка содержимого в вебобозреватель.
Поддержка
различных
версий вебобозревателей
различных
фирм.
Используйте возможности компонента ASP Browser Capabilities для
приспособления содержимого к возможностям обозревателя.
Например, можно определить, поддерживает ли обозреватель
пользователя кадры. При отсутствии поддержки кадров
соответствующая часть содержимого страницы заменяется.
Дополнительные сведения см. в модуле Использование компонентов
COM учебника ASP.
Слежение за
предпочтениями
и поведением
пользователя
Можно использовать ASP для размещения модулей настройки клиента,
маленьких текстовых файлов, сохраняемых сервером в обозревателе
пользователя. Модули настройки клиента используются для
определения частей узла, интересующих пользователя, и времени,
которое пользователь проводит на определенных веб-страницах.
Дополнительные сведения см. в разделе Управление сеансами.
Получение
Используйте семейства ASP Form и QueryString для сбора сведений,
обратной связи
от пользователя
вводимых пользователем в форму HTML. Эти семейства упрощают
создание веб-узлов, которые обрабатывают отклики пользователей,
например доска объявлений подразделения, электронный опрос или
система сбора данных. Дополнительные сведения см. в разделе
Обработка сведений, введенных пользователем.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Смена домашнего каталога
Каждый веб-узел должен иметь один домашний каталог. При
одновременной установке веб- и FTP-узла на одном компьютере
необходимо указать отдельный домашний каталог для каждой службы
(WWW и FTP). Домашним каталогом для службы WWW по умолчанию
является каталог C:\Inetpub\Wwwroot. Домашним каталогом для службы
FTP по умолчанию является каталог C:\Inetpub\Ftproot. Пользователь
имеет возможность указать другой каталог в качестве домашнего.
Чтобы изменить домашний каталог:
1. В оснастке IIS выберите веб- или FTP-узел и откройте его окно
свойств.
2. Выберите вкладку Домашний каталог и укажите, где расположен
домашний каталог. Допускается выбор следующих параметров:
o каталог данного компьютера;
o общая папка другого компьютера;
o постоянный адрес URL.
Примечание. Обозреватели, запрашивающие этот адрес
URL, будут отправляться на другой адрес URL. Невозможно
задать переадресацию для каталога FTP.
3. Введите в поле локальный путь, имя общего ресурса или адрес URL
вашего каталога.
Примечание. Если выбирается каталог на общем сетевом
ресурсе, может потребоваться ввод имени пользователя и пароля
для доступа к ресурсу. Рекомендуемой учетной записью является
IUSR_ИмяКомпьютера. Если используется учетная запись, имеющая
разрешения администратора для сервера, то клиенты смогут
получить доступ к операциям сервера. Это связано с серьезным
риском нарушения безопасности сети.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Создание виртуальных
каталогов
Если веб-узел содержит файлы, расположенные в каталоге, отличном от
домашнего каталога, или на других компьютерах, то для включения этих
файлов в веб-узел следует создать виртуальные каталоги. Чтобы
использовать каталог на другом компьютере, следует указать имя
каталога, удовлетворяющее универсальному соглашению об именах
(UNC), и задать имя пользователя и пароль, которые используются для
получения разрешений на доступ.
Чтобы создать виртуальный каталог
1. В оснастке IIS выберите веб- или FTP-узел, к которому требуется
добавить каталог.
2. В меню Действие укажите на команду Создать и выберите
Виртуальный каталог.
3. Используйте окно Мастер создания виртуального каталога для
выполнения этой задачи.
Примечание. Если используется файловая система NTFS, виртуальный
каталог также может быть создан следующим образом: щелкните правой
кнопкой каталог в проводнике Windows, выберите команду Общий
доступ и безопасность и откройте вкладку Доступ через веб.
Чтобы удалить виртуальный каталог
1. В оснастке IIS выберите виртуальный каталог, который требуется
удалить.
2. В меню Действие выберите команду Удалить. Удаление
виртуального каталога не приводит к удалению соответствующего
физического каталога или файлов.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Управление подключениями к
удаленному общему ресурсу
Если веб-узел подключает виртуальные каталоги к общим ресурсам на
удаленном компьютере с операционной системой Windows 2000 или
более поздней, IIS использует рабочий контекст блоков SMB (Server
Message Block) для обнаружения уведомлений об изменении каталогов
на удаленном компьютере. IIS прослушивает уведомления об
изменениях, на основании которых выполняется очистка файлов в кэше
шаблонов ASP и статическом кэше IIS и их замена на новые данные из
измененных файлов на удаленном общем ресурсе. Если эти кэши не
включены, IIS должен загружать содержимое с удаленного общего
ресурса и компилировать любые сценарии страниц ASP для каждого
запроса пользователя. Такие процессы приводят к большим затратам.
Windows XP по умолчанию принимает запросы к 50 рабочим контекстам
SMB, но может установить до 2048 рабочих контекстов SMB. Поскольку
удаленный компьютер ограничивает число рабочих контекстов SMB,
которые он принимает, может иметь место отказ в автоматическом
обновлении кэшированных файлов. Следующие сообщения об ошибках
являются признаками отказов на вызовы SMB.


RPC 1792 - Сбой при удаленном вызове процедуры. Вызов не
произведен.
Netlogon 5719 - Не удается найти контроллер домена.
После отказа в вызове SMB IIS продолжает обслуживать неизмененные
устаревшие сценарии ASP из кэша шаблонов ASP и устаревшие
статические страницы из кэша статических файлов IIS. В этих случаях
для обновления кэша требуется перезапуск IIS. Пользователь имеет
возможность выполнить следующие действия для разрешения проблем,
связанных с подключениями к удаленным общим ресурсам:




Структурирование виртуальных каталогов
Перемещение содержимого
Повышение предельного числа подключений на удаленном сервере
Отключение кэширования шаблонов ASP
Структурирование виртуальных каталогов
Если требуется создать тысячи виртуальных каталогов, принимающих
данные с одного удаленного компьютера, следует построить глубокое, а
не широкое дерево виртуальных каталогов. IIS может выполнять
мониторинг изменений в подкаталогах виртуальных каталогов высокого
уровня. Например, если требуются данные из 2500 виртуальных
каталогов, имеющих доступ к одному удаленному серверу, можно
создать 25 виртуальных каталогов высокого уровня со 100
подкаталогами в каждом. При этом будет создано дерево виртуальных
каталогов с меньшим числом удаленных подключений, чем предел 50 на
клиента в Windows XP.
Перемещение содержимого
Проблему предела подключений для динамических и статических данных
можно разрешить одним из следующим способов:


распределить содержимое по большему числу удаленных серверов;
переместить некоторые или все данные на локальный сервер.
Распределение содержимого между двумя или несколькими удаленными
серверами может разрешить проблему без необходимости
реструктурировать виртуальные каталоги веб-узла. Например,
предположим, что вы подключаете 3000 виртуальных каталогов веб-узла
к одному удаленному серверу. Если переместить половину содержимого
на второй удаленный сервер, можно будет подключить к нему половину
виртуальных каталогов и уменьшить число подключений к каждому
удаленному серверу до 1500.
Такие же преимущества в уменьшении общего числа необходимых
вызовов процедур можно получить, если сохранять часть содержимого
на локальном сервере. Перемещение или репликация всего содержимого
на локальный сервер позволяет исключить возникновение проблем,
связанных с управлением подключениями к удаленным общим ресурсам,
и необходимость прослушивать изменения каталогов на путях UNC.
Повышение предельного числа
подключений на удаленном сервере
Устранить проблемы предела подключений позволяет повышение
предельного числа подключений на удаленном компьютере до 2048
подключений на клиента. В результате становится возможным большее
количество одновременных подключений веб-узла к серверу.
Для увеличения числа подключений к серверу требуется изменение двух
параметров реестра.

Используйте следующий путь в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanS
erver\Parameters


Задайте для параметра MaxMpxCt значение 2048. Этот параметр
реестра указывает предлагаемое максимальное число
одновременных запросов, которые сервер принимает от каждого
клиента. IIS действует как клиент при запросе данных с
удаленного сервера.
Задайте для параметра MaxWorkItems значение 8192. Этот
параметр реестра указывает максимальное число буферов приема,
также называемых рабочими элементами, которые может выделить
сервер. При достижении этого количества сервер должен запустить
управление потоком, что приводит к понижению
производительности. Значение параметра MaxWorkItems должно
по крайней мере в четыре раза превышать значение MaxMpxCt.
Сведения об изменении параметров реестра см. в разделах «Добавление
и удаление сведений из реестра» и «Изменение данных в реестре» в
справке редактора реестра RegEdt32.exe.
Отключение кэширования шаблонов ASP
Если ни одним из перечисленных выше способов не удается эффективно
разрешить проблему предельного числа подключений, можно отключить
кэш шаблонов ASP, кэш статических файлов IIS или и тот, и другой. Это
приведет к уменьшению или исключению необходимости подключаться к
удаленному серверу для прослушивания изменений. Однако это
замедлит доставку страниц клиентам и может привести к недопустимо
низкому быстродействию.
Чтобы отключить кэш шаблонов ASP
1. В оснастке IIS выберите веб-узел или исходный каталог
изолированного приложения.
2. Откройте окно свойств каталога и нажмите кнопку Настройка в
группе «Параметры приложения». Если кнопка Настройка
недоступна, каталог не содержит изолированное приложение. Для
создания нового приложения нажмите кнопку Создать.
3. Выберите вкладку Параметры кэша. Если вкладка Параметры
кэша отсутствует, убедитесь, что в группе «Параметры
приложения» в поле со списком «Защита» выбрано значение
Высокая (изолированная). Если значение параметра «Защита»
было изменено на Высокая (изолированная), необходимо для
вступления изменений в действие нажать кнопку Применить.
4. В группе Кэш ASP-файлов выберите параметр Не кэшировать
ASP-файлы.
5. Нажмите кнопку OK.
6. Перезапустите IIS.
Чтобы отключить кэш файлов IIS
1. Используйте следующий путь в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\InetInfo\
Parameters
2. Задайте для параметра DisableMemoryCache значение 1.
3. Перезапустите IIS.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Перенаправление запросов на
каталог
Имеется возможность перенаправить запросы на файлы в одном
каталоге на другой каталог, на другой веб-узел или на другой файл в
отдельном каталоге. Когда обозреватель запрашивает файл на исходном
веб-узле, веб-сервер направляет в обозреватель инструкцию запросить
страницу по адресу URL.
Чтобы перенаправить запросы на другой каталог или веб-узел
1. В оснастке IIS выберите веб-узел или каталог и откройте его окно
свойств.
2. Выберите вкладку Домашний каталог, Виртуальный каталог
или Каталог.
3. Выберите параметр постоянный адрес URL.
4. В поле Адрес введите адрес URL каталога назначения или вебузла. Например, чтобы перенаправить все запросы на файлы в
каталоге /Catalog на каталог /NewCatalog, введите /NewCatalog.
Чтобы перенаправить все запросы на один файл
1. В оснастке IIS выберите веб-узел или каталог и откройте окно его
свойств.
2. Выберите вкладку Домашний каталог, Виртуальный каталог
или Каталог.
3. Выберите параметр постоянный адрес URL.
4. В поле Адрес введите адрес URL файла назначения.
5. Установите флажок на введенный выше адрес URL, чтобы
исключить добавление веб-сервером исходного имени файла к
адресу назначения URL.
Для точного указания преобразования исходного адреса URL в адрес
назначения URL разрешается использовать подстановочные знаки и
переменные перенаправления. Дополнительные сведения см. в разделе
Справочник по перенаправлению.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Перенаправление запросов в
программу
Существует более сложный способ перенаправления. Имеется
возможность перенаправления в программу всех запросов на файлы в
конкретном каталоге. Обычно при этом требуется передать в программу
все параметры из исходного адреса URL, что выполняется с помощью
переменных перенаправления.
Чтобы перенаправить запросы в программу
1. В оснастке IIS выберите веб-узел или каталог и откройте его окно
свойств.
2. Выберите вкладку Домашний каталог, Виртуальный каталог
или Каталог.
3. Выберите параметр постоянный адрес URL.
4. В поле Адрес введите адрес URL программы, включающий все
переменные перенаправления, необходимые для передачи
параметров в программу.
Например, чтобы перенаправить все запросы на сценарии в
каталоге Scripts в программу Logger, которая записывает
запрошенный адрес URL и все передаваемые вместе с адресом
параметры, введите /Scripts/Logger.exe?URL=$V+PARAMS=$P.
$V и $P являются переменными перенаправления.
5. Установите флажок на введенный выше адрес URL, чтобы
исключить добавление веб-сервером исходного имени файла к
адресу назначения URL.
Дополнительные сведения о переменных перенаправления см. в разделе
Справочник по перенаправлению.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Отслеживание срока действия
содержимого
Если на вашем веб-узле хранятся данные, которые через определенное
время станут недействительными, можно с помощью имеющихся свойств
запретить публикацию устаревшей информации. Содержимое веб-узла
можно автоматически сделать недействительным по достижении любого
момента времени, пользуясь вкладкой Заголовки HTTP. Когда
отслеживание срока действия содержимого включено, веб-обозреватель
сравнивает текущую дату с датой окончания, чтобы определить,
отображать ли кэшированную копию содержимого или запросить
обновленную страницу с сервера.
Чтобы включить истечение срока действия веб-содержимого
1. В оснастке IIS выделите веб-узел, виртуальный каталог, каталог
или файл, для которого нужно настроить истечение срока
действия.
2. Щелкните правой кнопкой веб-узел, виртуальный каталог, каталог
или файл и выберите команду Свойства.
3. Откройте вкладку Заголовки HTTP.
4. Установите флажок Включить срок действия содержимого.
5. Выберите переключатель немедленно, через или на и, при
необходимости, введите в поле соответствующие данные.
Примечание. Обычно информация с истекающим сроком действия
содержится в отдельных файлах, каталогах или веб-узлах; тем не менее
существует возможность настроить срок действия для всех размещенных
на компьютере веб-узлов через основные свойства веб. Дополнительные
сведения см. в разделе Изменение наследуемых свойств.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Использование средств оценки
содержимого
Задание на веб-сервере конфигурации средств оценки содержимого
позволяет вставлять описательные метки в заголовки HTTP Web-страниц.
Некоторые средства просмотра Интернета, такие как Microsoft Internet
Explorer версии 3.0 или более поздней, позволяют обнаруживать такие
метки, помогающие пользователям определять потенциально
нежелательное содержимое Интернета. Стандартная платформа оценки
содержимого Web-сервера Platform for Internet Content Selection (PICS)
использует систему, разработанную советом по программам для
развлечений и отдыха (RSAC), в которой содержимое оценивается по
уровням насилия, наготы, секса и пристойности языка. Перед
настройкой средств оценки содержимого Интернета следует заполнить
опросный лист RSAC, чтобы получить рекомендуемые оценки
содержимого.
Чтобы оценивать содержимое
1. В оснастке IIS выберите веб-узел, каталог или файл и откройте его
окно свойств.
2. Выберите вкладку Заголовки HTTP и в группе Оценка
содержимого нажмите кнопку Изменить.
3. На вкладке Службы оценок в группе Регистрация в совете
RSAC нажмите кнопку Опрос. Выполняйте инструкции RSAC.
4. Нажмите кнопку OK.
Чтобы задать оценку содержимого
1. В оснастке IIS выберите веб-узел, каталог или файл и откройте его
окно свойств.
2. Выберите вкладку Заголовки HTTP и в группе Оценка
содержимого нажмите кнопку Изменить.
3. На вкладке Оценки установите флажок Включить оценки для
данного ресурса.
4. В списке Категория выберите категорию оценки. С помощью
ползунка установите уровень потенциально нежелательных
материалов для выбранной категории. Для каждого положения
регулятора выводится описание уровня оценки.
5. В поле Введите адрес электронной почты лица,
оценивающего содержимое введите адрес электронной почты
лица, оценивающего содержимое, а затем раскройте список Срок
действия: и выберите в календаре дату истечения срока действия
оценок.
6. Нажмите кнопку OK.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Добавление примечаний на вебстраницы
Имеется возможность настроить веб-сервер на автоматическую вставку
файла в формате HTML в нижнюю часть каждой веб-страницы,
отправляемой веб-сервером (добавление примечаний на страницы ASP
не поддерживается). Например, такой файл может содержать инструкции
форматирования HTML для добавления простого текстового сообщения и
логотипа на веб-страницы. Дополнительные сведения см. в разделе
Управление веб-узлом и Включения на стороне сервера.
Примечание. Использование примечаний документов может привести
к снижению быстродействия веб-сервера, в особенности, в случае, когда
с веб-странице выполняется много обращений.
Чтобы добавить примечание для каждой веб-страницы
1. Создайте файл HTML примечания и сохраните его на жестком диске
веб-сервера.
Примечание. Файл примечания не должен быть полным
документом HTML. Он должен содержать только теги HTML,
необходимые для форматирования содержимого примечания.
Например, файл примечания, добавляющий название организации
на каждую веб-страницу, должен содержать текст и теги HTML,
задающие шрифт и цвет текста.
2. В оснастке IIS выберите веб-узел, каталог или файл и откройте его
окно свойств.
3. Выберите вкладку Документы и установите флажок Включить
примечание документа.
4. Введите в поле полный локальный путь к файлу примечания или
найдите файл с помощью кнопки Обзор.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Включения на стороне сервера
Директивы включений на стороне сервера (SSI) дают веб-серверу
команду вставить содержимое другого файла в веб-страницу. Включение
файлов позволяет сохранять в одном файле информацию, используемую
на многих веб-страницах. Например, можно с помощью директив SSI
включить во все расположенные на веб-узле документы сообщение об
авторских правах.
В этом разделе рассматриваются следующие вопросы.




О включениях на стороне сервера. Описание директив
включений на стороне сервера.
Разрешение включений на стороне сервера. Сведения о том,
как включить обработку директив SSI.
Использование директив включений на стороне сервера.
Сведения о встраивании директив SSI в HTML-страницы.
Справочник по включениям на стороне сервера Справка по
использованию директив SSI.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
О включениях на стороне
сервера
Директивы включений на стороне сервера (SSI) служат для включения
текста, графики или содержимого приложений в веб-страницу
непосредственно перед отправкой обозревателю. SSI может
использоваться, например, для включения штампа времени/даты,
сообщения об авторских правах или формы, которую пользователь
должен заполнить и отправить назад. Включение файла — это простой
способ встраивания текста или графики, повторяющихся несколько раз в
разных файлах. Вместо того чтобы вводить содержимое в каждый файл,
содержимое сохраняется в файле вставки. Файлы вставки вызываются с
помощью простой инструкции, которая указывает веб-серверу, что
следует вставить содержимое в подходящие веб-страницы. Более того,
при использовании файлов вставки достаточно изменить содержимое
один раз.
Так как файл, содержащий директивы SSI, требует специальной
обработки, файлы SSI обязательно должны иметь особое расширение.
По умолчанию такими расширениями являются .stm, .shtm и.shtml. К
этому списку можно добавить и другие расширения; см. Сопоставление
приложений.
Веб-сервер обрабатывает директивы SSI во время обработки вебстраницы. Когда веб-серверу встречается директива SSI, он вставляет
содержимое файла вставки непосредственно в HTML-страницу. Если
файл вставки в свою очередь сам содержит директиву SSI, то указанный
в ней файл также будет вставлен. Кроме основной директивы, служащей
для включения файла, можно использовать другие директивы SSI для
вставки сведений о файле (например о его размере) или для запуска
приложения или команды оболочки.
Дополнительные сведения см. в разделе Справочник по включениям на
стороне сервера.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Разрешение включений на
стороне сервера
Веб-сервер должен знать, что файл содержит команды включений на
стороне сервера, до того, как приступать к его обработке. По умолчанию
веб-сервер ищет директивы включений в файлах с расширением .stm,
.shtm или .shtml. Можно запретить обработку директив включений на
стороне сервера для всего веб-сервера или для отдельного веб-узла,
приложения или каталога.
Чтобы разрешить включения на стороне сервера
1. Дайте файлам, содержащим директивы SSI, соответствующие
расширения (.stm, .shtm или .shtml).
Сведения о добавлении в этот список других расширений см. в
разделе Сопоставление приложений.
2. Поместите файлы SSI в каталог с разрешениями «Сценарии» или
«Выполнение». Дополнительные сведения см. в разделе Задание
разрешений NTFS на доступ к каталогу или файлу.
Чтобы запретить включения на стороне сервера
Теперь при получении запроса на страницы, имеющие это расширение
имени файла SSI, веб-сервер больше не будет обрабатывать
содержащиеся в них директивы включений на стороне сервера.
1. В оснастке IIS выделите веб-узел или каталог, откройте окно его
свойств и выберите вкладку Домашний каталог или Каталог.
Чтобы отключить SSI для приложения, выберите исходную папку
приложения.
2. Нажмите кнопку Настройка.
3. На вкладке Сопоставления выберите расширение и нажмите
кнопку Удалить.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Использование директив
включений на стороне сервера
Директивы включений на стороне сервера (SSI) дают команды вебсерверу включить текст, графику или содержимого приложения в вебстраницу непосредственно перед отправкой ее в обозреватель клиента.
SSI предоставляют специальные директивы препроцессора,
позволяющие получить сведения о файле или вывести значение
переменной CGI. SSI также предлагают директивы для вставки в вебстраницу информации, выводимой приложением или командой оболочки.
Важно! Директива #include обрабатывается во время компиляции, а не
во время выполнения. Поэтому нельзя использовать эту директиву в
процедурах клиентской стороны.
Включение файлов
Чтобы включить файл, воспользуйтесь директивой #include. Например,
чтобы вставить в веб-страницу файл с именем Copyright.inc в тот момент,
когда она будет запрошена, используйте следующую директиву:
<!-- #include file="copyright.inc" -->
В этом примере файл Copyright.inc должен находиться в том же каталоге,
что и файл вставки. Файл, содержащий директиву #include, должен
быть опубликован на веб-узле. Включаемые файлы могут иметь любое
расширение, но удобно давать им расширение, отличающее их от других
файлов.
Чтобы указать местоположение включаемого файла с помощью пути
относительно текущего каталога, используйте аргумент file. Например,
если вызывающий файл находится в каталоге Documents, а включаемый
файл в подкаталоге Documents\Common, то директива будет выглядеть
так:
<!-- #include file="Common\Copyright.inc" -->
При работе с документами на веб-узле может возникнуть необходимость
в сохранении совместно используемых файлов в специальном
виртуальном каталоге. Чтобы указать местоположение включаемого
файла с помощью полного виртуального пути, используйте аргумент
virtual. Например, для включения файла из виртуального каталога
/Common служит следующая директива:
<!-- #include virtual="/Common/Copyright.inc" -->
Включение информации, выводимой
приложениями
Кроме включения содержимого файла, с помощью директив SSI можно
запустить приложение или команду оболочки и включить выводимую
ими информацию в веб-страницу. Для запуска приложения или команды
оболочки служит директива #exec. Приложение может быть программой
CGI, приложением ASP или ISAPI-расширением. Например:
<!-- #exec cgi=/scripts/guestbook.exe?FirstName+LastName>
Путь к приложению должен быть полным виртуальным путем или URLадресом. Чтобы передать приложению параметры, поставьте после
имени файла приложения знак вопроса (?) и перечислите параметры,
разделяя их знаком плюс (+).
Важно!. Разрешая обычным файлам Интернета запускать приложения,
вы подвергаете систему риску нарушения безопасности. Вы можете
отключить директиву #exec, не запрещая веб-страницам использовать
другие директивы SSI.
Дополнительные сведения см. в разделе Справочник по включениям на
стороне сервера.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Справочник по включениям на
стороне сервера
Директивы включений на стороне сервера (SSI) можно использовать для
выполнения определенных задач в статических веб-страницах. В целом,
статические веб-страницы выполняются несколько быстрее, чем ASPстраницы. Директивы SSI позволяю включать в веб-страницу
содержимое файла, добавлять информацию о файле, включать
серверные переменные, а также включать результаты исполняемых
файлов, таких как файлы CGI и приложения ISAPI.
Кроме включения исполняемых файлов, все эти задачи могут
выполняться с помощью сценариев ASP. Если требуется использовать
сценарий ASP для выполнения других задач на веб-странице, то и для
этих задач придется использовать средства ASP. За исключением
директивы #include, не допускается совместное использование директив
SSI и сценариев ASP.
Примечание. Функции обработки даты и времени не стороне сервера
используют региональные настройки, заданные в библиотеке Си, а не
настройки операционной системы. В библиотеке Си обычно используется
английская настройка.
В разделе обсуждаются следующие директивы.


#config. Задает строку, используемую для сообщений об
ошибках SSI, и формат, используемый для дат и размеров файлов,
возвращаемых директивами #flastmod, #fsize.
#echo. Вставляет значение переменной сервера в HTMLстраницу.




#exec. Запускает приложение или команду оболочки и вставляет
выводимую ими информацию в HTML-страницу.
#flastmod. Вставляет дату изменения в веб-страницу,
отформатированную с помощью директивы #config.
#fsize. Вставляет размер файла в веб-страницу,
отформатированную с помощью директивы #config.
#include. Включает файл в веб-страницу. Эта директива
является единственной, которая может использоваться в файлах
ASP и файлах STM.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
#config
Директива #config задает строку, используемую для сообщений об
ошибках SSI, и формат, используемый для дат и размеров файлов,
возвращаемых директивами #flastmod, #fsize. Директивы нужно
заключать в теги комментариев HTML.
Эту директиву можно по умолчанию использовать только STM-страницах,
но не в ASP-страницах. Для выполнения этих задач с помощью сценария
ASP следует использовать объект FileSystemObject,
документированный на узле MSDN в разделе VBScript или JScript.
Синтаксис
<!-- #config Вывод = Строка -->
Параметры
Вывод
Указывает тип выводимой информации. Возможны следующие типы
вывода:
Вывод
Описание
ERRMSG
Переопределяет сообщение, возвращаемое клиентскому обозревателю в
случае возникновения ошибки при обработке директивы SSI. По
умолчанию это сообщение содержит информацию для отладки, точно
описывающую возникшую ошибку. Чтобы не выводить подробные
сведения об ошибке, укажите простое, короткое сообщение, например
«Ошибка SSI». В параметре Строка указывается новое сообщение об
ошибке.
TIMEFMT
Задает формат дат, возвращаемых клиентскому обозревателю с
помощью директивы #flastmod. В параметре «Строка» указывается
формат. Используя в параметре «Строка» символы форматирования,
можно выделять отдельные компоненты даты, например день недели
или месяц. (Здесь используются те же символы форматирования, что и
в функции strftime языка Си (стандарта ANSI)).
Примечание. Функции обработки даты и времени ниже
используют региональные настройки, заданные в
библиотеке Си, а не настройки операционной системы. В
библиотеке Си обычно используется английская
настройка.
%a
Сокращенное название дня недели (например, Пн).
%A
Полное название дня недели (например, Понедельник).
%b
Сокращенное название месяца (например, Фев).
%B
Полное название месяца (например, Февраль).
%c
Представление даты и времени в формате используемого варианта
национальных настроек (например, 05.06.01 12:51:32).
%d
День месяца в виде десятичного числа (01–31).
%H
Часы в 24-часовом формате (00-23).
%I
Часы в 12-часовом формате (01-12).
%j
День года в виде десятичного числа (001-366).
%m
Месяц в виде десятичного числа (01–12).
%M
Минуты в виде десятичного числа (00-59).
%p
Индикатор первой и второй половины суток для 12-часового формата,
используемый в текущем варианте национальных настроек Си
(например, PM).
%S
Секунды в виде десятичного числа (00-59).
%U
Неделя года в виде десятичного числа (00–51); первым днем недели
является воскресенье.
%w
День недели в виде десятичного числа (0-6); первым днем недели
является воскресенье.
%W
Неделя года в виде десятичного числа (00–51); первым днем недели
является понедельник.
%x
Представление даты в формате используемого варианта национальных
настроек (например, 05.06.01).
%X
Представление времени в формате используемого варианта
национальных настроек Си (например, 12:51:32).
%y
Год без указания века в виде десятичного числа (например, 01).
%Y
Год с указанием века в виде десятичного числа (например, 2001).
%z, %Z
Название или аббревиатура часового пояса; если часовой пояс
неизвестен, то ни один символ не выводится.
%%
Знак процента.
SIZEFMT
Настройка результатов директивы #fsize для отображения размера файл
в килобайтах или байтах. Параметр «Строка» может принимать два
значения: "ABBREV" задает отображение размера в килобайтах, а
"BYTES" отображает размер в байтах.
Важно!. Файл, содержащий эту директиву, должен иметь расширение,
распознаваемое интерпретатором SSI; в противном случае веб-сервер не
будет обрабатывать директиву. По умолчанию интерпретатор SSI
(Ssinc.dll) обрабатывает файлы с расширениями имени .stm, .shtm и
.shtml.
STM-страница, использующая директиву #echo, должна выполняться
самостоятельно или путем вызова из ASP-страницы с помощью
инструкции Response.Redirect. Вызов STM-страницы из ASP-страницы с
помощью инструкции Server.Transfer, Server.Execute или #include
работать не будет, поскольку при этом STM-страница должна
обрабатываться библиотекой asp.dll, а не библиотекой ssinc.dll.
Если установлена оснастка IIS, можно изменить сопоставление
расширений имен и добавить новые сопоставления; см. Сопоставление
приложений. Поскольку невозможно сопоставить одно расширение
имени файла нескольким исполняемым файлам, эту директиву нельзя
использовать в ASP-файлах. ASP-файлы уже сопоставлены библиотеке
asp.dll и должны оставаться такими.
Пример
--- SSI.stm --<!-- #config ERRMSG = "Ошибка при обработке директивы." -->
SSI.stm последний раз отформатирован
<!-- #config TIMEFMT = "%A, %d из %B, %Y, в %H:%M" -->
<!-- #flastmod FILE = "ssi.stm" -->
<BR>
Размер SSI.stm в байтах
<!-- #config SIZEFMT = "BYTES" -->
<!-- #flastmod FILE = "ssi.stm" -->
<BR><BR>
Эта строка печатает заданное выше сообщение ERRMSG<BR>
<!-- #config SIZEFMT = "BYTE" -->
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
#echo
Директива #echo дает веб-серверу команду отобразить значение
переменной сервера. Директивы нужно заключать в теги комментариев
HTML.
Эту директиву можно по умолчанию использовать только STM-страницах,
но не в ASP-страницах. Для ASP-страниц доступ к переменным сервера
можно получить с помощью семейства Request.ServerVariables.
Синтаксис
<!-- #echo var = ИмяПеременной -->
Параметры
ИмяПеременной
Задает имя переменной, значение которой нужно вставить в страницу.
Можно использовать следующие переменные:
Переменная
Описание
ALL_HTTP
Все заголовки HTTP, которые еще не были переданы в
одну из остальных описанных здесь переменных. Эти
переменные имеют вид HTTP_имя поля заголовка.
Заголовки состоят из строки, заканчивающейся пустым
символом, в которой отдельные заголовки разделены
символами возврата каретки и перевода строки.
AUTH_TYPE
Эта переменная содержит тип используемой проверки
подлинности. Например, если используется обычная
проверка подлинности, значением этой переменной
будет строка "Basic", а при использовании встроенной
проверки подлинности Windows — строка "integrated
Windows authentication". Другим методам проверки
подлинности соответствуют другие строки. Так как на
веб-сервер можно добавить новые методы проверки
подлинности, здесь нельзя перечислить все возможные
строки. Если строка пуста, то проверка подлинности не
используется.
AUTH_PASSWORD
Значение, введенное в диалоговое окно проверки
подлинности клиента. Эта переменная доступна только
при использовании обычной проверки подлинности.
AUTH_USER
Значение, введенное в диалоговое окно проверки
подлинности клиента.
CONTENT_LENGTH
Объем информации в байтах, которую сценарий может
рассчитывать получить от клиента.
CONTENT_TYPE
Тип содержимого, передаваемого в теле запроса POST.
DOCUMENT_NAME
Имя текущего файла.
DOCUMENT_URI
Виртуальный путь к текущему документу.
DATE_GMT
Текущая дата по Гринвичу (GMT).
DATE_LOCAL
Текущая дата в местном часовом поясе.
GATEWAY_INTERFACE
Номер версии спецификации CGI, используемой вебсервером. Этот номер возвращается в формате
CGI/версия.
HTTP_ACCEPT
Специальный заголовок HTTP. Значения полей «accept»
помещаются в одну строку и разделяются запятыми (,).
Например, если в заголовок HTTP входят следующие
строки:
accept: */*; q=0.1
accept: text/html
accept: image/jpeg
то переменная HTTP_ACCEPT будет иметь значение:
*/*; q=0.1, text/html, image/jpeg
LAST_MODIFIED
Дата последнего изменения текущего документа.
PATH_INFO
Дополнительная информация о пути, заданная
клиентом. Эта строка состоит из завершающей части
URL, начинающейся после имени сценария и
заканчивающейся перед строкой запроса.
PATH_TRANSLATED
Это значение переменной PATH_INFO, в котором
виртуальный путь преобразован в физический.
QUERY_STRING
Информация, следующая за знаком вопроса (?) в URLадресе, вызывающем этот сценарий.
QUERY_STRING_UNESCAPED Версия строки запроса без управляющих символов; то
есть версия без URL-кодировки.
REMOTE_ADDR
IP-адрес клиента или клиентского агента, например
шлюза или брандмауэра, отправившего запрос.
REMOTE_HOST
Имя узла клиента или клиентского агента, например
шлюза или брандмауэра, отправившего запрос. IIS 2.0 и
3.0 возвращают для этой переменной IP-адрес.
REMOTE_USER
Содержит имя пользователя для клиента, если клиент
прошел проверку подлинности на сервере.
Возвращается как пустая строка, если в приложении
включен анонимный доступ.
REQUEST_METHOD
Метод запроса HTTP.
SCRIPT_NAME
Имя выполняемой программы сценария.
SERVER_NAME
Имя узла сервера (или IP-адрес), в том виде, в котором
оно присутствовало бы в URL-адресе.
SERVER_PORT
Порт TCP/IP, на который получен запрос.
SERVER_PORT_SECURE
Строка, содержащая 0 или 1. Если запрос
обрабатывается на защищенном порте, значением
строки будет 1, в противном случае — 0.
SERVER_PROTOCOL
Название и версия протокола получения информации,
используемого для данного запроса. Обычно это
HTTP/1.0. Данные о протоколе возвращаются в формате
название/версия.
SERVER_SOFTWARE
Название и версия веб-сервера, отвечающего на запрос.
Данные о сервере возвращаются в формате
название/версия.
URL
Основная часть URL-адреса. В нее не включаются
значения параметров. Значение этой переменной
определяется, когда веб-сервер обрабатывает
переданный в заголовке URL-адрес.
Важно!. Файл, содержащий эту директиву, должен иметь расширение,
распознаваемое интерпретатором SSI; в противном случае веб-сервер не
будет обрабатывать директиву. По умолчанию интерпретатор SSI
(Ssinc.dll) обрабатывает файлы с расширениями имени .stm, .shtm и
.shtml.
STM-страница, использующая директиву #echo, должна выполняться
самостоятельно или путем вызова из ASP-страницы с помощью
инструкции Response.Redirect. Вызов STM-страницы из ASP-страницы с
помощью инструкции Server.Transfer, Server.Execute или #include
работать не будет, поскольку при этом STM-страница должна
обрабатываться библиотекой asp.dll, а не библиотекой ssinc.dll.
Если установлена оснастка IIS, можно изменить сопоставление
расширений имен и добавить новые сопоставления; см. Сопоставление
приложений. Поскольку невозможно сопоставить одно расширение
имени файла нескольким исполняемым файлам, эту директиву нельзя
использовать в ASP-файлах. ASP-файлы уже сопоставлены библиотеке
asp.dll и должны оставаться такими.
Пример
В этом примере директива #echo используется для вставки адреса URL в
значение ACTION инструкции FORM.
--- Echo.asp --<FORM NAME="RunEcho" METHOD="POST" ACTION="Echo.asp">
<INPUT TYPE="SUBMIT" VALUE="Запуск директивы #echo" NAME="RunEcho">
</FORM>
<%
If Len(Request.Form("RunEcho")) Then
Response.Redirect("Echo.stm?Echo.asp")
End If
%>
--- Echo.stm --<H3>Inside Echo.stm</H3>
AUTH_TYPE is <!-- #echo var="AUTH_TYPE"--><BR>
<FORM NAME="Return" METHOD="POST" ACTION="<!-- #echo var="QUERY_STRING"-->">
<INPUT TYPE="SUBMIT" VALUE="Возврат на предыдущую страницу" NAME="Return">
</FORM>
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
#exec
Директива #exec выполняет указанное приложение или команду
оболочки и отправляет ее результаты (стандартный вывод или данные
ISAPI WriteClient) в обозреватель клиента. Директивы нужно заключать
в теги комментариев HTML.
Эту директиву можно использовать только на STM-страницах, но не на
ASP-страницах. Нет соответствующего метода в сценариях ASP для
включения выводящихся результатов нескольких сценариев CGI или
приложений ISAPI в веб-страницу.
Синтаксис
<!-- #exec ТипКоманды = ОписаниеКоманды -->
Параметры
ТипКоманды
Задает тип команды. Тип команды может быть одним из описанных
ниже:
Тип
команд
ы
Описание
CGI
Запуск приложения, например сценария CGI, приложения ASP или ISAPIприложения. Параметр ОписаниеКоманды — это строка, содержащая полный
виртуальный путь приложения, за которым следуют знак вопроса (?) и все
передаваемые приложению параметры. Параметры разделяются знаком
«плюс» (+). Так как запуск ISAPI-приложения является только частью
обработки документа SSI, то ISAPI-приложение ограничивается следующим
образом:
Любое расширение ISAPI, пытающееся отправить URL-адрес или выполнить
ответный вызов с помощью ServerSupportFunction, вызовет помещение
сообщения в HTML-поток, но отправка или перенаправление выполнены не
будут.
Интерпретатор SSI (Ssinc.dll) будет неограниченное время ожидать
приложения, возвращая состояние HSE_STATUS_PENDING, пока для
завершения сеанса не будет вызвана функция ServerSupportFunction.
Функция ServerSupportFunction документирована в библиотеке MSDN в
справочнике по ISAPI.
CMD
Запуск команды оболочки. Параметр ОписаниеКоманды — это строка,
содержащая полный физический путь программы оболочки, за которым
следуют параметры командной строки, разделенные пробелами. Если полный
путь не задан, веб-сервер выполняет поиск по системному пути.
Эта директива по умолчанию отключена, так как она представляет угрозу
безопасности веб-узла. Чтобы ее включить, добавьте в реестр параметр типа
DWORD с именем SSIEnableCmdDirective в раздел
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Paramete
rs и задайте для него значение 1. Отключайте анонимный доступ для любой
веб-папки, содержащей файлы STM, которые используют директиву #exec.
Общие сведение о работе с реестром см. раздел «Реестр».
Важно!. Файл, содержащий эту директиву, должен иметь расширение,
распознаваемое интерпретатором SSI; в противном случае веб-сервер не
будет обрабатывать директиву. По умолчанию интерпретатор SSI
(Ssinc.dll) обрабатывает файлы с расширениями имени .stm, .shtm и
.shtml.
STM-страница, использующая директиву #echo, должна выполняться
самостоятельно или путем вызова из ASP-страницы с помощью
инструкции Response.Redirect. Вызов STM-страницы из ASP-страницы с
помощью инструкции Server.Transfer, Server.Execute или #include
работать не будет, поскольку при этом STM-страница должна
обрабатываться библиотекой asp.dll, а не библиотекой ssinc.dll.
Если установлена оснастка IIS, можно изменить сопоставление
расширений имен и добавить новые сопоставления; см. Сопоставление
приложений. Поскольку невозможно сопоставить одно расширение
имени файла нескольким исполняемым файлам, эту директиву нельзя
использовать в ASP-файлах. ASP-файлы уже сопоставлены библиотеке
asp.dll и должны оставаться такими.
Пример
В этом примере для выполнения ASP-страницы используется тип команд
CGI, поэтому нет необходимости добавлять параметры в реестр. Более
эффективным было бы использование инструкций Server.Execute,
Server.Transfer или #include для запуска файла Test.asp из Exec.asp, но
здесь демонстрируется директива #exec в STM-файде.
--- Exec.asp --<FORM NAME="RunEcho" METHOD="POST" ACTION="Echo.asp">
<INPUT TYPE="SUBMIT" VALUE="Запуск директивы #exec" NAME="RunExec">
</FORM>
<%
If Len(Request.Form("RunExec")) Then
Response.Redirect("Exec.stm")
End If
%>
--- Exec.stm --<H3>Inside Echo.stm</H3>
<!-- #exec CGI="/testfolder/test.asp?test=Привет" -->
<FORM NAME="Return" METHOD="POST" ACTION="Exec.asp">
<INPUT TYPE="SUBMIT" VALUE="Возврат на предыдущую страницу" NAME="Return">
</FORM>
--- Test.asp --<%
Response.Write "<BR>Inside Test.asp.<BR>"
Response.Write "Test = " & Request.QueryString("Test") & ".<BR>"
%>
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
#flastmod
Директива #flastmod дает веб-серверу команду вставить время
последнего изменения файла. Директивы нужно заключать в теги
комментариев HTML.
Эту директиву можно по умолчанию использовать только STM-страницах,
но не в ASP-страницах. Для выполнения этой задачи с помощью
сценария ASP следует использовать объект FileSystemObject,
документированный в библиотеке MSDN в разделе VBScript или JScript.
Синтаксис
<!-- #flastmod ТипПути = ИмяФайла -->
Параметры
ТипПути
Задает тип пути к ИмяФайла. Тип пути может быть одним из описанных
ниже:
Тип пути
Описание
File
Параметр «ИмяФайла» содержит относительный путь к файлу от
каталога, в котором хранится документ с директивой #flastmod.
Virtual
Параметр «ИмяФайла» содержит полный путь к файлу относительно
виртуального каталога вашего веб-узла.
ИмяФайла
Задает имя файла, время последнего изменения которого нужно вывести
на странице. Значение параметра ИмяФайла должно содержать
расширение имени файла и целиком быть заключено в кавычки (").
Важно!. Файл, содержащий эту директиву, должен иметь расширение,
распознаваемое интерпретатором SSI; в противном случае веб-сервер не
будет обрабатывать директиву. По умолчанию интерпретатор SSI
(Ssinc.dll) обрабатывает файлы с расширениями имени .stm, .shtm и
.shtml.
STM-страница, использующая директиву #echo, должна выполняться
самостоятельно или путем вызова из ASP-страницы с помощью
инструкции Response.Redirect. Вызов STM-страницы из ASP-страницы с
помощью инструкции Server.Transfer, Server.Execute или #include
работать не будет, поскольку при этом STM-страница должна
обрабатываться библиотекой asp.dll, а не библиотекой ssinc.dll.
Если установлена оснастка IIS, можно изменить сопоставление
расширений имен и добавить новые сопоставления; см. Сопоставление
приложений. Поскольку невозможно сопоставить одно расширение
имени файла нескольким исполняемым файлам, эту директиву нельзя
использовать в ASP-файлах. ASP-файлы уже сопоставлены библиотеке
asp.dll и должны оставаться такими.
Пример
--- SSI.stm --<!-- #config ERRMSG = "Ошибка при обработке директивы." -->
SSI.stm последний раз отформатирован
<!-- #config TIMEFMT = "%A, %d из %B, %Y, в %H:%M" -->
<!-- #flastmod FILE = "ssi.stm" -->
<BR>
Размер SSI.stm в байтах
<!-- #config SIZEFMT = "BYTES" -->
<!-- #flastmod FILE = "ssi.stm" -->
<BR><BR>
Эта строка печатает заданное выше сообщение ERRMSG<BR>
<!-- #config SIZEFMT = "BYTE" -->
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
#fsize
Директива #fsize дает веб-серверу команду вставить размер указанного
файла в веб-страницу. Директивы нужно заключать в теги комментариев
HTML.
Эту директиву можно по умолчанию использовать только STM-страницах,
но не в ASP-страницах. Для выполнения этой задачи с помощью
сценария ASP следует использовать объект FileSystemObject,
документированный в библиотеке MSDN в разделе VBScript или JScript.
Синтаксис
<!-- #fsize ТипПути = ИмяФайла -->
Параметры
ТипПути
Задает тип пути к ИмяФайла. Тип пути может быть одним из описанных
ниже:
Тип пути
Описание
File
Параметр «ИмяФайла» содержит относительный путь к файлу от
каталога, в котором хранится документ с директивой #fsize.
Virtual
Параметр «ИмяФайла» содержит полный путь к файлу относительно
виртуального каталога вашего веб-узла.
ИмяФайла
Задает имя файла, размер которого нужно вывести на странице.
Значение параметра ИмяФайла должно содержать расширение имени
файла и целиком быть заключено в кавычки (").
Важно!. Файл, содержащий эту директиву, должен иметь расширение,
распознаваемое интерпретатором SSI; в противном случае веб-сервер не
будет обрабатывать директиву. По умолчанию интерпретатор SSI
(Ssinc.dll) обрабатывает файлы с расширениями имени .stm, .shtm и
.shtml.
STM-страница, использующая директиву #echo, должна выполняться
самостоятельно или путем вызова из ASP-страницы с помощью
инструкции Response.Redirect. Вызов STM-страницы из ASP-страницы с
помощью инструкции Server.Transfer, Server.Execute или #include
работать не будет, поскольку при этом STM-страница должна
обрабатываться библиотекой asp.dll, а не библиотекой ssinc.dll.
Если установлена оснастка IIS, можно изменить сопоставление
расширений имен и добавить новые сопоставления; см. Сопоставление
приложений. Поскольку невозможно сопоставить одно расширение
имени файла нескольким исполняемым файлам, эту директиву нельзя
использовать в ASP-файлах. ASP-файлы уже сопоставлены библиотеке
asp.dll и должны оставаться такими.
Пример
--- SSI.stm --<!-- #config ERRMSG = "Ошибка при обработке директивы." -->
SSI.stm последний раз отформатирован
<!-- #config TIMEFMT = "%A, %d из %B, %Y, в %H:%M" -->
<!-- #flastmod FILE = "ssi.stm" -->
<BR>
Размер SSI.stm в байтах
<!-- #config SIZEFMT = "BYTES" -->
<!-- #flastmod FILE = "ssi.stm" -->
<BR><BR>
Эта строка печатает заданное выше сообщение ERRMSG<BR>
<!-- #config SIZEFMT = "BYTE" -->
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
#include
Директива #include дает веб-серверу команду вставить содержимое
файла в веб-страницу. Директивы нужно заключать в теги комментариев
HTML.
Эту директиву можно использовать в страницах ASP, STM, INC, а также в
любой странице, расширение имени которой сопоставлено
интерпретатору SSI (ssinc.dll) или интерпретатору ASP (asp.dll). Если на
компьютере установлен диспетчер служб Интернета, с его помощью
можно изменить список сопоставлений расширений; см. раздел
Сопоставление приложений.
Включаемые файлы могут иметь любое расширение, но рекомендуется
давать им расширение .inc. Включенные файлы не проходят через
интерпретатор вызывающей страницы. Например, если требуется
включить страницу, которая использует директиву #exec, необходимо
вызывать ее из STM-страницы. Если требуется включить страницу со
сценарием ASP, необходимо вызывать ее из ASP-страницы. Включенные
HTM-страницы будут работать, как ожидается.
Синтаксис
<!-- #include ТипПути = ИмяФайла -->
Параметры
ТипПути
Задает тип пути к ИмяФайла. Тип пути может быть одним из описанных
ниже:
Тип пути
Описание
File
Параметр ИмяФайла содержит относительный путь к файлу от
каталога, в котором хранится документ с директивой #include.
Включенный файл может находиться в том же каталоге или в
подкаталоге. Включенный файл может находиться в каталоге над
каталогом страницы с директивой #include, только если установлен
флажок «Включить пути к родительским каталогам» в окне свойств
веб-папки. Это не рекомендуется, так как может привести к нарушению
безопасности. Любой пользователь Интернета получит возможность
ввести ../.. как часть адреса URL вашего веб-узла и увидеть содержимое
родительских папок, которое может оказаться не предназначенным для
просмотра.
Virtual
Параметр «ИмяФайла» содержит полный путь к файлу относительно
виртуального каталога вашего веб-узла.
ИмяФайла
Задает имя включаемого файла. Значение параметра ИмяФайла должно
содержать расширение имени файла и целиком быть заключено в
кавычки (").
Важно!. Файл, содержащий эту директиву, должен иметь расширение,
распознаваемое интерпретатором SSI; в противном случае веб-сервер не
будет обрабатывать директиву. По умолчанию интерпретатор SSI
(Ssinc.dll) обрабатывает файлы с расширениями имени .stm, .shtm и
.shtml.
STM-страница, использующая директиву #echo, должна выполняться
самостоятельно или путем вызова из ASP-страницы с помощью
инструкции Response.Redirect. Вызов STM-страницы из ASP-страницы с
помощью инструкции Server.Transfer, Server.Execute или #include
работать не будет, поскольку при этом STM-страница должна
обрабатываться библиотекой asp.dll, а не библиотекой ssinc.dll.
Если установлена оснастка IIS, можно изменить сопоставление
расширений имен и добавить новые сопоставления; см. Сопоставление
приложений. Поскольку невозможно сопоставить одно расширение
имени файла нескольким исполняемым файлам, эту директиву нельзя
использовать в ASP-файлах. ASP-файлы уже сопоставлены библиотеке
asp.dll и должны оставаться такими.
Пример
--- IncExample.asp --<!-- Включаемый файл находится в том же каталоге, что и ncExample.asp. -->
<!-- #include file = "myfile.inc" -->
<!-- Включаемый файл находится в каталоге над ncExample.asp.
Для веб-папки должен быть установлен флажок «Включить пути к
родительским каталогам». -->
<!-- #include file = "..\myfile.htm" -->
<!-- Включаемый файл находится в виртуальном каталоге Scripts. -->
<!-- #include virtual = "/scripts/tools/global.inc" -->
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Администрирование сервера
Добро пожаловать в разделы по администрированию сервера. В данной
главе обсуждаются способы изменения стандартных настроек. Кроме
того, здесь обсуждается регистрация трафика узлов и отслеживание
производительности сервера.
Можно использовать значения параметров IIS, предлагаемые по
умолчанию, или настроить их с учетом ваших конкретных нужд.
Корректировка стандартных настроек иногда позволяет добавить новые
функциональные возможности, повысить производительность и усилить
систему безопасности.
В данном разделе описываются следующие вопросы.


Веб- и FTP-узлы. Основные сведения о веб- и FTP-узлах, в том
числе инструкции по выполнению основных операций, удаленному
администрированию и наименованию узлов.
Публикация WebDAV. Публикация содержимого веб-узлов с
использованием реализации WebDAV предложенного проекта HTTP
1.1.







Определение адресов. Настройка систем преобразования имен
в адреса WINS или DNS для отображения «дружественных» имен в
IP-адреса.
Настройка приложений. Управление областью памяти,
выделяемой приложениям, для обеспечения надежности и
оптимальной производительности.
Безопасность. Защита сервера, содержимого и приложений от
несанкционированного доступа.
Специальные сообщения об ошибках. Выдача пользователям
дружественных специальных сообщений об ошибках HTTP 1.1.
Ведение журналов узлов. Отслеживание трафика на узле и
чтение файлов журнала.
Настройка быстродействия. Отслеживание и улучшение
производительности сервера.
Сценарии администрирования. Использование сценариев
командной строки для администрирования сервера.
Данная глава не содержит сведений по следующим вопросам.


Виртуальные каталоги; см. Управление веб-узлом.
Использование сценариев; см. Активные серверные страницы.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Веб- и FTP-узлы
Вначале каждое доменное имя, такое как www.microsoft.com,
представляло отдельный компьютер. В настоящее время несколько вебили FTP-узлов могут одновременно выполняться на одном компьютере с
операционной системой Windows 2000 Server, производя впечатление
нескольких работающих компьютеров. Каждый веб-узел способен
поддерживать несколько доменных имен. Поскольку каждый узел
выглядит как отдельный компьютер, узлы иногда называют
виртуальными серверами.
В данном разделе описываются следующие вопросы.



О веб- и FTP-узлах. Общие сведения, описывающие веб- и FTPузлы и их свойства.
Запуск и остановка узлов. Описание действий по запуску и
остановке узлов с помощью оснастки IIS.
Настройка сообщений FTP и стиля вывода каталогов.
Создание специальных сообщений и формата списка каталога для
клиентов FTP.





Присваивание имен веб-узлам. Назначение веб-узлу
уникальной комбинации имени заголовка узла, IP-адреса и номера
порта.
Перезапуск IIS. Остановка и запуск служб Интернета с помощью
оснастки IIS.
Изменение наследуемых свойств. Изменение глобальных
параметров, задаваемых для узлов по умолчанию.
Архивирование метабазы. Архивирование параметров
конфигурации IIS.
Восстановление метабазы. Восстановление параметров
конфигурации IIS.
Данная глава не содержит сведений по следующим вопросам.



Сетевые системы имен; см. Определение адресов.
Усиление системы безопасности; см. Безопасность.
Добавление виртуальных каталогов; см. Создание виртуальных
каталогов.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
О веб- и FTP-узлах
Данный раздел содержит общие сведения о веб-узлах и FTP-узлах
(виртуальных серверах). В разделе содержатся сведения о свойствах
веб- и FTP-узлов, привилегиях администраторов и администрировании
узлов с удаленных компьютеров. В данном разделе описываются
следующие вопросы.




Веб- и FTP-узлы
Свойства и наследование свойств на узлах
Перезапуск FTP
Сопоставление MIME
Веб- и FTP-узлы
В Windows XP Professional можно использовать компьютер для
размещения одного веб-узла и одного FTP-узла. В приведенном ниже
примере администратор интрасети установил IIS на рабочую станцию
подразделения и создал два узла, один из которых является веб-узлом,
а второй FTP-узлом.
Примечание. Если необходимо разместить несколько веб- или FTPузлов на одном компьютере, необходимо установить одну из версий
Windows Server.
Свойства и наследование свойств на узлах
Свойства — это значения, которые могут быть установлены на веб-узле.
Например, можно использовать оснастку IIS для изменения порта TCP,
назначенного веб-узлу, используемому по умолчанию, со значения 80 на
другой номер порта. Свойства узла отображаются в окне свойств и
хранятся в базе данных, называемой метабазой.
Во время установки IIS различным свойствам присваиваются значения
по умолчанию, которые отображаются в окнах свойств. Можно
использовать значения параметров IIS, предлагаемые по умолчанию,
или настроить их с учетом ваших требований к веб-публикациям.
Корректировка стандартных настроек иногда позволяет добавить новые
функциональные возможности, повысить производительность и усилить
систему безопасности.
Свойства могут задаваться на уровне узла, на уровне каталога или на
уровне файла. Параметры, заданные на верхнем уровне, таком как
уровень узла, автоматически используются, т.е. наследуются, на нижних
уровнях, например, на уровне каталога. Кроме того, значения этих
параметров могут изменяться по отдельности на нижнем уровне. Если
изменить свойство для отдельного узла, каталога или файла, то
изменение настройки основных свойств не приведет автоматически к
переопределению значения свойства, заданного явно на нижнем уровне.
Вместо этого будет выведено сообщение с приглашением подтвердить,
следует ли изменить свойство отдельного узла, каталога или файла
соответственно новому значению основного свойства.
Значения некоторых свойств имеют вид списка. Например, значение
документа, используемое по умолчанию, может быть списком
документов, которые будут загружаться, если пользователь в адресе URL
не указал имя файла. Другими примерами свойств, сохраняемых в
формате списков, являются специальные сообщения об ошибках,
управление доступом TCP/IP, сопоставления сценариев и сопоставления
MIME. Хотя эти списки обычно содержат несколько элементов, IIS
рассматривает весь список как единое значение свойства. Если
пользователь изменяет список для каталога, а затем вносит глобальное
изменение в свойства на уровне узла, то список на уровне каталога
полностью заменяется на новый список с уровня узла; объединение
списков не производится. Кроме того, значения свойств, имеющих
формат списка, отображаются только на уровне основных свойств, а
также на уровне узла или каталога, на котором эти свойства были
изменены относительно значения по умолчанию. Списки не
отображаются, если они представляют унаследованные значения по
умолчанию.
Фильтры отображаются в формате списков, но не обрабатываются как
списки. Если добавить фильтры на уровне узла, то новые фильтры
добавляются к списку фильтров с уровня основных свойств. Если два
фильтра имеют одинаковый приоритет, то фильтр с уровня основных
свойств загружается раньше, чем фильтр с уровня узла.
На следующем рисунке изображено окно свойств, на котором задаются
свойства для всех веб-узлов.
В оснастке IIS можно нажать кнопку Справка в окне свойств для
получения сведений об установке отдельных свойств.
Перезапуск FTP
Перезапуск FTP связан к потерей сетевого соединения при загрузке
файлов. Клиенты, поддерживающие перезапуск FTP, должны только
переустановить FTP-соединение с помощью команды REST. Передача
файлов возобновится автоматически с того места, где она была
прервана.
Примечание. Применение перезапуска FTP в IIS 5.1 невозможно при
использовании FTP для загрузки запросов с подстановочными знаками
(MGET), выгрузке файлов на сервер (PUT) или загрузке файлов с
размерами более 4 Гбайт.
Сопоставление MIME
Multipurpose Internet Mail Extensions (MIME) представляет собой стандарт
Интернета, который обеспечивает способ просмотра файлов различных
форматов с помощью веб-обозревателей. Список зарегистрированных
типов файлов, которые устанавливаются по умолчанию в операционной
системе Windows XP, выводится в диалоговом окне Типы файлов в окне
свойств Internet Information Services.
Сопоставление MIME могут быть настроены на уровне компьютера, вебузла, виртуального каталога, каталога или файла. Чтобы настроить
сопоставления MIME на уровне компьютера, используйте окно свойств
Internet Information Services. Чтобы настроить сопоставления MIME на
других уровнях, используйте окно свойств Заголовки HTTP.
Примечание. Сопоставления MIME, настроенные на уровне
компьютера, автоматически перекрывают установки, сделанные на
более низких уровнях.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Запуск и остановка узлов
По умолчанию узлы запускаются автоматически при перезапуске
компьютера. Остановка узла подразумевает остановку служб Интернета
и выгрузку их из памяти компьютера. Приостановка узла не позволяет
службам Интернета принимать новые подключения, но не влияет на уже
обрабатываемые запросы. Запуск узла вызывает перезапуск или
возобновление работы служб Интернета.
Чтобы запустить, остановить или приостановить узел
1. В оснастке IIS выделите узел, который нужно запустить,
остановить или приостановить.
2. Нажмите кнопку Запустить, Остановить или Приостановить на
панели инструментов.
Примечание. При неожиданной остановке узла оснастка IIS может
неправильно показывать состояние сервера. Перед повторным запуском
нажмите кнопку Остановить, а затем кнопку Запустить.
См. также




Сведения о перезапуске всех служб Интернета см. в разделе
Перезапуск IIS.
Сведения о том, как быстро создать узел, использующий
стандартные настройки, см. в разделе Быстрая установка узла с
помощью IIS.
Сведения об изменении свойств существующих веб- или FTP-узлов
см. в разделе Изменение наследуемых свойств.
Сведения о выполнении общих задач с помощью сценариев
командной строки см. в разделе Сценарии администрирования.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Служба FTP
Служба FTP устанавливается по умолчанию при установке IIS 5.1. FTP
узел при установке службы FTP по умолчанию создается в каталоге
x:\Inetpub\Ftproot, где x: представляет диск, на котором установлен IIS.
Если IIS установлен, а служба FTP удалена, можно переустановить
службу FTP с помощью следующей процедуры.
Чтобы установить службу FTP
1. На панели управления дважды щелкните значок Установка и
удаление программ.
2. Нажмите кнопку Установка компонентов Windows.
3. В списке компонентов выберите Internet Information Services
(IIS) и нажмите кнопку Состав.
4. Установите флажок Служба FTP.
5. Нажмите кнопку OK (может быть выведено приглашение вставить
компакт-диск Windows XP CD или указать путь сетевой установки).
6. Нажмите кнопку Далее.
7. Нажмите кнопку Готово.
См. также



Сведения об установке IIS см. в разделе Установка IIS.
Сведения о том, как быстро создать узел, использующий
стандартные настройки, см. в разделе Изменение наследуемых
свойств.
Сведения о добавлении виртуальных каталогов см. в разделе
Создание виртуальных каталогов.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Настройка сообщений FTP и
стиля вывода каталогов
На FTP-узле можно настроить сообщения, предоставляющие
пользователям сведения о нем. Они могут иметь вид приветственного
сообщения, которое выдается при входе пользователя на FTP-узел, и
завершающего сообщения, которое пользователь получает, отключаясь
от узла. Можно также задать сообщение, которое будет информировать
пользователей о том, что к узлу уже подключено максимально
разрешенное количество пользователей (ограничения на число FTPподключений можно задать на вкладке FTP-узел).
Чтобы задать сообщение, выдаваемое при начале сеанса,
завершении сеанса или превышении максимального числа
подключений
1. В оснастке IIS выберите FTP-узел, для который задаются
сообщения.
2. Щелкните узел правой кнопкой мыши и выберите команду
Свойства.
3. Откройте вкладку Сообщения.
4. Введите нужные сообщения в поля «Приветствие», «Выход» и
«Предельное число подключений».
Можно также выбрать стиль вывода каталогов FTP-узла. Стиль вывода
каталогов определяет формат, который будет использоваться, когда FTPклиент выполнит команду LIST; списки каталогов могут выводиться либо
в стиле MS-DOS, либо в стиле UNIX. По умолчанию каталоги выводятся в
стиле MS-DOS.
В стиле MS-DOS списка каталогов значения года по умолчанию
выводятся в формате с двумя цифрами. Пользователь имеет возможность
изменить эту настройку и отображать год с четырьмя цифрами с
помощью свойства метабазы FtpDirBrowseShowLongDate.
В стиле UNIX списка каталогов значения года по умолчанию выводятся в
формате с четырьмя цифрами, если дата файла отличается от значения
года на FTP-сервере. Если год совпадает со значением года в дате на
FTP-сервере, то год не возвращается.
Чтобы настроить стиль вывода каталогов FTP-узла
1. В оснастке IIS выберите FTP-узел, для которого задается стиль
вывода каталогов.
2. Щелкните узел правой кнопкой и выберите команду Свойства.
3. Откройте вкладку Домашний каталог.
4. В группе Стиль вывода каталогов выберите UNIX или MS-DOS.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Присваивание имен веб-узлам
Каждый веб-узел (виртуальный сервер) имеет описательное имя и может
поддерживать одно или несколько имен заголовков узлов. Имена
заголовков узлов позволяют размещать на одном компьютере несколько
имен доменов. Не все обозреватели поддерживают использование имен
заголовков узлов. Обозреватели Microsoft Internet Explorer 3.0, Netscape
Navigator 2.0 и их более поздние версии поддерживают использование
имен заголовков узлов; в ранних версиях этих обозревателей такая
поддержка не предусмотрена.
При попытке подключения к узлу с помощью старого обозревателя,
который не поддерживает заголовки узлов, пользователь будет
направлен на веб-узел по умолчанию для данного IP-адреса (если
таковой имеется), который может быть не тем узлом, который
требовался. Кроме того, если от любого обозревателя поступает запрос к
узлу, который в данный момент остановлен, то вместо этого узла
пользователь подключается к веб-узлу по умолчанию. По этой причине
следует тщательно продумать, какую информацию будет содержать вебузел по умолчанию. Обычно поставщики услуг Интернета по умолчанию
выводят свои домашние страницы, а не веб-узлы своих клиентов. Это
исключает открытие неверного узла при запросах к остановленному
узлу. Кроме того, в узел, открываемый по умолчанию, можно включить
сценарий, обеспечивающий поддержку имен заголовков узлов для
старых веб-обозревателей.
Чтобы присвоить имя веб-узлу
1. В оснастке IIS выберите веб-узел и откройте его окно свойств.
2. На вкладке Веб-узел введите описательное имя узла в поле
Описание.
Чтобы присвоить имя заголовка узла
1. Попросите системного администратора добавить отображение
нового имени для вашего статического IP-адреса в вашу систему
разрешения имен (обычно DNS).
2. На вкладке Веб-узел нажмите кнопку Дополнительно.
3. На вкладке Дополнительная настройка веб-узлов нажмите
кнопку Добавить, чтобы назначить веб-узлу имя заголовка узла,
IP-адрес и порт.
Примечание. Заголовки улов не функционируют при
использовании защищенных подключений SSL (Secure Sockets
Layer), поскольку при этом заголовки узлов включаются в
зашифрованные запросы клиента. Однако с одним сервером может
использоваться несколько серверных сертификатов, несколько IPадресов и несколько портов SSL.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Перезапуск IIS
IIS позволяет остановить и перезапустить компьютер, когда приложения
выполняются неверно или становятся недоступными. Поскольку
несколько служб Интернета запускаются в одном процессе, а службы
Интернета останавливаются и перезапускаются отдельно от служб
Windows, для перезапуска служб Интернета следует использовать
оснастку IIS, а не оснастку «Службы» в окне «Управление
компьютером». Средство перезапуска обеспечивает перезапуск IIS,
когда приложения начинают работать неверно. Если перезапускать IIS
автоматически не требуется см. ниже раздел Чтобы отключить
перезапуск.
Чтобы перезапустить IIS
1. В оснастке IIS щелкните правой кнопкой значок Компьютер, для
которого требуется перезапустить IIS, и выберите команду Все
задачи.
2. Выберите команду Перезапуск IIS. Открывается диалоговое окно
«Остановка, запуск и перезагрузка».
3. В раскрывающемся списке выберите Перезапуск служб
Интернета.
Примечание. Доступны также параметры «Запуск служб
Интернета», «Остановка служб Интернета» и «Перезагрузка
компьютера». Чтобы остановить службы Интернета, следует
отключить перезапуск.
4. Нажмите кнопку OK. IIS выполнит перезапуск служб Интернета на
выбранном компьютере.
Средство перезапуска
Средство перезапуска автоматически перезапускает службы Интернета
при нештатном завершении процесса Inetinfo.exe, а также при остановке
служб Интернета с помощью диспетчера задач Windows или программы
Kill.exe. Средство перезапуска включено по умолчанию. Если требуется
ограничить автоматический перезапуск, средство перезапуска
необходимо отключить.
Чтобы отключить перезапуск
1. Щелкните правой кнопкой значок Мой компьютер и выберите
команду Управление. Открывается диалоговое окно «Управление
компьютером»..
2. В левой области окна разверните дерево Службы и приложения
и выберите Службы. В правой области окна отображаются все
службы Windows.
3. Щелкните правой кнопкой значок службы IIS Admin и выберите
команду Свойства. Открывается диалоговое окно «IIS Admin свойства».
4. Выберите вкладку Восстановление и выберите параметр Ничего
не делать в каждом раскрывающемся списке.
5. Нажмите кнопку OK.
Перезапуск IIS с командной строки
Можно также перезапустить IIS и отключить перезапуск, запустив с
командной строки программу Iisreset.exe. Ниже описано использование
параметров командной строки.
iisreset [ИмяКомпьютера]
/RESTART
Останавливает и перезапускает все службы Интернета.
/START
Запускает все службы Интернета.
/STOP
Останавливает все службы Интернета.
/REBOOT
Перезагружает компьютер.
/REBOOTONERROR
Перезагружает компьютер, если произошла ошибка при
запуске, остановке или перезапуске служб Интернета.
/NOFORCE
Принудительно не завершает службы Интернета при
неудачных попытках остановить их.
/TIMEOUT:значение
Указывает значение времени ожидания (в секундах) успешной
остановки служб Интернета. По истечении этого времени,
если указан параметр /REBOOTONERROR, компьютер может
быть перезагружен. Значения по умолчанию: 20 сек. для
перезапуска, 60 сек. для остановки и 0 сек. для перезагрузки.
/STATUS
Отображает состояние всех служб Интернета.
/ENABLE
Включает перезапуск служб Интернета на локальном
компьютере.
/DISABLE
Отключает перезапуск служб Интернета на локальном
компьютере.
См. также
Сведения о запуске и остановке отдельных веб- и FTP-узлов см. в
разделе Запуск и остановка узлов.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Изменение наследуемых свойств
Во время установки IIS различным свойствам присваиваются значения
по умолчанию, которые отображаются в окнах свойств. Свойства могут
задаваться на уровне узла, на уровне каталога или на уровне файла.
Параметры, заданные на верхнем уровне, таком как уровень узла,
автоматически используются, т.е. наследуются, на нижних уровнях,
например, на уровне каталога. Кроме того, значения этих параметров
могут изменяться по отдельности на нижнем уровне. Если изменить
свойство для отдельного узла, каталога или файла, то изменение
настройки основных свойств не приведет автоматически к
переопределению значения свойства, заданного явно на нижнем уровне.
Вместо этого будет выведено сообщение с приглашением подтвердить,
следует ли изменить свойство отдельного узла, каталога или файла
соответственно новому значению основного свойства.
Чтобы задать основные свойства для всех узлов на компьютере
1. В оснастке IIS выберите значок компьютер и откройте его окно
Свойства.
2. В поле со списком Основные свойства выберите Служба WWW
или Служба FTP.
3. Нажмите кнопку Изменить.
4. Для получения дополнительных сведений нажмите кнопку
Справка для соответствующей вкладки окна свойств.
Чтобы задать свойства для отдельного узла
1. В оснастке IIS щелкните правой кнопкой значок веб-узла и
выберите команду Свойства.
2. Для получения дополнительных сведений нажмите кнопку
Справка для соответствующей вкладки окна свойств.
См. также

Дополнительные сведения о наследовании основных свойств см. в
подразделе Свойства и наследование свойств на узлах раздела "О
веб- и FTP-узлах".
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Архивирование метабазы
IIS поддерживает три способа архивирования метабазы. Программа
«Архивирование и восстановление конфигурации» позволяет создавать
защищенные и незащищенные архивные копии метабазы. Новые
функциональные возможности программы «Архивирование и
восстановление конфигурации» в оснастке IIS позволяют
администраторам веб-узлов восстанавливать копии метабазы на другие
компьютеры. Эти способы создания резервной копии обеспечивают
восстановление только параметров метабазы. Файлы содержимого
восстановлены не будут. В предыдущих версиях IIS пользователь имел
возможность в программах создавать старые версии архивов метабазы;
однако восстанавливать старые версии архивов метабазы на другие
компьютеры невозможно.
Защищенный архив
Этот способ позволяет администратору веб-узла задать пароль, который
будет использоваться для шифрования архива метабазы. Сведения о
пароле сохраняются в заголовке архива метабазы, указывающем, что
для создания архива был использован пароль. После шифрования
пароля и его сохранения в архиве метабазы изменить пароль
невозможно. Восстановить архив метабазы смогут только
администраторы, знающие пароль. См. раздел Создание защищенного
архива (требуется пароль).
Незащищенный архив
Этот способ позволяет администратору веб-узла не задавать пароль.
Архив метабазы шифруется с пустым паролем и любой пользователь
может восстановить метабазу по архиву. См. раздел Создание
незащищенного архива (пароль не требуется).
Архив старой версии
Этот способ позволяет администратору веб-узла создавать архивы
метабазы в программах. Однако восстановление таких архивов должно
выполняться или в программах, или с помощью средства
«Архивирование и восстановление конфигурации» в оснастке IIS.
Важно! Использование архивов прошлых версий не рекомендуется и
не рассматривается далее. При программном создании архивов IIS
реализует старый метод, использовавшийся в версии IIS 5.0. Таким
образом, восстанавливать архивы старых версий можно только в той
операционной системе, в которой был создан архив.
Чтобы создать защищенный архив (требуется пароль)
1. В оснастке IIS щелкните правой кнопкой значок Компьютер под
элементом Internet Information Services.
2. Укажите на команду Все задачи и выберите Архивирование и
восстановление конфигурации.
3. Нажмите кнопку Создать архив.
4. Введите имя в поле Имя архива.
5. Установите флажок Зашифровать архив с помощью пароля и
введите пароль в поле Пароль.
6. Нажмите кнопку OK, а затем кнопку Закрыть. По умолчанию файл
архива будет сохранен в каталоге
\Winnt\system32\Inetsrv\MetaBack.
Чтобы создать незащищенный архив (пароль не
требуется)
1. В оснастке IIS щелкните правой кнопкой значок Компьютер под
элементом Internet Information Services.
2. Укажите на команду Все задачи и выберите Архивирование и
восстановление конфигурации.
3. Нажмите кнопку Создать архив.
4. Введите имя в поле Имя архива.
5. Нажмите кнопку OK, а затем кнопку Закрыть.
См. также


Сведения об именах разделов и путях метабазы, наследовании
свойств, безопасности и надежности см. в разделе Введение в
метабазу IIS.
Сведения о восстановлении метабазы см. в разделе
Восстановление метабазы.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Восстановление метабазы
IIS обеспечивает новые функциональные возможности архивирования и
восстановления конфигурации из оснастки IIS. Администраторы веб-узла
могут восстанавливать метабазу на других компьютерах по ее
защищенным или незащищенным архивам. Кроме того, можно также
восстанавливать метабазу старым способом.
Вопросы восстановления метабазы по архивам
Восстановление защищенного архива. Пароль сохраняется в
архиве метабазы и используется для шифрования ключа сеанса. Этот
пароль сменить невозможно; если пароль забыт, восстановить архив
метабазы будет невозможно.
Восстановление незащищенного архива. Архивы метабазы на
защищаются паролями. Любой пользователь сможет восстановить
незащищенный архив на любой компьютер.
Восстановление архива старой версии. В методологии старых
версий для шифрования архива использовался ключ компьютера
(уникальный для конкретной установки операционной системы) и
системный ключ (генерируемый IIS). Таки образом, архивы метабазы
старых версий можно восстанавливать только в той же установке
операционной системы, в которой они были созданы.
Файлы содержимого. Средство архивирования и восстановления
конфигурации не сохраняет файлы содержимого. При восстановлении
архива метабазы на другой сервер необходим скопировать на него
файлы содержимого. Кроме того, файлы содержимого должны
находиться на диске с той же буквой, как и на исходном сервере.
Сертификаты SSL. Если на веб-сервере используется сертификат SSL
(Secure Socket Layer) и выполняется восстановление архива метабазы на
другую установку операционной системы, возникает ошибка, если
сертификат недоступен или не установлен. Если сертификат SSL вебузла отсутствует, подключения теряются и IIS возвращает ошибку
«Страница недоступна». Сервер записывает в журнал событий
следующее предупреждение: для устранения неполадок следует
переустановить сертификат в то же хранилище сертификатов и
перезапустить IIS. Сбой при перезапуске IIS после переустановки
сертификата приведет к повторению записей об ошибках в журнале и к
потере подключений. Дополнительные сведения по установке
сертификатов SSL см. в разделе Установка SSL на сервере.
Чтобы восстановить архив метабазы
1. В оснастке IIS щелкните правой кнопкой значок Компьютер под
элементом Internet Information Services.
2. Укажите на команду Все задачи и выберите команду
Архивирование и восстановление конфигурации.
3. В списке Предыдущие архивы выберите имя файла и нажмите
кнопку Восстановить. Если выводится приглашение указать
пароль, введите пароль архива.
См. также




Сведения об архивировании метабазы см. в разделе
Архивирование метабазы.
Сведения об именах разделов и путях метабазы, наследовании
свойств, безопасности и надежности см. в разделе Введение в
метабазу IIS.
Дополнительные сведения по установке сертификатов SSL см. в
разделе Установка SSL на сервере.
Сведения о перезапуске IIS см. в разделе Перезапуск IIS.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Публикация WebDAV
В этом разделе обсуждается установка каталога WebDAV на сервере IIS
и описаны способы подключения клиентов к серверу для
редактирования и работы с файлами.
В данном разделе описываются следующие вопросы.





О WebDAV. Объясняется создание каталогов WebDAV, в которых
удаленные пользователи смогут выполнять редактирования и
работу с файлами.
Создание каталога публикации. Описание способов установки
каталога публикации WebDAV.
Управление безопасностью WebDAV. Советы по оптимизации
средств безопасности IIS и Windows XP для защиты узла WebDAV.
Поиск в каталоге WebDAV. Настройка каталога WebDAV,
обеспечивающая пользователям возможности поиска по
содержимому и свойствам документов.
Публикация и управление файлами. Описание способов
публикации и управление файлами с помощью Windows XP,
Internet Explorer и Office 2000.
Примечание. WebDAV является реализацией предложенного проекта
HTTP 1.1 и, следовательно, недоступен для служб, не являющихся
службами HTTP, например узлов FTP. Кроме того, данная реализация
предназначена только для версий IIS 5.0 и 5.1.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
(The following words are used by Search; they are not intended to be
displayed on the page.) perf, perform, performance, capacity, able,
capability, planning, perfmon, modify, customize, customise, tune, tuning,
fine-tune, tweak, improve, enhance, speed up, more, additional, greater,
ram, memory, cpu, speed, volume, handle, load, connection, connections,
pool, pooling, http, keep alive, keep-alive, keepalive, keep-alives,
keepalives, estimate, calculate, how many, how much, disk drive, add,
adding, utilize, utility, utilities, bandwidth, throttle, throttling, process,
processor, oop, out-of-process, utilize, application, time out, timeouts, timeouts, limit, compress, compressed, limiting, http compression, cache,
network, web, internet, intranet, server, applications, requirements, load,
loading, loaded, heavy, light, big, bigger, e-mail, email, capability, links,
more information, job object
О WebDAV
Стандарт WebDAV (Web Distributed Authoring and Versioning) является
расширением протокола HTTP/1.1, обеспечивающим пользователям
возможность публиковать, блокировать и управлять ресурсами в
Интернете. Интеграция WebDAV в IIS предоставляет клиентам
следующие возможности.




Управление ресурсами в каталоге публикации WebDAV на
сервере. Например, это средство позволяет пользователям с
соответствующими разрешениями копировать и перемещать файлы
в каталоге WebDAV.
Изменение свойств, связанных с соответствующими ресурсами.
Например, пользователь имеет возможность записывать и читать
значения свойств файла.
Блокировка и снятие блокировки ресурсов обеспечивают
возможность одновременного чтения файла несколькими
пользователями, но изменять файл в каждый момент может только
один пользователь.
Поиск по содержимому и свойствам файлов в каталоге WebDAV.
Установка каталога публикации WebDAV на сервере выполняется так же,
как и установка виртуального каталога в оснастке IIS. Когда каталог
публикации установлен, пользователям с соответствующими
разрешениями смогут публиковать документы на сервере и управлять
файлами в каталоге. Перед установкой каталога WebDAV необходимо
установить операционную систему Windows XP Professional.
Клиенты WebDAV
Доступ к каталогу публикации WebDAV возможен через один из
перечисленных ниже продуктов корпорации Майкрософт или через
любое клиентское программное обеспечение, поддерживающее
стандартный протокол WebDAV.



Windows XP обеспечивает подключение к серверу WebDAV с
помощью мастера добавления в сетевое окружение и отображает
содержимое каталога WebDAV как часть файловой системы
локального компьютера. После установления подключения
пользователь имеет возможность перетаскивать файлы, читать и
изменять свойства файлов и выполнять многие другие действия с
файлами.
Internet Explorer 5 обеспечивает подключение к каталогу
WebDAV и позволяет выполнять многие другие действия с файлами
так же, как и в Windows XP.
Office 2000 обеспечивает создание, публикацию, редактирование
и сохранение документов непосредственно в каталоге WebDAV
через любое приложение Office 2000.
Поиск в WebDAV
После подключения к каталогу WebDAV пользователи получают
возможность быстро выполнять поиск в этом каталоге по содержимому и
свойствам файлов. Например, имеется возможность поиска всех файлов,
содержащих слово таблица, или всех файлов с фамилией автора Иванов.
Интегрированная система безопасности
Интеграция WebDAV с Windows XP и IIS позволяет использовать средства
безопасности обеих программ. Эти средства включают разрешения IIS,
задаваемые в оснастке IIS, и таблицы управления доступом (DACL)
файловой системы NTFS. Дополнительные сведения о безопасности см. в
разделе Безопасность.
Поскольку клиенты с достаточными разрешениями смогут выполнять
запись в каталог WebDAV, особенно важно постоянно контролировать
доступ пользователей к каталогу. Для управления доступом IIS имеет
усиленные средства встроенной проверки подлинности Windows,
использующие протокол проверки подлинности Kerberos 5. Выбирая
встроенную проверку подлинности, можно обеспечить в интрасети
возможность доступа и записи в каталог WebDAV только для
пользователей, имеющих разрешения. Дополнительные сведения о
работе протокола проверки подлинности Kerberos 5 со средствами
встроенная проверка подлинности Windows в IIS см. в разделе
Встроенная проверка подлинности. Общие сведения о протоколе
Kerberos см. в разделе «Проверка подлинности Kerberos v5» в
документации Windows XP.
В дополнение к этому, IIS поддерживает краткую проверку подлинности
и расширенную краткую проверку подлинности. Разработанные для
серверов доменов Windows средства краткой и расширенной краткой
проверки подлинности обеспечивают повышенную безопасность для
паролей и для передачи информации в Интернете. Сведения о краткой
проверке подлинности см. в разделах Краткая проверка подлинности и
Конфигурирование краткой проверки подлинности. Сведения о
расширенной краткой проверке подлинности см. в разделах
Расширенная краткая проверка подлинности и Конфигурирование
расширенной краткой проверки подлинности.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Создание каталога публикации
Ниже описана процедура по установке каталога публикации WebDAV.
Чтобы установить каталог публикации
1. Создайте физический каталог на веб-сервере. Этот каталог можно
создать в любом расположении на веб-сервере.
Примечание. Если каталог создается в каталоге
Inetpub/Wwwroot, потребуется изменение разрешений на новый
каталог. Каталог Wwwroot по умолчанию имеет разрешения только
на чтение и любой подкаталог в папке Wwwroot наследует
разрешения только на чтение. Для всех остальных каталогов по
умолчанию задается полный доступ.
2. В оснастке IIS создайте виртуальный каталог. Инструкции см. в
разделе Создание виртуального каталога.
3. Введите псевдоним WebDAV для этого виртуального каталога и
свяжите его с физическим каталогом, созданным на шаге 1.
4. Предоставьте разрешения «Чтение», «Запись» и «Обзор
каталогов» на виртуальный каталог.
Пользователи получат права публиковать документы в этом
виртуальном каталоге и видеть список файлов в каталоге. Хотя это
и не рекомендуется по соображениям безопасности, можно
предоставить те же разрешения на доступ ко всему веб-узлу и
позволить клиентам публикации на всем веб-сервере.
Примечание. Разрешение «Запись» не предоставляет клиентам
возможности изменять страницы ASP (Active Server Pages) или любые
другие сопоставленные файлы сценариев. Для изменения таких файлов
после создания виртуального каталога следует предоставить разрешения
«Запись» и «Доступ к тексту сценариев». Дополнительные сведения о
предоставлении таких разрешений см. в разделе Установка разрешений
для веб-сервера.
После создания виртуального каталога WebDAV можно позволить
клиентам выполнять на нем публикации. Сведения о подключении
пользователей к каталогу через любой клиент Microsoft WebDAV см. в
разделе Публикация и управление файлами.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Управление безопасностью
WebDAV
В разделе приводится описание рекомендуемых правил по установке
безопасных удаленных публикаций. Обсуждается защита сервера и
содержимого и координация различных аспектов системы безопасности в
единое целое. Рассматриваются следующие элементы системы
безопасности.



Проверка подлинности клиентов
Управление доступом
Отказ в обслуживании
Проверка подлинности клиентов
В IIS поддерживаются следующие уровни проверки подлинности:





Анонимная
Обычная
Встроенная Windows
Краткая
Расширенная краткая
Оптимальная конфигурация каталога WebDAV зависит от типа
выполняемой публикации. При создании виртуального каталога с
помощью IIS одновременно включаются анонимная и встроенная
проверка подлинности. Хотя эта стандартная конфигурация хорошо
работает для клиентских подключений к серверу, чтения веб-страниц и
выполнения сценариев, она не всегда подходит для клиентов,
выполняющих публикации в каталоге и обработку файлов в этом
каталоге.
Анонимный доступ предоставляет доступ к каталогу любому
пользователю и, таким образом, его следует отключить для каталога
WebDAV. Без контроля за доступом каталог может быть поврежден
злонамеренными пользователями. Дополнительные сведения см. в
разделе Анонимная проверка подлинности.
Обычная проверка подлинности приводит к отправке паролей через
подключение открытым текстом. Такие пароли могут быть легко
перехвачены и прочитаны, поэтому обычную проверку подлинности
следует отключать, если используется шифрование паролей средствами
SSL (Secure Sockets Layer). Дополнительные сведения см. в разделах
Обычная проверка подлинности и Установка SSL на сервере.
Краткая проверка подлинности является хорошим выбором для
публикации информации на сервере, доступ к которому осуществляется
через Интернет и через брандмауэры, поскольку при этом пароли
пересылаются по сети в хеше MD5. Однако в службе каталогов Active
Directory пароли сохраняются открытым текстом. Дополнительные
сведения см. в разделе Краткая проверка подлинности.
Расширенная краткая проверка подлинности имеет над краткой
проверкой подлинности преимущество в том, что в дополнение к
отправке паролей по сети в хеше MD5 пароли также сохраняются Active
Directory в виде хеша MD5, а не открытым текстом. Это делает
расширенную краткую проверку подлинности наилучшим вариантом для
публикации информации на сервере, доступ к которому осуществляется
через Интернет и через брандмауэры. Дополнительные сведения см. в
разделе Расширенная краткая проверка подлинности.
Встроенная проверка подлинности Windows лучше всего подходит
при установке каталога WebDAV в интрасети. Дополнительные сведения
см. в разделе Встроенная проверка подлинности Windows.
Управление доступом
В этом разделе обсуждается управление доступом к каталогу WebDAV
путем координации разрешений IIS и Windows XP, а также защита
файлов сценариев.
Конфигурация веб-разрешений
Ниже приводятся рекомендации по настройке веб-разрешений в
зависимости от предназначения публикуемых материалов.

Включены разрешения «Чтение», «Запись», «Обзор
каталогов». Включение этих разрешений позволяет клиентам



видеть список ресурсов, изменять их (за исключением ресурсов, на
которые нет разрешения «Запись»), публиковать собственные
ресурсы и обрабатывать файлы.
Включено разрешение «Чтение»; «Запись» и «Обзор
каталогов» отключены. Если требуется предоставить клиентам
возможность публиковать в каталоге конфиденциальную
информацию, которую не должны видеть остальные пользователи,
следует включить разрешение «Запись» и отключить разрешения
«Чтение» или «Обзор каталогов». Такая конфигурация подходит,
когда клиенты предоставляют результаты голосования или обзор
производительности.
Включены разрешения «Чтение» и «Запись»; «Обзор
каталогов» отключен. Эту конфигурацию следует задавать,
когда имена файлов делаются скрытыми в качестве меры
безопасности. Однако такая защита обеспечивает низкий уровень
безопасности, поскольку злонамеренный пользователь может
подбирать имена файлов методом проб и ошибок.
Включено разрешение «Индексация каталога». Если
планируется предоставить клиентам возможность поиска по
ресурсам каталога, необходимо включить службу индексации.
Дополнительные сведения о веб-разрешениях см. в разделе Установка
разрешений для веб-сервера.
Управление доступом с помощью таблиц управления
доступом
При установке каталога публикаций WebDAV в файловой системе NTFS
операционная система Windows 2000 Server представляет всем
пользователям полный доступ за исключением каталога Wwwroot.
Необходимо изменить уровень разрешений таким образом, чтобы группа
«Все» имела только разрешение «Чтение». Затем следует предоставить
разрешение «Запись» отдельным пользователям и группам.
Дополнительные сведения о разрешениях NTFS см. в разделе
Разрешения NTFS.
Защита кода сценария
Если в каталоге публикации имеются файлы сценариев, содержимое
которых не следует показывать клиентам, можно запретить доступ к
таким файлам, отключив разрешение Доступ к тексту сценария. В
число сценариев включаются файлы, расширения имен которых входят в
список «Сопоставление приложений». Все остальные исполняемые
файлы рассматриваются как статические HTML-файлы, в том числе
файлы с расширением .exe, за исключением случая, когда для каталога
включен параметр Сценарии и исполняемые файлы.
Чтобы предотвратить загрузку и просмотр файлов .exe как HTML-файлов,
но разрешить при этом их выполнение, следует на вкладке
Виртуальный каталог каталога публикации заменить разрешение
«Выполнение» на Сценарии и исполняемые файлы. С этим уровнем
разрешений все исполняемые файлы подчиняются настройке Доступ к
тексту сценария. Когда флажок Сценарии и исполняемые файлы
установлен, клиенты с разрешением «Чтение» могут видеть все
исполняемые файлы, а клиенты с разрешением «Запись» могут их
изменять и выполнять.
Следующие разрешения позволяет клиентам выполнять запись в
исполняемый файл, который не входит в список «Сопоставление
приложений».


Предоставлено разрешение «Запись».
Разрешение «Выполнение» имеет значение Только сценарии.
Следующие разрешения также позволяют клиентам выполнять запись в
исполняемый файл.


Предоставлено разрешение Доступ к тексту сценария.
Разрешение «Выполнение» имеет значение Сценарии и
исполняемые файлы.
Отказ в обслуживании
Перетаскивание в каталог WebDAV файлов с особенно большими
размерами может привести к занятию большого объема на диске. Чтобы
ограничить объем, пользователь имеет возможность установить квоту на
использование диска. Подробнее о дисковых квотах см. в разделе
«Обзор дисковых квот» в документации Windows 2000 Server.
Дополнительные сведения о безопасности см. в разделе Контрольный
список действий по обеспечению безопасности IIS.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Поиск в каталоге WebDAV
После создания каталога публикации WebDAV может потребоваться
предоставить пользователям возможность выполнять поиск по
содержимому и свойствам файлов.
Чтобы выполнить настройку поиска в каталоге публикации
1. Если требуется предоставить клиентам возможность поиска по
свойствам ресурсов, каталог должен находиться на диске с
файловой системой NTFS.
Если поместить каталог на диск, отформатированный в файловой
системе FAT, клиенты смогут выполнять поиск по содержимому
ресурсов, но не по свойствам ресурсов.
2. Проверьте, что служба индексации выполняется на сервере, с
помощью следующей команды в окне командной строки:
net start cisvc
3. В оснастке IIS проверьте для каталога WebDAV, что на вкладке
Виртуальный каталог установлены флажки Индексация
каталога и Чтение.
Если флажок Индексация каталога снят, служба индексирования
не создает указатель для этого каталога. В результате, поиск
становится невозможным. Если не установлен флажок Чтение,
клиент сможет выполнять операции поиска по каталогу, но не
сможет увидеть результаты поиска. Подробнее о задании
разрешений для виртуального каталога см. в разделе Установка
разрешений для веб-сервера.
Создание средства поиска
Реализация Microsoft стандартна WebDAV позволяет создавать для
клиентов средство поиска в каталоге по содержимому или свойствам
файлов. В следующем примере демонстрируется основная команда
поиска:
SEARCH /webdav HTTP/1.1
Host: iis
Content-Type: text/xml
Content-Length: 157
<?xml version="1.0"?>
<g:searchrequest xmlns:g="DAV:">
<g:sql> Select "DAV:displayname"
FROM SCOPE()
</g:sql>
</g:searchrequest>
Подробнее о создании средства поиска см. в пакете ресурсов Microsoft®
Platform SDK.
Поиск по свойствам
Существуют свойства двух типов: определяемые сервером и
определяемые пользователем.
Определяемые сервером свойства включают все свойства, которые
создаются и поддерживаются сервером. Эти свойства доступны только
для чтения и, соответственно, не могут быть изменены. Примерами могут
служить даты создания и последнего изменения документа.
Определяемые пользователем свойства включают все свойства,
которые может создавать и изменять пользователь. Примерами могут
служит имя автора и название документа. Если требуется обеспечить
возможность клиентам находить документы по свойствам, определяемым
пользователем, необходимо создать свойство или проверить, что оно уже
существует.
Наряду с существующими свойствами, которые пользователи могут
создавать и изменять, вы можете создать собственные настраиваемые
свойства. Это означает, что вы можете создать настраиваемое свойство
с именем Источник, в котором будут перечислены ресурсы,
использованные при подготовке документа. Пользователи смогут найти
на веб-узле все документы, при создании которых был использован
соответствующий источник. В следующем примере демонстрируется
пример свойства, определяющего источник документа.
where contains ("Источник", "ВГБИЛ")
Примечание. В настоящее время WebDAV поддерживает поиск только
по настраиваемым свойствам, имеющим строковые значения.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Публикация и управление
файлами
В разделе обсуждаются способы подключения к каталогу публикации
WebDAV, публикация документов путем их перетаскивания с локальных
компьютеров в каталог публикации, а также способы управления
файлами в каталоге публикации.
В данном разделе описываются следующие вопросы.


Публикации через Windows XP. Описание способов
подключения к серверу WebDAV через веб-папки в окне «Сетевое
окружение».
Публикации через Internet Explorer 5. Описание способов
подключения к серверу WebDAV и обработки файлов в Internet
Explorer 5.

Публикации через Office 2000. Описание способов управления
файлами и их прямого изменения в виртуальном каталоге WebDAV.
Примечание. Даже пользователи, подключающиеся из-за
брандмауэра, смогут выполнять публикации в каталоге WebDAV, если у
них есть соответствующие разрешения и если конфигурация
брандмауэра допускает публикации.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Публикации через Windows XP
Имеется возможность подключения из Windows XP Professional к каталогу
публикации WebDAV на другом сервере. IIS 5.1 не устанавливается по
умолчанию вместе с операционной системой Windows XP Professional.
Таким образом, если не был выбран параметр дополнительной установки
IIS 5.1, необходимо установить IIS вручную. Сведения об установке IIS
см. в разделе Установка IIS.
Чтобы подключиться к каталогу WebDAV через Windows XP
1. Нажмите кнопку Пуск, выберите команду Мой компьютер, а
затем выберите Мое сетевое окружение.
2. Дважды щелкните значок Добавить новый элемент в сетевое
окружение.
3. В мастере добавления в сетевое окружение введите адрес URL
каталога WebDAV, к которому требуется подключиться.
4. Нажмите кнопку Далее.
5. Введите понятное имя для каталога, к которому выполняется
подключение.
6. Нажмите кнопку Готово.
7. Дважды щелкните Мое сетевое окружение. Будет отображено
понятное имя веб-папки для узла WebDAV. Например, если ввести
Мой каталог публикации, в окне будет отображаться ярлык Мой
каталог публикации.
8. Дважды щелкните веб-папку.
9. Дважды щелкните Ярлык для Мой каталог публикации. Будет
отображен список файлов в этом каталоге.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Публикации через Internet
Explorer 5
Пользователь имеет возможность непосредственно подключиться к
каталогу WebDAV через Internet Explorer 5 в операционных системах
Windows XP, Windows 2000, Windows NT 4.0, Windows 98 или Windows 95.
После установления подключения можно обрабатывать файлы и
выполнять публикации в этом каталоге так же, как и при подключении
через Windows 2000.
Чтобы подключиться к каталогу WebDAV через Internet Explorer
1. В меню Файл в Internet Explorer 5 выберите команду Открыть.
2. В поле Открыть введите адрес URL каталога WebDAV, к которому
требуется подключиться.
3. Установите флажок Открыть как веб-папку и нажмите кнопку
OK. Будет отображен список файлов в этом каталоге.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Публикации через Office 2000
Для создания, публикации или сохранения документов в каталоге
WebDAV выполните следующий действия.
Чтобы создать документ в каталоге WebDAV
1. Создайте документ в любом приложении Office 2000.
2. В меню Файл выберите команду Сохранить как.
3. В левой области окна Сохранение нажмите кнопку Мое сетевое
окружение.
4. Для публикации документа выберите ярлык каталога WebDAV или
введите адрес URL и нажмите кнопку OK.
Чтобы изменить существующий документ в каталоге WebDAV
1. Подключитесь к каталогу WebDAV, содержащему нужный документ.
О подключении к каталогу WebDAV см. в разделах Публикации
через Windows XP или Публикации через Internet Explorer 5.
2. Откройте документ в соответствующем приложении Office 2000 и
измените документ.
3. Сохраните документ в каталоге WebDAV, закройте документ, чтобы
снять с него блокировку, и закройте приложение.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Определение адресов по именам
Для того чтобы посетители могли посещать узел и просматривать
страницы, необходимо однозначно идентифицировать узел в Интернете
или в локальной интрасети. Способ преобразования «дружественного
имени» в адрес, по которому могут обращаться другие компьютеры,
зависит от используемой в сети системы определения адресов по
именам.
В данном разделе описываются следующие вопросы.


Об определении адресов по именам. Перечень различных
доступных систем именования, описание их работы, советы по
выбору подходящей системы и правила назначения имен и IPадресов узлам.
Проверка идентификации компьютера. Сведения о проверке
имени компьютера с Windows и IP-адреса.
В разделе не затрагиваются следующие темы.

Присвоение веб-узлам идентификационных данных; см.
Присваивание имен веб-узлам.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Об определении адресов по
именам
Чтобы обеспечить пользователям возможность доступа к узлу по
интрасети, необходимо иметь уникальный IP-адрес, определяющий ваш
компьютер в сети. Этот адрес имеет вид строки чисел, разделенных
точками (например 172.16.255.255). Так как числовые адреса трудны
для запоминания, им сопоставляются текстовые («дружественные»)
имена, например www.microsoft.com. Определение адреса по имени
заключается в выяснении числового адреса, соответствующего
дружественному имени, введенному в обозревателе клиента. В этом
разделе описаны различные системы определения адреса по имени.
Дополнительные сведения см. в документации Windows, доступ к
которой можно получить, выбрав команду Справка в меню Пуск.
Системы определения адресов в интрасети
Интрасетью называют частную локальную сеть, в которой используется
технология Интернета. Для успешного получения и отправки пакетов
данных IP-адрес каждого компьютера должен быть сопоставлен с его
текстовым именем. Имена и адреса назначаются с помощью одной из
нескольких различных систем сопоставления имен и адресов. При
выборе системы следует учитывать размер интрасети, частоту
добавления или удаления компьютеров, а также установленное
программное обеспечение Microsoft® Windows XP Professional. В
следующих подразделах рассказывается о том, как компьютеры в
интрасетях получают имена и адреса.
Назначение IP-адреса
IP-адреса могут назначаться двумя разными способами: статически или
динамически. В сети могут использоваться статические IP-адреса,
динамические IP-адреса или комбинация обоих типов адресов.


Статическое назначение. Системный администратор назначает
и отслеживает IP-адреса для каждого компьютера в интрасети.
Назначение статических адресов удобно для небольших сетей, в
которых редко происходят изменения.
Динамическое назначение. Сервер протокола динамической
конфигурации узлов (DHCP) временно выделяет в аренду адрес
клиенту при входе клиента в сеть. При входе клиента в сеть сервер
DHCP назначает IP-адрес из банка доступных в настоящее время
адресов. В конце периода, на который выделяется адрес,
клиентский компьютер при необходимости согласовывает с
сервером продление этого выделения. После выхода клиента из
сети его адрес освобождается, что позволяет выделить его новому
клиенту. Сервер DHCP освобождает системного администратора от
необходимости отслеживать назначенные IP-адреса, что
оказывается особенно полезным в больших или часто
изменяющихся сетях. Сервер DHCP разрешает назначать каждому
компьютеру в сети только один IP-адрес.
Примечание. Если требуется назначить несколько IP-адресов одной
сетевой плате, то для этого компьютера нужно использовать статическое
назначение адресов.
Системы определения адресов
Компоненты Windows для работы с сетями используют соглашение об
именах NetBIOS. В отличие от них, компоненты TCP/IP работают на
основании соглашения об именах, известного как DNS (Domain Name
System — система доменных имен). В Windows DNS-имя узла по
умолчанию совпадает с именем компьютера в формате NetBIOS.
Сопоставление имен компьютеров с IP-адресами можно выполнить двумя
способами.


Статический. Системный администратор создает текстовый файл
с именем HOSTS (для имен DNS ) или LMHOSTS (для имен NetBIOS)
и вводит имя и IP-адрес каждого компьютера. После этого файл
распространяется по сети. Когда поступает запрос на подключение
к другому компьютеру, этот файл используется для сопоставления
имени с правильным IP-адресом. Такая система хорошо работает
для небольших сетей, в которых редко происходят изменения.
Динамический. При входе в систему клиентского компьютера
сервер DHCP назначает адрес и отправляет назначение IP-адреса
серверу службы имен Интернета Windows (WINS). Сервер WINS
регистрирует имя компьютера; при поступлении запроса,
использующего имя компьютера в формате NetBIOS, сервер WINS
преобразовывает это имя в соответствующий ему IP-адрес. Такое
автоматическое распознавание и сопоставление имен и адресов
компьютеров упрощает работу администратора в больших или
часто изменяющихся сетях.
Для сопоставления имен DNS обычно используются статические данные.
Сервер DNS содержит часть статической базы данных со списком имен и
адресов узлов. Если запрошенное имя отсутствует в части базы данных,
находящейся на сервере DNS, сервер посылает запрос другим серверам
DNS для получения затребованных данных. Сервер DNS, работающий в
Windows, можно настроить таким образом, чтобы он обращался к
серверу WINS для определения имен на нижних уровнях иерархической
структуры имен DNS. Поскольку служба WINS назначает имена
компьютеров динамически, DNS при этом фактически превращается из
статической системы в динамическую.
Если установить на одном сервере несколько веб- или FTP-узлов,
каждый с собственным IP-адресом, могут возникнуть затруднения с
автоматической регистрацией имен в службе DNS. Чтобы обеспечить
правильную привязку IP и регистрацию имен в службе DNS, следует
отключить в Windows 2000 Server регистрацию имен в службе DNS и
вручную сконфигурировать регистрацию имен DNS для узлов.
Дополнительные сведения об отключении автоматической регистрации
имен в службе DNS и конфигурировании регистрации DNS вручную см. в
документации Windows 2000 Server.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Проверка идентификации
компьютера
Если в описании веб- или FTP-узла на вкладке Веб-узел или FTP-узел
не выводится ожидаемое имя или адрес узла, можно проверить сетевое
имя и адрес компьютера следующим образом.


Чтобы проверить собственный IP-адрес, введите в окне командной
строки ipconfig и нажмите клавишу ENTER. Будут выведены
текущий IP-адрес, маска подсети и основной шлюз.
Чтобы проверить сетевое имя компьютера, откройте окно свойств
Мой компьютер. Имя компьютера отображается на вкладке
Идентификация.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Настройка приложений
Этот раздел описывает настройку веб-приложения с помощью оснастке
IIS.
В этом разделе рассматриваются следующие вопросы.









О приложениях. Определение веб-приложений; объяснение
взаимосвязи структуры каталогов узла и определения приложения.
Создание приложений. Задание исходного (корневого)
каталога приложения.
Сопоставление приложений Связывание расширения имени
файла с программой, которая будет обрабатывать такие файлы.
Изолирование приложений. Описание способов выполнения
приложения в области памяти, отдельной от области памяти вебсервера.
Кэширование приложений. Установка времени ожидания
сценария CGI, кэширование динамических библиотек ISAPI и
изменение кэширования страниц ASP.
Останов изолированных приложений. Описание способов
остановки изолированного приложения.
Повторный запуск процессов. Обсуждение методологии
повторного запуска приложений, настраиваемых событий,
программирования и установки.
Настройка приложений ASP. Описание способов задания
свойств приложений ASP.
Включение отладки ASP. Включение отладки на веб-сервере,
что позволяет проверить и исправить страницы ASP.


Настройка приложений CGI. Установка и настройка
приложений CGI на веб-сервере.
Установка фильтров ISAP. Описание фильтров ISAPI и
способов связывания их с событиями веб-сервера.
Данная глава не содержит сведений по следующим вопросам.


Написание приложений ASP; см. Active Server Pages.
Использование сертификатов; см. Сертификаты.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
О приложениях
Приложением IIS называют любой файл, который выполняется внутри
определенного набора каталогов веб-узла. Когда создается приложение,
оснастка IIS используется для указания исходного каталога приложения
(называемого также корневым каталогом приложения) на веб-узле. Все
файлы и каталоги, содержащиеся на веб-узле в каталоге, отмеченном
как исходный каталог приложения, вплоть до исходного каталога
другого приложения, рассматриваются как часть приложения. Таким
образом, каталоги являются границами области приложения.
Точка запуска приложения
В a href="iiabuti.htm">оснастке IIS исходный каталог приложения
обозначается значком упаковки. На следующем рисунке показано
приложение с исходным каталогом /SiteAdmin:
Файлы в каталогах \Login, \Order и \SetupDB рассматриваются как часть
приложения /SiteAdmin.
На каждом веб-узле имеется возможность определить несколько
приложений. Веб-узел, который по умолчанию создается при установке
Internet Information Services, является исходным каталогом приложения.
Internet Information Services поддерживает приложения ASP, ISAPI, CGI,
IDC и SSI. Информация в приложении может совместно использоваться
файлами приложения; например, в приложениях ASP информация о
контексте, состоянии сеанса и значениях переменных совместно
используется страницами приложения.
Защита приложения
IIS 5.1 предлагает три уровня защиты приложения. Защита приложения
ссылается на процесс, в котором приложение выполняется. В IIS 4.0
приложения могли быть запущены или в том же процессе, что и вебслужбы (Inetinfo.exe) или в процессе, изолированном от веб-служб
(DLLHost.exe). В IIS 5.0 и 5.1 имеется третья возможность. Приложения
могут выполняться в групповом процессе (отдельном экземпляре
DLLHost.exe).
Эти различные возможности обеспечивают изменяемые уровни защиты
от ситуаций, в которых сбой приложения приводит к зависанию
процесса. По умолчанию веб-службы (Inetinfo.exe) выполняются в
собственном процессе, а другие приложения выполняются в одном
групповом процессе (DLLHost.exe). Приложения с высоким приоритетом
могут быть запущены в виде изолированного процесса (другой
экземпляр DLLHost.exe). Из соображений быстродействия не следует
запускать больше 10 изолированных приложений.
На следующем рисунке изображено окно свойств, на котором задаются
свойства защиты приложения.
Защиту приложения можно задавать только в исходном каталоге
приложения.
Производительность приложений
Существует компромисс между производительностью и уровнем защиты
приложения. Приложения, запущенные в процессе веб-служб
(inetinfo.exe), дают более высокое быстродействие, но при этом
повышается и риск того, что неправильно работающее приложение
сделает веб-службы недоступными. Рекомендуется следующая
конфигурация: inetinfo.exe выполняется в своем процессе, критически
важные приложения выполняются в своих процессах, а оставшиеся
приложения в общем групповом процессе. Дополнительные сведения см.
в разделе Задание границ приложения.
Параметры процесса для компонентов можно задавать с помощью
средства администрирования «Службы компонентов». Дополнительные
сведения см. в документации служб компонентов.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Создание приложений
Для создания приложения необходимо назначить каталог исходным
(корневым) каталогом приложения. После этого следует задать свойства
приложения. Каждому приложению можно присвоить удобное для
пользователей имя. Это имя отображается в оснастке IIS и позволяет
отличать одно приложение от другого. В других местах имя приложения
не используется.
Имеется возможность удалить каталог из границ приложения. В
результате запросы на файлы в этом каталоге и его подкаталогах не
смогут запускать приложение. Удаление каталога из границ приложения
не приводит к удалению этого каталога из веб-узла и с жесткого диска
компьютера.
Чтобы создать приложение
1. В оснастке IIS выберите каталог, являющийся исходным каталогом
приложения. Допускается назначение домашнего каталога вебузла исходным каталогом приложения.
2. Откройте окно свойств каталога и выберите вкладку Домашний
каталог, Виртуальный каталог или Каталог.
3. Нажмите кнопку Создать.
4. В поле Приложение введите имя приложения.
Примечание. Если появляется кнопка Удалить вместо кнопки
Создать, приложение уже было создано.
Чтобы удалить каталог из приложения
1. В оснастке IIS выберите виртуальный каталог, который требуется
удалить.
2. Откройте окно свойств каталога и выберите вкладку Домашний
каталог, Виртуальный каталог или Каталог.
3. Нажмите кнопку Удалить.
Советы


Чтобы остановить выполнение приложения и выгрузить его из
памяти, нажмите кнопку Выгрузить. Если кнопка Выгрузить
недоступна, выбранный каталог не является исходным каталогом
приложения.
Чтобы прекратить связывание домашнего каталога с приложением,
нажмите кнопку Удалить.

Установите флажок Запуск в отдельной области памяти
(изолированный процесс) для выполнения приложения в
процессе, отделенном от процесса веб-сервера. Выполнение
изолированного приложения защищает другие приложения,
включая собственно веб-сервер, от возможных сбоев при сбое или
зависании данного приложения.
Чтобы задать разрешения для приложения



Задайте для разрешений значение Отсутствуют, чтобы запретить
выполнение любых программ или сценариев.
—Или—
Значение Только сценарии разрешает выполнение в этом
каталоге приложений, сопоставленных с обработчиком сценариев,
без заданного разрешения Выполнение. Разрешение Сценарии
следует задавать для каталогов, содержащих сценарии ASP, IDC
(Internet Database Connector) или другие сценарии. Разрешение
Сценарии является более безопасным, чем разрешение
Выполнение, так как позволяет ограничить круг приложений,
которые могут выполняться из этого каталога. Дополнительную
информацию о том, как сделать приложение обработчиком
сценариев, можно найти на вкладке Сопоставление приложений.
—Или—
Значение Сценарии и исполняемые файлы позволяет
выполнять любые приложения из этого каталога, в том числе
приложения, сопоставленные с обработчиками сценариев и файлы
Windows в двоичном формате (.dll и .exe).
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Сопоставление приложений
Допускается разработка веб-приложений на различных языках
программирования и языках сценариев. Internet Information Services
(IIS) использует расширение имени файла ресурса, запрошенного на
веб-узле, для определения программы ISAPI или CGI, которую следует
запустить для обработки запроса. Например, запрос на файл с
расширением имени .asp приводит к тому, что веб-сервер вызывает
программу ASP (Asp.dll) для обработки запроса. Связывание расширения
имени файла с программой ISAPI или CGI называют сопоставлением
приложения. В конфигурации IIS предустановлена поддержка общих
сопоставлений приложений. Имеется возможность добавить или
исключить сопоставления для всех приложений на веб-узле или для
отдельных приложений.
Чтобы сопоставить расширение имени с приложением
1. В оснастке IIS выберите веб-узел или исходный каталог
изолированного приложения.
2. Откройте окно свойств каталога и выберите вкладку Домашний
каталог, Виртуальный каталог или Каталог.
3. Нажмите кнопку Настройка.
4. На вкладке Сопоставления нажмите кнопку Добавить.
5. В поле Исполняемый файл введите путь к программе ISAPI или
CGI, которая должна обрабатывать такие файлы. Необходимо
указать программу, находящуюся в локальном каталоге на вебсервере.
6. В поле Расширение введите расширение имени файла, которое
требуется связать с программой ISAPI или CGI. При получении вебсервером адреса URL, в котором задан файл с таким расширением
имени, для обработки запроса будет вызвана соответствующая
программа.
7. Чтобы разрешить обработку файлов этого типа в каталоге с
разрешением «Сценарии», установите флажок Обработчик
сценариев. Если для каталога задано разрешение «Сценарии» (в
отличие от разрешения «Выполнение»), то в этом каталоге будут
обрабатываться только файлы, связанные с приложениями,
которые обозначены как обработчики сценариев.
Важно!
На вкладке Сопоставления имеется столбец с именем
Команды. В IIS 4.0 этот столбец имел имя Исключения;
изменения команд обеспечивают совместимость с будущими
версиями и добавлением новых команд HTTP к протоколу Hypertext
Transport Protocol.
Чтобы удалить сопоставление приложения
На вкладке Сопоставления выберите расширение имени файла и нажмите кнопку
Удалить. Запросы на файлы с таким расширением имени более не будут
обрабатываться на этом веб-узле или в каталоге.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Изолирование приложений
Изолированность приложения означает, что оно работает в процессе или
пространстве памяти, отдельном от веб-сервера или других приложений.
Можно изолировать приложения на одном из трех уровней защиты
приложений. Дополнительные сведения см. в подразделе Защита
приложений раздела «Общие сведения о приложениях».
Дополнительные сведения о вопросах быстродействия см. в разделе
Настройка быстродействия.
Примечание. Приложения с включением на стороне сервера (SSI) и
приложения соединителя баз данных Интернета (IDC) не могут
выполняться в пространстве памяти, отделенном от пространства памяти
веб-сервера.
Чтобы установить или изменить уровень защиты приложений
1. В оснастке IIS выберите веб-узел или исходный каталог
изолированного приложения.
2. Откройте окно свойств каталога и выберите вкладку Домашний
каталог, Виртуальный каталог или Каталог.
Если вы находитесь в каталоге, обозначенном как Исходная
папка, то поле Приложение будет заполнено.
3. В раскрывающемся списке Защита выберите нужный режим.
4. Нажмите кнопку OK.
Перед созданием отдельного процесса для приложения веб-сервер
завершит обработку всех текущих запросов к этому приложению.
При следующем запросе к приложению оно будет запущено в
отдельном пространстве памяти.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Кэширование приложений
Настройка некоторых параметров, относящихся к веб-приложениям,
выполняемым на сервере, позволяет повысить производительность
сервера. Анализ по журналам таких данных, как число запросов и время
их выполнения, помогает выбрать способ таких изменений.
Дополнительные сведения о ведении журналов активности сервера см. в
разделе Ведение журнала активности веб-узла. Дополнительные
сведения о вопросах быстродействия см. в разделе Настройка
быстродействия.
Обсуждаются следующие вопросы.



Задание времени ожидания сценариев CGI
Кэширование расширений ISAPI
Кэширование файлов сценариев ASP
Задание времени ожидания сценариев CGI
В дополнение к времени ожидания подключения имеется возможность
задать время ожидания для сценариев CGI. Значение времени ожидания
задает длительность промежутка времени, предоставляемого для
выполнения сценария CGI. Приложения CGI наследуют настройку
времени ожидания для всего веб-узла. Пользователь имеет возможность
изменить эту настройку для всего веб-узла или для отдельного
приложения.
Чтобы задать значение таймаута
1. В оснастке IIS выберите значок Компьютер и откройте его окно
свойств.
2. В поле со списком Основные свойства выберите Служба WWW
и нажмите кнопку Изменить.
3. Выберите вкладку Домашний каталог.
4. Нажмите кнопку Настройка.
5. Выберите вкладку Параметры процесса и введите значение
времени ожидания в поле Время ожидания сценариев CGI.
Кэширование расширений ISAPI
Допускается загрузка библиотек ISAPI с помещением их в кэш, что
позволяет обрабатывать следующие запросы без повторных вызовов
библиотек. В противном случае библиотеки выгружаются после их
выполнения. Кэширование уменьшает время ожидания загрузки
библиотек и оказывается полезным для большинства расширений ISAPI
(включая Active Server Pages). Этот параметр следует отключать только
при специальных обстоятельствах, таких как отладка расширений ISAPI.
Чтобы включить кэширование
1. В оснастке IIS выберите веб-узел или исходный каталог
изолированного приложения.
2. Откройте окно свойств каталога и выберите вкладку Домашний
каталог, Виртуальный каталог или Каталог.
3. Нажмите кнопку Настройка.
4. Выберите вкладку Сопоставления и установите флажок
Помещать приложения ISAPI в кэш.
Кэширование файлов сценариев ASP
Средства ASP обрабатывают файлы, содержащие сценарии ASP,
сохраняют обработанные файлы в кэше и предоставляют кэшированные
файлы клиентам. Кэширование файлов ASP повышает быстродействие,
исключая необходимость обработки сценариев ASP при каждом их
вызове. Пользователь имеет возможность еще повысить быстродействие,
изменяя число кэшированных файлов для всех приложений с низкой
(внутренние) или средней (сгруппированные) защитой, а также изменяя
это число по отдельности для каждого приложения с высокой защитой
(изолированные).
Чтобы изменить настройки кэширования для файлов ASP
1. В оснастке IIS выберите веб-узел, виртуальный каталог или
каталог и откройте его окно свойств.
2. Выберите вкладку Домашний каталог для веб-узла,
Виртуальный каталог для виртуального каталога или Каталог
для каталога.
3. В группе «Параметры приложения» выберите в поле со списком
Защита значение Высокая (изолированная) и нажмите кнопку
Применить.
4. Нажмите кнопку Настройка.
Примечание. Если кнопка Настройка недоступна, каталог или
исходный каталог не содержит изолированное приложение. Для
создания нового приложения нажмите кнопку Создать.
5. Выберите вкладку Параметры кэша.
6. Чтобы кэшировать все файлы ASP, выберите параметр
Кэшировать все запрашиваемые ASP-файлы . Чтобы задать
максимальное число кэшированных файлов в памяти, введите
значение в поле (избыточные файлы будут постоянно сохраняться
в кэше на диске).
7. Чтобы ограничить общее число кэшированных файлов ASP,
выберите параметр Число ASP-файлов в кэше и введите
значение в поле.
8. Чтобы отключить кэширование, выберите параметр Не
кэшировать ASP-файлы.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Останов изолированных
приложений
Пользователь имеет возможность остановить приложение и выгрузить
его из памяти без остановки веб-сервера. Это облегчает разработку и
отладку приложений.
Чтобы остановить изолированное приложение
1. В оснастке IIS выберите веб-узел или исходный каталог
изолированного приложения.
2. Откройте окно свойств каталога и выберите вкладку Домашний
каталог, Виртуальный каталог или Каталог.
Если вы находитесь в каталоге, обозначенном как Исходная
папка, то поле Имя приложения будет заполнено.
3. Нажмите кнопку Выгрузить.
Если кнопка Выгрузить недоступна, выбранный каталог не
является исходным каталогом приложения.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Настройка приложений ASP
Некоторые свойства могут быть заданы для каждого приложения ASP,
установленного на веб-сервере. Например, имеется возможность
отключить использование состояния сеанса в приложении или задать
используемый по умолчанию язык сценариев. Свойства приложения
будут применяться ко всем страницам ASP в приложении, за
исключением случая, когда пользователь явно переопределяет это
свойство для отдельной страницы.
Чтобы выполнить настройку приложения ASP
1. В оснастке IIS выберите веб-узел или исходный каталог
изолированного приложения.
2. Откройте окно свойств каталога и выберите вкладку Домашний
каталог, Виртуальный каталог или Каталог.
3. Нажмите кнопку Настройка и выберите вкладку Параметры.
4. Задайте свойства приложения. Описание отдельных свойств см. в
разделе Вкладка Параметры.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Включение отладки ASP
Microsoft Script Debugger позволяет обнаруживать ошибки в сценариях
ASP. Чтобы использовать отладчик на веб-сервере, необходимо сначала
разрешить режим отладки в настройке сервера. Дополнительные
сведения о проверке сценариев с помощью отладчика см. в разделе
Отладка сценариев ASP и на домашней странице Microsoft Scripting
Technologies.
Чтобы разрешить отладку ASP
1. В оснастке IIS выберите веб-узел или исходный каталог
изолированного приложения.
2. Откройте окно свойств каталога и выберите вкладку Домашний
каталог, Виртуальный каталог или Каталог.
3. Нажмите кнопку Настройка и выберите вкладку Отладка.
4. Чтобы разрешить отладку, установите флажок Включить
серверную отладку сценариев ASP. Отладчик запускается при
возникновении ошибки в сценарии или при обнаружении точки
останова в сценарии ASP.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Настройка приложений CGI
IIS поддерживает приложения CGI. В данном разделе приводится
административная информация по установке и настройке приложений
CGI на веб-сервере. Более общие сведения о программировании
приложений CGI приведены в электронной библиотеке корпорации
Майкрософт MSDN Online Library.
Программы CGI выполняются, когда веб-сервер получает адрес URL,
содержащий имя программы CGI и параметры, требуемые программой.
Если программа CGI скомпилирована в исполняемый файл (.exe),
каталог, содержащий программу, должен иметь разрешение
«Выполнение», чтобы пользователи могли выполнять программу. Если
программа CGI записана в виде сценария, например сценария на языке
Perl, каталогу можно предоставить разрешение «Выполнение» или
«Сценарий». Чтобы использовать разрешение «Сценарий»,
интерпретатор сценариев должен быть помечен как обработчик
сценариев.
Если планируется разработка новых приложений CGI, корпорация
Майкрософт предлагает несколько альтернатив, которые следует
рассмотреть. Чтобы приложение выполнялось быстрее, рассмотрите
возможность разработки расширения ISAPI. Чтобы упростить процесс
разработки, можно разработать приложение ASP. Использование ASP
особенно привлекательно для новичков, поскольку в этом случае
отпадает необходимость решения многих рутинных задач, традиционно
связанных с написанием приложений CGI, например разбор заголовков
HTTP. Более подробные сведения см. в разделе Active Server Pages.
Чтобы установить и настроить приложение CGI:
1. Настройте каталог для программ CGI. Для дополнительной
безопасности следует отделить программы CGI от файлов
содержимого. Нет необходимости называть каталог Cgi-bin, однако
по желанию он может быть назван и так. См. раздел Создание
виртуальных каталогов.
2. Если программы CGI являются сценариями, получите и установите
соответствующий интерпретатор сценариев. Например, для запуска
сценариев, написанных на языке Perl, необходимо получить
интерпретатор Perl.
Операционная система Windows не обеспечивает версии Perl, SED
или AWK. Эти интерпретаторы могут быть получены от
независимых разработчиков.
3. Если программы CGI являются файлами .exe, предоставьте
каталогу разрешение «Выполнение». Если программы CGI
являются сценариями, можно предоставить каталогу разрешение
«Выполнение» или «Сценарий». См. раздел Управление доступом.
Если выбрано разрешение «Сценарий», в окне свойств каталога
необходимо пометить интерпретатор сценариев как обработчик
сценариев. Только интерпретаторы, помеченные как обработчики
сценариев, могут выполняться в этом каталоге. Исполняемые
файлы (.dll и .exe) не могут быть выполнены непосредственно, то
есть запрос обозревателя не может запустить исполняемый файл
на веб-сервере включением имени программы в адрес URL.
Использование разрешения Сценарий вместе с параметром
Обработчик сценариев позволяет размещать файлы содержимого
(например файлы .htm или .gif) в том же каталоге, что и сценарии
CGI. Файлы содержимого будут отображаться в обозревателе, а
сценарии будут выполняться, но нельзя запустить программу без
соответствующих полномочий или отобразить команды сценария в
обозревателе.
Важно! Если каталогам, содержащим исполняемые файлы,
присвоено разрешение «Чтение», посетители узла смогут
загружать и выполнять эти исполняемые файлы. Для целей
безопасности оптимальным является хранение исполняемых
файлов в отдельном каталоге, не имеющем разрешения «Чтение».
4. Для сценариев CGI установите соответствие между расширением
имени файла сценария и интерпретатором сценариев.
IIS сопоставляет расширения имени файла с интерпретатором.
Например, если используются сценарии на языке Perl, хранимые в
файлах с расширением .pl, сопоставьте расширение .pl с
программой, которая исполняет сценарии на языке Perl.
Сопоставьте файлы .bat и .cmd с интерпретатором команд
(Cmd.exe)/ См. раздел Сопоставление приложений.
5. Установите разрешения NTFS.
Если используются разрешения NTFS, проверьте, что все
пользователи, которым требуется выполнять программу, имеют
разрешение «Выполнение» для этого каталога. Если веб-узел
допускает анонимных пользователей, проверьте, что анонимный
пользователь (учетная запись IUSR_ИмяКомпьютера) имеет
разрешение «Выполнить».
IIS поддерживает большинство стандартных переменных среды для
сервера.
Если сценарий обращается к сценарию, сопоставленному Cmd.exe,
выполняющемуся на удаленном сервере, рабочий каталог по умолчанию
устанавливается как %SYSTEM32% на локальном компьютере.
Стандартное значение %SYSTEM32% — \Winnt\System32 (для
Windows 2000 или более поздней версии) и \Win95\System (для
Windows 95 или более поздней версии).
Для большей безопасности веб-сервер не передает специальные
символы интерпретатора команд сопоставленному приложению CGI.
Перечисленные ниже символы по умолчанию не могут быть включены в
адрес URL, вызывающий приложение CGI:
| ( , ; % < >
Использование некоторых специальных символов может быть разрешено
(хотя это и не рекомендуется). Для этого нужно изменить значение
параметра AllowSpecialCharsInShell в системном реестре. Более
подробные сведения см. в разделе Записи реестра для службы WWW.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Установка фильтров ISAPI
Аналогично расширениям ISAPI, фильтры ISAPI являются программами,
которые вызываются при получении веб-сервером запроса HTTP. Однако
в отличие от расширений ISAPI, фильтры ISAPI всегда выполняются в
процессе сервера. Отличие фильтров ISAPI от приложений заключается
в том, что они запускаются в ответ на события веб-сервера, а не по
запросу клиента. Имеется возможность связать фильтр ISAPI с
конкретным событием веб-сервера. После этого фильтр будет
вызываться при каждом возникновении такого события. Например,
фильтр может получать уведомление о каждом событии чтения или
записи и шифровать данные, возвращаемые клиенту.
Имеется возможность установить фильтры для всех узлов на сервере
(глобальные фильтры) или установить фильтры для отдельных вебузлов. Если установлены и глобальные фильтры, и фильтры для узла, то
для этого узла списки фильтров объединяются.
Когда для одного события зарегистрировано несколько фильтров, они
вызываются последовательно. Фильтры с более высоким приоритетом
выполняются раньше фильтров с низким приоритетом. Если приоритеты
у нескольких фильтров совпадают, то глобальные фильтры, заданные в
основных свойствах, выполняются раньше фильтров, заданных на
уровне узла. Фильтры с одинаковым приоритетом на одном уровне
наследования выполняются в том порядке, в котором они были
загружены. Допускается изменение порядка загрузки фильтров в окне
свойств веб-сервера или веб-узла.
Чтобы добавить фильтр на веб-сервер или веб-узел
1. В оснастке IIS выберите веб-сервер или веб-узел и откройте его
окно свойств.
2. Выберите вкладку Фильтры ISAPI.
Примечание. При добавлении фильтров на веб-узел не
отображаются имена глобальных фильтров, наследуемых от
основных свойств веб-сервера. Пользователь увидит только
фильтры, установленные на веб-узле, даже в случае, когда
выполняются оба набора фильтров.
3. Нажмите кнопку Добавить.
4. Введите имя фильтра в поле Имя фильтра и введите или найдите
имя файла DLL в поле Исполняемый файл.
5. Нажмите кнопку OK.
6. Чтобы изменить порядок загрузки фильтров, пользуйтесь кнопками
со стрелками.
Примечание. Изменение порядка загрузки допускается только
для фильтров с одинаковым приоритетом.
7. При добавлении или изменении глобального фильтра необходимо
остановить и снова запустить веб-сервер для загрузки новых
фильтров в память. Фильтр, добавленный на уровне веб-узла,
автоматически загружается при добавлении.
Примечание. Если запрос HTTP генерирует событие, для которого
зарегистрирован фильтр, то фильтр будет получать содержащиеся в
запросе данные вне зависимости от того, адресован ли запрос к файлу,
приложению CGI или расширению ISAPI.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Безопасность
Надлежащие меры безопасности, предпринятые на компьютере могут
уменьшить или даже совсем устранить угрозу несанкционированного
проникновения на веб-узел со стороны отдельных злоумышленников и
вероятность случайного получения доступа к конфиденциальной
информации или непреднамеренного повреждения файлов легальными
пользователями.
В этой главе рассказывается, как сконфигурировать веб-сервер и
Windows, чтобы обеспечить защиту веб-узла и выполнить другие важные
функции системы безопасности.
В данном разделе описываются следующие вопросы.







Система безопасности. Общий обзор средств безопасности вебсервера, содержащий советы по началу работы со средствами
защиты Secure Sockets Layer (SSL) и их использованию.
Контрольный список действий по обеспечению безопасности
IIS. Список предложений по обеспечению защиты компьютера,
включая настройку параметров Windows и веб-разрешений IIS, а
также меры физической защиты.
Проверка подлинности. Проверка подлинности пользователей,
пытающихся подключиться к защищенному содержимому.
Управление доступом. Управление доступом и работой
пользователей с вашими файлами и каталогами.
Шифрование. Защита конфиденциальной информации
средствами шифрования SSL.
Сертификаты. Установка защищенных соединений с
использованием сертификатов и средств SSL.
Аудит. Отслеживание событий безопасности для предотвращения
несанкционированного доступа и взлома.
Данная глава не содержит сведений по следующим вопросам.



Изолирование серверных приложений для выполнения их в
процессе, отдельном от процесса веб-сервера; см. Изолирование
приложений.
Проверка сетевого имени и адреса компьютера; см. Проверка
идентификации компьютера.
Безопасность ASP-приложений; см. Безопасность приложений IIS.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Система безопасности
Глава включает обзор пяти основных элементов системы безопасности,
предлагаемых IIS 5.1: проверка подлинности, управление доступом,
шифрование, аудит и сертификаты. Эта глава также содержит сведения
о настройке системы безопасности веб-сервера, введение в новые
мастера задач в IIS и комментарии к стандартам, поддерживаемым
системой безопасности IIS. В разделе обсуждаются следующие вопросы:








Новые мастера задач
Проверка подлинности
Управление доступом
Сертификаты
Шифрование
Аудит
Реализованные стандарты
Настройка системы безопасности
Новые мастера задач
В IIS 5.0 включены три новых мастера задач безопасности, доступные
также в IIS 5.1. Мастер сертификатов упрощает получение и управление
сертификатом сервера. Мастер списка доверенных сертификатов
облегчает создание и управление списком доверенных сертификатов.
Эти два мастера заменяют процедуры, использовавшиеся для этих целей
в предыдущих версиях IIS. Мастер разрешений упрощает установку
разрешений на доступ к каталогам и файлам. (Разрешения можно попрежнему установить с помощью процедуры, используемой в NTFS и
предыдущих версиях IIS). Дополнительные сведения см. в разделе
Использование новых мастеров безопасности.
Проверка подлинности
IIS предлагает возможности обеспечения безопасности, полностью
встроенные в Windows. Поддерживается шесть способов проверки
подлинности, поэтому можно подтвердить подлинность любого
пользователя, запрашивающего доступ к веб-узлам.

Анонимная проверка подлинности позволяет получить доступ
без указания имени пользователя и пароля.





Обычная проверка подлинности приглашает пользователя
ввести имя и пароль, которые передаются по сети
незашифрованными.
Краткая проверка подлинности выполняется так же, как и
обычная, за исключением того, что пароли передаются в виде
значения хеша. Краткая проверка подлинности доступна только
для доменов, контроллеры которых управляются операционной
системой Windows 2000.
Расширенная краткая проверка подлинности совпадает с
краткой проверкой подлинности за тем исключением, что в
расширенной проверке учетные данные клиента для повышения
безопасности сохраняются в виде хеша MD5 в службе каталогов
Active Directory на контроллере домена Windows XP.
Встроенная проверка подлинности Windows использует
технику хеширования для идентификации пользователя без
фактической передачи пароля по сети.
Сертификаты представляют собой цифровое «удостоверение
личности», которое может быть использовано для установления
соединения по протоколу SSL. Они также могут быть использованы
для проверки подлинности.
Эти методы могут быть использованы для разрешения доступа к общим
областям узла и предотвращения несанкционированного доступа к
личным файлам и каталогам. Дополнительные сведения о различных
способах использования проверки подлинности на веб-сервере см. в
разделе Проверка подлинности.
Управление доступом
Основой системы безопасности веб-сервера являются разрешения на
доступ файловой системы NTFS, позволяющие определить уровень
доступа к файлам и каталогам, предоставляемого пользователям и
группам Windows. Например, если фирма решает опубликовать на вебсервере свой каталог, необходимо создать учетную запись пользователя
Windows для этой организации, а затем сконфигурировать разрешения
для конкретного веб-узла, каталога или файла. Эти разрешения должны
допускать обновление содержимого веб-узла только администратором
сервера и владельцем фирмы. Остальным пользователям следует
разрешить просматривать веб-узел, но запретить изменение его
содержимого. Дополнительные сведения о задании разрешений NTFS см.
в разделе Задание разрешений NTFS на доступ к каталогу или файлу.
WebDAV — это расширение протокола HTTP 1.1, которое облегчает
управление файлами и каталогами при подключении по протоколу HTTP.
С помощью команд WebDAV свойства могут быть добавлены и считаны из
файлов и каталогов. Файлы и каталоги также могут быть созданы,
удалены, перемещены или скопированы через удаленный доступ.
Дополнительной управление доступом можно настраивать через
разрешения веб-сервера и NTFS. Дополнительные сведения см. в
разделах Управление доступом и Публикация WebDAV.
Сертификаты
Сертификаты представляют собой цифровые документы,
удостоверяющие личность, которые позволяют и серверам, и клиентам
проверить подлинность друг друга. Они необходимы для установления
между сервером и обозревателем на компьютере клиента соединения по
протоколу SSL, при котором информация может быть передана в
зашифрованном виде. В IIS возможности SSL, основанные на
использовании сертификатов, состоят из сертификата сервера,
клиентского сертификата и различных цифровых ключей. Эти
сертификаты могут быть созданы с помощью службы Microsoft Certificate
Services или получены от доверенной для обеих сторон независимой
организации, называемой службой сертификации. Дополнительные
сведения по настройке сертификатов и ключей см. в разделе Установка
SSL на сервере.
Сертификаты сервера
Сертификаты сервера позволяют пользователю подтвердить подлинность
веб-узла. Сертификат сервера содержит подробные сведения для
идентификации: название организации, связанной с содержимым
сервера, название организации-поставщика сертификата, а также общий
ключ, используемый для установления зашифрованного соединения. Эти
сведения служат для пользователей гарантией подлинности содержимого
веб-сервера и целостности системы безопасности подключения HTTP.
Дополнительные сведения см. в разделе Сертификаты.
Клиентские сертификаты
При использовании SSL веб-сервер также имеет возможность проверить
подлинность пользователей по содержимому клиентских сертификатов.
Типичный сертификат клиента содержит подробные сведения,
идентифицирующие пользователя и организацию, выдавшую
сертификат, и общий ключ. Проверка подлинности клиентских
сертификатов совместно с шифрованием SSL позволяет реализовать
защищенный метод проверки подлинности пользователей.
Дополнительные сведения см. в разделе Сертификаты.
Шифрование
Можно разрешить пользователям обмениваться с сервером частными
сведениями, например номерами кредитных карт или телефонами,
безопасным путем с помощью шифрования. Шифрование
«перемешивает» информацию перед ее пересылкой, дешифрование —
расшифровывает ее после получения. Основанием для этого
шифрования в IIS является протокол SSL 3.0, который обеспечивает
безопасный способ установления зашифрованного соединения с
пользователями. SSL подтверждает подлинность содержимого веб-узла и
пользователей, пытающихся получить доступ к веб-узлам.
Сертификаты включают ключи, используемые при установке безопасного
соединения по протоколу SSL. Ключ представляет собой уникальное
значение, используемое для проверки подлинности сервера и клиента
при установлении соединения SSL. Общий ключ и закрытый ключ
образуют пару ключей SSL. Веб-сервер использует пару ключей для
установления безопасного соединения с веб-обозревателем клиента для
определения уровня шифрования, необходимого для безопасной связи.
Для такого типа соединения необходимо, чтобы веб-сервер и вебобозреватель пользователя были оснащены совместимыми системами
шифрования и дешифрования. В процессе обмена создается ключ
шифрования (или ключ сеанса). Ключ сеанса используется как
сервером, так и веб-обозревателем для шифрования и дешифрования
передаваемых данных. Степень шифрования для ключа сеанса, которую
иногда называют стойкостью, измеряется в битах. Чем длиннее ключ
сеанса, тем выше уровень шифрования и степень защиты. Хотя большая
стойкость ключа обеспечивает большую безопасность, она также требует
больше ресурсов сервера для реализации. Ключ сеанса веб-сервера
обычно имеет длину 40 бит, но может быть длиной до 128 бит, в
зависимости от требуемого уровня безопасности. Дополнительные
сведения см. в разделе Шифрование.
Аудит
Средства аудита дают широкие возможности контроля за посетителями и
операциями веб-сервера. Рекомендуется регулярно выполнять аудит
конфигурации сервера, чтобы обнаружить области, которые могут
допустить несанкционированный доступ. Можно использовать
встроенные служебные программы Windows, средства ведения журналов,
встроенные в IIS, или использовать приложения ASP для создания
собственного журнала аудита. Дополнительные сведения см. в разделе
Аудит.
Реализованные стандарты
Большинство возможностей системы безопасности IIS реализуют
стандарты, используемые в Интернете. Эти стандарты помогают
поддерживать единообразие и использование приложений и информации
на разных аппаратных платформах. Корпорация Майкрософт считает
необходимым работать с пользователями компьютеров и Интернета, как
помогая создавать хорошие стандарты, так и реализуя эти стандарты.
Для получения дополнительных сведений о стандартах, реализованных в
IIS, следуйте соответствующей ссылке в приведенном ниже списке:
Fortezza. IIS поддерживает государственный стандарт США, обычно
называемый Fortezza. Этот стандарт удовлетворяет требованиям
архитектуры безопасности Defense Message System с криптографическим
механизмом, обеспечивающим конфиденциальность сообщений,
целостность, проверку подлинности, невозможность отказа от признания
и управление доступом к сообщениям, компонентам и системам. Эти
возможности реализованы в программном обеспечении сервера и
обозревателя и с помощью оборудования в стандарте PCMCIA. Стандарт
безопасности Fortezza широко используется правительством США.
Secure Sockets Layer (SSL 3.0) является протоколом безопасности,
основанный на общем ключе, который реализован поставщиком Secure
Channel (Schannel). Протокол безопасности SSL широко используется в
обозревателях Интернета и серверах для проверки подлинности,
целостности сообщения и обеспечения конфиденциальности.
Обычная проверка подлинности является частью спецификации HTTP
1.0, в которой пароль при передаче по сети кодируется в системе с
основанием 64. Большинство обозревателей поддерживают эту
спецификацию.
Краткая проверка подлинности обеспечивает передачу по сети
информации для проверки подлинности в виде хеша и является
совместимой с прокси-серверами.
PKCS #7 описывает формат зашифрованных данных, например
цифровых подписей или цифровых конвертов, которые надежно хранят
содержащуюся в них информацию. И те, и другие включены в
возможности сертификатов в IIS.
PKCS #10 описывает формат запросов на сертификат, которые
направляются в службы сертификации.
Для получения дополнительных сведений о Windows и вопросах сетевой
безопасности посетите веб-узел безопасности корпорации Майкрософт
или веб-узел безопасности Windows.
Настройка системы безопасности
Прежде чем приступать к настройке средств защиты веб-сервера,
следует определить уровень безопасности, необходимый для защиты
веб-узлов и узлов FTP. Например, если планируется создание веб-узла,
на котором некоторым пользователям будет разрешен доступ к
секретной информации, такой как финансовые или медицинские архивы,
необходимо установить надежную конфигурацию системы защиты. Эта
конфигурация должна позволять надежно проверять подлинность
заданных пользователей и предоставлять доступ только им.
Безопасность веб-сервера в значительной степени зависит от
конфигурации системы безопасности Windows. Без правильной
настройки средств безопасности Windows защитить веб-сервер
невозможно.
Если это еще не сделано, выполните следующие действия.




Настройте учетную запись администратора Windows.
Создайте и организуйте учетные записи пользователей.
Создайте и организуйте группы.
Определите политику безопасности Windows.
Дополнительные сведения содержатся в документации Windows. Кроме
того, полезным источником сведений по безопасности является пакет
Windows 2000 Resource Kit.
В рамках задания конфигурации системы безопасности следует также
отформатировать раздел жесткого диска под файловую систему NTFS.
Разделы NTFS обеспечивают более полные возможности контроля за
доступом к файлам и каталогам, а также более эффективное сохранение
данных, чем разделы системы FAT. Для преобразования раздела
жесткого диска к системе NTFS можно использовать служебную
программу Windows Convert. Дополнительные сведения содержатся в
документации Windows.
После этого следует определить, какие файлы и каталоги должны быть
общедоступными для посетителей веб- и FTP-узлов. Общедоступные
материалы и материалы с ограниченным доступом следует сохранять в
разных каталогах.
Перед началом настройки системы безопасности веб-сервера
просмотрите в разделе Управление доступом сведения о настройке
анонимного доступа к веб-серверу.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Контрольный список действий
по обеспечению безопасности
IIS
Есть несколько способов усиления безопасности компьютера,
публикующего информацию в интрасети. Пользователям, которых
волнует безопасность их системы, следует просмотреть этот список и
выяснить, можно ли улучшить ее.
Примечание. За помощью в защите информации, имеющей особую
важность, следует обратиться в компанию, осуществляющую
профессиональные консультации в области безопасности.
Консультационная фирма поможет вам выработать правильные политики
и процедуры обеспечения безопасности.
Безопасность Windows Безопасность Internet Information Services
Физическая безопасность
Безопасность персонала
Дополнительные сведения о безопасности
Безопасность Windows
Средства безопасности IIS базируются на средствах безопасности,
предоставляемых Windows. Следующие действия, выполненные в
Windows, послужат усилению безопасности веб-узла.
Файловая система
Действие
• Используйте NTFS
Причина
Файловая система NTFS более безопасна, чем
система FAT. Сведения о преобразовании
установленной на жестком диске системы FAT в
NTFS см. в документации Windows.
• Проверьте разрешения на
каталоги
По умолчанию при создании новых папок Windows
дает группе «Все» полный доступ к ним.
• Задайте ограничения доступа
для учетной записи
IUSR_ИмяКомпьютера
Это поможет ограничить доступ анонимных
пользователей к вашему компьютеру.
• Храните исполняемые файлы в Это облегчает аудит и назначение разрешений на
доступ для администраторов.
отдельном каталоге
• Проверьте разрешения NTFS на По умолчанию при создании новых общих ресурсов
Windows дает группе «Все» полный доступ к ним.
доступ к сетевым дискам
Учетные записи пользователей
Действие
Причина
• Регулярно проверяйте учетные Проверьте, все ли записи в системе созданы
администратором. Просмотрите права, данные
записи пользователей
учетной записи IUSR_ИмяКомпьютера. Все
пользователи, осуществляющие анонимный доступ
к узлу, имеют права, данные этой учетной записи.
Можно также с помощью средств аудита
отслеживать, кто и когда изменял политики
безопасности. Дополнительные сведения см. в
разделе Аудит.
• Выбирайте трудные для подбора Пароли сложнее угадать или подобрать, если они
состоят из комбинации букв верхнего и нижнего
пароли.
регистров, цифр и специальных символов.
• Реализуйте строгую политику
Отслеживайте доступ, предоставленный важным
учетным записям пользователей и групп. Вы также
учетных записей.
должны знать, кто имеет полномочия изменять
политики безопасности.
• Уменьшите до минимума число
Обычно участники этой группы имеют полный
участников группы
доступ к компьютеру.
«Администраторы»
• Задайте пароль для учетной
записи «Администратор»
По умолчанию пароль для учетной записи
«Администратор» не задан. Для надежной защиты
выберите трудный для подбора пароль, как описано
выше.
Службы и прочие аспекты
Действие
Причина
• Запускайте минимальное число Запускайте только те службы, которые абсолютно
необходимы для ваших нужд. Каждая запущенная
служб
служба вносит дополнительный риск
несанкционированного проникновения в систему.
Более подробные сведения о службах и
безопасности см. в пакете ресурсов
Microsoft Windows 2000 Server Resource Kit.
• Включите аудит
Аудит — это очень ценное средство для
отслеживания доступа к защищенным или важным
файлам. Аудит можно также использовать для
отслеживания серверных событий, таких как
изменение политики безопасности. Журналы аудита
можно архивировать для последующего изучения.
Дополнительные сведения см. в разделе Аудит.
• При удаленном
администрировании
компьютера используйте
шифрование
Обычно при удаленном администрировании
выполняется передача конфиденциальной
информации, например пароля учетной записи
«Администратор». Чтобы защитить эту
информацию во время передачи ее по открытой
сети, используйте средства шифрования Secured
Sockets Layer (SSL). Дополнительные сведения см.
в разделе Шифрование.
• Используйте для работы с
Использование для просмотра Интернета учетной
Интернетом учетную запись с
ограниченными правами
записи, наделенной большими полномочиями
(администратора, опытного пользователя и т. п.),
потенциально может открыть ваш компьютер для
проникновения извне. Аналогично, никогда не
просматривайте Интернет с основного контроллера
домена (PDC).
• Регулярно выполняйте
Никакая защита не может гарантировать полной
резервное копирование важных безопасности данных. Дополнительные сведения
см. в книге Microsoft Windows 2000 Server Resource
файлов и реестра
Kit.
• Регулярно выполняйте
проверку на вирусы
Любой компьютер или открытая сеть могут быть
заражены компьютерным вирусом. Регулярные
проверки могут помочь избежать потери данных.
Безопасность Internet Information Services
IIS обеспечивает защиту самого веб-узла, включая проверку
подлинности и веб-разрешения.
Проверка подлинности
Действие
• Используйте наиболее
надежную проверку
подлинности из числа
возможных
Причина
Используйте наиболее надежную проверку
подлинности из тех, которые поддерживаются
клиентами. Например, встроенная проверка
подлинности Windows и краткая проверка
подлинности более надежны, чем обычная проверка
подлинности. Клиентские сертификаты также
являются крайне надежным способом проверки
подлинности. Дополнительные сведения о проверке
подлинности см. в разделе Проверка подлинности.
• Сопоставление сертификатов
Для сопоставления клиентских сертификатов
«один-к-одному» или «многие-к- учетным записям Windows Вы можете использовать
либо оба этих метода, либо какой-нибудь один из
одному»
них. Сопоставление «один-к-одному» дает более
высокую определенность, но требует, чтобы копия
клиентского сертификата находилась на сервере.
Сопоставление «многие-к-одному» легче
реализуется и не требует хранения копии
сертификата на сервере. Дополнительные сведения
см. в разделе Сопоставление клиентских
сертификатов с учетными записями пользователей.
Веб-разрешения
Действие
Причина
• Синхронизируйте вебЕсли веб-разрешения и разрешения NTFS
разрешения и разрешения NTFS противоречат друг другу, то применяются те из них,
которые налагают более жесткие ограничения.
Синхронизацию можно выполнить как вручную,
так и с помощью мастера разрешений.
Дополнительные сведения о веб-разрешениях см. в
разделе Основы управления доступом.
Дополнительные сведения о разрешениях NTFS см.
в документации Windows.
• Используйте наиболее
ограничивающие разрешения
Например, если веб-узел служит только для
просмотра информации, назначайте только
разрешения на чтение. Если каталог или узел
содержат приложения ASP, используйте
разрешение «Только сценарии», а не «Сценарии и
исполняемые файлы». Дополнительные сведения
см. в разделе Установка разрешений для вебсервера.
• Разрешения «Запись» и
«Сценарии и исполняемые
файлы»
Эту комбинацию следует использовать с большой
осторожностью. Она позволяет пользователям
загружать исполняемые файлы, которые могут быть
потенциально опасными, на сервер и выполнять их
на нем. Дополнительные сведения см. в разделе
Установка разрешений для веб-сервера.
Физическая безопасность
Действие
• Отходя от рабочей станции
блокируйте ее
Причина
Отходя от компьютера, блокируйте рабочую
станцию; для этого нажмите сочетание клавиш
CTRL + ALT + DELETE и нажмите кнопку
Блокировка.
• Используйте защищаемую
паролем экранную заставку
Задержка по времени до ее активизации должна
быть короткой, чтобы никто не смог использовать
компьютер, когда вы отойдете от него. Экранная
заставка должна быть пустой; анимированные
заставки уменьшают производительность сервера.
• Располагайте компьютер в
запираемом помещении
Храните компьютер в запираемой комнате, чтобы
снизить возможность физического доступа к нему
со стороны злоумышленников.
Безопасность персонала
Действие
• Используйте разные учетные
записи администраторов
Причина
Каждому пользователю, имеющему полномочия
администратора, нужно назначить отдельную
учетную запись и пароль. Это упростит
отслеживание вносимых изменений.
• Используйте соглашения о
неразглашении
Рекомендуется использовать соглашения о
неразглашении, запретив пользователям сообщать
свои реквизиты другим лицам.
• Периодически меняйте учетные Чтобы уменьшить вероятность подбора
информации учетной записи пользователя,
записи
периодически меняйте учетные записи
пользователей, имеющих административные или
другие расширенные привилегии.
• Быстро удаляйте
Это позволит снизить риск получения бывшим
неиспользуемые учетные записи сотрудником или партнером доступа к вашей сети.
Дополнительные сведения о безопасности
Следующие источники содержат дополнительные сведения о
безопасности веб-узлов:




Книга Microsoft Windows 2000 Server Resource Kit
Веб-узел безопасности корпорации Майкрософт
Веб-узел RSA
Веб-узел безопасности Microsoft Windows
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Проверка подлинности
Имеется возможность указать в конфигурации IIS проверку подлинности,
т. е. определение подлинности учетной записи пользователя Windows,
прежде чем разрешить этому пользователю установить сетевое
подключение к серверу. Однако проверка подлинности пользователей
имеет место, если анонимный доступ отключен или разрешения
файловой системы NTFS требуют допустимого имени учетной записи
Windows и пароля для идентификации пользователя.
Администратор сервера должен правильно подобрать способ проверки
подлинности, отвечающий как требованиям безопасности, так и
возможностям веб-обозревателей пользователей.
Глава содержит следующие разделы.




О проверке подлинности. Общий обзор проверки подлинности.
Включение и конфигурирование проверки
подлинности. Описание процедуры, позволяющей включить и
сконфигурировать обычный, краткий и встроенный методы
проверки подлинности.
Задание стандартного домена для входа. Описание
процедуры, позволяющей сконфигурировать домен для входа при
обычной проверке подлинности.
Использование стандарта безопасности Fortezza в
IIS. Описание процедуры, позволяющей сконфигурировать
средства безопасности Fortezza в IIS.
Данная глава не содержит сведений по следующим вопросам.


Контроль за доступом пользователей к файлам и каталогам на вебсервере; см. Управление доступом.
Использование SSL и сертификатов; см. Сертификаты.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
О проверке подлинности
Перед предоставлением доступа к информации на сервере можно
потребовать от пользователя ввести имя действительной учетной записи
пользователя Microsoft Windows и пароль. Этот процесс идентификации
называют проверкой подлинности. Проверка подлинности, как и
большинство возможностей IIS, может быть установлена на уровне вебузла, каталога или файла. IIS предлагает следующие способы проверки
подлинности для управления доступом к содержимому сервера:
Методы для WWW






Анонимная проверка подлинности
Обычная проверка подлинности
Краткая проверка подлинности
Расширенная краткая проверка подлинности
Встроенная проверка подлинности Windows
Проверка сертификатов
Методы для FTP


Анонимная проверка подлинности FTP
Обычная проверка подлинности FTP
Для получения дополнительной информации об установке проверки
подлинности см. раздел Включение и конфигурирование проверки
подлинности.
Обзор способов проверки подлинности
Способ
Анонимная
Уровень
безопасности
Способ
отправки
паролей
Отсутствуют Отсутствует
Использование с
прокси-серверами и
брандмауэрами
Да
Требования к
клиенту
Любой
обозреватель
Обычная
Низкий
Да; однако отправка
паролей через проксисервер или брандмауэр
открытым текстом
является
Открытый текст потенциальный риск
Большинство
в кодировке
нарушения
обозревателей
Base64
безопасности,
поскольку кодировка
открытого текста по
основанию 64 не
является
шифрованием.
Краткая
Средняя
Хешированная
Расширенная
Средняя
краткая
Встроенная
Windows
Высокий
Сертификаты Высокий
Анонимная
FTP
Хешированная
Да
Internet Explorer
5.0 или более
поздние версии
Да
Internet Explorer
5.0 или более
поздние версии
Хешированная,
когда
используется
Нет, за исключением
NTLM.
использования через
Удостоверение
подключение PPTP
Kerberos, когда
используется
Kerberos.
Отсутствует
Отсутствуют Отсутствует
Internet Explorer
2.0 или более
поздние версии
для NTLM;
Windows 2000 или
более поздние
версии с Internet
Explorer 5.0 или
более поздними
версиями для
Kerberos
Да, при использовании Internet Explorer и
подключения SSL
Netscape
Да
Любой клиент FTP
Основная
FTP
Низкий
Открытый текст Да
Любой клиент FTP
Анонимная проверка подлинности
Анонимная проверка подлинности дает пользователям доступ к общим
областям веб- или FTP-узлов без запроса имени пользователя или
пароля. Когда пользователь пытается подключиться к общему веб- или
FTP-узлу, веб-сервер назначает подключению учетную запись
IUSR_ИмяКомпьютера, где ИмяКомпьютера представляет имя сервера, на
котором выполняется IIS. По умолчанию пользователь
IUSR_ИмяКомпьютера включается Windows в группу пользователей
Guests. Эта группа имеет ограничения по безопасности, налагаемые
разрешениями NTFS, которые устанавливают уровень доступа и тип
содержимого, доступные обычным пользователям.
Если на сервере размещено несколько узлов или на узле имеется ряд
областей, требующих различных прав доступа, можно создать несколько
анонимных учетных записей (по одной на каждый веб- или FTP-узел,
каталог или файл). Предоставляя этим учетным записям различные
права на доступ или назначая эти учетные записи разным группам
пользователей, можно предоставить анонимным пользователям доступ к
различным областям веб- и FTP-узлов.
Следующий процесс служит объяснением, как IIS использует учетную
запись IUSR_ИмяКомпьютера.
1. Учетная запись IUSR_ИмяКомпьютера добавляется в группу
пользователей Guests.
2. При получении запроса IIS олицетворяет учетную запись
IUSR_ИмяКомпьютера перед выполнением любой программы или
доступом к любому файлу. IIS в состоянии исполнить роль
пользователя IUSR_ИмяКомпьютера, поскольку и имя
пользователя, и пароль известны IIS.
3. Перед возвращением страницы клиенту IIS проверяет файл NTFS и
разрешения для каталога, чтобы проверить возможность доступа к
файлу для пользователя с учетной записью IUSR_ИмяКомпьютера.
4. Если доступ разрешен, проверка подлинности завершается и
ресурсы становятся доступными пользователю.
5. Если доступ не разрешен, IIS пытается использовать другой способ
проверки подлинности. Если не один из методов не выбран, IIS
возвращает в обозреватель сообщение об ошибке «HTTP 403: Нет
доступа».
Важно! Если включена анонимная проверка подлинности, IIS всегда
сначала пытается выполнить для пользователя анонимную проверку
подлинности, даже если активизированы дополнительные способы
проверки подлинности.
Учетная запись, используемая для анонимной проверки подлинности,
может быть изменена в оснастке IIS консоли MMC на уровне служб вебсервера или для отдельных виртуальных каталогов и файлов. Учетная
запись анонимного пользователя должна давать пользователю права
локального подключения. Если учетная запись не имеет разрешения
«Локальный вход в систему», IIS не сможет обслуживать никакие
анонимные запросы. При установке IIS учетная запись
IUSR_ИмяКомпьютера получает разрешение «Локальный вход в
систему». На контроллерах домена учетные записи
IUSR_ИмяКомпьютера по умолчанию не включена в гостевые учетные
записи. Чтобы разрешить анонимные подключения, учетные записи
IUSR_ИмяКомпьютера должны быть изменены (предоставлено
разрешение «Локальный вход в систему»).
Примечание. Требования к носителю прав на локальный входа в
систему могут быть изменены программным образом с помощью
интерфейсов службы каталогов Active Directory (ADSI). Для получения
дополнительной информации см. раздел LogonMethod в руководстве по
Active Server Pages.
Также можно изменить привилегии для учетной записи
IUSR_ИмяКомпьютера в Windows с помощью оснастки диспетчера
групповой политики в консоли MMC. Однако если учетная запись
анонимного пользователя не дает права доступа к определенному файлу
или ресурсу, веб-сервер не установит анонимное соединение с этим
ресурсом. Дополнительные сведения см. в разделе Установка
разрешений для веб-сервера.
Важно! Если изменена учетная запись IUSR_ИмяКомпьютера,
изменения коснутся каждого анонимного запроса HTTP, который
обслуживается веб-сервером. Будьте внимательны при изменении этой
учетной записи.
Обычная проверка подлинности
Обычная проверка подлинности является широко используемым
стандартным способом получения сведений об имени пользователя и
пароле.
Процесс проверки подлинности клиента
1. Обозреватель Internet Explorer открывает диалоговое окно, в
которое пользователь вводит ранее назначенные ему имя и пароль
учетной записи Windows, называемые также учетные данные.
2. После этого веб-обозреватель пытается установить подключение к
серверу с помощью учетных данных пользователя. (Перед
передачей через сеть открытым текстом пароль кодируется в
системе с основанием 64.)
Важно! Кодирование основанием 64 не является шифрованием.
Если закодированный с основанием 64 пароль перехватывается
сетевым прослушивателем, пользователи, не имеющие
соответствующих полномочий, могут легко раскодировать и
использовать пароль.
3. Если учетные данные пользователя отвергаются, Internet Explorer
открывает диалоговое окно проверки подлинности для повторного
ввода пользователем своих учетных данных. Internet Explorer
позволяет пользователю выполнить три попытки подключения
перед отказом в подключении и выводом сообщения об ошибке.
4. Веб-сервер проверяет, что имя пользователя и пароль
соответствуют действительной учетной записиMicrosoft Windows, и
устанавливает подключение.
Для получения дополнительной информации об установке обычной
проверки подлинности см. раздел Включение и конфигурирование
проверки подлинности.
Преимуществом обычной проверки подлинности является то, что она
является частью спецификации HTTP и поддерживается большинством
обозревателей. К недостаткам относится то, что веб-обозреватели при
использовании этого метода передают пароли в незашифрованном виде.
Наблюдая за передачей информации в сети, можно легко перехватить и
расшифровать эти пароли с помощью общедоступных средств.
Следовательно, обычный способ проверки подлинности не
рекомендуется использовать, за исключением тех случаев, когда есть
полная уверенность в безопасности соединения пользователя и вебсервера (например, выделенная линия или безопасное подключение SSL
(Secure Sockets Layer)). Дополнительные сведения см. в разделе
Шифрование.
Примечание. Встроенная проверка подлинности имеет приоритет над
обычной проверкой подлинности. Обозреватель выбирает встроенную
проверку подлинности Windows и пытается использовать текущую
учетную информацию Windows перед тем, как запросить имя
пользователя и пароль. В настоящий момент только Internet Explorer
версии 2.0 и более поздней поддерживает встроенную проверку
подлинности.
Краткая проверка подлинности
В краткой проверке подлинности используется та же функциональность,
что и в обычной проверке подлинности. Однако в краткой проверке
подлинности способ отправки учетных данных по сети является более
безопасным. В краткой проверке подлинности учетные данные
передаются по сети с хешированием MD5 в виде дайджеста сообщения, в
котором исходное имя пользователя и пароль не могут быть
расшифрованы. Краткая проверка подлинности доступна для каталогов,
удовлетворяющих стандарту WebDAV (Web
Distributed Authoring and Versioning).
Установка дополнительного клиентского
программного обеспечения не требуется, но
краткая проверка подлинности основывается
на протоколе HTTP 1.1 согласно
спецификации RFC 2617 на веб-узле
консорциума World Wide Web. Поскольку
краткая проверка подлинности требует
совместимости с HTTP 1.1, она
поддерживается не всеми обозревателями. Если несовместимый с HTTP
1.1 обозреватель запрашивает файл с сервера, использующего краткую
проверку подлинности, сервер запросит у клиента учетные сведения для
дайджеста сообщения. Несовместимый с HTTP 1.1 клиент отклонит
запрос, поскольку дайджест не поддерживается клиентом.
Требования для краткой проверки подлинности
Перед включением краткой проверки подлинности на сервере IIS
проверьте, что удовлетворяются все минимальные требования. Только
администраторы домена могут проверить, удовлетворяются ли
требования к контроллерам домена. Проверьте у администратора
домена, если вы не уверены, что контроллер домена удовлетворяет
следующим требованиям:





все клиенты, получающие доступ к ресурсам с краткой проверкой
подлинности, используют Internet Explorer 5.0 или более позднюю
версию;
пользователь и сервер IIS должны быть членами одного домена
или иметь доверительные отношения;
пользователи должны иметь действительные учетные записи
Windows, сохраненные в службе каталогов Active Directory на
контроллере домена;
контроллер домена должен иметь операционную систему Windows
2000 или более позднюю версию;
сервер IIS должен иметь операционную систему Windows 2000 или
более позднюю версию.
Процесс проверки подлинности клиента
Ниже перечислены шаги по проверке подлинности клиента с помощью
краткой проверки подлинности.
1. Клиент запрашивает файл на сервере IIS.
2. Сервер IIS отклоняет запрос и отправляет клиенту следующие
сведения:
1. используется краткая проверка подлинности;
2. имя области.
3. Internet Explorer запрашивает учетные данные пользователя (имя
пользователя и пароль). Internet Explorer, комбинируя учетные
данные пользователя с именем области, создает хеш MD5 и заново
отправляет запрос на файл на сервер IIS, но на этот раз с
хеширование MD5.
4. Сервер IIS принимает хешированные данные клиента и отправляет
их на контроллер домена для проверки.
5. Контроллер домена информирует сервер IIS о результатах
проверки подлинности.
6. Если проверка подлинности клиента проходит, IIS отправляет
клиенту затребованный документ или данные.
Важно! Краткая проверка подлинности успешно завершается только
при наличии на контроллере домена копии с открытым текстом пароля
запрашивающего пользователя, сохраненной в службе каталогов Active
Directory. Поскольку контроллер домена сохраняет незашифрованные
копии паролей, служба каталогов Active Directory должна быть защищена
от физического и сетевого взлома.
Расширенная краткая проверка
подлинности
Расширенная краткая проверка подлинности совпадает с краткой
проверка подлинности во всем, за исключением способа сохранения
учетных данных на контроллере домена. Расширенная краткая проверка
подлинности обеспечивает повышенную безопасность по сравнению с
краткой проверкой подлинности, поскольку в ней учетные данные
пользователя не только пересылаются по сети с хешированием MD5, но
эти учетные данные также сохраняются в службе каталогов Active
Directory на контроллере домена с хешированием MD5 в виде дайджеста
сообщения. Поскольку учетные данные сохраняются в службе каталогов
Active Directory с хешированием MD5, пароли пользователей не могут с
высокой вероятностью обнаруживаться пользователями, имеющими
доступ к контроллеру домена. Расширенная краткая проверка
подлинности, доступная для каталогов WebDAV (Web Distributed
Authoring and Versioning), не заменяет краткую проверку подлинности.
Установка дополнительного клиентского программного обеспечения не
требуется, но краткая проверка подлинности основывается на протоколе
HTTP 1.1 согласно спецификации RFC 2617 на веб-узле консорциума
World Wide Web. Поскольку расширенная краткая проверка
подлинности основывается на протоколе HTTP 1.1, ее поддерживают не
все обозреватели. Если несовместимый с HTTP 1.1 обозреватель
запрашивает файл с сервера, использующего краткую проверку
подлинности, сервер запросит у клиента учетные сведения для
дайджеста сообщения. Несовместимый с HTTP 1.1 клиент отклонит
запрос, поскольку дайджест не поддерживается клиентом.
Требования для расширенной
краткой проверки подлинности
Перед включением расширенной краткой
проверки подлинности на сервере IIS
проверьте, что удовлетворяются все
минимальные требования. Только
администраторы домена могут проверить,
удовлетворяются ли требования к
контроллерам домена. Проверьте у
администратора домена, если вы не уверены, что контроллер домена
удовлетворяет следующим требованиям:





все клиенты, получающие доступ к ресурсам с краткой проверкой
подлинности, используют Internet Explorer 5.0 или более позднюю
версию;
пользователь и сервер IIS должны быть членами одного домена
или иметь доверительные отношения;
пользователи должны иметь действительные учетные записи
Windows, сохраненные в службе каталогов Active Directory на
контроллере домена;
домен должен иметь контроллер домена с операционной системой
Windows;
сервер IIS должен иметь операционную систему Windows.
Важно! Расширенную краткую проверку подлинности можно
включить, когда контроллер домена и сервер IIS одновременно имеют
операционную систему Windows XP. Если на контроллере домена или на
сервере IIS выполняется операционная система Windows 2000 или более
ранняя, IIS по умолчанию использует краткую проверку подлинности и
не предупреждает пользователей об этом действии.
Процесс проверки подлинности клиента
Ниже перечислены шаги по проверке подлинности клиента с помощью
расширенной краткой проверки подлинности.
1. Клиент запрашивает файл на сервере IIS.
2. Сервер IIS отклоняет начальный запрос и отправляет клиенту
следующие сведения:
1. используется краткая проверка подлинности;
2. имя области.
3. Internet Explorer запрашивает учетные данные пользователя (имя
пользователя и пароль). Internet Explorer, комбинируя учетные
данные пользователя с именем области, создает хеш MD5 и заново
отправляет запрос на файл на сервере IIS, но на этот раз с
хеширование MD5 в заголовке запроса HTTP.
4. Сервер IIS принимает хешированные данные клиента и отправляет
их на контроллер домена для проверки.
5. Контроллер домена сравнивает хеш клиента с копией, сохраненной
в службе каталогов Active Directory. Если значения хеша
совпадают, контроллер домена информирует сервер IISо
выполнении проверки подлинности клиента.
6. Сервер IIS отправляет клиенту запрошенный файл.
Примечание. На шаге 2 сервер IIS сообщает клиенту (Internet
Explorer), что использовалась краткая, а не расширенная проверка
подлинности, поскольку при обоих способах между сервером IIS и
клиентом используется один и тот же алгоритм проверки подлинности.
1.
Сведения о настройке расширенной краткой проверки подлинности
см. в разделе Конфигурирование расширенной краткой проверки
подлинности.
2. Дополнительные сведения о краткой проверке подлинности см. в
разделе Краткая проверка подлинности и в спецификации RFC
2617, определенной на веб-узле консорциума World Wide
Web.
3. Дополнительные сведения о службе каталогов Active Directory и
контроллерах домена см. в электронной документации Windows XP.
Встроенная проверка подлинности Windows
Встроенная проверка подлинности (раньше называвшаяся NTLM или
проверкой подлинности «запрос/ответ» Windows NT) является
безопасной формой проверки подлинности, поскольку имя пользователя
и пароль хешируются перед отправкой по сети. При включенной
встроенной проверке подлинности обозреватель на компьютере
пользователя доказывает знание пароля через криптографический
обмен с веб-сервером, используя хеширование.
Встроенная проверка подлинности использует проверку подлинности
Kerberos v5 и проверку подлинности NTLM. Если на служба каталогов
Active Directory установлена на контроллере домена с операционной
системой Windows 2000 или более поздней, а обозреватель пользователя
поддерживает протокол проверки подлинности Kerberos v5, то
используется проверка подлинности Kerberos v5. В противном случае
используется проверка подлинности NTLM.
Протокол проверки подлинности Kerberos v5 является возможностью
архитектуры Windows 2000 Distributed Services. Чтобы проверка
подлинности по протоколу Kerberos версии 5 была успешной,
компьютеры и клиента, и сервера должны иметь надежное соединение с
Key Distribution Center (KDC) и быть совместимыми со службами
каталогов. Дополнительные сведения о Kerberos и NTLM см. в
электронной документации Windows XP.
Процесс встроенной проверки подлинности Windows
Ниже перечислены шаги по проверке подлинности клиента с помощью
встроенной проверки подлинности.
1. В отличие от обычной проверки подлинности, пользователю не
предлагают ввести имя пользователя и пароль. Для встроенной
проверки подлинности используется текущая информация о
пользователе Windows на компьютере клиента.
Примечание. Internet Explorer версии 4.0 или более поздней
может быть сконфигурирован, чтобы запрашивать в случае
необходимости информацию о пользователе. Дополнительные
сведения см. в документации по Internet Explorer.
2. Однако если при начальном обмене идентифицировать
пользователя не удается, обозреватель выводит приглашение
ввести имя пользователя и пароль учетной записи Windows,
которые обрабатываются с помощью встроенной проверки
подлинности.
3. Internet Explorer будет повторять приглашение, пока пользователь
не введет правильную комбинацию имени и пароля или не закроет
диалоговое окно.
Хотя встроенная проверка подлинности безопасна, она имеет два
ограничения.
1. Только Microsoft Internet Explorer 2.0 или поздние версии
поддерживают этот способ проверки подлинности.
2. Встроенная проверка подлинности Windows не работает через
прокси-подключения HTTP.
Следовательно, встроенная проверка подлинности Windows лучше всего
подходит для внутренних сетей организации, в которых компьютеры
пользователя и веб-сервера находятся в одном домене и администратор
может проверить использование на каждом компьютере Microsoft Internet
Explorer версии 2.0 или более поздней.
Проверка сертификатов
Для двух типов проверки подлинности можно также использовать
возможности защиты по протоколу SSL (Secure Sockets Layer) для вебсервера. Можно использовать сертификат сервера для выполнения
пользователями проверки подлинности сервера до передачи
персональной информации, например номера кредитной карты. Также
можно использовать сертификаты клиентов для проверки подлинности
пользователей, запрашивающих информацию с веб-узла. SSL проверяет
подлинность по содержимому зашифрованного цифрового
идентификатора, который отправляется веб-обозревателем пользователя
в процессе входа в систему. (Пользователи получают сертификаты
клиента от независимой организации, доверенной для обеих сторон.)
Сертификаты сервера обычно содержат сведения о компании и об
организации, выдавшей сертификат. Сертификаты клиентов обычно
содержат подробные сведения о пользователе и об организации,
выдавшей сертификат. Дополнительные сведения см. в разделе
Сертификаты.
Сопоставление клиентских сертификатов
Поскольку для доступа к ресурсам, таким как файлы, требуется учетная
запись пользователя Windows, имеется возможность связать или
сопоставить на веб-сервере сертификаты клиентов с учетным записям
пользователей Windows. После создания и включения сопоставления при
каждом входе пользователя с клиентским сертификатом веб-сервер
автоматически сопоставляет этого пользователя с соответствующей
учетной записью Windows. Таким образом можно автоматически
проверять подлинность пользователей, входящих в систему с
сертификатами клиента, не требуя основной, краткой или встроенной
проверки подлинности. Можно сопоставить или один сертификат клиента
одной учетной записи пользователя Windows, или несколько
сертификатов одной учетной записи. Например, если на сервере
присутствует несколько подразделений, каждое на своем веб-узле,
можно использовать сопоставление «многие-к-одному» для
установления соответствия сертификатов клиента каждого
подразделения соответствующему веб-узлу. В этом случае каждый узел
обеспечивает доступ только для своих клиентов. Дополнительные
сведения см. в разделе Сопоставление клиентских сертификатов с
учетными записями пользователей.
Проверки подлинности FTP
Анонимная проверка подлинности FTP
Сервер FTP может быть сконфигурирован, чтобы разрешать анонимный
доступ к своим ресурсам. Если для ресурса выбрана анонимная проверка
подлинности FTP, все запросы к этому ресурсу будут выполняться без
предложения ввести имя пользователя или пароль. Это возможно,
поскольку IIS автоматически создает учетную запись пользователя
Windows с именем IUSR_ИмяКомпьютера, где ИмяКомпьютера
представляет имя сервера, на котором выполняется IIS. Это очень
похоже на анонимную проверку подлинности в Интернете. Если
анонимная проверка подлинности включена, IIS всегда будет пытаться
сначала использовать ее, даже включена обычная проверка подлинности
FTP. Дополнительные сведения см. в разделе Анонимная проверка
подлинности.
Обычная проверка подлинности FTP
Чтобы установить FTP-подключение к веб-серверу с помощью обычной
проверки подлинности FTP, пользователи должны представить при входе
имя пользователя и пароль, соответствующие действительной учетной
записи Windows. Если веб-сервер не может подтвердить личность
пользователя, то сервер возвращает сообщение об ошибке. Эта проверка
подлинности для FTP не является безопасной, поскольку пользователь
передает пароль и имя пользователя по сети в незашифрованном виде.
Дополнительные сведения см. в разделе Управление доступом.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Включение и конфигурирование
проверки подлинности
Данный раздел содержит обобщенную процедуру включения проверки
подлинности и более подробные сведения о настройке анонимной,
обычной, краткой, расширенной краткой и встроенной проверки
подлинности. Если вы не знакомы с этими способами проверки
подлинности, ознакомьтесь с разделом О проверке подлинности перед
настройкой проверки подлинности на сервере.






Включение проверки подлинности
Конфигурирование анонимной проверки подлинности
Конфигурирование обычной проверки подлинности
Конфигурирование краткой проверки подлинности
Конфигурирование расширенной краткой проверки подлинности
Конфигурирование встроенной проверки подлинности Windows
Включение проверки подлинности
Пользователь имеет возможность включить любую настройку проверки
подлинности или разные настройки для любого веб- или FTP-узла,
виртуального каталога или файла. Анонимная и встроенная проверка
подлинности Windows включаются по умолчанию.
Чтобы включить метод проверки подлинности для
Интернета
1. Создайте учетную запись пользователя, соответствующую методу
проверки подлинности. Если целесообразно, добавьте учетную
запись в группу пользователей Windows. Более подробные
сведения о создании учетных записей пользователей Windows см. в
разделе Защита файлов в системе NTFS..
2. Задайте конфигурацию разрешений NTFS для каталогов или
файлов, доступом к которым необходимо управлять.
Дополнительные сведения см. в разделе Задание разрешений NTFS
на доступ к каталогу или файлу.
3. В оснастке IIS выберите веб-узел, каталог или файл и откройте его
окно свойств.
4. Выберите соответствующую вкладку Безопасность каталога или
Безопасность файла. В группе Анонимный доступ и проверка
подлинности нажмите кнопку Изменить.
5. В диалоговом окне Способы проверки подлинности выберите
один или несколько способов.
Примечания


Чтобы гарантировать проверку подлинности всех пользователей
только обычной проверкой, сбросьте все остальные флажки.
Веб-сервер будет пытаться использовать обычную, краткую и
встроенную проверку подлинности только при выполнении любого
из следующих условий.
o Анонимный доступ не разрешен.
o Отказ при анонимной проверке подлинности.
o Доступ к файлам и каталогам ограничен разрешениями NTFS.
Чтобы включить метод проверки подлинности для FTP
Краткая и встроенная проверки подлинности не могут быть
использованы для FTP-узлов. Для FTP проверка подлинности может быть
установлена только на уровне узла.
1. Выполните шаги с 1 по 3 в разделе Чтобы включить метод
проверки подлинности для Интернета.
2. Выберите вкладку Безопасные учетные записи и установите
флажок Разрешить анонимные подключения.
3. В поля Пользователь и Пароль введите имя и пароль для входа
анонимного пользователя. Имя пользователя представляет имя
учетной записи анонимного пользователя, которое обычно
задается в виде IUSR_ИмяКомпьютера. Для смены пароля снимите
флажок Разрешить управление паролем из IIS.
4. Установите флажок Разрешить управление паролем из IIS для
синхронизации пароля с учетной записью пользователя Windows.
Примечание. Синхронизацию паролей можно использовать
только для учетных записей анонимных пользователей, которые
определены на локальном компьютере, но не для анонимных
учетных записей на других компьютерах в сети.
5. При необходимости, чтобы все пользователи подключались как
анонимные пользователи, установите флажок Разрешить только
анонимные подключения.
6. Нажмите кнопку OK.
7. Установите соответствующие разрешения NTFS для анонимной
учетной записи. Дополнительные сведения см. в разделе Задание
разрешений NTFS на доступ к каталогу или файлу.
Важно! Если изменить параметры безопасности для веб-узла или
виртуального каталога, веб-сервер выводит приглашение разрешить
сброс настроек безопасности для дочерних уровней этого узла или
каталога. Если пользователь принимает эти настройки, то дочерние
уровни наследуют настройки безопасности родительского узла или
каталога. Дополнительные сведения о настройке свойств см. в разделе
«Свойства и наследование свойств на узлах» раздела О веб- и FTPузлах.
Конфигурирование анонимной проверки
подлинности
По умолчанию в группу Guests Windows включается учетная запись
IUSR_ИмяКомпьютера. Может быть создано несколько учетных записей
анонимных пользователей, по одной на каждый веб- или FTP-узел,
каталог или файл. Предоставляя этим учетным записям различные права
на доступ или назначая эти учетные записи разным группам
пользователей, можно предоставить анонимным пользователям доступ к
различным областям общих веб- и FTP-узлов.
Учетная запись анонимного пользователя должна давать пользователю
права на локальный вход в систему. Если учетной записи не
предоставлено разрешение «Локальный вход в систему», IIS не может
обслуживать анонимные запросы. В контроллерах домена учетная запись
IUSR_ИмяКомпьютера по умолчанию не включена в гостевые учетные
записи. Она должна быть изменена (предоставлено разрешение
«Локальный вход в систему»), чтобы разрешить анонимные
подключения.
Привилегии безопасности для учетной записи IUSR_ИмяКомпьютера в
Windows могут быть изменены.. Однако если учетная запись анонимного
пользователя не дает разрешения на доступ к определенному ресурсу,
веб-сервер не установит анонимное подключение к этому ресурсу.
Дополнительные сведения см. в разделе Установка разрешений для вебсервера.
Чтобы включить анонимную проверку подлинности
1. В оснастке IIS выберите веб-узел, каталог или файл и откройте его
окно свойств.
2. Выберите вкладку Безопасность каталога или Безопасность
файла. В окне присутствует одна из вкладок Безопасность
каталога или Безопасность файла, в зависимости от того, на
каком уровне изменяются настройки безопасности.
3. В группе Анонимный доступ и проверка подлинности нажмите
кнопку Изменить. Открывается диалоговое окно «Способы
проверки подлинности».
4. Установите флажок Анонимный доступ.
Чтобы изменить учетную запись, используемую для
анонимной проверки подлинности
1. В оснастке IIS выберите веб-узел, каталог или файл и откройте его
окно свойств.
2. Выберите вкладку Безопасность каталога или Безопасность
файла. В окне присутствует одна из вкладок Безопасность
каталога или Безопасность файла, в зависимости от того, на
каком уровне изменяются настройки безопасности.
3. В группе Анонимный доступ и проверка подлинности нажмите
кнопку Изменить. Открывается диалоговое окно «Способы
проверки подлинности».
4. Установите флажок Анонимный доступ. Выполните следующие
действия в группе «Учетная запись для анонимного доступа».
5. Введите или найдите с помощью кнопки Обзор действительную
учетную запись пользователя Windows, которую следует
использовать для анонимного доступа.
6. Для ввода пароля учетной записи снимите флажок Разрешить
управление паролем из IIS.
Важно! Если изменена учетная запись IUSR_ИмяКомпьютера,
изменения коснутся каждого анонимного запроса, который
обслуживается веб-сервером. Будьте внимательны при изменении этой
учетной записи.
Конфигурирование обычной проверки
подлинности
Включение обычной проверки подлинности не приводит к
автоматическому включению проверки подлинности пользователей на
веб-сервере. Должны быть созданы учетные записи пользователей
Windows и установлены разрешения NTFS (как это описано выше).
Чтобы правильно выполнять обычную проверку подлинности
пользователей, учетные записи пользователей Windows должны иметь
разрешение «Локальный вход в систему». Это право должно быть
назначено, поскольку обычная проверка подлинности олицетворяет
локального пользователя или пользователя, физически
подключившегося к серверу. По умолчанию учетным записям
пользователей на первичном контроллере домена Windows (PDC) не
предоставляется право локального входа в систему. Предоставить
пользователям право «Локальный вход в систему» можно с помощью
интерфейсов службы каталогов Active Directory Service Interfaces (ADSI).
Для получения дополнительной информации см. раздел LogonMethod в
руководстве по Active Server Pages.
Важно! Обычный метод проверки подлинности передает имена
пользователей и пароли по сети в незашифрованном виде. В сочетании с
обычной проверкой подлинности можно использовать возможности
шифрования веб-сервера, чтобы обезопасить учетную информацию
пользователя при передаче по сети. Дополнительные сведения см. в
разделе О шифровании.
Чтобы включить обычную проверку подлинности
1. В оснастке IIS выберите веб-узел, каталог или файл и откройте его
окно свойств.
2. Выберите вкладку Безопасность каталога или Безопасность
файла. В окне присутствует одна из вкладок Безопасность
каталога или Безопасность файла, в зависимости от того, на
каком уровне изменяются настройки безопасности.
3. В группе Доступ с проверкой подлинности установите флажок
Обычная.
Необходимо установить стандартный домен для входа. Дополнительные
сведения см. в разделе Задание стандартного домена для входа.
Конфигурирование краткой проверки
подлинности
Сведения о минимальных требованиях для использования краткой
проверки подлинности см. в разделе Требования для краткой проверки
подлинности. Включение краткой проверки подлинности на сервере IIS
требует выполнения следующих двух задач.


Включение краткой проверки подлинности для серверов домена
Windows
Настройка имени области
Чтобы включить краткую проверку подлинности для
серверов домена Windows
1.
2.
3.
4.
5.
Откройте оснастку IIS.
Выберите веб-узел, виртуальный каталог или папку.
Выберите в меню Действие команду Свойства.
Выберите вкладку Безопасность каталога.
В группе «Анонимный доступ и проверка подлинности» нажмите
кнопку Изменить.
6. Установите флажок Краткая проверка для серверов доменов
Windows.
Настройка имени области
Настройку имени области можно задать на любом уровне метабазы,
показанном в таблице 1. Если конфигурация дочернего узла специально
не задана, он наследует конфигурацию от ближайшего уровня сверху.
Таблица 1
Уровень метабазы
Описание
W3SVC
Уровень W3SVC, также называемый уровнем
IISWebService, является высшим уровнем метабазы, на
котором допускается настройка расширенной краткой
проверки подлинности. Настройки, заданные на этом
уровне, наследуются более низкими уровнями, которые
не имеют конкретных настроек безопасности.
W3SVC/n
Уровень W3SVC/n, также называемый уровнем
IISWebServer, представляет конкретный веб-узел, где n
представляет номер узла. Веб-узлы нумеруются с 1. Вебузел, используемый по умолчанию, имеет номер 1.
W3SVC/n/root
Уровень W3SVC/n/Root, также называемый уровнем
IISWebVirtualDir, представляет начальную точку вебузла, где n представляет номер узла.
W3SVC/n/root/vdir
Уровень W3SVC/n/ROOT/WebVirtualDir, также
называемый уровнем IISWebVirtualDir, представляет
виртуальный каталог на веб-узле, где n представляет
номер узла.
W3SVC/n/root/vdir/webdir
Уровень W3SVC/n/Root/WebVirtualDir/WebDir, также
называемый уровнем IISWebDirectory, представляет
физический каталог в виртуальном каталоге на веб-узле,
где n представляет номер узла.
W3SVC/n/root/vdir/file
Отдельный файл на уровне
W3SVC/n/ROOT/WebVirtualDir, где n представляет
номер узла.
Отдельный файл на уровне
W3SVC/n/root/vdir/webdir/file W3SVC/n/Root/WebVirtualDir/WebDir, где n представляет
номер узла.
На сервере IIS допускается конфигурация с именами одной или
нескольких областей. Если используется несколько областей, их следует
конфигурировать на разных уровнях метабазы. Использование
нескольких имен областей может потребоваться, например, для доступа
к виртуальному каталогу продаж для членов domain1 и доступа к
виртуальному каталогу технологий для членов domain2. Это особенно
полезно, если домены domain1 и domain2 не имеют доверительных
отношений. Дополнительные сведения о доменах см. в электронной
документации Windows XP.
Если в конфигурации дочернего узла в метабазе не указано имя области,
этот дочерний узел наследует имя области от ближайшего уровня
сверху, для которого такое имя задано. Если имя области не задано, IIS
отправляет собственное имя компьютера в качестве имени области. Если
IIS отправляет собственное имя компьютера в качестве имени области, и
IIS не выполняется на контроллере домена Windows XP со службой
каталогов Active Directory, то краткая проверка подлинности приведет к
отказу. Хотя это и возможно, не рекомендуется выполнять IIS на
контроллере домена из-за возможностей нарушения безопасности и
понижения производительности.
Чтобы настроить имя области
1. Откройте окно командной строки.
2. Введите cscript.exe x:\inetpub\adminscripts\adsutil.vbs set
уровень/realm имя_области.
o где x: представляет диск, на котором установлен IIS;
o уровень представляет уровень метабазы, на котором
задается имя области;
o имя_область представляет имя области или домена, где
будет выполняться проверка подлинности клиентов.
3. Нажмите клавишу ENTER.
Пример
Если решено указать в конфигурации веб-узла по умолчанию (веб-узел,
используемый по умолчанию, имеет номер 1) имя области «redmond», и
известно, что IIS установлен на диске c:.
1. В окне командной строки введите cscript.exe
c:\inetpub\adminscripts\adsutil.vbs set w3svc/1/realm
redmond.
2. Нажмите клавишу ENTER.
В окне командной строки будет выведено:
realm
: (STRING) "redmond".
Конфигурирование расширенной краткой
проверки подлинности
Сведения о минимальных требованиях для использования расширенной
краткой проверки подлинности см. в разделе Требования для
расширенной краткой проверки подлинности. Включение расширенной
краткой проверки подлинности на сервере IIS требует выполнения
следующих трех процедур.


Включение краткой проверки подлинности для серверов домена
Windows
Настройка имени области
Настройка свойства метабазы UseDigestSSP

Важно! Если выполнены первые две процедуры, но ключ свойства
метабазы UseDigestSSP не задан, то вместо расширенной краткой
проверки подлинности будет использоваться краткая проверка
подлинности .
Чтобы включить расширенную краткую проверку
подлинности для серверов домена Windows
1.
2.
3.
4.
5.
Откройте оснастку IIS.
Выберите веб-узел, виртуальный каталог или папку.
Выберите в меню Действие команду Свойства.
Выберите вкладку Безопасность каталога.
В группе «Анонимный доступ и проверка подлинности» нажмите
кнопку Изменить.
6. Установите флажок Краткая проверка для серверов доменов
Windows.
Настройка имени области
Настройку имени области можно задать на любом уровне метабазы,
показанном в таблице 2. Если конфигурация дочернего узла специально
не задана, он наследует конфигурацию от ближайшего уровня сверху.
Таблица 2
Уровень метабазы
Описание
W3SVC
Уровень W3SVC, также называемый уровнем
IISWebService, является высшим уровнем метабазы, на
котором допускается настройка расширенной краткой
проверки подлинности. Настройки, заданные на этом
уровне, наследуются более низкими уровнями, которые
не имеют конкретных настроек безопасности.
W3SVC/n
Уровень W3SVC/n, также называемый уровнем
IISWebServer, представляет конкретный веб-узел, где n
представляет номер узла. Веб-узлы нумеруются с 1. Вебузел, используемый по умолчанию, имеет номер 1.
W3SVC/n/root
Уровень W3SVC/n/Root, также называемый уровнем
IISWebVirtualDir, представляет начальную точку вебузла, где n представляет номер узла.
W3SVC/n/root/vdir
Уровень W3SVC/n/ROOT/WebVirtualDir, также
называемый уровнем IISWebVirtualDir, представляет
виртуальный каталог на веб-узле, где n представляет
номер узла.
W3SVC/n/root/vdir/webdir
Уровень W3SVC/n/Root/WebVirtualDir/WebDir, также
называемый уровнем IISWebDirectory, представляет
физический каталог в виртуальном каталоге на веб-узле,
где n представляет номер узла.
W3SVC/n/root/vdir/file
Отдельный файл на уровне
W3SVC/n/ROOT/WebVirtualDir, где n представляет
номер узла.
Отдельный файл на уровне
W3SVC/n/root/vdir/webdir/file W3SVC/n/Root/WebVirtualDir/WebDir, где n представляет
номер узла.
На сервере IIS допускается конфигурация с именами одной или
нескольких областей. Если используется несколько областей, их следует
конфигурировать на разных уровнях метабазы. Использование
нескольких имен областей может потребоваться, например, для доступа
к виртуальному каталогу продаж для членов domain1 и доступа к
виртуальному каталогу технологий для членов domain2. Это особенно
полезно, если домены domain1 и domain2 не имеют доверительных
отношений. Дополнительные сведения о доменах см. в электронной
документации Windows XP.
Если в конфигурации дочернего узла в метабазе не указано имя области,
этот дочерний узел наследует имя области от ближайшего уровня
сверху, для которого такое имя задано. Если имя области не задано, IIS
отправляет собственное имя компьютера в качестве имени области. Если
IIS отправляет собственное имя компьютера в качестве имени области, и
IIS не выполняется на контроллере домена Windows XP со службой
каталогов Active Directory, то расширенная краткая проверка
подлинности приведет к отказу. Хотя это и возможно, не рекомендуется
выполнять IIS на контроллере домена из-за возможностей нарушения
безопасности и понижения производительности.
Чтобы настроить имя области
1. Откройте окно командной строки.
2. Введите cscript.exe x:\inetpub\adminscripts\adsutil.vbs set
уровень/realm имя_области..
o где x: представляет диск, на котором установлен IIS;
o уровень представляет уровень метабазы, на котором
задается имя области;
o имя_область представляет имя области или домена, где
будет выполняться проверка подлинности клиентов.
3. Нажмите клавишу ENTER.
Пример
Если решено указать в конфигурации веб-узла по умолчанию (веб-узел,
используемый по умолчанию, имеет номер 1) имя области «redmond», и
известно, что IIS установлен на диске c:.
1. В окне командной строки введите cscript.exe
c:\inetpub\adminscripts\adsutil.vbs set w3svc/1/realm
redmond.
2. Нажмите клавишу ENTER.
В окне командной строки будет выведено:
realm
: (STRING) "redmond".
Настройка свойства метабазы UseDigestSSP
Расширенная краткая проверка подлинности использует раздел
метабазы UseDigestSSP. Этот раздел метабазы является переключателем
между программами интерфейса Security Support Provider Interface (SSPI)
для краткой проверки подлинности и расширенной краткой проверки
подлинности. После задания этого раздела единственными допустимыми
значениями свойства являются 1 (TRUE), 0 (FALSE) или «пусто». Если
свойство получает значение TRUE, используется новая программа SSPI
для расширенной краткой проверки подлинности. Во всех остальных
случаях (FALSE, пусто или не задано), IIS использует программу краткой
проверки подлинности SSPI.
Настройку свойства UseDigestSSP метабазы можно задать на любом
уровне метабазы, показанном в таблице 2. Если конфигурация дочернего
узла специально не задана, он наследует конфигурацию от ближайшего
уровня сверху.
Чтобы задать свойство UseDigestSSP метабазы
1. Откройте окно командной строки.
2. Введите cscript /nologo
%SystemDrive%\inetpub\adminscripts\adsutil.vbs SET
уровень/UseDigestSSP True.
o где уровень представляет уровень метабазы, на котором
находится раздел UseDigestSSP.
3. Нажмите клавишу ENTER.
Дополнительные сведения о разделе UseDigestSSP метабазы см. в
UseDigestSSP в списке свойств по алфавиту.
Пример
Используйте следующий пример для проверки раздела UseDigestSSP
метабазы на уровне w3svc/1.
1. Откройте окно командной строки.
2. Введите cscript /nologo
%SystemDrive%\inetpub\adminscripts\adsutil.vbs GET
w3svc/1/UseDigestSSP.
3. Нажмите клавишу ENTER.


Если раздел UseDigestSSP метабазы не задан на уровне w3svc/1, в
командной строке отображается сообщение:
The parameter "UseDigestSSP" is not set at this node.
Если раздел UseDigestSSP задан на проверяемом узле, в данном
случае на уровне w3svc/1, в командной строке выводится:
UseDigestSSP : (BOOLEAN) True
Конфигурирование встроенной проверки
подлинности Windows
Только Microsoft Internet Explorer версии 2.0 или поздней поддерживает
встроенную проверку подлинности. Встроенная проверка подлинности
Windows не работает через прокси-серверы и другие брандмауэры. Если
встроенная проверка подлинности Windows закончилась неудачей из-за
неверных учетных сведений или других проблем, обозреватель
предложит пользователю ввести имя и пароль.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Задание стандартного домена
для входа
При обычной проверке подлинности пользователи при входе в систему
должны представить действительные имя пользователя Windows и
пароль. Имя пользователя обычно включает:


Имя домена Windows.
Имя учетной записи пользователя.
Эти сведения идентифицируют компьютер или группу компьютеров,
администрируемых веб-сервером как единое целое. Например,
пользователь входящий в систему с учетной записью PhilSpencer в
домене Sales1 должен при входе в систему указывать Sales1\PhilSpencer.
Однако имеется возможность задать конфигурацию веб-сервера, в
которой при входе всех пользователей, проходящих обычную проверку
подлинности, подразумевается стандартное имя домена, если имя
домена не указано в явном виде.
Чтобы задать стандартный домен для входа
1. В оснастке IIS выберите веб-узел, каталог или файл и откройте его
окно свойств.
2. Выберите соответствующую вкладку Безопасность файла или
Безопасность каталога. В группе Анонимный доступ и
проверка подлинности нажмите кнопку Изменить.
3. В диалоговом окне Способы проверки подлинности установите
флажок Обычная.
Примечание. Поскольку обычная проверка подлинности
передает пароли по сети в незашифрованном виде, появится
диалоговое окно, в котором нужно подтвердить продолжение
процесса. Нажмите кнопку Да.
4. Нажмите кнопку Изменить.
5. В диалоговом окне Домен для обычной проверки подлинности
введите или выберите новое домена, используемое при входе по
умолчанию. Нажмите кнопку По умолчанию, чтобы использовать
стандартное имя домена веб-сервера.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Управление доступом
Имеется возможность указать, каким пользователям и компьютерам
разрешен доступ к веб-серверу и его ресурсам. Совместное
использование средств безопасности файловой системы NTFS и вебсервера позволяет назначить пользователям конкретные права доступа к
каталогам и файлам.
Справочник содержит следующие разделы:





Основы управления доступом. Обзорные сведения об
ограничении доступа к файлам и каталогам.
Обеспечение безопасности файлов с помощью
NTFS. Описание действий по конфигурированию сервера для
использования возможностей безопасности NTFS.
Установка разрешений NTFS для каталога или
файла. Описание действий по конфигурированию разрешений
NTFS, которые определяют уровень доступа к файлу или каталогу,
присвоенный учетной записи пользователя Windows.
Установка разрешений веб-сервера. Установка ограничений
для содержимого веб- и FTP-узлов, применяемых ко всем
пользователям.
Управление доступом к базам данных. Правила защиты
файлов баз данных от несанкционированного доступа.
Данная глава не содержит сведений по следующим вопросам.

Настройка средств оценки содержимого, предупреждающих
пользователей о предосудительном содержимом веб-узла; см.
раздел Использование средств оценки содержимого
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Об управлении доступом
Правильное управление доступом к содержимому веб- и FTP-узлов
является основным элементом организации защищенного веб-сервера.
Используя возможности Windows и системы безопасности IIS, можно
эффективно управлять доступом пользователей к содержимому веб- и
FTP-узлов. Управление доступом может быть организовано на
нескольких уровнях, от всего веб- или FTP-узла до отдельных файлов.




Анонимный доступ
Distributed Authoring and Versioning
Как работает управление доступом
Правила управления доступом
Анонимный доступ
Анонимный доступ, который является наиболее широко используемым
методом доступа к веб-узлам, позволяет любому пользователю посетить
общие области на веб-узле, но предотвращает несанкционированный
доступ к важным средствам администрирования веб-сервера и частным
сведениям.
Например, если сравнить веб-сервер с музеем, то разрешение
анонимного доступа аналогично приглашению посещать общие галереи и
экспозиции музея. Однако некоторые комнаты должны быть закрыты,
например служебные помещения и лаборатории, которые не должны
посещаться посторонними. Аналогично этому, при настройке анонимного
доступа к веб-серверу следует задать разрешения NTFS, запрещающие
обычным пользователям доступ к личным файлам и каталогам.
Дополнительные сведения о разрешениях NTFS см. ниже в разделе
Разрешения файловой системы NTFS.
Для входа всех пользователей на веб-сервер по умолчанию используется
анонимная учетная запись. При установке сервера создается
специальная учетная запись анонимного пользователя с именем
IUSR_имяКомпьютера. Например, для компьютера с именем SalesDept1
учетная запись анонимного пользователя получит имя IUSR_SalesDept1.
Каждый веб-узел на сервере может использовать для входа анонимных
пользователей либо одну и ту же, либо разные учетные записи. С
помощью оснастки Windows «Локальные пользователи и группы» можно
создать учетную запись для «анонимного входа». Дополнительные
сведения см. в разделе Проверка подлинности.
Стандарт DAV (Distributed Authoring and
Versioning)
WebDAV представляет собой расширение стандарта HTTP 1.1 для
раскрытия любого носителя файлов, например файловой системы, при
HTTP-соединении. Используя реализацию WebDAV в IIS, можно
предоставить возможность перемещать, искать или удалять файлы,
каталоги и их свойства на сервере. WebDAV конфигурируется с помощью
установки разрешений веб-сервера. Дополнительные сведения см. в
разделе Публикация WebDAV.
Можно установить разрешения WebDAV для:




Поиска каталогов и файлов и их свойств.
Создания, изменения, удаления и просмотра каталогов и файлов и
их свойств.
Хранения и извлечения настраиваемых свойств файлов и
каталогов.
Блокировки файлов в общих рабочих средах.
WebDAV функционирует в файловых системах и FAT, и NTFS. Для
получения дополнительных сведений о черновых спецификациях
WebDAV проведите поиск по словам WWW Distributed Authoring and
Versioning на веб-узле консорциума World Wide Web. Более
подробные сведения о файловой системе NTFS см. в разделе Защита
файлов в системе NTFS..
Примечание. WebDAV является реализацией предложенного проекта
HTTP 1.1 и, следовательно, недоступен для служб, не являющихся
службами HTTP, например узлов FTP.
Как работает управление доступом
Для того чтобы управлять доступом пользователей к содержимому вебсервера, следует задать правильную конфигурацию средств
безопасности Windows и веб-сервера. Когда пользователь пытается
получить доступ к веб-серверу, сервер выполняет ряд операций по
проверке пользователя и определению разрешенного уровня доступа.
Ниже приведена структура процесса:
1. Клиент запрашивает ресурс на сервере.
2. Сервер, если его конфигурация предполагает это, запросит у
клиента сведения для проверки подлинности. Обозреватель или
предложит пользователю ввести имя пользователя и пароль, или
передаст эти сведения автоматически. Дополнительные сведения
см. в разделе Проверка подлинности.
3. IIS проверяет допустимость учетной записи пользователя. Если
пользователь не имеет соответствующих разрешений, запрос не
выполняется и пользователь получает сообщение об ошибке «403:
Отказ в доступе».
4. IIS проверяет наличие у пользователя веб-разрешений для
запрашиваемого ресурса. Если пользователь не имеет
соответствующих разрешений, запрос не выполняется и
пользователь получает сообщение об ошибке «403: Отказ в
доступе».
5. Любые модули безопасности от независимых разработчиков,
добавленные администратором веб-узла, используются на этом
этапе.
6. IIS проверяет разрешения NTFS для ресурса. Если пользователь не
имеет разрешений NTFS для ресурса, запрос не выполняется и
пользователь получает сообщение об ошибке «403: Отказ в
доступе».
7. Если пользователь имеет разрешение NTFS, запрос выполняется.
Разрешения веб-сервера
В конфигурации веб-сервера имеется возможность задать разрешения
для конкретных узлов, каталогов и файлов. Эти разрешения будут
действовать для всех пользователей, вне зависимости от имеющихся у
них конкретных прав доступа. Например, можно отключить разрешение
«Чтение» для конкретного веб-узла, чтобы запретить доступ
пользователей во время обновления содержимого узла. В результате,
при попытке доступа к веб-узлу сервер будет возвращать сообщение об
ошибке «Отказ в доступе». После включения разрешения «Чтение» все
пользователи получат возможность просматривать веб-узел, за
исключением случая, когда установлены ограничения файловой системы
NTFS на просмотр узла пользователями. Дополнительные сведения см. в
разделе Установка разрешений для веб-сервера.
Уровни веб-разрешений включают следующие.






Чтение (выбирается по умолчанию). Пользователи могут
просматривать содержимое файла и его свойства.
Запись. Пользователи могут изменять содержимое файла и его
свойства.
Доступ к источнику сценария. Пользователи получают доступ к
исходным файлам. Если выбрано разрешение «Чтение», исходный
текст может быть прочитан. Если установлено разрешение
«Запись», можно производить запись и в исходные тексты. «Доступ
к источнику сценария» разрешает доступ к исходным текстам для
файлов, например сценариям в приложении ASP. Эта возможность
доступна только при установленных разрешениях «Чтение» или
«Запись».
Обзор каталогов. Пользователи могут просматривать списки
файлов и семейства
Запись в журнал . Запись в журнал делается для каждого
посещения веб-узла.
Индексация каталога. Позволяет службе индексации создать
индекс для ресурса.
Примечание. Установки разрешений веб-сервера определяют
команды HTTP, которые могут быть использованы для узла,
виртуального каталога или файла.
Разрешения NTFS
IIS зависит от разрешений NTFS при обеспечении безопасности
отдельных файлов и каталогов от несанкционированного доступа. В
отличие от разрешений веб-сервера, которые применяются ко всем
пользователям, разрешения NTFS позволяют точно указать, какие
пользователи могут получать доступ к содержимому и как эти
пользователи могут обрабатывать содержимое.
Уровни разрешений NTFS включают следующие.







Полный контроль. Пользователи могут изменять, добавлять,
перемещать и удалять файлы, свойства, связанные с ними, и
каталоги. Кроме этого, можно изменить разрешения для всех
файлов и подкаталогов.
Изменение. Пользователи могут просматривать и изменять
файлы и их свойства, включая удаление и добавление файлов в
каталог или свойств файла к файлу.
Чтение и выполнение. Пользователи могут запускать
выполняемые файлы, включая сценарии.
Список содержимого папки. Пользователи могут
просматривать список содержимого папки.
Чтение. Пользователи могут просматривать файлы и их свойства.
Запись. Пользователи могут записывать файл.
Нет доступа. Когда ни один из флажков не установлен,
пользователи не имеют никакого доступа к ресурсу, даже если
пользователь имеет доступ к каталогу более высокого уровня.
Важно! Установка разрешения «Нет доступа» к ресурсу для
учетной записи IUSR_имяКомпьютера приведет к запрету доступа
анонимных пользователей к этому ресурсу.
Определяется список разрешений для отдельных файлов и каталогов,
который также называют таблицей управления доступом (DACL). При
определении этого списка следует выбрать учетную запись пользователя
или группы Windows и указать конкретные разрешения.
Приведенная ниже таблица иллюстрирует содержимое списка
разрешений для воображаемого документа Microsoft Word
MYSERVER:\Administration\Accounts.doc:
Учетная запись пользователя или
группы пользователей
Разрешения
MYSERVER\Administrators
Полный доступ
MYSERVER\JeffSmith
Изменение
MYSERVER\Guests
Нет доступа
Кроме членов группы администраторов разрешение на изменение этого
файла предоставлено только учетной записи с именем JeffSmith. Для
обычных пользователей, которые входят как члены группы гостей
Windows, доступ к этому файлу запрещен в явном виде.
После задания разрешений NTFS необходимо указать для веб-сервера
способ проверки идентификации или подлинности пользователей перед
предоставлением им доступа к файлам с ограниченным доступом.
Имеется возможность задать в настройке веб-сервера необходимость
проверки подлинности пользователей, при которой от пользователей для
подключения требуется допустимое имя учетной записи Windows и
пароль. Дополнительные сведения см. в разделе Проверка подлинности.
Важно! Неправильная установка таблиц управления доступом NTFS
может заставить обозреватель на компьютере клиента запрашивать
сведения о пользователе. Например, пользователь не имеет доступа к
файлу (согласно настройкам таблиц управления доступом), IIS выдает
сообщение о запрете доступа, что заставит обозреватель запросить у
пользователя другое имя пользователя и пароль.
Примечание. Обеспечение безопасности сервера предполагает
удаление ненужных пользователей и групп или групп, которые являются
слишком распространенными. Однако удаление группы «Все» из списка
управления доступом для веб-ресурсов без дальнейших изменений
вызовет запрет даже неанонимного доступа. Чтобы неанонимный доступ
работал правильно, в дополнение к определенным пользователям или
группам должны быть установлены следующие разрешения:



Administrator [полный контроль]
Creator/Owner [полный контроль]
System [полный контроль]
Описание конкретных действий см. в разделах Защита файлов в системе
NTFS и Задание разрешений на доступ к каталогу или файлу.
Правила управления доступом
Можно уменьшить вероятность того, что сервер будет подвержен угрозам
безопасности, с помощью следующих правил. Эти правила позволяют
создать надежную конфигурацию системы безопасности при реализации
разумной политики контроля за доступом и правильной настройке
средств защиты.
Примечание. Для приложений, требующих особую степень защиты,
таких как финансовые или банковские, рекомендуется обращаться к
услугам специалистов по безопасности. Ряд консультационных фирм
оказывает услуги по настройке и реализации систем безопасности.
Для того чтобы правильно организовать защиту содержимого вебсервера, придерживайтесь следующих правил.
Политика строгих паролей
Пользователи, укравшие или разгадавшие пароли учетных записей
пользователей, могут получить незаконный доступ к содержимому вебсервера. Необходимо обеспечить, чтобы все пароли, в особенности
защищающие привилегии администраторов, были трудными для
разгадывания. Чтобы выбирать строгие пароли, придерживайтесь
следующих правил.



Не выбирайте в качестве паролей обычные слова. Компьютерный
взломщик, пытающийся нарушить вашу систему защиты, может
использовать для перебора паролей специальную программу
подстановки по словарям.
Требуйте, чтобы пароли имели длину не менее восьми символов и
содержали как строчные, так и прописные буквы. Кроме того,
пароли должны содержать цифры и, по возможности,
нестандартные символы.
Требуйте от пользователей регулярной смены паролей.
Ограничение привилегий доступа для администраторов
веб-сервера
Ограничивайте доступ для группы Administrators веб-сервера. Члены
группы администраторов могут получить полный контроль над всем вебсервером и его средствами безопасности. Придерживайтесь следующих
правил при определении членства в группе администраторов:






Предоставляйте привилегии администратора только доверенным
лицам.
Используйте учетную запись администратора только для
администрирования сетевого домена. Для просмотра Интернета
используйте другую учетную запись пользователя с привилегиями,
аналогичными гостю. Это ограничит процессы на компьютере,
представленном в Интернете.
При создании новых групп не предоставляйте им разрешение
«Полный доступ», позволяющее пользователям свободно
распоряжаться содержимым.
Регулярно изменяйте пароль учетной записи администратора.
Никогда не выполняйте непроверенные программы, если вы вошли
в систему как администратор.
При администрировании веб-сервера через удаленный доступ
используйте возможности безопасности SSL.
Строгая политика учетных записей
В служебной программе Windows «Групповая политика» задайте
политику прав пользователей для групп пользователей Windows.
Политика прав пользователей определяет административные действия
на веб-сервере, которые могут выполнять пользователи. Например,
имеется возможность задать политику, которая гарантирует, что
обычные пользователи не имеют права на удаленное отключение вебсервера. Как правило, пытайтесь установить ограничительную политику
прав пользователей. Избегайте случайного предоставления
пользователям возможности изменения веб-сервера и его ресурсов.
Дополнительные сведения см. в документации Windows.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Защита файлов средствами NTFS
Файловая система NTFS позволяет ограничить доступ к файлам и
каталогам веб-сервера. Можно задать разрешения для файлов и
каталогов, определяющие уровень доступа, предоставляемый отдельной
учетной записи пользователя или группе пользователей. Например,
можно разрешить просмотр и запуск файла на веб-сервере только
определенному пользователю, одновременно запретив доступ к этому
файлу всем остальным пользователям.
Чтобы защитить файлы средствами NTFS
1. Отформатируйте жесткий диск как раздел NTFS. Для
преобразования раздела жесткого диска к системе NTFS можно
использовать служебную программу Windows Convert. Более
подробные сведения содержатся в документации Windows.
Примечание. Разделы NTFS обеспечивают контроль доступа к
файлам и каталогам, а также более эффективное по сравнению с
разделами системы FAT сохранение данных.
2. Создайте учетную запись пользователя или группы пользователей
Windows:
1. Нажмите кнопку Пуск, щелкните правой кнопкой команду
Мой компьютер и выберите команду Управление.
Открывается диалоговое окно «Управление компьютером».
2. Разверните элементы Служебные программы и
Локальные пользователи и группы.
3. Чтобы создать новые учетные записи пользователя, сначала
выберите папку Пользователи; затем в меню Действие
выберите команду Новый пользователь. Чтобы создать
новые группы, выберите папку Группы; затем в меню
Действие выберите команду Создать группу.
4. Добавьте пользователей в соответствующие группы.
Примечание. Для настройки учетных записей пользователей в
диспетчере пользователей и групп необходимо войти в систему с
привилегиями администратора. Дополнительные сведения см. в
документации Windows.
3. С помощью проводника Windows установите разрешения для
соответствующих файлов и каталогов. Инструкции см. в разделе
Задание разрешений NTFS на доступ к каталогам и файлам.
Примечание. При задании разрешений NTFS для веб-сервера
следует соблюдать осторожность. Неправильно заданные
разрешения могут сделать невозможным доступ к файлам и
каталогам для тех пользователей, которым этот доступ необходим.
Например, даже если пользователь имеет право на просмотр и
выполнение программы, у него может отсутствовать разрешение на
доступ к определенной динамически подключаемой библиотеке
(DLL), которая нужна для выполнения этой программы. Чтобы
гарантировать безопасный и бесперебойный доступ пользователей
к файлам, помещайте связанные друг с другом файлы в один
каталог, а затем устанавливайте соответствующие разрешения
NTFS.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Задание разрешений NTFS для
каталога или файла
Для того чтобы управлять доступом пользователей к каталогам и файлам
веб-сервера, можно установить разрешения файловой системы NTFS.
Разрешения файловой системы NTFS позволяют определить уровень
доступа к файлам и каталогам, предоставляемого конкретным
пользователям и группам, имеющим действительные учетные записи
Windows. Правильная конфигурация разрешений на файлы и каталоги
является основным элементом системы предотвращения
несанкционированного доступа. Дополнительные сведения см. в разделе
Управление доступом или в документации Windows.
Если установлен общий доступ к каталогу или файлу, NTFS по
умолчанию предоставляет разрешение Полный доступ группе Все,
включающей всех пользователей. Это означает, что все пользователи
имеют разрешения на изменение, перемещение и удаление файлов и
каталогов и на изменение разрешений NTFS. Эти стандартные установки
могут быть целесообразны не для всех каталогов и файлов.
Обеспечение безопасности сервера предполагает удаление ненужных
пользователей и групп или групп, которые являются слишком
распространенными. Однако удаление группы «Все» из списка
управления доступом для веб-ресурсов без дальнейших изменений
вызовет запрет даже неанонимного доступа. Чтобы неанонимный доступ
работал правильно, в дополнение к определенным пользователям или
группам должны быть установлены следующие разрешения:


Администратор [полный доступ]
Создатель-Владелец [полный доступ]

System [полный доступ]
Примечание. Если вкладка Безопасность не отображается в окне
свойств накопителя, каталога или файла, то файловая система сервера
не настроена как NTFS. Чтобы преобразовать файловую систему в NTFS,
см. документацию Windows.
Чтобы изменить разрешения NTFS для каталога или файла
1. Раскройте папку Мой компьютер, выберите диск, каталог или
файл, который должен быть защищен и откройте окно его свойств.
2. На вкладке Безопасность выберите учетную запись, для которой
будут изменяться разрешения.
3. В списке Разрешения выберите тип доступа для указанного
пользователя или группы. Используйте параметры в столбце
Разрешить для задания конкретных разрешений на доступ и в
столбце Запретить для запрета доступа. Чтобы получить другие
возможности выбора, нажмите кнопку Дополнительно. Для
получения информации о различных разрешениях см.
документацию Windows.
Важно! Проявляйте осторожность при использовании параметров
Запретить. Параметр Запретить имеет приоритет над параметром
Разрешить. Применение параметра Запретить к группе «Все»
может закрыть ресурс для этого уровня доступа для любого,
включая администратора.
Чтобы добавить или удалить учетную запись Windows для
разрешений NTFS на каталог или файл
1. На вкладке Безопасность нажмите кнопку Добавить для
добавления пользователей или групп.
2. На вкладке Безопасность нажмите кнопку Удалить для удаления
пользователей или групп.
3. В диалоговом окне Выбор: Пользователи или группы выберите
компьютер или домен из списка или введите имя в поле Имя.
4. Процесс добавления пользователей и групп может быть продолжен.
Нижний список будет включать пользователей и группы, которые
были выбраны или введены.
5. Нажмите кнопку OK для добавления их в список на вкладке
Безопасность.
6. В списке Имена выберите имена пользователей или групп,
которым требуется предоставить доступ к файлу или каталогу.
Примечание. Если имеются противоречия между разрешениями NTFS
и разрешениями веб-сервера, то действует наиболее ограничивающее
разрешение. Это означает, что разрешение, в явном виде запрещающее
доступ, всегда будет иметь преимущество над разрешениями,
предоставляющими доступ.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Задание разрешений веб и FTP
Важно понимать различие между разрешениями веб или FTP и
разрешениями NTFS. В отличие от разрешений NTFS, разрешения веб и
FTP действуют для всех пользователей, получающих доступ к веб- и FTPузлам. Разрешения NTFS применяются к конкретным пользователям или
группам пользователей, для которых существуют действительные
учетные записи Windows. NTFS управляет доступом к физическим
каталогам на сервере, тогда как разрешения веб и FTP управляют
доступом к виртуальным каталогам на узле веб или FTP. Для получения
дополнительных сведений см. Узлы веб и FTP.
Разрешения на доступ к узлам веб и FTP по умолчанию используют
учетную запись Windows IUSR_ИмяКомпьютера. Эта учетная запись
применяется, когда пользователи осуществляют доступ к узлу с
использованием анонимной проверки подлинности. По умолчанию
учетная запись IUSR_ИмяКомпьютера получает от IIS разрешения NTFS
на физические каталоги, включающие узел веб или FTP. Вы можете,
однако, изменить эти разрешения для любого каталога или файла на
вашем узле. Например, имеется возможность с помощью веб-разрешений
указать, разрешается ли посетителям веб-узла просматривать
определенную страницу, загружать данные или выполнять сценарии на
узле. Дополнительные сведения см. в разделе Управление доступом.
Важно!



Если разрешения веб или FTP и разрешения NTFS для каталога или
файла различаются, то действуют наиболее ограничивающие
разрешения.
При попытке задать свойства безопасности для веб-узла или
виртуального каталога IIS выводит приглашение на подтверждение
сброса свойств веб-узла, FTP-узла или виртуального каталога. Если
такое подтверждение получено, предыдущие значения свойств
безопасности будут заменены новыми. Дополнительные сведения о
задании свойств см. в подразделе «Свойства и наследование
свойств на узлах» раздела О веб- и FTP-узлах.
WebDAV представляет собой расширение стандарта HTTP 1.1 для
раскрытия любого носителя файлов, например файловой системы,
при HTTP-соединении. Используя реализацию WebDAV в IIS, можно
предоставить возможность создавать, перемещать, искать или
удалять файлы и каталоги на сервере. Поскольку WebDAV является
реализацией предложенного проекта HTTP 1.1, он недоступен для
служб, не являющихся службами HTTP, например узлов FTP.
Дополнительные сведения см. в разделе Публикация WebDAV.
Чтобы задать разрешения для веб-содержимого (включая
WebDAV)
1. В оснастке IIS выберите веб-узел, виртуальный каталог или файл и
откройте его окно свойств.
2. На вкладке Домашний каталог, Виртуальный каталог или
Файл установите или снимите соответствующий флажок (если
флажок доступен).
o Чтение. (Выбирается по умолчанию). Пользователи могут
просматривать содержимое и свойства файла или каталога.
o Запись. Пользователи могут изменять содержимое и
свойства файла или каталога.
o Доступ к источнику сценария. Пользователи получают
доступ к исходным файлам. Если выбрано разрешение
«Чтение», исходный текст может быть прочитан. Если
установлено разрешение «Запись», можно производить
запись и в исходные тексты. «Доступ к тексту сценария»
разрешает доступ к исходным текстам сценариев, таким как
сценарии в приложении ASP. Этот параметр недоступен, если
не установлено хотя бы одно из разрешений «Чтение» или
«Запись».
o Обзор каталогов. Пользователи могут просматривать
списки файлов и семейства
o Запись в журнал. Запись в журнал делается для каждого
посещения веб-узла.
o Индексация каталога. Позволяет службе индексации
создать индекс для ресурса. Это позволяет выполнять
операции поиска на ресурсе.
3. В группе Разрешения на запуск выберите соответствующий
уровень выполнения сценария.
o Отсутствуют. Сценарии, такие как приложения ASP или
исполняемые файлы на сервере, не выполняются.
o Только сценарии. Выполняются только сценарии на
сервере, такие как приложения ASP или исполняемые файлы.
o Сценарии и исполняемые файлы. Выполняются все
сценарии, такие как приложения ASP или исполняемые
файлы на сервере.
4. Нажмите кнопку OK.
Примечания
o
Отключение разрешений ограничивает всех пользователей.
Например, отключение разрешения «Чтение» запрещает
просмотр файла для всех пользователей, вне зависимости от
разрешений NTFS, заданных для учетных записей
пользователей. При включении разрешения пользователи
o
получат возможность просматривать файл, если это не
запрещено имеющимися разрешениями NTFS.
Если одновременно имеются установленные разрешения IIS и
разрешения NTFS, то разрешение, в явном виде
запрещающее доступ, имеет преимущество над разрешением,
предоставляющим доступ.
Важно! Когда выбирается Доступ к источнику сценария,
пользователи могут получить доступ к конфиденциальной информации,
такой как имена пользователей и пароли, из сценариев в приложении
ASP. Кроме того, они смогут изменять исходные коды программ,
выполняемых на сервере, что может существенным образом повлиять на
быстродействие и безопасность сервера. Доступ к функциям и данным
этого типа лучше всего осуществлять через отдельные учетные записи
Windows и методы проверки подлинности высшего уровня, такие как
краткая и встроенная проверка подлинности.
Чтобы задать разрешения для содержимого FTP
1. В оснастке IIS выберите FTP-узел, виртуальный каталог или файл и
откройте его окно свойств.
2. На вкладке Домашний каталог, Виртуальный каталог или
Файл установите или снимите соответствующий флажок.
o Чтение. Пользователи могут просматривать содержимое
файлов.
o Запись. Пользователи могут изменять содержимое файлов.
o Запись в журнал. Посещения этого каталога
регистрируются в журнале.
Примечание. Неполадки с запуском внешних приложений после
изменения данных в учетной записи могут быть результатом того, что
после изменения еще не была выполнена сведений об имени и пароле
учетной записи пользователя. В журнал событий могут быть записаны
ошибки, сообщающие, что невозможен вход с учетной записью
IWAM_имя_компьютера. При возникновении такой проблемы выполните
сценарий synciwam для синхронизации паролей. Чтобы выполнить
сценарий, введите в окне командной строки: cscript synciwam.vbs [-v|-h]
Параметр -v задает режим подробной информации и печать журнала
действий сценария.
Параметр -h задает печать справочной информации сценария.
Файл synciwam.vbs находится в каталоге
%systemdrive%\inetpub\adminscripts
Для получения дополнительных сведений об этих параметрах нажмите
кнопку Справка на соответствующей вкладке.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Управление доступом к базам
данных
Существует ряд приемов эффективного ограничения доступа к файлам
баз данных. К таким приемам относятся настройка возможностей защиты
программного обеспечения баз данных и задание разрешений файловой
системы NTFS для файлов баз данных. В настоящем разделе
перечислены основные правила эффективного ограничения доступа к
файлам баз данных веб-сервера.
Чтобы управлять доступом к базе данных
1. При создании файлов баз данных выполните настройку средств
безопасности программного обеспечения. В зависимости от
возможностей, поддерживаемых программным обеспечением баз
данных, можно в широком диапазоне контролировать доступ
пользователей к файлам баз данных. Например, средства
безопасности Microsoft SQL Server позволяют контролировать
доступ пользователей к конкретным файлам базы данных, в том
числе доступ к определенным таблицам, записям и полям.
Дополнительные сведения см. в документации программного
обеспечения базы данных.
2. Защитите файлы и каталоги баз данных, сохраненные на вебсервере, с помощью соответствующих разрешений NTFS.
Проверьте, что предоставлены необходимые разрешения
доверенным пользователям, которым требуется обновлять файлы
баз данных. Дополнительные сведения см. в разделе Задание
разрешений NTFS на доступ к каталогу или файлу.
3. Защитите с помощью соответствующих разрешений NTFS файлы
имен источников данных (DSN), в которых могут содержаться коды
пользователей и пароли.
4. Защитите с помощью соответствующих разрешений NTFS файлы
.asp, содержащие сценарии, в которых передаются в базы данных
сведения об именах пользователей и паролях.
Примечание. Рассмотрите возможность преобразования
сценариев ASP для баз данных, в особенности содержащих имя
пользователя и пароль, в защищенные компоненты COM на
сервере. Дополнительные сведения содержатся в пакете Internet
Information Services SDK, поставляемом с пакетом SDK
операционной системы.
5. Выберите подходящий способ проверки подлинности на вебсервере, позволяющий определить личность пользователя,
пытающегося получить доступ к базе данных. Способ проверки
подлинности пользователя базы данных может в значительной
степени определяться протоколом, который используется для
подключения к базе данных. Например, если решено использовать
по умолчанию для подключения к SQL Server протокол Named
Pipes, то проверка подлинности учетной записи Windows может
иметь место дополнительно к проверке подлинности, выполняемой
SQL Server. Внимательно изучите по документации программного
обеспечения базы данных правила объединения различных
способов проверки подлинности.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Шифрование
Средства шифрования SSL на веб-сервере используются для
криптографического кодирования данных, отправляемых и получаемых
веб-сервером. Включенное шифрование SSL позволяет предотвратить
чтение передаваемого содержимого пользователями, не имеющими
соответствующих полномочий.
Глава содержит следующие разделы.



О шифровании. Обзор основных понятий о средствах
защищенной связи SSL. Изучение способов шифрования данных,
передаваемых по незащищенным сетям.
Включение шифрования. Процедура включения шифрования
SSL на веб-сервере.
Задание стойкости ключа шифрования. Сведения о том, как
потребовать от пользователей установления безопасного
подключения к веб-серверу с ключом сеанса длиной 128 бит.
Данная глава не содержит сведений по следующим вопросам.


Создание файла с парой ключей веб-сервера, который
используется для проверки подлинности с помощью SSL; см.
раздел Использование новых мастеров безопасности.
Получение сертификата веб-сервера перед использованием
средств безопасности SSL; см. раздел @@Получение сертификата
сервера.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
О шифровании
Важная информация, передаваемая по незащищенной сети, может быть
перехвачена компьютерным взломщиком. В силу этого при планировании
доступа пользователей к веб-узлам, на которых обрабатывается
секретная финансовая или личная информация, необходимо обеспечить
защиту сетевых связей с помощью шифрования.



Основы шифрования
Шифрование с общим ключом
Стойкость ключа шифрования сеанса
Основы шифрования
Шифрованием называют преобразование элементов информации с
помощью математической функции, после которого восстановление
исходной информации становится исключительно трудным для всех,
кроме лица, которому предназначается информация. Основой этого
процесса является математическое значение, которое называют ключом,
используемое функцией для однозначного сложного преобразования
информации.
Веб-сервер использует для защиты связи с пользователями в
значительной степени один и тот же процесс шифрования. После
установления защищенной связи специальный ключ сеанса используется
и веб-сервером, и веб-обозревателем пользователя как для
шифрования, так и для расшифровывания информации. Например, когда
подлинный пользователь пытается загрузить файл с веб-узла, для
которого требуется безопасный канал связи, веб-сервер использует
ключ сеанса для шифрования файла и относящихся к нему заголовков
HTTP. После получения зашифрованного файла веб-обозреватель
использует копию того же ключа сеанса для восстановления файла.
Этот метод шифрования, хотя и достаточно надежный, имеет внутренний
недостаток: при создании защищенного подключения копия ключа
сеанса может передаваться по незащищенной сети. Это означает, что
компьютерному взломщику, желающему нарушить систему безопасности
подключения, достаточно перехватить ключ сеанса. Для защиты от такой
возможности на веб-сервере реализован дополнительный способ
шифрования.
Шифрование с общим ключом
Средство безопасности веб-сервера, работающее по протоколу SSL,
использует метод шифрования, известный под именем шифрования с
общим ключом для защиты ключа сеанса от перехвата при передаче.
Шифрование с общим ключом, в котором используются два
дополнительных ключа, закрытый и общий, выполняется следующим
образом.
1. Веб-обозреватель пользователя устанавливает защищенную связь
(https://) с веб-сервером.
2. Веб-обозреватель пользователя и сервер вступают в диалог, чтобы
определить уровень шифрования, который должен использоваться
для защиты подключений.
3. Веб-сервер отправляет обозревателю его общий ключ.
4. Веб-обозреватель шифрует сведения, используемые при создании
ключа сеанса, с помощью общего ключа и отправляет их на сервер.
5. С помощью закрытого ключа сервер расшифровывает сообщение,
создает ключ сеанса, шифрует его с помощью общего ключа и
отправляет обозревателю.
6. Ключ сеанса используется как сервером, так и веб-обозревателем
для шифрования и расшифровывания передаваемых данных.
Следует отметить, что закрытый ключ играет значительную роль в
обеспечении безопасности подключения. Необходимо предпринять все
разумные меры предосторожности для защиты закрытого ключа от
потери или кражи. Имеется возможность создать резервную копию
сертификата на гибком диске и сохранить ее в безопасном месте. При
подозрении о возможном раскрытии закрытого ключа следует уведомить
службу сертификации, с помощью мастера сертификатов веб-сервера
создать новый запрос сертификата и получить новый серверный
сертификат. Дополнительные сведения см. в разделе Использование
новых мастеров безопасности.
Стойкость ключа шифрования сеанса
Стойкость ключа сеанса пропорциональна числу битов, т.е. двоичных
разрядов, образующих файл ключа сеанса. Это означает, что ключи
сеанса с более высоким числом битов гарантируют более высокую
степень безопасности и являются существенно более трудными для
принудительного декодирования.
При попытке пользователя установить защищенный канал подключения
к веб-серверу веб-обозреватель пользователя должен обеспечивать
максимально возможный уровень шифрования, т.е. стойкость ключа
сеанса, используемого для защиты подключений по этому каналу. Для
этого необходимо, чтобы веб-сервер и веб-обозреватель пользователя
были оснащены совместимыми системами шифрования и дешифрования.
Например, при настройке веб-сервера на требование ключа с
минимальной стойкостью 40 бит (по умолчанию) пользователь,
пытающийся защитить подключение должен иметь веб-обозреватель,
поддерживающий обработку данных с ключом сеанса со стойкостью
40 бит.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Включение шифрования
Можно потребовать, чтобы пользователи для подключения к
защищенному веб-узлу, каталогу или файлу устанавливали защищенный
канал связи с веб-сервером. Чтобы использование шифрованного канала
было возможным, необходимо, чтобы и веб-обозреватель пользователя,
и веб-сервер поддерживали схему шифрования, используемую для
защиты канала. В частности, включение стандартных настроек
защищенной связи веб-сервера предъявляет требование к вебобозревателю пользователя, согласно которому он должен поддерживать
ключ сеанса длиной 40 бит или больше.
Важно!


При задании свойств безопасности для конкретного веб-узла эти
же свойства автоматически устанавливаются для каталогов и
файлов, принадлежащих этому узлу, если ранее не были
определены свойства безопасности для отдельных файлов и
каталогов.
При попытке задать свойства безопасности для веб-узла вебсервер выводит запрос на подтверждение сброса свойств
отдельных каталогов и файлов. Если такое подтверждение
получено, предыдущие значения свойств безопасности будут
заменены новыми. То же самое происходит при задании свойств
безопасности для каталога, содержащего подкаталоги и файлы,
для которых ранее были заданы свойства безопасности.
Дополнительные сведения о задании свойств см. в подразделе
«Свойства и наследование свойств на узлах» раздела О веб- и FTPузлах.
Чтобы включить шифрование
Перед включением шифрования необходимо установить действительный
сертификат сервера. Дополнительные сведения см. в разделах
Использование новых мастеров безопасности и Получение сертификата
сервера.
1. В оснастке IIS выберите веб-узел, каталог или файл и откройте его
окно свойств.
2. Если ранее не были созданы пара ключей на сервере и запрос
сертификата, откройте окно свойств Безопасность каталога или
Безопасность файла, затем в группе Безопасные
подключения нажмите кнопку Сертификат. Мастер
сертификатов веб-сервера проведет вас через все необходимые
этапы. Дополнительные сведения о новом мастере см. в разделе
Использование новых мастеров безопасности.
3. Если имеются ранее созданные пара ключей на сервере и запрос
сертификата, выберите вкладку Безопасность каталога или
Безопасность файла и в группе Безопасные подключения
нажмите кнопку Изменить.
4. В диалоговом окне Безопасные подключения установите
флажок Требуется безопасный канал (SSL).
5. Сообщите пользователям, что для доступа к содержимому вашего
веб-узла они должны устанавливать защищенное соединение с ним
по протоколу HTTPS (URL-адреса таких ограниченных узлов
начинаются с https:// , а не с http:// ).
Примечания
o
o
Для поддержания оптимальной производительности вебсервера применяйте шифрование SSL только для
действительно секретной информации, такой как финансовые
операции. Шифрование сеансов связи может существенно
понизить скорость передачи и быстродействие сервера.
Пользователи могут устанавливать зашифрованный канал
связи (https://) и при сброшенном флажке Требуется
безопасный канал (SSL). Если нужно потребовать от
пользователей создания защищенного канала, установите
флажок Требуется защищенный канал (SSL).
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Задание стойкости шифрования
Можно настроить веб-сервер так, чтобы для всех сеансов защищенной
связи SSL он требовал 128-разрядный ключ, а не 40-разрядный, как по
умолчанию. Однако если задать минимальную длину ключа равной 128
битам, то пользователи, пытающиеся установить защищенный канал
связи с вашим сервером, должны будут иметь обозреватель,
поддерживающий шифрование с 128-разрядным ключом.
Важно!



Сведения об обновлении средства шифрования для поддержки
128-разрядных ключей можно найти на веб-узле технической
поддержки корпорации Майкрософт.
При задании свойств безопасности для конкретного веб-узла эти
же свойства автоматически устанавливаются для каталогов и
файлов, принадлежащих этому узлу, если ранее не были
определены свойства безопасности для отдельных файлов и
каталогов.
При попытке задать свойства безопасности для веб-узла вебсервер выводит запрос на подтверждение сброса свойств
отдельных каталогов и файлов. Если такое подтверждение
получено, предыдущие значения свойств безопасности будут
заменены новыми. То же самое происходит при задании свойств
безопасности для каталога, содержащего подкаталоги и файлы,
для которых ранее были заданы свойства безопасности.
Дополнительные сведения о настройке свойств см. в разделе
«Свойства и наследование свойств на узлах» раздела О веб- и FTPузлах.
Чтобы задать стойкость шифрования
Следует отметить: если на сервере не установлен действительный
сертификат сервера, то безопасный шифрованный канал связи создать
нельзя. Дополнительные сведения см. в разделах Использование новых
мастеров безопасности и Получение сертификата сервера.
1. В оснастке IIS выберите веб-узел, каталог или файл и откройте его
окно свойств.
2. Если серверная пара ключей и запрос на сертификат еще не были
созданы, откройте вкладку Безопасность каталога или
Безопасность файла. В области Безопасные подключения
нажмите кнопку Сертификат. Новый мастер сертификатов вебсервера проведет вас через все необходимые этапы.
Дополнительные сведения о новом мастере см. в разделе
Использование новых мастеров безопасности.
3. Если серверная пара ключей и запрос на сертификат уже имеются,
откройте вкладку Безопасность каталога или Безопасность
файла. В области Безопасные подключения нажмите кнопку
Изменить.
4. В диалоговом окне Безопасные подключения установите
флажок Требуется безопасный канал (SSL).
5. Если это нужно, установите флажок Требуется 128-и разрядное
шифрование.
Примечание. Если установить флажок Требуется 128-и
разрядное шифрование на сервере, поддерживающем только
56-разрядной шифрование, пользователи не смогут получить
доступ к ресурсам, для которых задается такое требование. Даже
после установки флажка 128-разрядного шифрования будет
использоваться только 56-разрядное шифрование. Чтобы
разрешить пользователям просматривать такие ресурсы, снимите
этот флажок.
6. Нажмите кнопку OK.
Примечание. Ключ сеанса — это не то же самое, что пара ключей SSL,
которая используется для установления защищенного соединения.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Сертификаты
Сертификаты представляют собой цифровые документы,
идентифицирующие сервер и клиентов, запрашивающих информацию с
сервера. Их функции аналогичны функциям паспорта или другого
удостоверения личности, которое устанавливает подлинность лица,
имеющего документ. Сертификаты являются частью возможностей SSL,
которые позволяют устанавливать безопасное соединение для передачи
по нему конфиденциальных сведений.
Справочник содержит следующие разделы.








О сертификатах. Общий обзор сертификатов.
Установка SSL на сервере. Как установить и администрировать
SSL на сервере.
Использование новых мастеров безопасности. Общий обзор
возможностей, доступных в мастерах сертификатов, разрешений и
списка доверенных сертификатов.
Получение сертификата сервера. Знакомство со способами
получения сертификата сервера, требуемого для использования
SSL.
Использование списка доверенных
сертификатов. Добавление новых служб сертификации к списку
доверенных служб, выдающих сертификаты, для сервера.
Получение клиентского сертификата. Получение цифровых
идентификаторов, которые называют клиентскими сертификатами.
Включение клиентских сертификатов. Описание процедуры
разрешения проверки подлинности клиентских сертификатов.
Сопоставление клиентских сертификатов учетным записям
пользователей. Использование клиентских сертификатов для
подключения пользователей непосредственно к учетным записям
пользователей Windows.
Данная глава не содержит сведений по следующим вопросам.


Контроль за доступом пользователей к файлам и каталогам на вебсервере; см. Управление доступом.
Сведения о настройке и изменении шифрования; см. Шифрование.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Сертификаты
Сертификаты содержат сведения, используемые при установлении
подлинности по сети. Этот процесс называется проверкой подлинности.
Как и обычные формы установления подлинности, сертификаты
позволяют веб-серверам и пользователям проверить подлинность друг
друга перед установлением соединения. Сертификаты содержат также
значения для шифрования, или ключи, которые используются для
установления соединения по протоколу SSL между клиентом и сервером.
Сведения, например номер кредитной карты, посылаются при таком
соединении зашифрованными, поэтому они не могут быть перехвачены и
использованы другими лицами.
Существует два типа сертификатов, используемые в SSL. Каждый имеет
свой формат и назначение. Сертификаты клиента содержат
персональную информацию о клиентах, запрашивающих доступ к узлу,
что позволяет однозначно их распознать до предоставления доступа к
узлу. Сертификаты сервера содержат сведения о сервере, что позволяет
клиенту однозначно идентифицировать сервер до передачи важной
информации.





Сертификаты сервера
Клиентские сертификаты
Службы сертификации
Список доверенных сертификатов
Обнаружение отозванных клиентских сертификатов
Сертификаты сервера
Чтобы активизировать на веб-сервере средства безопасности SSL
(Secure Sockets Layer), необходимо получить и установить
действительный сертификат сервера. Сертификаты сервера являются
цифровыми идентификаторами, содержащими сведения о веб-сервере и
организации, поддерживающей содержимое веб-узлов на сервере.
Сертификат позволяет пользователям проверять подлинность сервера и
подлинность содержимого веб-узлов, а также устанавливать
защищенные подключения. Сертификат сервера также содержит общий
ключ, который используется для установления безопасного соединения
между клиентом и сервером.
Успешное применение сертификата сервера для идентификации зависит
от того, доверяет ли пользователь сведениям, содержащимся в
сертификате. Например, пользователь, входящий на веб-узел вашей
компании, может отказаться от приглашения предоставить сведения о
кредитной карте даже после просмотра сведений из сертификата
сервера вашей компании. Это особенно часто происходит с новыми или
не слишком хорошо известными организациями.
По этой причине сертификаты иногда выпускаются и поддерживаются
независимыми организациями, являющимися доверенными для обеих
сторон. Эти организации называют службами сертификации. Основная
ответственность службы сертификации заключается в подтверждении
подлинности получателя сертификата, т. е. в подтверждении
правильности данных, содержащихся в сертификате.
Другим способом, применение которого зависит от взаимоотношений
вашей организации с пользователями веб-узлов, является выпуск
собственных сертификатов сервера. Например, в интрасети большой
корпорации, в которой обрабатываются данные о заработной плате и
премиях сотрудников, руководство может принять решение о
поддержании собственного сертификата сервера и принять на себя
ответственность за проверку контрольной информации. Дополнительные
сведения см. в разделе Получение сертификата сервера.
Шифрование SGC (Server-Gated Cryptography)
Средства шифрования SGC предоставляют финансовым организациям
возможность защиты финансовых транзакций во всем мире с помощью
128-битного шифрования. SGC является расширением протокола Secure
Sockets Layer (SSL), позволяющим финансовым организациям, имеющим
экспортные версии IIS, использовать шифрование с повышенной
стойкостью.
Шифрование SGC не требует, чтобы в обозревателе клиента работало
специальное приложение, и может использоваться стандартными
экспортными версиями IIS, начиная с версии 4.0. Сервер с включенными
средствами SGC может устанавливать сеансы шифрования как со 128битным, так и с 40-битным ключом, что позволяет обойтись только лишь
одной версией IIS. Хотя возможности шифрования SGC встроены в IIS
начиная с версии 4.0, для их использования требуется специальный
сертификат SGC. Сведения о доступности таких сертификатов можно
получить у службы сертификации. Дополнительные сведения о SGC см. в
разделе Шифрование Server-Gated Cryptography (SGC).
Клиентские сертификаты
Сертификаты клиента представляют собой электронные документы,
содержащие сведения о клиентах. Эти сертификаты, как и сертификаты
сервера, содержат только эти сведения, но не содержат ключи
шифрования, которые формируют часть средств безопасности SSL 3.0 в
IIS. Эти ключи, или шифровальные коды, из сертификатов клиента и
сервера образуют пару ключей, которая облегчает шифрование и
дешифрование данных, передаваемых через открытую сеть, например
Интернет. Дополнительные сведения о шифровании см. в разделе
Шифрование.
Типичный сертификат клиента содержит следующие данные.
Идентификатор пользователя, идентификатор службы сертификации,
общий ключ, используемый для установления защищенных
подключений, а также проверочные данные, такие как срок действия и
порядковый номер. Службы сертификации предлагают и другие типы
клиентских сертификатов, содержащих другие данные, объем которых
определяется требуемым уровнем надежности проверки подлинности.
Дополнительные сведения см. в разделе Получение клиентских
сертификатов.
Службы сертификации
Клиентский сертификат можно получить у доверенной для обеих сторон
коммерческой организации, которую называют службой сертификации.
Перед выдачей сертификата необходимо представить в службу
сертификации личные данные, такие как имя, адрес и название
организации. Общий объем таких данных может изменяться
соответственно требованиям надежности сертификата. Если к
сертификату предъявляется требование абсолютной гарантии
идентификации, служба сертификации может потребовать
предоставления дополнительной информации. При этом иногда
требуется собеседование с представителем службы и нотариальное
заверение представляемых данных.
Список служб сертификации см. в разделе Получение сертификата
сервера.
Примечание. В конечном итоге успешная проверка подлинности
сертификатов определяется тем, что администратор сервера,
получающий клиентский сертификат, доверяет службе, выдавшей
сертификат, а служба правильно удостоверяет личность пользователя.
Однако вне этих рамок сертификаты не гарантируют подлинность,
надежность и намерения пользователя или сервера.
Список доверенных сертификатов
Поддерживая список доверенных сертификатов, администратор веб-узла
может сравнивать сертификаты клиентов с готовым списком доверенных
служб сертификации.
Например, администратор интрасети может создать различные списки
доверенных служб сертификации для каждого подразделения в сети. IIS
будет принимать сертификаты клиентов, выданные службами
сертификации только из списка доверенных сертификатов для данного
подразделения. Дополнительные сведения см. в разделе Использование
списка доверенных сертификатов.
Обнаружение отозванных клиентских
сертификатов
Многие надежные службы сертификации ведут список отозванных
сертификатов (CRL), представляющий перечень клиентских
сертификатов, отозванных до планового окончания срока действия.
Например, если обнаруживается, что пользователь, получивший в
службе сертификации клиентский сертификат, представил ложные
данные, то служба сертификации имеет право отозвать клиентский
сертификат этого пользователя. Однако служба сертификации не может
физически отозвать клиентский сертификат, поэтому для
предупреждения администраторов веб-узлов сведения об отозванном
клиентском сертификате добавляются в список отозванных
сертификатов. За дополнительными сведениями о поставщиках услуг
служб отзыва обращайтесь в вашу службу сертификации.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Установка SSL на сервере
Средства SSL (Secure Socket Layer), используемые на веб-сервере,
позволяют гарантировать целостность содержимого, проверять
подлинность пользователей и шифровать передаваемые по сети данные.
Чтобы настроить SSL на веб-сервере
1. Для установления защищенных соединений по протоколу SSL вебсерверу требуется действительный сертификат сервера. С
помощью мастера сертификатов веб-сервера можно либо создать
файл запроса сертификата (по умолчанию NewKeyRq.txt) для
отправки его службе сертификации, либо создать запрос к
интерактивной службе сертификации, например к службам
сертификации Microsoft. Дополнительные сведения см. в разделе
Использование новых мастеров безопасности.
Если вы не используете Службы сертификации (Microsoft®) версии
2.0 для выпуска собственных сертификатов сервера, то
необходимо, чтобы независимая служба сертификации утвердила
ваш запрос и выдала вам сертификат сервера. Дополнительные
сведения см. в разделе Получение сертификата сервера.
Примечание. В зависимости от требуемой степени точности
идентификации, обеспечиваемой сертификатом сервера, на
утверждение центром сертификации вашего запроса и выдачу
сертификата может уйти от нескольких дней до нескольких
месяцев.
2. После получения файла сертификата сервера установите его с
помощью мастера. В процессе установки осуществляется
присоединение (или привязка) сертификата к веб-узлу.
Примечание. К одному веб-узлу может быть привязан только
один сертификат сервера.
3. В оснастке IIS выделите веб-узел, который нужно защитить
средствами SSL, и откройте окно его свойств. На вкладке Веб-узел
в группе Идентификация веб-узла нажмите кнопку
Дополнительно.
4. В диалоговом окне Дополнительная настройка нескольких
веб-узлов, в группе SSL удостоверения данного веб-узла
проверьте, что с IP-адресом используется порт 443, являющийся
портом по умолчанию для защищенных соединений.
С одним веб-узлом можно использовать несколько портов SSL. Для
настройки нескольких портов SSL нажмите кнопку Добавить под
группой SSL удостоверения данного веб-узла.
5. На вкладке Безопасность каталога или Безопасность файла в
группе Безопасные подключения нажмите кнопку Изменить.
6. В диалоговом окне Безопасные подключения включите на вебсервере требование безопасного канала. Если вы требуете
шифрование с 128-битным ключом, убедитесь, что обозреватели
ваших пользователей поддерживают 128-разрядное шифрование.
Дополнительные сведения см. в разделе Шифрование.
Примечание. Сведения об обновлении средства шифрования для
поддержки 128-разрядных ключей можно найти на веб-узле
технической поддержки корпорации Майкрософт.
7. В области Безопасные подключения нажмите кнопку Изменить.
Можно также включить проверку средствами SSL веб-сервера
подлинности пользователей с помощью клиентских сертификатов,
а также сопоставлять сертификаты с учетными записями. См.
следующие разделы:
o Включение клиентских сертификатов
o Сопоставление клиентских сертификатов учетным записям
пользователей
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Использование новых мастеров
безопасности
Internet Information Services теперь включают трех новых мастеров
безопасности, которые упрощают выполнение большинства задач,
необходимых для обеспечения безопасности веб-узла. Мастер
сертификатов веб-сервера служит для управления функциями Secure
Sockets Layer (SSL) в IIS и серверными сертификатами. Сертификаты
используются для установления безопасной связи между сервером и
обозревателем пользователя. Мастер списков доверенных сертификатов
(CTL) предназначен для управления соответствующими списками.
Списки доверенных сертификатов — это списки сертификационных
органов, которым доверяет конкретный веб-узел или виртуальный
каталог. Назначать разрешения NTFS или Интернета на доступ к вебузлам, виртуальным каталогам или файлам на сервере можно с помощью
мастера разрешений.


Общие сведения о мастерах
Вызов мастеров
Общие сведения о мастерах
Мастера сертификатов, списков доверенных сертификатов и разрешений
выполняют многие из задач, ранее выполнявшихся в оснастке IIS. За
исключением мастера разрешений, эта функциональность более
недоступна в оснастке IIS.
Мастер сертификатов веб-сервера
Операции получения, настройки и обновления серверных сертификатов
теперь осуществляются с помощью единого интерфейса мастера
сертификатов веб-сервера. Мастер способен обнаружить установленный
на сервере сертификат и узнать, не истекает ли срок его действия в
ближайшее время. С помощью этого мастера можно заменить серверный
сертификат новым, полученным от центра сертификации (CA) или от
интерактивного центра сертификации, например Microsoft Certificate
Services, либо взятым из файла, ранее созданного в программе Key
Manager. Можно также переназначить сертификат с одного веб-узла на
другой. Этим мастером можно также пользоваться и для просмотра
сертификатов.
Примечание. Интерактивные запросы на серверные сертификаты
можно выполнять только к серверам сертификатов организации. Мастер
сертификатов веб-сервера IIS не распознает автономные службы
сертификации, работающие на том же компьютере. Используйте
автономный запрос на сертификат, чтобы сохранить сертификат в файле
и автономно обработать его (см. документацию по службам
сертификации). Интерактивные запросы с использованием локальных
служб сертификации организации при этом не затрагиваются.
Примечание. Если интерактивная служба сертификации не
используется, вам нужно будет сохранить созданный мастером
сертификатов веб-сервера файл запроса на дискете и отправить дискету
в центр сертификации. Когда будет получен ответ, снова запустите
мастер и он продолжит свою работу с того места, на котором он
остановился в прошлый раз. Если заменяется текущий сертификат
сервера, IIS будет продолжать использовать его до тех пор, пока новый
запрос не будет полностью обработан. Список центров сертификации,
поддерживающих Internet Information Services, см. в разделе Получение
сертификата сервера.
Мастер списков доверенных сертификатов
Мастер списков доверенных сертификатов (CTL) предназначен для
создания и конфигурирования списков доверенных сертификатов. CTL
представляет собой список доверенных центров сертификации для
определенного веб-узла. Настройка CTL позволяет разрешить
использование сертификатов, выданных одним центром сертификации, и
запретить применение сертификатов другого центр. Списки доверенных
сертификатов особенно полезны для поставщиков услуг Интернета, если
на их серверах имеется несколько веб-узлов, для каждого из которых
должен быть отдельный список доверенных служб сертификации.
Списки CTL доступны только на уровне веб-узла и недоступны для FTPузлов.
Мастер разрешений
Мастер разрешений использует сценарно-управляемую настройку веб- и
FTP-разрешений, разрешений NTFS и схем проверки подлинности.
Вместо того, чтобы настраивать каждую из этих областей с помощью
отдельного пользовательского интерфейса, вы можете просто выбрать
сценарий, наиболее точно отражающий потребности узла, и мастер
установит за вас все разрешения на доступ и схемы проверки
подлинности. Одним из главных достоинств такого подхода является
гарантированная синхронизация веб- или FTP-разрешений с
разрешениями NTFS, а также использование подходящей схемы
проверки подлинности. Все настройки по-прежнему можно изменить в
оснастке IIS. Имеются следующие возможности.
1. Общий веб-узел. Это - наиболее общая конфигурация, в которой
находящаяся на узле информация предназначена для просмотра
всеми желающими пользователями Интернета. Она разрешает
анонимные входы и позволяет пользователям просматривать все
файлы и использовать все приложения ASP, расположенные на
веб-узле. Кроме того, она предоставляет администраторам полный
контроль над узлом.
2. Защищенный веб-узел. Эта конфигурация используется для
корпоративных экстрасетей, то есть для интрасетей, к которым
можно обращаться по Интернету. Информация на таком узле не
предназначена для массового просмотра. Этот сценарий использует
основную, краткую или встроенную в Windows проверку
подлинности. Он разрешает просматривать все файлы и
использовать приложения ASP, расположенные на веб-сервере,
только лишь отдельным пользователям. Кроме того, она
предоставляет администраторам полный контроль над узлом.
Примечание. Если при запуске мастера разрешений выбирается
наследование всех настроек безопасности, то посетителям может быть
отказано в доступе к веб-узлу. Чтобы исправить ситуацию, откройте для
веб-узла вкладку Домашний каталог и выберите параметры
разрешений Чтение и Только сценарии. В ответ на приглашение
задайте наследование этих настроек для все виртуальных каталогов и
файлов.
Вызов мастеров
Чтобы вызвать мастер сертификатов веб-сервера и мастер списков
доверенных сертификатов из оснастки IIS
1. Выберите веб-узел, каталог или файл и откройте его окно свойств.
2. На вкладке Безопасность каталога в группе Безопасные
подключения нажмите кнопку Сертификат, чтобы вызвать
мастер сертификатов веб-сервера и изменить параметры,
связанные с вашими сертификатами.
3. На вкладке Безопасность каталога или Безопасность файла в
группе Безопасные подключения нажмите кнопку Изменить. В
группе Включить список доверенных сертификатов нажмите
кнопку Создать или Изменить, чтобы вызвать мастер списков
доверенных сертификатов и изменить параметры, связанные со
списками доверенных сертификатов.
Примечание


Чтобы мастера сертификатов и списков доверенных сертификатов
были доступны, на компьютере должен быть установлен
сертификат сервера.
Чтобы кнопки Создать и Изменить были доступны, необходимо
включить использование списков доверенных сертификатов.
Чтобы вызвать мастер разрешений из оснастки IIS
1. Выделите веб- или FTP-узел и откройте меню Действие.
2. Выберите команду Все задачи и подкоманду Мастер
разрешений.
Примечание. При назначении IP-адресов, веб-узлов и портов SSL
сертификатам сервера имейте в виду следующее.




Нельзя назначить несколько сертификатов сервера одному вебузлу.
Можно назначить один сертификат нескольким веб-узлам.
Можно назначить несколько IP-адресов одному веб-узлу.
Можно назначить несколько портов SSL одному веб-узлу.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Получение сертификата сервера
Есть два способа получения серверных сертификатов. Можно выпустить
собственный сертификат, а можно получить сертификат от службы
сертификации. Следующие процедуры демонстрируют, как можно
организовать работу с сертификатами на сервере. Дополнительные
сведения о сертификатах см. в разделе О сертификатах.
Важно! Очень важно обеспечить сохранность и защиту сертификата и
пары ключей; всегда создавайте их резервные копии на дискете и
храните эту дискету в безопасном месте.



Чтобы выпустить собственный сертификат сервера
Чтобы получить сертификат сервера в службе сертификации
Чтобы создать резервную копию сертификата сервера и закрытого
ключа
Чтобы выпустить собственный сертификат сервера
Исследуя возможность выпуска собственных сертификатов сервера,
следует рассмотреть следующие вопросы.



Ознакомьтесь с возможностями, предлагаемыми службой
сертификации; службы Microsoft Certificate Services 2.0
поддерживают различные форматы сертификатов и имеют средства
для аудита и регистрации событий, связанных с сертификатами.
Сравните стоимость выпуска собственных сертификатов и
приобретения сертификата в службе сертификации.
Организации может потребоваться некоторое время, чтобы
изучить, реализовать и интегрировать службы Certificate Services с
существующими системами и политиками безопасности.
1. Используйте Certificate Services для создания настраиваемой
службы выпуска сертификатов и управления ими. Создание
собственных сертификатов сервера для интрасетей предоставит
вашей организации полный контроль над политикой поддержания
сертификатов. Дополнительные сведения см. в документации
службы Microsoft Certificate Services.
2. Для получения и установки сертификата сервера используйте
мастер сертификатов веб-сервера.
Примечания


Интерактивные запросы на серверные сертификаты можно
выполнять только к службам сертификатов организации. Мастер
сертификатов веб-сервера IIS не распознает автономные службы
сертификации, работающие на том же компьютере. Используйте
автономный запрос на сертификат для сохранения сертификата в
файле и его автономной обработки (см. документацию по службам
сертификации). Интерактивные запросы с использованием
локальных служб сертификации организации при этом не
затрагиваются.
Если пользователь открывает SGC, на вкладке Общие может быть
получено уведомление «Отказ при проверке сертификата для всех
его предназначений». Это уведомление выдается из-за способа
взаимодействия сертификатов SGC с Windows 2000; оно не
обязательно указывает на неверную работу сертификата.
Чтобы получить сертификат сервера в службе сертификации
Примечание. Если заменяется текущий сертификат сервера, IIS будет
продолжать использовать его до тех пор, пока новый запрос не будет
полностью обработан.
1. Найдите службу сертификации, предлагающую услуги, которые
отвечают требованиям вашей организации, и запросите сертификат
сервера.
При выборе службы сертификации необходимо рассмотреть
следующие вопросы.
Сможет ли служба сертификации выдать вам сертификат,
совместимый со всеми обозревателями, с помощью которых
пользователи обращаются к вашему серверу?
o Является ли служба сертификации известной организацией,
которой можно доверять?
o Каким образом служба сертификации обеспечивает
подтверждение вашей подлинности?
o Имеет ли эта служба систему интерактивного приема
запросов на сертификаты, например запросов, созданных с
помощью мастера сертификатов веб-сервера?
o Сколько будет стоить сам сертификат, а также его
последующие обновления и другие услуги?
o Имеет ли служба сертификации опыт в области деловых
интересов вашей компании?
2. С помощью мастера сертификатов веб-сервера создайте запрос на
сертификат, который можно отправить службе сертификации.
3. Отправьте запрос службе сертификации. Она обработает его и
выдаст вам сертификат.
o
Примечание. Некоторые службы сертификации требуют
подтверждения вашей подлинности перед обработкой запроса или
выдачей сертификата.
4. Для установки сертификата используйте мастер сертификатов вебсервера.
Примечание. Когда пользователь в оснастке IIS с помощью
мастера сертификатов отправляет интерактивный запрос на
сертификат, назначаемый серверу, на сервере может быть
установлен сертификат, назначенный центру сертификации. В
папке «Issued Certificates» отображается сертификат, назначенный
серверу, но фактически сертификат назначается центру
сертификации.
Чтобы обойти эту проблему, работайте автономно при создании
запроса на сертификат. В мастере сертификатов выберите
параметр «Подготовить запрос сейчас, чтобы отправить его
позже». Не выбирайте параметр «Немедленно отправить запрос в
локальную службу сертификации».
Создание резервной копии сертификата сервера и
закрытого ключа
В предыдущей версии IIS для создания резервных копий сертификатов
сервера использовалась программа Key Manager. В настоящей версии
программу Key Manager заменяет мастер сертификатов веб-сервера. Так
как IIS тесно связан с Windows, для экспорта и создания резервных
копий сертификатов сервера можно использовать диспетчер
сертификатов.
Чтобы создать резервную копию сертификата сервера
1. Откройте соответствующее хранилище сертификатов. Обычно, это
хранилище «Локальный компьютер» в диспетчере сертификатов.
Примечание. Если диспетчера сертификатов нет в консоли MMC,
его нужно установить.
2. Выберите сертификат в хранилище «Личные».
3. В меню Действие выберите команду Все задачи и подкоманду
Экспорт.
4. В мастере экспорта сертификатов выберите параметр Да,
экспортировать закрытый ключ.
5. Используйте предлагаемые мастером значения по умолчанию и
введите пароль для файла, содержащего резервную копию
сертификата.
Важно! Не выбирайте параметр Удалить закрытый ключ
после успешного экспорта, так как это приведет к прекращению
использования текущего сертификата сервера.
6. Завершите операцию создания резервной копии сертификата
сервера.
Чтобы добавить диспетчер сертификатов в MMC
Примечание. Если диспетчер сертификатов уже установлен в консоли
MMC, он будет указывать на хранилище сертификатов «Локальный
компьютер».
1. Откройте консоль MMC и выберите команду Добавить или
удалить оснастку в меню «Консоль».
2. Нажмите кнопку Добавить.
3. Выберите элемент Диспетчер сертификатов.
4. Нажмите кнопку Добавить.
5. Выберите параметр Управление компьютером.
6. Выберите параметр Локальный компьютер.
7. Нажмите кнопку Готово.
Сертификаты сервера и обновления
Из-за изменения способа использования в IIS 5.1 сертификатов сервера
могут возникнуть трудности при удалении и переназначении
сертификата сервера после обновления до Microsoft Windows XP. Чтобы
устранить неполадки, используйте следующий сценарий Visual Basic для
изменения настроек метабазы и удаления сертификата. После этого
можно будет переназначить в IIS сертификат с помощью мастера
сертификатов веб-узла.
'Укажите вместо прототипа Machinename имя компьютера или localhost
Set PathObj = GetObject("IIS://" & MachineName & "/w3svc")
PathObj.PutEx 1, "SSLCertHash", ""
PathObj.PutEx 1, "SSLStoreName", ""
PathObj.Setinfo
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Использование списка
доверенных сертификатов
Конфигурация компьютера может быть задана так, чтобы принимать
сертификаты, выданные службами сертификации, включенными в
готовый список. Клиентские сертификаты могут быть автоматически
проверены по списку доверенных сертификатов. Чтобы создать и
редактировать список доверенных сертификатов и добавлять новые
корневые сертификаты в список, может использоваться мастер списка
доверенных сертификатов.
Например, администратор интрасети может создать списки доверенных
служб сертификации для веб-узлов подразделений в интрасети в виде
списка доверенных сертификатов. IIS будет принимать сертификаты,
выданные службами сертификации из списка доверенных сертификатов
для подразделения. Когда сотрудники подразделения входят в систему с
клиентским сертификатом, выданным службой сертификации,
включенной в список доверенных сертификатов для данного
подразделения, их подлинность будет подтверждена автоматически.
Примечания



Корневые сертификаты наиболее распространенных служб
сертификации устанавливаются вместе с IIS.
Списки доверенных сертификатов могут быть применены только на
уровне веб-узлов, но не для виртуальных каталогов или файлов.
Списки доверенных сертификатов неприменимы на узлах FTP.
Чтобы создать список доверенных сертификатов на компьютере
1. Войдите на компьютер с помощью учетной записи администратора.
Важно! Подключение должно быть произведено с учетной
записью администратора, чтобы иметь возможность выполнить
описанную ниже процедуру. Другие учетные записи, относящиеся
к административной группе пользователей Windows, не могут быть
использованы.
2. В оснастке IIS откройте окно свойств веб-узла.
3. На вкладке Безопасность каталога в группе Безопасные
подключения нажмите кнопку Изменить.
Примечание. Кнопка Изменить доступна, если сертификат
сервера был привязан к узлу. Сведения о получении и установке
сертификата сервера см. в разделе Использование новых мастеров
безопасности.
4. В диалоговом окне Безопасные подключения установите
флажок Включить список доверенных сертификатов и
нажмите кнопку Создать. Мастер списка доверенных сертификатов
проведет вас через все этапы создания списка.
Чтобы изменить список доверенных сертификатов на
компьютере
1. Войдите на компьютер с помощью учетной записи администратора.
2. В оснастке IIS откройте окно свойств веб-узла.
3. На вкладке Безопасность каталога в группе Безопасные
подключения нажмите кнопку Изменить.
4. В диалоговом окне Безопасные подключения выберите
изменяемый список доверенных сертификатов и нажмите кнопку
Изменить. Мастер списка доверенных сертификатов проведет вас
через все этапы изменения списка.
Примечание. Если для выпуска сертификатов используется служба
Microsoft Certificate Services 2.0, необходимо также установить корневой
сертификат. Дополнительные сведения см. в документации службы
Microsoft Certificate Services.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Получение клиентского
сертификата
Клиентский сертификат можно получить у доверенной независимой
организации, которую называют службой сертификации. Перед выдачей
сертификата необходимо представить в службу сертификации личные
данные. Удостоверяющая информация, требуемая службой, может
изменяться в зависимости от типа получаемого сертификата. Способы
получения и применения сертификатов зависят от используемого
обозревателя. В данном разделе описана процедура только для Internet
Explorer версии 3.0 и более поздней. Аналогичная процедура для других
обозревателей описана в документации к этим обозревателям.
Чтобы получить клиентский сертификат
1. Выберите службу сертификации. При выборе службы
сертификации необходимо рассмотреть следующие вопросы.
o Является ли служба сертификации известной организацией,
которой можно доверять?
o Какие сведения потребует служба для удостоверения
личности? Многие службы сертификации требуют подробные
личные данные, такие как имя, адрес, название организации
и адрес электронной почты.
o Имеет ли служба веб-узел, через который можно запросить
клиентский сертификат?
o Являются ли выпускаемые сертификаты совместимыми с
используемыми обозревателем и сервером?
Список служб сертификации, предлагающих услуги по выпуску
сертификатов для Internet Information Services, см. в разделе
Получение сертификата сервера.
2. Ознакомьтесь с конкретными инструкциями по заказу для данной
службы сертификации.
3. Закажите сертификат. Некоторые клиентские сертификаты
являются действительными только для компьютера и вебобозревателя, используемого для создания запроса: в этом случае
следует отправить электронный запрос с компьютера, на который
планируется установить сертификат.
4. После получения клиентского сертификата установите его с
помощью средств безопасности вашего веб-обозревателя. (В
некоторых веб-обозревателях клиентские сертификаты называют
сертификатами обозревателя или личными сертификатами).
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Включение клиентских
сертификатов
Можно потребовать, чтобы пользователи, пытающиеся получить доступ к
веб-узлу, входили в систему с клиентскими сертификатами. Тем не
менее, требование клиентских сертификатов не защищает содержимое
от несанкционированного доступа. Любой пользователь, имеющий
клиентский сертификат, может установить защищенное подключение и
получить доступ к ресурсу. Чтобы защитить содержимое веб-узла от
несанкционированного доступа, необходимо принять одну из следующих
мер.


В дополнение к требованию сертификата, использовать обычную,
краткую или встроенную в Windows проверку подлинности.
Сопоставить клиентские сертификаты с учетными записями
Windows. Дополнительные сведения см. в разделе Сопоставление
клиентских сертификатов с учетными записями пользователей.
Важно!


Веб-сервер не может выполнять обработку клиентских
сертификатов, если ранее не был установлен сертификат сервера и
не были включены средства защищенной связи. Дополнительные
сведения о проверке подлинности и сертификатах см. в разделах О
проверке подлинности и Получение сертификата сервера.
При попытке настроить свойства для веб-узла, веб-сервер
попросит подтверждения на сброс свойств отдельных каталогов и
файлов веб-узла. Если такое подтверждение получено,
предыдущие значения свойств будут заменены новыми. То же
самое происходит при задании свойств для каталога, содержащего
подкаталоги и файлы, для которых ранее были заданы свойства
безопасности. Дополнительные сведения о настройке свойств см. в
разделе «Свойства и наследование свойств на узлах» раздела О
веб- и FTP-узлах.
Чтобы включить клиентские сертификаты
1. В оснастке IIS выберите веб-узел, каталог или файл и откройте его
окно свойств.
2. Если сертификат сервера еще не получен, откройте вкладку
Безопасность каталога и в группе Безопасные подключения
нажмите кнопку Сертификат. Дополнительные сведения см. в
разделе Использование новых мастеров безопасности.
3. Если сертификат сервера уже имеется, откройте вкладку
Безопасность каталога или Безопасность файла и нажмите в
группе Безопасные подключения кнопку Изменить.
4. В диалоговом окне Безопасные подключения установите
флажок Требуется безопасный канал (SSL). Требование
безопасного канала связи означает, что пользователь не может
подключиться к этому узлу без использования защищенного
подключения (т.е. URL-адрес в ссылке должен начинаться с имени
протокола «https://»).
5. В группе Сертификаты клиентов выберите один из следующих
переключателей, чтобы включить проверку подлинности с
помощью клиентских сертификатов.
o принимать сертификаты. Пользователи могут получать
доступ к ресурсам с помощью клиентских сертификатов, но
эти сертификаты не являются необходимыми.
o требовать сертификаты клиентов. Перед тем как
подключить пользователя к ресурсу, сервер будет требовать
o
клиентский сертификат. Пользователям, не имеющим
действительных клиентских сертификатов, в доступе будет
отказано.
игнорировать сертификаты клиентов. Доступ будет
предоставлен всем пользователям, независимо от наличия у
них клиентских сертификатов.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Сопоставление клиентских
сертификатов учетным записям
пользователей
Для проверки подлинности пользователей, входящих в систему с
клиентским сертификатом, можно сопоставить данные, содержащиеся в
сертификате, с учетной записью пользователя Windows. Имеется два
способа сопоставления сертификатов: один-к-одному и многие-кодному. Оба эти способа можно применить в оснастке IIS.




Общие сведения о сопоставлении
Стратегии сопоставления
Экспорт сертификата
Сопоставление сертификатов
Важно!


Сопоставление сертификатов возможно только при наличии
установленного серверного сертификата. Дополнительные
сведения об установке серверного сертификата см. в разделе
Получение сертификата сервера.
Чтобы гарантировать вступление в силу изменений, внесенных в
правила сопоставления сертификатов, нужно остановить и заново
запустить веб-узел. В оснастке IIS выделите веб-узел и либо
выберите команду Остановить в меню Действие, либо нажмите
кнопку Остановка объекта на панели инструментов. Затем
выберите команду Пуск в меню Действие или нажмите кнопку
Запуск объекта на панели инструментов.
Общие сведения о сопоставлении
Сопоставление «один-к-одному»
При сопоставлении «один-к-одному» учетным записям сопоставляются
отдельные клиентские сертификаты. Сервер сравнивает имеющуюся у
него копию клиентского сертификата с клиентским сертификатом,
отправляемым обозревателем. Для успешного сопоставления эти два
сертификата должны быть абсолютно идентичными. Если клиент получит
другой сертификат, содержащий те же сведения о пользователе, то
нужно будет заново выполнить сопоставление.
Сопоставление «многие-к-одному»
При сопоставлении «многие-к-одному» используются правила
сопоставления с помощью подстановочных знаков, которые позволяют
выяснить, содержит ли клиентский сертификат определенную
информацию, например имя издателя или тему. Этот способ
сопоставления не сравнивает сами клиентские сертификаты, а
принимает все сертификаты, удовлетворяющие определенным
критериям. Если клиент получит другой сертификат, содержащий те же
сведения о пользователе, то существующее сопоставление будет попрежнему действительно.
Сопоставление службы каталогов (DS)
Сопоставление сертификатов службы каталогов использует встроенные в
Windows средства службы каталогов Active Directory для проверки
подлинности пользователей с клиентскими сертификатами. Этот способ
сопоставления имеет как преимущества, так и недостатки. Например,
преимуществом является то, что сведения клиентского сертификата
могут совместно использоваться большим числом серверов. Недостаток
состоит в том, что проверка соответствия с использованием
подстановочных знаков менее развита по сравнению с внутренним
средством сопоставления IIS. Дополнительные сведения о
сопоставлении службы каталогов см. в документации Windows.
Включить сопоставление службы каталогов можно только на уровне
основных свойств и только будучи членом домена Windows. Включение
сопоставления службы каталогов отменяет использование сопоставления
«один-к-одному» и «многие-к-одному» для всей веб-службы.
Стратегии сопоставления
Сопоставление клиентских сертификатов очень гибко: можно
использовать любой из трех способов сопоставления сертификатов
учетным записям пользователей. Можно сопоставить один клиентский
сертификат любому числу учетных записей пользователей и любое число
клиентских сертификатов одной учетной записи. Сопоставление
сертификатов можно использовать в различных ситуациях, в том числе в
следующих ситуациях.





Большие сети. В сетях с большим числом клиентских
сертификатов используется сопоставление «многие-к-одному» или
сопоставление службы каталогов. Администратор имеет
возможность задать одно или несколько правил для сопоставления
сертификатов одной или нескольким учетным записям Windows.
Малые сети. В сетях с малым количеством пользователей можно
использовать сопоставление «один-к-одному» для обеспечения
лучшего контроля за использованием и отзывом сертификатов, или
сопоставление «многие-к-одному» для упрощения
администрирования.
Дополнительная безопасность. Для ресурсов, доступных лишь
нескольким пользователям и требующих дополнительной защиты,
используйте сопоставление «один-к-одному». Это позволит
гарантировать допустимость лишь конкретных сертификатов.
Кроме того, этот способ обеспечивает поддержку лучших политик
отзыва сертификатов.
Интернет. Узлы Интернета, проверяющие подлинность с
помощью сертификатов, могут использовать сопоставление
«многие-к-одному», принимая различные сертификаты и
сопоставляя их все учетной записи, имеющей права, аналогичные
правам учетной записи IUSR_имя_компьютера.
По службе сертификации. Для разрешения доступа в систему
всем пользователям, входящим в систему с клиентским
сертификатом, выданным определенной организацией, можно
использовать сопоставление «многие-к-одному» и задать правило
для автоматического сопоставления любого сертификата,
выданного этой организацией, учетной записи пользователя.
Примечание. Если требуется более гибкий механизм проверки
соответствия с помощью подстановочных знаков, воспользуйтесь
средством сопоставления IIS. Если сопоставление используется для
интеграции веб-узлов в домен Windows, то средство службы каталогов
Windows подойдет лучше. Дополнительные сведения см. в документации
Windows.
Экспорт сертификата
Некоторые сертификаты необходимо экспортировать, чтобы их можно
было использовать в сопоставлении «один-к-одному». Для
сопоставления «многие-к-одному» экспортировать сертификаты не
требуется. Дополнительные сведения можно получить в центре
сертификации.
Чтобы экспортировать сертификат с помощью обозревателя
Internet Explorer версии 4.0 или более поздней веосии.
Этой процедурой можно также воспользоваться для создания резервной
копии сертификата.
1. В Internet Explorer в меню Сервис выберите команду Свойства
обозревателя.
2. В диалоговом окне Свойства обозревателя откройте вкладку
Содержание.
3. На вкладке Содержание нажмите кнопку Личные (Internet
Explorer версии 4.0), либо нажмите кнопку Сертификаты и
откройте вкладку Личные (Internet Explorer версии 5).
4. Выберите сертификат из списка и нажмите кнопку Экспорт.
5. В мастере нажмите кнопку Далее, установите флажок Нет, не
включать личные ключи в экспорт и нажмите кнопку Далее.
6. На следующей странице выберите формат Вase64 Encoded X.509
(*.CER) и нажмите кнопку Далее. Завершите процедуру, следуя
указаниям мастера.
Теперь сертификат готов к сопоставлению «один-к-одному». Для
каждого сертификата эту процедуру нужно выполнить всего один
раз.
Сопоставление сертификатов
При сопоставлении «один-к-одному» учетным записям сопоставляются
отдельные клиентские сертификаты. При сопоставлении «многие-кодному» используются правила сопоставления с помощью
подстановочных знаков, которые позволяют выяснить, содержит ли
клиентский сертификат определенную информацию, например имя
издателя или тему.
Чтобы сопоставить конкретный клиентский сертификат учетной
записи пользователя (сопоставление «один-к-одному»)
1. В оснастке IIS выделите веб-узел, для которого нужно настроить
проверку подлинности, и откройте окно его свойств.
2. На вкладке Безопасность каталога в группе Безопасные
подключения нажмите кнопку Изменить.
3. В диалоговом окне Безопасные подключения установите
флажок Разрешить сопоставление сертификатов клиентов,
если он еще не установлен. Нажмите кнопку Изменить.
4. На вкладке Один к одному диалогового окна Сопоставление с
учетными записями добавьте новый сертификат, нажав кнопку
Добавить, либо измените существующее сопоставление, выделив
его и нажав кнопку Изменить.
5. Для добавления сертификата, найдите его файл и откройте его.
Примечание. Если найти файл сертификата не удается, то,
возможно, его нужно экспортировать.
6. В диалоговом окне Сопоставление с учетной записью введите
имя сопоставления. Это имя будет выводиться в списке
диалогового окна Сопоставление с учетными записями.
7. Введите имя учетной записи Windows или перейдите к ней. Введите
пароль учетной записи, с которой сопоставляется сертификат.
8. Нажмите кнопку OK.
9. Повторите эти шаги для сопоставления других сертификатов или
для сопоставления этого же сертификата с другими учетными
записями.
Чтобы сопоставить клиентский сертификат с помощью правила,
использующего подстановочные знаки (сопоставление «многиек-одному»)
1. В оснастке IIS выделите веб-узел, для которого нужно настроить
проверку подлинности, и откройте окно его свойств.
2. На вкладке Безопасность каталога в группе Безопасные
подключения нажмите кнопку Изменить.
3. В диалоговом окне Безопасные подключения установите
флажок Разрешить сопоставление сертификатов клиентов,
если он еще не установлен. Нажмите кнопку Изменить.
4. На вкладке Многие к одному диалогового окна Сопоставление с
учетными записями нажмите кнопку Добавить.
5. В диалоговом окне Общие введите имя правила. Это имя будет
выводиться в списке диалогового окна Сопоставление с
учетными записями. Можно создавать правила на будущее или
отключать правила, не удаляя их; для этого предназначен флажок
Включить данное правило. Нажмите кнопку Далее.
6. В диалоговом окне Правила нажмите кнопку Создать.
7. В диалоговом окне Изменение элемента правила выберите
соответствующий критерий и нажмите кнопку OK.
Примечание. Повторите шаги 6 и 7, если нужно задать более
конкретное правило.
8. По завершении нажмите кнопку Далее.
9. В диалоговом окне Сопоставление введите имя учетной записи
пользователя Windows или перейдите к ней. Введите пароль
учетной записи, с которой сопоставляется данное правило.
Примечание. Если учетная запись, с которой сопоставляется
правило, расположена на компьютере, являющемся членом
рабочей группы, нужно будет указать имя компьютера и имя
учетной записи. Например, если сопоставление выполняется с
учетной записью «RegionalSales» на компьютере с именем
«Sales1», то имя будет выглядеть следующим образом:
Sales1\RegionalSales.
10.
Нажмите кнопку OK.
11.
Повторите эти шаги для создания других правил
сопоставления.
12.
Порядком применения правил можно управлять с помощью
кнопок Вниз и Вверх. Приоритет имеют правила, расположенные
выше.
Чтобы изменить существующее правило сопоставления с
использованием подстановочных знаков (сопоставление
«многие-к-одному»)
1. В оснастке IIS выделите веб-узел, для которого нужно настроить
проверку подлинности, и откройте окно его свойств.
2. На вкладке Безопасность каталога в группе Безопасные
подключения нажмите кнопку Изменить.
3. В диалоговом окне Безопасные подключения установите
флажок Разрешить сопоставление сертификатов клиентов,
если он еще не установлен. Нажмите кнопку Изменить.
4. На вкладке Многие к одному диалогового окна Сопоставление с
учетными записями выделите правило и нажмите кнопку
Изменить.
5. Внесите нужные изменения.
6. По завершении нажмите кнопку OK.
Примечания



Сопоставления конкретных клиентских сертификатов всегда имеют
преимущество над сопоставлениями с помощью подстановочных
знаков.
Некоторые клиентские сертификаты могут содержать большое
количество идентификационных данных и могут включать
дополнительные, нестандартные поля. Сведения о форматах
сертификатов можно получить в центре сертификации.
Используйте как можно более точно сформулированные правила.
Хорошее правило, использующее подстановочные знаки,
проверяет содержимое нескольких различных полей и
дополнительных полей. Например, названия «Бухгалтерия»,
«Доставка» и «Сбыт» могут появляться в дополнительном поле
нескольких клиентских сертификатов организации. Правило,
задающее сопоставление сертификатов только по значению этого
дополнительного поля, может привести к неверному
сопоставлению.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Аудит
Технология аудита системы безопасности может быть использована для
отслеживания деятельности пользователей и выявления попыток
несанкционированного доступа к каталогам и файлам NTFS. Действия,
которые могут быть подвергнуты аудиту, включают следующие.



Все попытки входа в систему (как удачные, так и неудачные).
Попытки доступа пользователя к защищенным учетным записям.
Попытки выполнения пользователем защищенных команд.
Глава содержит следующие разделы.



Об аудите. Сведения о контроле и оценке системы безопасности
Веб-узла.
Настройка аудита и мониторинг. Создание журналов
безопасности.
Обнаружение несанкционированного доступа. Сведения об
интерпретации записей в журналах безопасности для отметок о
несанкционированном доступе.
Данная глава не содержит сведений по следующим вопросам.


Фиксация деятельности пользователей на веб- и FTP-узлах; см.
Журнал активности веб-узла.
Управление доступом к веб- или FTP-узлу; см. Управление
доступом.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Об аудите
Средства аудита могут быть использованы для наблюдения за широким
спектром действий, связанных с системой безопасности. Аудит
включает: создание политики аудита доступа к файлам и каталогам или
событий сервера; проверку журналов безопасности для выявления
попыток доступа со стороны пользователей, не имеющих
соответствующих полномочий.
Журналы безопасности могут быть настроены, чтобы записывать
информацию о доступе к файлам и каталогам, о событиях сервера или об
обоих типах событий. Эта информация записывается в журнал
безопасности Windows. Кроме того средства ведения журналов IIS
позволяют фиксировать события, характерные для IIS. Регулярный
просмотр этих файлов позволяет выявить области сервера или вебузлов, которые могут стать объектом атаки или других проблем с
безопасностью. Для получения дополнительных сведений о просмотре
этих журналов см. выявление несанкционированного доступа. Для
получения дополнительных сведений о ведении журналов IIS см.
ведение журналов узлов.
Аудит доступа к файлам и каталогам
Можно наблюдать попытки доступа как успешные, так и неудачные, на
уровне каталогов или файлов. Эти события включают чтение файла,
запись файла и просмотр каталога. Для каждого каталога и файла можно
выбрать набор событий, подлежащих аудиту. Этот уровень аудита
устанавливается с помощью проводника Windows. Для получения
дополнительных сведений см. раздел Настройка аудита и мониторинг.
Важно! Для использования этих возможностей аудита сервер должен
иметь файловую систему NTFS. Для получения информации о
преобразовании файловых систем обратитесь к документации Windows.
Аудит событий сервера
Можно наблюдать события сервера, например вход и выход из вебсервера, изменение политики безопасности веб-сервера и выключение
компьютера-сервера. События контролируются для компьютера в целом,
а не для определенных каталогов или файлов. Этот уровень аудита
устанавливается в диалоговом окне «Политика аудита» в консоли MMC.
Для получения дополнительных сведений см. раздел Настройка аудита и
мониторинг.
Аудит доступа к веб- или FTP-узлу
Можно наблюдать как успешные, так и безуспешные попытки доступа к
веб- или FTP-узлам, виртуальным каталогам или файлам. Эти события
включают чтение файла и запись файла. Для каждого узла,
виртуального каталога и файла можно выбрать набор событий,
подлежащих аудиту. Этот уровень аудита задается с помощью оснастки
IIS. Дополнительные сведения см. в разделе Ведение журналов узлов.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Настройка аудита и мониторинг
Для мониторинга событий, связанных с безопасностью веб-сервера, и
для поиска уязвимых мест в защите отдельных файлов и каталогов
можно использовать проводник Windows, оснастку IIS и консоль MMC.
Дополнительные сведения об аудите см. в документации Windows. В этом
разделе описываются действия по настройке аудита доступа к файлам и
каталогам, а также событий сервера.
Для получения дополнительных сведений о ведении журналов IIS см.
Ведение журналов узлов.
Установка оснастки «Групповая политика»
Для использования средств аудита, описанных в этих разделах,
необходимо установить оснастку «Групповая политика». Эта оснастка не
включена в консоль «Управление компьютером», поэтому для создания
оснастки «Групповая политика» необходимо создать отдельную консоль.
Дополнительные сведения о консоли MMC и использовании оснасток
содержатся в документации по MMC.
Чтобы создать новую консоль MMC и добавить оснастку
«Групповая политика»
1. Нажмите кнопку Пуск и выберите команду Выполнить. В
диалоговом окне «Запуск программы» введите mmc. Будет запущена
новая консоль MMC.
2. В меню Консоль выберите команду Добавить или удалить
оснастку.
3. В диалоговом окне Добавить/удалить оснастку нажмите кнопку
Добавить.
4. В диалоговом окне Добавить изолированную оснастку
выберите Групповая политика в списке доступных оснасток.
Нажмите кнопку Добавить.
5. В диалоговом окне Выбор объекта групповой политики
нажмите кнопку Готово для аудита локального компьютера или
кнопку Обзор для выбора компьютера, на котором требуется
провести аудит.
6. Если нажата кнопка Обзор, выполняйте шаг 7. В противном случае
перейдите к шагу 9.
7. В диалоговом окне Поиск объекта групповой политики на
вкладке Компьютеры выберите параметр Другой компьютер,
найдите нужный компьютер и нажмите кнопку OK.
8. В диалоговом окне Выбор объекта групповой политики
нажмите кнопку Готово.
9. Закройте диалоговое окно Добавить изолированную оснастку.
10.
Нажмите кнопку OK.
11.
В меню Консоль выберите команду Сохранить для
сохранения новой консоли на жестком диске. Эта консоль будет
использоваться для настройки средств аудита.
Чтобы дать учетной записи пользователя разрешение на
настройку аудита
По умолчанию только члены группы «Администраторы» имеют
привилегии для настройки аудита. Можно возложить задачу настройки
аудита событий сервера на другую учетную запись пользователя. Чтобы
дать учетной записи пользователя разрешение на настройку аудита,
выполните следующие действия.
1. В созданной консоли групповой политики разверните элементы в
следующем порядке: Конфигурация компьютера,
Конфигурация Windows, Параметры безопасности,
Локальные политики и Назначение прав пользователя.
2. Щелкните правой кнопкой элемент Управление аудитом и
журналом безопасности и выберите команду Свойства.
3. В диалоговом окне Управление аудитом и журналом
безопасности нажмите кнопку Добавить.
Примечание. Если кнопка Добавить недоступна, снимите
флажок Исключить из локальной политики.
4. Выберите из списка нужного пользователя или группу
пользователей и нажмите кнопку Добавить. Нажмите кнопку OK.
Нажмите кнопку OK.
Чтобы включить аудит доступа к каталогу или файлу
Для описанных ниже средств аудита требуется файловая система NTFS.
См. Защита файлов в системе NTFS.
1. С помощью проводника Windows выберите каталог или файл, для
которых нужно включить аудит, и откройте окно его свойств.
2. Откройте вкладку Безопасность.
Примечание. Если вкладки Безопасность нет, значит, на
сервере установлена файловая система FAT. Сведения о
преобразовании файловой системы FAT в NTFS см. в документации
Windows.
3. Нажмите кнопку Дополнительно. В диалоговом окне
Дополнительные параметры безопасности откройте вкладку
Аудит.
4. Чтобы добавить к аудиту группу, пользователя или компьютер,
нажмите кнопку Добавить. Выберите группу, пользователя или
компьютер и нажмите кнопку OK.
5. В группе Доступ диалогового окна Элемент аудита выберите
нужные параметры. Сведения об этих параметрах см. в
документации Windows.
6. Чтобы изменить охватываемую аудитом область ресурсов,
выберите соответствующий уровень аудита из раскрывающегося
списка Применить к. Сведения об этих уровнях см. в
документации Windows.
7. Чтобы включить аудит объектов, относящихся только к
рассматриваемой области, установите флажок Применять этот
аудит к объектам и/или контейнерам только внутри этого
контейнера. Установка этого флажка отменяет аудит объектов,
созданных в данной области и выполняющихся вне ее.
Примечания


Аудит использует ресурсы компьютера. Для достижения
оптимальной производительности сервера следует включать аудит
только для тех объектов, для которых это действительно
необходимо. Например, если в каталоге находятся 100 файлов и
лишь несколько из них нужно подвергнуть аудиту, то аудит
следует включить только для этих файлов, а не для всего каталога.
Аудит доступа к файлу или каталогу можно настроить удаленно;
для этого следует разрешить совместный доступ к этому файлу или
каталогу. Удаленный пользователь может использовать описанную
выше процедуру. Дополнительные сведения о предоставлении
совместного доступа к файлу или каталогу см. в документации
Windows.
Чтобы настроить аудит событий сервера
1. В созданной консоли групповой политики разверните элементы в
следующем порядке: Конфигурация компьютера,
Конфигурация Windows, Параметры безопасности,
Локальные политики и Политика аудита.
Примечание. Чтобы настроить политики безопасности домена на
основном контроллере домена (PDC) или на резервном
контроллере домена (BDC), выберите элемент Политики домена,
а не Локальные политики.
2. В области данных щелкните правой кнопкой значки аудита
событий и выберите команду Свойства. Открывается диалоговое
окно Свойства: Аудит.
3. Установите или снимите соответствующие флажки.
Дополнительные сведения о параметрах аудита см. в документации
Windows.
Примечание. Если параметры недоступны, снимите флажок
Исключить из локальной политики.
4. Нажмите кнопку OK.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Обнаружение
несанкционированного доступа
Имеется возможность просмотра журналов IIS и журналов безопасности
Windows для контроля за событиями безопасности в течение длительных
промежутков времени. Для просмотра журналов безопасности Windows
можно использовать консоль MMC. Журналы IIS могут быть просмотрены
с помощью любого текстового редактора или текстового процессора. Для
получения дополнительных сведений о просмотре журналов IIS см.
раздел Ведение журналов узлов.
В журнале безопасности Windows попытки несанкционированного
доступа фиксируются как записи о предупреждениях или ошибках. Эти
журналы могут быть заархивированы для дальнейшего использования.
Дополнительные сведения об аудите см. в документации Windows.
Чтобы выявить возможные проблемы безопасности с помощью
просмотра журнала безопасности Windows
1. Нажмите кнопку Пуск, выберите команды Настройка и Панель
управления, дважды щелкните значок Администрирование, а
затем дважды щелкните значок Управление компьютером.
2. Разверните элемент Служебные программы.
3. Разверните элемент Просмотр событий.
4. Выберите элемент Безопасность.
Примечание. Невозможность просмотреть журнал безопасности
свидетельствует о том, что используемая учетная запись
пользователя не имеет привилегий для выполнения этой операции.
Это может происходить из-за того, что политика безопасности
уровня домена перекрывает политику безопасности уровня
компьютера. Это означает, что можно войти в систему как
администратор локального компьютера, но не иметь доступа к
журналу безопасности. Чтобы получить эти разрешения,
обратитесь к администратору сети. Для получения информации о
политике безопасности см. документацию по Windows.
5. Проверьте журналы на наличие подозрительных событий
безопасности, в том числе следующих:
o Недопустимые попытки входа в систему.
o Неудачное использование привилегий.
o Неудачные попытки доступа к файлам .bat или .cmd и их
изменения.
o Попытки изменения привилегий безопасности или журнала
аудита.
o Попытки завершения работы сервера.
Чтобы заархивировать журнал безопасности Windows
1. Нажмите кнопку Пуск, выберите команды Настройка и Панель
управления, дважды щелкните значок Администрирование, а
затем дважды щелкните значок Управление компьютером.
2. Разверните элемент Служебные программы.
3. Разверните элемент Просмотр событий.
4. Выберите элемент Безопасность.
5. В меню Действие выберите команду Сохранить файл журнала
как.
6. В диалоговом окне Сохранить как выберите каталог, в котором
будет сохраняться файл, и введите имя файла.
Примечание. Журнал безопасности может быть сохранен как
файл событий (.evt), текстовый файл (.txt), или файл с
разделителями-запятыми (.csv).
Чтобы открыть заархивированный журнал безопасности
Windows.
1. Нажмите кнопку Пуск, выберите команды Настройка и Панель
управления, дважды щелкните значок Администрирование, а
затем дважды щелкните значок Управление компьютером.
2. Разверните элемент Служебные программы.
3. Разверните элемент Просмотр событий.
4. Безопасность.
5. В меню Действие выберите Открыть файл журнала.
6. В диалоговом окне Открыть выберите Сохраненный и выберите
файл.
7. В раскрывающемся списке Тип журнала выберите Безопасность.
8. Чтобы открыть файл в обозревателе, нажмите кнопку OK.
Чтобы выявить возможные проблемы безопасности с помощью
просмотра файлов журналов IIS
1. В текстовом редакторе, например Блокноте, откройте файл
журнала. Для получения дополнительных сведений о файлах
журналов см. раздел Ведение журналов узлов.
2. Проверьте журналы на наличие подозрительных событий
безопасности, в том числе следующих:
o Многочисленные невыполненные команды с попытками
запуска исполняемых файлов или сценариев. (Следует более
тщательно проследить за каталогом со сценариями.)
o Многочисленные неудачные попытки входа с одного IPадреса, возможной целью которых является увеличение
интенсивности сетевой передачи данных или помехи для
доступа других пользователей.
o Неудачные попытки доступа к файлам .bat или .cmd и их
изменения.
o Несанкционированные попытки передачи файлов в каталог,
содержащий исполняемые файлы.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Специальные сообщения об
ошибках
Можно настроить службы IIS таким образом, чтобы они выдавали
специальные сообщения об ошибках вместо стандартных сообщений
HTTP 1.1. Эти специальные сообщения об ошибках можно сопоставить
имени файла или URL-адресу.
Глава содержит следующие разделы.




О специальных сообщениях об ошибках. Основные сведения
о стандартных и специальных ошибках HTTP 1.1.
Добавление специального сообщения об ошибке. Описание
действий по добавлению специальных сообщений об ошибках на
веб-узел.
Включение подробных специальных сообщений об
ошибках. Описание действий по использованию подробных (или
«дружественных») сообщений об ошибках HTTP 1.1, входящих в
IIS.
Включение обработки ошибок ASP. Основные сведения об
использовании файла специальных ошибок 500-100.asp для
обработки ошибок ASP.
Данная глава не содержит сведений по следующим вопросам.


Содержимое веб-узлов; см. раздел Управление веб-узлом.
События Windows; см. раздел События Windows для IIS.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
О специальных сообщениях об
ошибках
В этом разделе приведены основные сведения о стандартных и
специальных сообщениях об ошибках HTTP 1.1.


Сообщения об ошибках HTTP 1.1
Специальные сообщения об ошибках
Сообщения об ошибках HTTP 1.1
Сообщения об ошибках HTTP 1.1 возвращаются в обозреватель клиента в
виде HTML-страницы, содержащей общее сообщение об ошибке. Если
при попытке пользователя подключиться к веб-узлу возникает ошибка
HTTP, обозревателю клиента возвращается сообщение об ошибке,
содержащее краткое описание проблемы, возникшей в процессе
подключения. Например, если пользователь пытается подключиться к
веб-узлу, к которому уже подключено максимально разрешенное
количество пользователей, ошибка HTTP возвращается с текстом
«Слишком много пользователей».
Специальные сообщения об ошибках
Примечание. Все специальные сообщения об ошибках IIS имеют
стандартные коды ошибок HTTP, что позволяет обеспечить
согласованность с сообщениями об ошибках HTTP 1.1. С помощью
вкладки «Специальные ошибки» в IIS можно изменить и настроить эти
общие сообщения об ошибках HTTP.
В IIS можно настроить следующие сообщения об ошибках HTTP:
Код
ошибки
400
Сообщение об ошибке
Ошибочный запрос
401.1
Сбой входа в систему
401.2
Сбой входа в систему из-за конфигурации
сервера
401.3
Нет доступа из-за таблицы управления доступом
на ресурсе
401.4
Отказ при проверке прав доступа на фильтре
401.5
Отказ при проверке прав доступа в приложении
ISAPI/CGI
403.1
Запрещен доступ на выполнение
403.2
Запрещен доступ на чтение
403.3
Запрещен доступ на запись
403.4
Требуется SSL
403.5
Требуется SSL 128
403.6
Отказ для IP-адреса
403.7
Требуется клиентский сертификат
403.8
Нет доступа к узлу
403.9
Слишком много пользователей
403.10
Недопустимая конфигурация
403.11
Смена пароля
403.12
Доступ запрещен средством сопоставления
403.13
Клиентский сертификат отозван
403.14
Просмотр каталога запрещен
403.15
Достигнуто максимально разрешенное число
подключений
403.16
Клиентский сертификат не вызывает доверия или
недействителен
403.17
Клиентский сертификат устарел или еще не начал
действовать
404
404.1
Объект не найден
Узел не найден
405
Метод не поддерживается
406
Недопустимый объект
407
Требуется проверка подлинности проксисервером
412
Сбой подготовки начальных условий
414
Слишком длинный запрос URI
500
Внутренняя ошибка сервера
500.12
Приложение в состоянии перезапуска
500.13
Сервер перегружен
500.15
Запросы на файл Global.asa недопустимы
500-100.asp Ошибка ASP
501
Не реализовано
502
Неверный шлюз
Примечания


Специальные сообщения об ошибках отображаются в оснастке IIS
в виде списка, который IIS рассматривает как одно свойство.
Например, когда набор специальных сообщений об ошибках задан
на уровне веб-узла, все каталоги, принадлежащие этому серверу,
наследуют весь список специальных сообщений об ошибках. Это
означает, что два списка специальных сообщений об ошибках (для
сервера и каталога) не объединяются.
Ошибка 404.1 может возникать только на компьютерах с
несколькими IP-адресами. Если клиентский запрос поступает на
комбинацию IP-адреса и порта, в которой IP-адрес не настроен на
прослушивание указанного порта, клиенту возвращается ошибка
HTTP 404.1. Например, если на компьютере имеются два IP-адреса
и только один из них настроен на работу с портом 80, то любые
запросы на другой IP-адрес с портом 80 будут приводить к ошибке
404.1. Эту ошибку следует задавать только на уровне службы, так
как она будет возвращаться клиентам только в случае, когда на
сервере используются несколько IP-адресов.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Добавление специального
сообщения об ошибке
Специальные сообщения об ошибке сопоставляются с файлом или с
адресом URL с помощью вкладки Специальные ошибки в окне свойств
в оснастке IIS.
Чтобы настроить сообщение об ошибке путем сопоставления с
файлом
1. Создайте файл, содержащий специальное сообщение об ошибке, и
поместите его в каталог.
2. В оснастке IIS выберите веб-узел, виртуальный каталог, каталог
или файл, для которого требуется создать специальные сообщения
об ошибках HTTP, и нажмите кнопку Свойства.
3.
4.
5.
6.
7.
Откройте вкладку Специальные ошибки.
Выберите ошибку HTTP, которую требуется настроить.
Нажмите кнопку Изменить свойства.
Выберите параметр Файл в поле со списком Тип сообщения.
Введите путь и имя файла специального сообщения об ошибке или
нажмите кнопку Обзор для поиска файла на жестком диске
компьютера.
8. Нажмите кнопку OK.
Чтобы настроить сообщение об ошибке путем сопоставления с
URL-адресом
1. Создайте файл, содержащий специальное сообщение об ошибке, и
поместите его в виртуальный каталог.
2. В оснастке IIS выберите веб-узел, виртуальный каталог, каталог
или файл, для которого требуется создать специальные сообщения
об ошибках HTTP, и нажмите кнопку Свойства.
3. Откройте вкладку Специальные ошибки.
4. Выберите ошибку HTTP, которую требуется настроить.
5. Нажмите кнопку Изменить свойства.
6. Выберите URL в поле со списком Тип сообщения.
7. Введите строку URL, указывающую на специальное сообщение об
ошибке, которая содержит путь к файлу, начинающийся с имени
виртуального каталога.
8. Нажмите кнопку OK.
Примечания



Если для обработки ошибки определен специальный файл ASP, то
сценарий вызывается с помощью URL-адреса, в котором
передается контекст. Например, если имеется ASP-файл с именем
Handle405.asp, служащий для обработки ошибок HTTP 405, то в
случае возникновения ошибки 405 при попытке пользователя
обратиться к файлу Example.htm будет вызван этот ASP-файл, как
если бы пользователь ввел в веб-обозревателе следующий URLадрес:
http://example.microsoft.com/handle405.asp?405;http://exa
mple.microsoft.com/example.htm.
Если используются статические файлы специальных сообщений об
ошибках (HTML-файлы), всегда следует выбирать тип «Файл». Если
же для обработки ошибок будет создано приложение (с помощью
ISAPI или ASP), используйте тип URL. Заметьте, что состояние
ошибки передается приложению в параметрах строки URL и
приложение ответственно за установку состояния заголовка HTTP;
в противном случае, состояние ответа HTTP будет всегда «HTTP 1.1
200 OK».
При использовании обозревателя Internet Explorer 5.0 с Windows,
он может заменять следующие специальные ошибки HTTP
собственными. Если размер файла для специального сообщения
меньше указанного ниже размера, специальное сообщение
использоваться не будет:
403, 405, 410 - должен быть больше 256 байт
400, 404, 406, 408, 409, 500, 500.12, 500.13, 500.15, 501, 505 должен быть больше 512 байт
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Включение подробных
специальных сообщений об
ошибках
В IIS имеется собственный набор специальных сообщений об ошибках,
являющихся более информативными (или более «дружественными») по
сравнению со стандартными сообщениями об ошибках HTTP 1.1.
Например, сообщение об ошибке HTTP 1.1 404, содержащий текст
«Объект не найден», может иметь вид «Веб-сервер не может найти
запрошенный файл/сценарий. Проверьте правильность пути в адресе
URL. При повторении ошибки обратитесь к администратору сервера.»
Такие подробные специальные сообщения об ошибках задаются по
умолчанию для узла «Веб-узел по умолчанию» в оснастке IIS.
Чтобы настроить подробные специальные сообщения об ошибках
1. В оснастке IIS выберите веб-узел, виртуальный каталог, каталог
или файл, для которого требуется создать специальные сообщения
об ошибках HTTP, и нажмите кнопку Свойства.
2. Откройте вкладку Специальные ошибки.
3. Выберите стандартное сообщение об ошибке HTTP, которое
требуется настроить.
4. Нажмите кнопку Изменить свойства.
5. В списке Тип сообщения выберите Файл.
6. Нажмите кнопку Обзор и перейдите по адресу
диск:\WINNT\help\iisHelp\common\имя_файла.
Специальные сообщения об ошибках устанавливаются по умолчанию в
следующий каталог диск:\WINNT\Help\iisHelp\common. Имена файлов
соответствуют кодам ошибок HTTP; например, 400.htm, 401-1.htm и т. п.
Расположение файлов специальных ошибок — переход с IIS 4.0
на IIS 5.1
При обновлении IIS 4.0 до IIS 5.1, если в версии 4.0 уже были созданы
файлы специальных сообщений об ошибках или были изменены файлы
специальных сообщений, установленные в IIS 4.0 в каталог
диск:\WINNT\Help\common, то эти файлы перемещаются в каталог
диск:\WINNT\Help\iisHelp\common и их расширение меняется на .bak.
Таким образом вы можете использовать уже имеющиеся файлы
специальных ошибок в IIS 5.1. Например, установленный в IIS 4.0 файл
400.htm теперь имеет имя 400.bak и располагается в каталоге
диск:\WINNT\Help\iisHelp\common (вместе с новыми файлами
специальных сообщений IIS 5.1).
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Включение обработки ошибок
ASP
«Веб-узел по умолчанию» и все его приложения по умолчанию передают
обработку ошибок ASP файлу 500-100.asp. Однако любой новый
созданный веб-узел и все его приложения будут передавать обработку
ошибок 500-100 в стандартный, а не в специальный файл ошибок. Если
требуется разработать дополнительную обработку ошибок для ASPфайлов, можно либо сопоставить ошибку 500-100 файлу 500-100.asp,
либо создать собственный ASP-файл для обработки ошибок.
Файл 500-100.asp используется для обработки любых ошибок,
возникающих при компиляции или запуске ASP-файлов. При
возникновении ошибки ASP IIS возвращает файл 500-100.asp,
содержащий подробные сведения об ошибке, например номер строки,
которая вызвала ошибку, и описание ошибки.
Если пользователь создает собственный ASP-файл обработки ошибок,
необходимо включить его в оснастке IIS. Дополнительные сведения см. в
разделе Добавление специального сообщения об ошибке.
Сведения о том, как использовать для обработки ошибок ASP объект
ASPError, см. на странице ASPError.
Примечания


Если файл 500-100.asp сам содержит ошибки ASP, то ASP не будет
возвращать еще один файл 500-100.asp; вместо этого об ошибке
будет сообщено так, как если бы для ошибок 500-100 вообще не
было создано файла специальной ошибки.
Если файл обработки ошибок (по умолчанию это файл 500100.asp) содержит ошибку времени выполнения, то будет
сообщено только об этой ошибке, независимо от типа ошибки в
запрошенном ASP-файле. Если файл обработки ошибок содержит
ошибки, выявляемые при предобработке или компиляции, то в
обозревателе будут отображены обе ошибки (ошибка из файла
500-100.asp и ошибка из запрошенного ASP-файла).
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Ведение журналов узлов
Включение ведения журналов на веб-узлах дает возможность собирать
сведения о действиях посетителей узлов. Информация сохраняется в
текстовых файлах ASCII. Данные, которые заносятся в журналы IIS, не
входят в компетенцию средств регистрации событий или отслеживания
производительности, имеющихся в Windows. Журналы могут содержать
сведения о том, кто посещал узел и что именно он просматривал, а
также когда последний раз было просмотрено содержимое. С помощью
этих журналов можно оценивать популярность содержимого или
обнаруживать узкие места.
В данном разделе описываются следующие вопросы.





О ведении журналов узлов. Общие сведения о ведении
журналов, описание форматов журналов и обсуждение размеров
файлов журналов и создания новых файлов журналов.
Включение ведения журналов. Включение или отключение
ведения журналов веб- или FTP-узлов или каталогов.
Настройка расширенного формата журнала W3C. Описание
полей, включаемых в файлы расширенного формата журнала W3C.
Сохранение файлов журнала. Задание каталога файла
журнала и выбор параметра создания нового файла журнала.
Преобразование файлов журналов в формат NCSA.
Использование служебной программы командной строки
Convlog.exe для преобразования журналов в формат NCSA.
В разделе не затрагиваются следующие темы.


Использование других средств мониторинга; см. Настройка
быстродействия.
Создание, просмотр и анализ журналов безопасности (аудита); см.
Безопасность.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
О ведении журналов узлов
Имеется возможность задать в настройке веб- или FTP-узла ведение
журнала, содержащего записи о действиях пользователей и сервера. IIS
заносит в журнал данные, которые могут помочь регулировать доступ к
узлу, определить его популярность, спланировать требования к системе
безопасности и устранить возможные неполадки на веб- или FTP-узле.
Ведение журнала узла средствами IIS не следует путать с ведением
журнала событий, который выполняется Windows XP и может
просматриваться с помощью окна просмотра событий. IIS ведет более
обширный журнал. Глава содержит следующие разделы.




Процесс ведения журнала
Форматы файлов журнала
Размер файла журнала и создание новых файлов журнала
Имена файлов журнала
Процесс ведения журнала
Ведение журнала веб- или FTP-узла выполняется модулями, которые
работают независимо от других операций сервера. Для каждого веб- и
FTP-узла может быть выбран свой формат журнала. Если ведение
журнала включено для узла, можно отключить или включить его для
отдельных каталогов в этом узле. Инструкции по включению и
отключению ведения журналов для узлов и каталогов см. в разделе
Включение ведения журналов.
Различные форматы журналов используют различные временные зоны
для отсчета времени, записанного в журнале. Расширенный формат W3C
использует универсальное время (UTC), называвшееся ранее средним
временем по гринвичскому меридиану (GMT). Другие форматы
используют местное время. Времена, приведенные в журнале, отражают
время, использованное сервером для обработки запросов и откликов.
Эти времена не учитывают время перемещения по сети до клиента или
время обработки клиента.
Форматы файлов журнала
Имеется возможность выбрать формат журнала, в котором веб-сервер
регистрирует действия пользователей. Доступны следующие форматы:



расширенный формат файла журнала W3C;
формат файла журнала Microsoft IIS;
общий формат файла журнала NCSA.
Файлы в расширенном формате журнала W3C, в формате журнала
Microsoft IIS и в формате журнала NCSA являются текстовыми файлами в
кодировке ASCII. В расширенном формате W3C и формате NCSA данные
записываются в журнал с использованием четырехзначного года.
Microsoft IIS использует формат с двумя цифрами для значений года
1999 и предыдущих и формат с четырьмя цифрами для более поздних.
Формат журнала Microsoft IIS предназначен для совместимости с
предыдущими версиями IIS. Имеется возможность использовать
расширенный формат файла журнала W3C для создания
пользовательских форматов журнала с набором с набором необходимых
полей.
Расширенный формат файла журнала W3C
Расширенный формат W3C представляет собой настраиваемый формат в
кодах ASCII, включающий множество различных полей. Можно включить
в журнал важные поля и опустить нежелательные, ограничивая размер
файла журнала. Поля разделяются пробелами. Времена записываются с
использованием времени по Гринвичу (GMT). Сведения о настройке
этого формата см. в разделе Настройка расширенного формата журнала
W3C. Дополнительные сведения о спецификациях расширенного
формата W3C см. на веб-узле консорциума World Wide Web.
В следующем примере демонстрируются строки из файла с отобранными
полями: «Время», «IP-адрес клиента», «Метод», «Ресурс URI»,
«Состояние протокола» и «Версия протокола».
#Software: Microsoft Internet Information Services 5.1
#Version: 1.0
#Date: 1998-05-02 17:42:15
#Fields: time c-ip cs-method cs-uri-stem sc-status cs-version
17:42:15 172.16.255.255 GET /default.htm 200 HTTP/1.0
Предшествующая запись сообщает, что 2 мая 1998 г. в 17:42 по
Гринвичу пользователь с установленной версией HTTP 1.0 и IP-адресом
172.16.255.255 выдал команду GET (загрузка) для файла /Default.htm.
Запрос был возвращен без ошибки. Поле #Date: показывает время,
когда было сделано первое подключение; оно совпадает со временем
создания журнала. Поле #Version: показывает какой формат журнала
W3C используется.
Может быть выбрано любое из полей, но некоторые поля могут не
содержать информации, доступной для части запросов. Для отобранных
полей, которые не содержат подходящую информацию, вместо значения
поля печатается тире (—).
Формат файла журнала Microsoft IIS
Формат Microsoft IIS является фиксированным (не настраиваемым)
форматом в кодах ASCII. В этом формате записывается больше данных,
чем в общем формате NCSA. Формат Microsoft IIS содержит основные
элементы, например, IP-адрес пользователя, имя пользователя, дату и
время запроса, код состояния службы и число полученных байт. Кроме
этого он включает дополнительные сведения, такие как затраченное
время, количество отправленных байт, действие (например, загрузка с
помощью команды GET) и файл назначения. Разделителем элементов
служит запятая, что делает этот формат более удобным для обработки,
чем другие текстовые форматы, в которых в качестве разделителя
используется пробел. Время регистрируется по местному часовому
поясу.
Для файла журнала формата Microsoft IIS, открытого в текстовом
редакторе, записи будут выглядеть аналогично следующему примеру:
192.168.114.201, —, 03/20/98, 7:55:20, W3SVC2, SALES1,
192.168.114.201, 4502, 163, 3223, 200, 0, GET, DeptLogo.gif, —,
172.16.255.255, anonymous, 03/20/98, 23:58:11, MSFTPSVC, SALES1,
192.168.114.201, 60, 275, 0, 0, 0, PASS, /intro.htm, —,
Интерпретация этих записей приводится в следующих таблицах. Верхняя
строка в обеих таблицах относится к веб-узлу (который представлен в
столбце «Служба» как W3SVC2), нижняя строка относится к узлу FTP
(который представлен в столбце «Служба» как MSFTPSVC1). Пример
анализируется в трех таблицах из-за ограничений по ширине страницы.
IP-адрес
пользователя
Имя
Дата
пользователя
Время
Служба и
образец
Имя
компьютера
192.168.114.201
—
03/20/98
7:55:20
W3SVC2
SALES1
172.16.255.255
анонимная
03/20/98
23:58:11
MSFTPSVC1
SALES1
IP-адрес сервера Заняло
времени
Отправлено Получено
байт
байт
Код
состояния
службы
Код
состояния
Windows
172.21.13.45
4502
163
3223
200
0
172.16.255.255,
60
275
0
0
0
Тип запроса
Объект операции
Параметры
GET
/DeptLogo.gif
—
[376] PASS
/intro.htm
—
В предыдущем примере первая запись означает, что анонимный
пользователь с IP-адресом 192.168.114.201 выдал команду HTTP GET
(загрузка) для файла изображения /DeptLogo.gif в 7:55 20 марта 1998 г.
с сервера с именем SALES1 и IP-адресом 172.21.13.45. Для выполнения
запроса HTTP с размером 163 байт потребовалось 4502 миллисекунды
(4,5 секунды). Анонимному пользователю возвращено 3223 байт данных
без ошибки.
В файле журнала значения всех полей заканчиваются запятой (,). Дефис
(—) печатается как прототип для полей, не имеющих допустимого
значения.
Общий формат файла журнала NCSA
Общий формат файла журнала NCSA представляет фиксированный (не
настраиваемый) формат ASCII, поддерживаемый веб-узлами и не
поддерживаемый узлами FTP. В этом формате записываются основные
сведения о запросах пользователей, такие как имя удаленного
обслуживающего компьютера, имя пользователя, дата, время, тип
запроса, код состояния HTTP и количество байт, отправленных сервером.
Разделителем элементов служит пробел; время регистрируется по
местному часовому поясу.
Для файла общего формата журнала NCSA, открытого в текстовом
редакторе, записи будут выглядеть аналогично следующему примеру:
172.21.13.45 — REDMOND\fred [08/Apr/1997:17:39:04 -0800] "GET
/scripts/iisadmin/ism.dll?http/serv HTTP/1.0" 200 3401
Примечание. В предыдущей записи второе поле (соответствующее
имени пользователя, который вошел через удаленный доступ) является
пустым и представляется дефисом после IP-адреса 172.21.13.45.
Интерпретация этой записи приводится в следующих таблицах. Пример
анализируется в двух таблицах из-за ограничений по ширине страницы.
Имя
удаленного
узла
Имя входа на
Имя
удаленный узел пользователя
Дата
172.21.13.45
—
08/Apr/1998 17:39:10 -0800
REDMOND\fred
Время и смещение
относительно GMT
Запрос/версия
Код состояния
службы
Отправлено
байт
GET /scripts/iisadmin/ism.dll?http/serv,
HTTP/1.0
200
3401
Запись означает, что пользователь Fred в домене REDMOND с IP-адресом
172.21.13.45 выдал команду GET (загрузка файла) в 17:39 8 апреля
1998 г. В результате запроса пользователю Fred возвращено 3401 байт
данных без ошибки.
Размер файла журнала и создание новых
файлов журнала
После включения ведения журнала IIS (этот режим задается по
умолчанию) новые записи в журнале создаются при каждом обращении
пользователей к серверу. При этом постоянно растет размер журнала
или количество файлов журнала. Таким образом, приходится
ограничивать степень подробности регистрируемых данных, чтобы иметь
разумное количество и размер файлов. IIS предлагает два способа
управления ведением журналов и создания новых файлов журнала.
Один из способов состоит в настройке расширенного журнала W3C на
сбор только необходимых данных. Описание действий см. в разделе
Настройка расширенного формата журнала W3C. Другая возможность
предполагает ограничение размера журнала с помощью изменения
частоты создания файла журнала. Дополнительные сведения о
параметрах интервала см. в разделе Сохранение файлов журнала. При
выборе параметров журнала следует помнить, что текущий файл
журнала станет доступным только после остановки узла.
Файлы журнала представляют собой текстовые файлы (в кодах ASCII).
Если было создано много файлов небольшого размера, а
предпочтительно иметь один большой файл, их можно объединить, как и
любые текстовые файлы. Для получения сведений об объединении
файлов с помощью команды copy введите в командную строку copy /?
Если при попытке добавить запись в журнал IIS на сервере кончается
свободное место на диске, ведение журнала IIS отключается.
Одновременно записывается событие в журнал приложений окна
просмотра событий Windows. При освобождении пространства на диске
ведение журнала IIS возобновляется. Это вызывает фиксацию еще
одного события в журнале приложений окна просмотра событий
Windows.
Имена файлов журнала
Первые буквы в именах файлов журналов представляют формат
журнала, а следующие за ними цифры период ведения или порядковый
номер журнала. Подробные сведения собраны в таблице, приведенной
ниже. Записанные курсивом буквы представляют следующие значения:
nn — последовательные числа, yy — год, mm — месяц, ww — неделя
месяца, dd — день, hh — час в 24-часовом формате.
Формат
Условие
создания
нового
журнала
Шаблон имени файла
Формат файла
При
inetsvnn.log
журнала Microsoft превышении
IIS
размера
файла
Ежечасно
inyymmddhh.log
Ежедневно
inyymmdd.log
Еженедельно inyymmww.log
Ежемесячно
Общий формат
файла журнала
NCSA
inyymm.log
При
ncsann.log
превышении
размера
файла
Ежечасно
ncyymmddhh.log
Ежедневно
ncyymmdd.log
Еженедельно ncyymmww.log
Ежемесячно
Расширенный
формат файла
журнала W3C
ncyymm.log
При
extendnn.log
превышении
размера
файла
Ежечасно
exyymmddhh.log
Ежедневно
exyymmdd.log
Еженедельно exyymmww.log
Ежемесячно
exyymm.log
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Включение ведения журналов
Можно включить ведение журнала для отдельных веб- или FTP-узлов, а
также выбрать формат файла журнала. Включение ведения журналов
распространяется на все каталоги узла; однако существует возможность
отключить журналы для отдельных каталогов.
Чтобы включить ведение журнала на веб- или FTP-узле
1. Выберите веб- или FTP-узел и откройте окно его свойств.
2. На вкладке Веб-узел или FTP-узел установите флажок Вести
журнал.
3. В поле со списком Формат текущего журнала выберите формат.
По умолчанию флажок Вести журнал установлен, а также выбран
формат Расширенный формат файла журнала W3C со
следующими полями: Время, IP-адрес клиента, Метод, Ресурс
URI и Состояние HTTP.
4. Нажмите кнопку Применить.
5. Нажмите кнопку OK.
Чтобы отключить или включить ведение журнала для
конкретного каталога на узле
1. Выберите каталог и откройте окно его свойств.
2. На вкладке Домашний каталог или Каталог найдите флажок
Запись в журнал. По умолчанию этот флажок установлен.
3. Чтобы отключить ведение журнала для каталога, сбросьте флажок.
Чтобы включить ведение журнала, установите флажок. Эти
действия не влияют на статистику процесса.
См. также




Описание доступных форматов журнала см. в разделе О ведении
журналов узлов.
Сведения о выборе расширенных полей W3C см. в разделе
Настройка расширенного формата журнала W3C.
Сведения о частоте регистрации в журнале и о размерах файлов
журналов см. в разделе Сохранение файлов журнала.
Сводный список свойств журналов приведен в разделе Список
свойств для ведения журналов.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Настройка расширенного
формата журнала W3C
При использовании расширенного формата файла журнала W3C на вебили FTP-узле имеется возможность выполнить его настройку и указать
поля (элементы), регистрируемые в журнале. Этот формат позволяет
отбирать поля, содержащие нужные сведения, и опускать ненужные
поля, чтобы ограничить размер журнала.
Чтобы настроить расширенный формат журнала W3C
1. Выберите веб- или FTP-узел и откройте окно его свойств.
2. Включите ведение журнала (если оно отключено) и выберите
расширенный формат файла журнала W3C.
3. Нажмите кнопку Свойства.
4. На вкладке Расширенные свойства выберите поля, включаемые
в журнал.
5. Нажмите кнопку Применить.
См. также



Описание расширенного формата файла журнала W3C см. в
разделе О ведении журналов узлов.
Сведения о частоте регистрации в журнале и о размерах файлов
журналов см. в разделе Сохранение файлов журнала.
Сводный список свойств журналов приведен в разделе Список
свойств для ведения журналов.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Сохранение файлов журнала
Можно выбрать каталог, в котором будут сохраняться файлы журнала, и
настроить параметр, определяющий условие создания нового файла
журнала.
Чтобы настроить параметры сохранения файлов журнала
1. Выберите веб- или FTP-узел и откройте окно его свойств.
2. На вкладке Веб-узел или FTP-узел нажмите кнопку Свойства.
3. На вкладке Общие свойства выберите переключатель, задающий
условие для начала нового файла журнала. Доступны следующие
параметры.
o Ежечасно. Новые файлы журнала создаются ежечасно и
начинаются с первой записи для данного часа. Этот режим
обычно используется на крупных веб-узлах.
o Ежедневно. Новый файл журнала создается ежедневно,
начиная с первой записи после полуночи.
o Еженедельно. Новые файлы журнала создаются
еженедельно и начинаются с первой записи после полуночи в
субботу.
o Ежемесячно. Новые файлы журнала создаются ежемесячно
и начинаются с первой записи после полуночи последнего
дня месяца.
Примечание. Полночь для всех форматов журналов, кроме
расширенного формата W3C, определяется по местному
времени. Для расширенного формата файла журнала W3C
полночью по умолчанию считается полночь по Гринвичу
(GMT), но можно изменить этот режим и отсчитывать полночь
по местному времени. Чтобы новые файлы журнала формата
W3C использовали местное время, установите флажок
Использовать местное время в имени файла. Новый
журнал будет начинаться в полночь по местному времени, но
время, регистрируемое в нем, все равно будет считаться по
Гринвичу (GMT).
Неограниченный размер файла. Данные всегда
добавляются в один и тот же файл журнала. Доступ к этому
журналу возможен только после остановки узла.
o При превышении размера. Новый файл журнала
создается, когда текущий файл журнала будет иметь
указанный пользователем размер.
4. В поле Каталог файла журнала введите каталог, в котором
нужно сохранять файлы журнала. Этот каталог должен быть на
локальном диске и путь к нему не может быть относительным. Это
означает, что для указания каталога файла журнала нельзя
использовать сетевые диски, пути в формате UNC, такие как
\\server1\share1\, и символы . .\ . Дополнительные сведения о
подключении сетевых дисков см. в документации Windows XP.
5. Нажмите кнопку Применить.
o
См. также


Описание доступных форматов журнала см. в разделе О ведении
журналов узлов.
Сводный список свойств журналов приведен в разделе Список
свойств для ведения журналов.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Преобразование файлов
журналов в формат NCSA
Служебная программа convlog позволяет преобразовать файлы
журналов веб-сервера в общий формат файла журнала NCSA. Кроме
того, программа преобразования позволяет заменить IP-адреса на имена
DNS при преобразовании журналов из формата Microsoft IIS и
расширенного формата файла журнала к формату NCSA, а также
заменить IP-адреса на имена DNS внутри файла журнала NCSA. С
помощью этой программы можно также преобразовать разницу в
часовых поясах.
Примечание. Использование этой программы с расширенными
файлами журнала W3C, которые содержат записи учета процессов,
приведет к потере всех записей об учете процессов.
Чтобы преобразовать файлы журналов в другие форматы
1. В окне командной строки введите convlog с добавлением одного
или нескольких из указанных ниже ключей.
 -i ( i , n , e ) Указывает тип формата входного файла.
o i Формат файла журнала Microsoft IIS
o n Общий формат файла журнала NCSA
o e Расширенный формат файла журнала W3C
 имя_файла.log Указывает имя входного файла.
 -t ( ncsa:GMTOffset ) Указывает стандартный тип выходного
файла «Общий формат файла журнала NCSA».
o GMTOffset Смещение в часах относительно времени по
Гринвичу (GMT). Смещение задается как
четырехразрядное число с предшествующим знаком
плюс или минус, в зависимости от соотношения
местного времени и GMT. Пробел после сдвига GMT
включает замену IP-адреса на имя DNS (только для
формата файла журнала Microsoft IIS).
 -l ( 0 , 1 , 2 ) Указывает формат даты, используемый во
входном файле в формате журнала IIS. Программа принимает
любой указанный формат, поэтому необходимо определить
формат, используемый во входном файле.
o 0 - ММ/ДД/ГГ по умолчанию (американский формат
даты)
o 1 - ГГ/ММ/ДД (японский формат даты)
o 2 - ДД.ММ.ГГ (немецкий формат даты)
 -o выходной каталог Указывает выходной каталог. По
умолчанию используется текущий каталог (т.е. каталог
%WINNT%\System32).
 -x Сохраняет записи, не относящиеся к транзакциям HTTP, в
файле .dmp.
 -d Включает замену DNS для IP-адреса пользователя во
время преобразования.
Примеры:
Команда convlog -ii inetsv1.log -d -t ncsa:-0700 преобразует файл
Inetsv1.log в общий формат файла журнала NCSA с именами DNS и
поправкой на семь часов разницы во времени.
Команда convlog -ii inetsv1.log -l1 -t ncsa:+0900 -o
\Logfiles\Japan\ преобразует файл Inetsv1.log из формата журнала IIS
в общий формат файла журнала NCSA поправкой на девять часов
разницы во времени (время Токио), задает для дат японский формат и
отправляет файл в подпапку Japan в папке Logfiles на текущем диске.
Команда convlog -ie extend1.log -o D:\Temp\NCSALogs преобразует
файл extend1.log из расширенного формата файла журнала W3C в общий
формат файла журнала NCSA и отправляет его в папку NCSALogs в
каталоге D:\Temp. IP-адреса не заменяются на имена DNS.
Команда convlog -in ncsa1.log -o -d
\\REMOTE_MACHINE\REMOTE_SHARE\NCSALogs выводит файл
ncsa1.log в общем формате файла журнала NCSA в папку NCSALogs в
общем каталоге на удаленном диске. IP-адреса заменяются на имена
DNS и формат файла не преобразуется.
Имена файлов, которые генерируются при преобразовании DNS,
удовлетворяют следующим соглашениям.


Файл журнала, преобразованный в общий формат NCSA без
преобразования DNS, сохраняет исходное имя файла и получает
расширение .ncsa.
Файл журнала с IP-адресами, преобразованными в имена DNS,
сохраняет исходное имя файла и получает расширение .ncsa.dns.
Например, если файла журнала Inetsv1.log использует формат журнала
Microsoft IIS и преобразование DNS не производится, выходной файл
журнала будет иметь имя Inetsv1.log.ncsa. Однако при включении
преобразования DNS результирующий выходной файл получит имя
Inetsv1.log.ncsa.dns.
См. также




Описание доступных форматов журнала см. в разделе Ведение
журнала активности веб-узла.
Сведения о выборе расширенных полей W3C см. в разделе
Настройка расширенного формата журнала W3C.
Сведения о частоте регистрации в журнале и о размерах файлов
журналов см. в разделе Сохранение файлов журнала.
Сводный список свойств журналов приведен в разделе Список
свойств для ведения журналов.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Настройка быстродействия
В версии Internet Information Services 5.1 допускается до десяти
одновременных подключений клиентов. Настройка быстродействия для
десяти одновременных подключений клиентов обычно не требуется.
Поэтому следующие сведения предназначены для пользователей
Windows 2000 Server и Windows 2000 DataCenter или более поздних
версий. Эти продукты делают возможной обработку нескольких тысяч
одновременных подключений клиентов. Пользователи,
заинтересованные в настройке производительности IIS 5.1, должны
также рассмотреть преимущества создания приложений с помощью
Active Server Pages (ASP). Дополнительные сведения см. в руководстве
по ASP.
В этих разделах рассказывается о том, как выбрать и использовать
средства Windows XP для изучения производительности сервера и узла,
а также как настроить ряд параметров для увеличения общей
производительности. Доступ к параметрам настройки
производительности IIS можно осуществить двумя способами. Первым из
них является использование оснастки IIS. Вторым способом является
программное изменение настроек непосредственно в метабазе. В данном
разделе рассматривается только изменение настроек
производительности с помощью оснастки IIS.
В данном разделе описываются следующие вопросы.


О настройке быстродействия. Основные сведения о вопросах,
связанных с быстродействием.
Пропускная способность сети. Планирование пропускной
способности сети и повышение ее производительности.
В разделе не затрагиваются следующие темы.



Программное администрирование; см. Программное
администрирование IIS.
Влияние различных типов содержимого узлов на
производительность; см. Настройка приложений.
Отслеживание интенсивности передачи веб-узла; см. Ведение
журналов узлов.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
О настройке быстродействия
Для обеспечения удобства пользователей производительность сервера
должна быть оптимальной. Требования к оборудованию могут меняться в
зависимости от предоставляемых услуг. Служба FTP использует меньше
памяти, чем веб-служба. Приложения Active Server Pages (ASP),
сценарии Common Gateway Interface (CGI), запросы к базам данных и
файлы видеозаписей приводят к более высокой нагрузке на процессор,
чем статические страницы HTML. Быстродействие меняется во времени
при изменении интенсивности передачи данных и содержимого узла.
Чтобы эффективно настроить быстродействие, администратор сервера
должен спланировать стратегию наблюдения с помощью различных
средств.
В данном разделе рассматриваются следующие вопросы:



Циклическая природа проверки и настройки
Средства, используемые для наблюдения за быстродействием
Оптимизация использования дисков
Циклическая природа проверки и
настройки
Проверка и настройка быстродействия — это непрерывный процесс.
Чтобы эффективно протестировать и настроить систему, необходимо
начать с планирования стратегии оценки. Первым шагом является
измерение текущего уровня быстродействия. Поскольку быстродействие
сервера может меняться в довольно широких пределах, необходимо
убедиться в том, что наблюдения учитывают достаточно большой
промежуток времени и представляют истинную картину
функционирования сервера.
Чтобы улучшить быстродействие сервера, проверьте все части системы
для выявления потенциально узких мест. Узкие места могут быть
вызваны неподходящей или неправильной конфигурацией аппаратного
обеспечения, а также параметрами программного обеспечения в IIS или
Windows XP. Хороший план наблюдения проверяет производительность
во всех аспектах.
Зная как сервер функционирует, можно начать вносить изменения для
повышения быстродействия. Изменения рекомендуется вносить по
одному за один раз. В противном случае становится трудно оценить
влияние каждого конкретного изменения.
После внесения каждого изменения продолжайте наблюдать, не
принесет ли данное изменение ожидаемый эффект или вызовет
нежелательные побочные эффекты. Поскольку изменения в одном
ресурсе могут вызвать появление узких мест в других частях системы,
необходимо проверять производительность всех ресурсов после
внесения изменений. Оценив влияние изменения, можно принять
решение о необходимости дальнейших изменений.
Средства, используемые для наблюдения
за быстродействием
Наблюдение за быстродействием сервера является важной частью
администрирования сервера. Соответствующие средства контроля за
быстродействием позволяют обнаруживать неполадки сервера,
оценивать результаты изменения содержимого веб-узла или планировать
обновление, целью которого является повышение доступности веб-узла
для пользователей.
Оптимальный выбор средств и способов наблюдения определяется
интересующими вас данными. Например, при попытке измерить общую
нагрузку на веб-сервер можно построить на системном мониторе
диаграмму нагрузки за неделю и отобразить на ней число подключений
компьютеров и число переданных файлов. С другой стороны, если
обнаружено понижение производительности сервера, можно проверить
возникающие ошибки в окне просмотра событий, которое позволяет
просматривать журналы, создаваемые Windows XP.
Кроме того, для наблюдения за сервером можно использовать журналы,
создаваемые IIS. Эти журналы являются более полными, чем
создаваемые Windows XP. Для получения дополнительных сведений о
ведении журналов следует обращаться к разделам, перечисленным в
разделе Ведение журналов узлов.
Перечисленные ниже средства наблюдения, доступные в некоторых
выпусках Windows XP, позволяют получать как данные на определенные
моменты времени, так и сводные данные.




Системный монитор
окно просмотра событий
Диспетчер задач
Сетевой монитор
Кроме средств, входящих в состав Windows XP, можно использовать и
другие средства наблюдения за производительностью. Для получения
дополнительных сведений см. раздел Проверка быстродействия и
масштабируемости.
Системный монитор
Системный монитор является мощной оснасткой MMC, позволяющей
наблюдать за сервером и измерять его производительность за
выбранные временные интервалы. Это средство позволяет отображать
данные о быстродействии на диаграммах в режиме реального времени
или в отчетах, накапливать данные в файлах и генерировать
оповещения при появлении критических событий. Эти данные могут
быть использованы для выявления узких мест системы и для тонкой
настройки производительности системы и приложений.
Получить доступ к системному монитору можно тремя способами.

Нажмите кнопку Пуск, укажите на команды Программы и
Администрирование и выберите команду Быстродействие.


Нажмите кнопку Пуск, выберите команду Выполнить, введите
perfmon в поле и нажмите клавишу ENTER.
Введите perfmon в окне командной строки.
Системный монитор проверяет значения счетчиков производительности,
регистрирующих активность определенных системных объектов, т. е.
конкретных служб или механизмов, управляющих ресурсами сервера.
Например, если нажать не кнопку со знаком «плюс» в окне системного
монитора, можно выбрать объект «Веб-служба» и просмотреть список
счетчиков, регистрирующих количество полученных байт в секунду или
число попыток подключения в секунду. В этом окне можно добавлять и
удалять счетчики, отображающиеся на графике системного монитора,
или настраивать счетчики на регистрацию событий в журнале.
Одновременное включение большого количества счетчиков может
привести к некоторому понижению быстродействия, поэтому отбирайте
только необходимые.
Windows XP содержит сотни счетчиков, такие как счетчики
использования диска и активности TCP. IIS устанавливает специальные
счетчики, включая счетчики веб-службы, счетчики службы FTP, счетчики
для приложений Active Server Pages и общие счетчики для служб IIS.
Счетчики веб- и FTP-служб и счетчики объектов Active Server Pages
позволяют вести наблюдение за подключениями сценариев. Общие
счетчики служб IIS обеспечивают наблюдение за такими параметрами,
как использование полосы пропускания и действия по кэшированию для
всех служб IIS. Счетчики обычно измеряют частоту, количество или
длительность. Это следует учитывать при выборе отображаемых
счетчиков.
Системный монитор обеспечивает как краткосрочную, так и
долгосрочную информацию о загрузке сервера и узлов. В приведенной
ниже таблице перечислены некоторые счетчики системного монитора,
которые могут быть полезны для наблюдения за сервером, и
оптимальные значения для каждого из них. На графике системного
монитора значения откладываются в масштабе от нуля 100, поэтому для
некоторых счетчиков, регистрирующих малые значения, может
потребоваться изменение масштаба.
Объект\счетчик
Память\Обмен страниц в сек
Память\Доступно байт
Память\Байт выделенной виртуальной
памяти
Память\Байт в невыгружаемом
страничном пуле
Процессор\% загруженности процессора
Процессор\Прерываний/сек
Оптимальное значение
0–20 (значение больше 80 свидетельствует
о неполадках).
По крайней мере 20 Мбайт
Не более 75% объема физической памяти.
Стабильное (медленное возрастание может
свидетельствовать об «утечке» памяти).
Меньше 75%.
Зависит от процессора. До 1000 для
процессоров 486/66; 3500 для P90; больше
7000 для P200. Чем меньше, тем лучше.
Процессор\Длина очереди системного
процессора
Логический или Физический диск \ %
активности диска
Логический или Физический диск \
Средняя длина очереди диска
Логический или Физический диск \
Средний размер одного обмена с диском
(байт)
Общий объект служб IIS\Процент
попаданий в кэше файлов
Веб-служба\Всего байт в секунду
Страницы Active Server\Время ожидания
запроса
Страницы Active Server\Запросов в
очереди
Страницы Active Server\Транзакций в
секунду
2 или менее.
Как можно более низкое.
Меньше 2.
Как можно более высокое.
Как можно более высокое, хотя значение
зависит от содержимого веб-узла.
Как можно более высокое.
Страницы Active Server\Время выполнения
запроса
Нуль.
Как можно более высокое.
Для получения дополнительных сведений об использовании системного
монитора обращайтесь к документации Windows XP. Полный список
счетчиков, предоставляемых IIS, приведен в разделе Справочник по
счетчикам.
Просмотр событий
Windows XP включает службу журналов событий, которая регистрирует
такие события как возникновение ошибок или успешный запуск службы.
Журналы событий просматриваются в окне просмотра событий. Окно
просмотра событий позволяет просматривать системный журнал, журнал
безопасности и журнал приложений. Эти данные помогают получить
представление о последовательности и типах событий, результатом
которых может быть понижение производительности. Более подробное
описание способов работы с окном просмотра событий см. в
документации Windows XP.
Диспетчер задач
Диспетчер задач может быть использован для просмотра текущих задач
и потоков. Его можно также использовать для изменения назначенных
приоритетов процессов. Однако когда процесс завершается, новые
установки приоритета теряются. Использование процессора и памяти
может быть просмотрено в реальном времени, но эти сведения не
сохраняются. Для получения дополнительных сведений об
использовании диспетчера задач см. документацию Windows XP.
Сетевой монитор
Сетевой монитор собирает сведения о передаче данных на компьютер и
с компьютера, а также подробные сведения об отправленных и
полученных кадрах. Этот инструмент позволяет анализировать
комплексную структуру сетевой передачи данных. С его помощью можно
просматривать заголовки, включенные в HTTP- и FTP-запросы к серверу.
Как правило, необходимо разработать фильтр записи, который действует
как запрос к базе данных и выделяет подмножество передаваемых
кадров. Можно также использовать триггер записи, который реагирует
на события в сети и инициирует действия, например запускает
выполняемый файл. Вместе с некоторыми версиями Windows XP
поставляется облегченная версия сетевого монитора. Полная версия
сетевого монитора поставляется с серверами Systems Management
Server. Более подробное описание сетевого монитора см. в
документации Windows XP, включая пакеты Windows Resource Kits.
Оптимизация использования дисков
Жесткие диски наиболее часто являются узким местом на узлах с
большим набором файлов, к которым обращаются случайным образом.
Частота обращений IIS к жесткому диску прямо связана с объемом ОЗУ,
а также числом и размерами запрошенных файлов. Если объем ОЗУ мал
и запрошено много файлов или большой файл, то IIS не может
удерживать копии файлов в оперативной памяти. В этом случае
приходится осуществлять доступ к файлам с жесткого диска. Скорость, с
которой IIS находит запрошенный файл, определяется скоростью
доступа к диску и размером жесткого диска.
Чтобы контролировать жесткие диски, используйте системный монитор
для фиксации использования процессора, насыщения сетевой платы и
счетчик «% активности диска» объекта «Физический диск». Если
счетчик «% активности диска» имеет большое значение, а процессор и
сетевая плата не достигли насыщения, жесткий диск является узким
местом. Дополнительные сведения по счетчику «% активности диска»
объекта «Физический диск» см. в документации Windows XP.
Чтобы увеличить производительность дисков, используйте массив
независимых дисков с избыточным хранением данных (RAID) и набор
дисков с чередованием. Если сервер интенсивно используется для
работы с базой данных, рассмотрите возможность выполнения последней
версии и соответствующей версии сервера Windows на другом
компьютере, поскольку база данных будет конкурировать с IIS за
ресурсы памяти, процессора и дисков. Если необходимо выполнять
Windows XP как сервер базы данных, могут понадобиться гигабайты
оперативной памяти (так можно минимизировать задержи доступа) или
контроллер диска с большим объемом кэш-памяти. Следует также
поддерживать избыточность. Это позволит избежать восстановления из
резервной копии при отказе одного диска. Многие из контроллеров,
разработанных в последнее время, позволяют «горячую замену»,
поэтому неисправный диск может быть заменен, не вызывая остановки
сервера. Несмотря на это, целесообразно поддерживать актуальные
резервные копии и хранить их вне узла.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Пропускная способность сети
Этот раздел описывает контроль и настройку значения ряда свойств,
связанных с сетевым соединением. После внесения изменений в
конфигурацию системы необходимо продолжить ведение журналов и
использование средств наблюдения за быстродействием для получения
данных о производительности.
Глава содержит следующие разделы.

Включение открытых соединений HTTP. Использование
подключений HTTP Keep-Alive для поддержания открытого
соединения.
В разделе не затрагиваются следующие темы.


Вопросы производительности, связанные с созданием транзакций и
изолированием приложений; см. Настройка приложений.
Отслеживание интенсивности передачи веб-узла; см. Ведение
журналов узлов.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Включение открытых
соединений HTTP
Большинство веб-обозревателей запрашивают, чтобы сервер
поддерживал подключение открытым для множественных запросов.
Такой режим называют механизмом открытых соединений HTTP.
Открытые соединения представляют собой спецификацию HTTP,
позволяющую существенно повысить производительность сервера. Без
ее использования веб-обозревателю приходится выполнять несколько
запросов на подключение для страницы, содержащей несколько
элементов, например графических объектов. Для каждого элемента
может потребоваться отдельное подключение. Такие дополнительные
запросы и подключения требуют дополнительных операций и ресурсов
сервера, что в результате существенно понижает быстродействие. Это
также делает обозреватель более медленным, в особенности в случае
медленных подключений. Режим поддержки открытых соединений HTTP
включается по умолчанию в процессе установки.
Чтобы отключить режим открытых соединений HTTP
1. В оснастке IIS выберите веб-узел и откройте окно его свойств.
2. На вкладке Веб-узел снимите флажок Разрешить поддержку
открытых соединений HTTP.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Сценарии администрирования
Административные сценарии — это средства, позволяющие
администраторам изменять настройки веб-сервера, пользуясь
программой для запуска сценариев из командной строки — Cscript.exe.
В данном разделе описываются следующие вопросы.


Об административных сценариях. Описание функциональных
возможностей административных сценариев.
Документация сценариев. Описание каждого сценария,
включая его параметры и использование.
Данная глава не содержит сведений по следующим вопросам.


Справочные сведения для администраторов; см. Справочник
администратора.
Сценарии ASP; см. Active Server Pages.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Об административных сценариях
В этом разделе содержатся основные сведения об административных
сценариях, в том числе об объектах администрирования IIS Admin
Objects, о служебной программе для запуска сценариев из командной
строки Cscript.exe и о местоположении по умолчанию сценариев
администрирования.


Объекты администрирования IIS
Программа Cscript.exe
Объекты администрирования Internet
Information Services
Административные сценарии автоматизируют некоторые наиболее
типичные задачи администрирования и демонстрируют работу объектов
администрирования IIS. С их помощью можно создавать и
контролировать веб-узлы, приложения, каталоги и т. п.
Сценарии администрирования можно выполнять с помощью файлов
VBScript, которые по умолчанию устанавливаются в каталог
\InetPub\adminscripts на системном диске.
Программа Cscript.exe
Сценарии администрирования на языке VBScript предназначены для
выполнения с запускаемой с командной строки утилитой Cscript.exe и
лучше всего работают, когда программа Cscript зарегистрирована для
выполнения файлов .vbs.
Чтобы зарегистрировать программу Cscript, выполните учебный сценарий
adsutil.vbs. Это приведет к регистрации Cscript.exe.
Также можно зарегистрировать Cscript.exe в качестве используемого по
умолчанию сервера сценариев, выполнив в командной строке
следующую команду:
cscript //H:cscript
После регистрации Cscript вы сможете вызывать сценарии
самостоятельно без указания обработчика сценариев. Например, можно
будет ввести в командной строке:
pauseweb.vbs /?
вместо:
cscript pauseweb.vbs /?
Однако некоторые сценарии при этом будут выводить свои результаты
во всплывающих окнах вместо их вывода в окне командной строки, что
при большом количестве выводящихся результатов может оказаться
неудобным. Чтобы избежать появления всплывающих окон, всегда
указывайте утилиту cscript перед именем сценария.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Служебная программа
администрирования IIS (adsutil)
Обзор:
Служебная программа администрирования IIS, которая использует язык
VBScript с интерфейсами ADSI (Active Directory Service Interfaces) для
управления конфигурацией IIS. Этот сценарий следует запускать с
помощью программы CScript, которая обеспечивает функции сервера
сценариев Windows Script Host.
Использование:
Cscript.exe adsutil.vbs КОМАНДА <путь> [<параметр>...]
Cscript.exe adsutil.vbs КОМАНДА [<путь> [<параметры>...]]
Команды:
GET путь
Отображение выбранного параметра.
SET путь значение
Присваивание нового значения.
ENUM путь "/P"
Перечисление всех параметров для данного пути.
/P - перечисление только путей (без данных).
ENUM_ALL "/P"
Перечисление всех параметров.
/P - перечисление только путей (без данных).
DELETE путь
Удаление пути или параметра.
CREATE путь [KeyType]
Создание пути и присвоение ему KeyType.
APPCREATEINPROC путь
Создание внутреннего (in-proc) приложения.
APPCREATEOUTPROC путь Создание внешнего (out-proc) приложения.
APPDELETE путь
Удаление приложения (если оно существует).
APPUNLOAD путь
Выгрузка внешнего приложения.
APPGETSTATUS путь
Получение состояния приложения.
FIND путь
Запуск веб-узла.
START_SERVER путь
Запуск работы сервера.
STOP_SERVER путь
Остановка веб-узла.
PAUSE_SERVER путь
Приостановка веб-узла.
CONTINUE_SERVER Path
Возобновление работы веб-узла.
HELP
Вывод всех имеющихся команд.
Примечания

<путь> представляет собой путь к узлу, на котором задается
свойство, включающий имя задаваемого свойства. Например, для
задания свойства ServerComment для веб-сервера 1 следует
использовать следующую команду:
adsutil SET w3svc/1/ServerComment "Веб-сервер номер 1"
При следующем открытии объекта IIS консоли MMC в нем в
качестве имени веб-сервера будет показана строка «Веб-сервер
номер 1».

Чтобы выполнить команду на удаленном компьютере, укажите
после нее параметр "-s:имя_сервера". (См. первый пример.)
Примеры:
Cscript.exe adsutil.vbs GET W3SVC/1/ServerBindings -s:remotecomputer1
Cscript.exe adsutil.vbs SET W3SVC/1/ServerBindings ":81:"
Cscript.exe adsutil.vbs CREATE W3SVC/1/Root/MyVdir "IIsWebVirtualDir"
Cscript.exe adsutil.vbs START_SERVER W3SVC/1
Cscript.exe adsutil.vbs ENUM /P W3SVC
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Отображение
административного узла
(dispnode)
Обзор:
Отображает поля, соответствующие определенному административному
узлу в иерархии.
Использование:
dispnode <--adspath|-a ПУТЬ_ADS>
<--help|-h>
Параметры:
ПУТЬ_ADS Полный путь ADSI к узлу, который должен быть отображен.
Пример:
Dispnode –a IIS://LocalHost/w3svc
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Отображение
административного дерева
(disptree)
Обзор:
Этот сценарий отображает дерево объектов администрирования начиная
с указанного корневого узла КОРНЕВОЙ УЗЕЛ или с узла IIS://LocalHost,
если корневой узел не указан. Для каждого узла отображается его имя,
класс и ServerComment, если он является виртуальным сервером. По
умолчанию сценарий рекурсивно просматривает структуру дерева,
отображая также все вложенные узлы. Этот режим отключается
аргументом NoRecurse.
Использование:
disptree [--adspath|-a КОРНЕВОЙ_УЗЕЛ]
[--norecurse|-n]
<--help|-h>
Параметры:
КОРНЕВОЙ_УЗЕЛ Полный путь ADSI к корневому узлу дерева.
norecurse
Задание этого аргумента отменяет рекурсивный обход объектовконтейнеров и отображение полной структуры дерева.
Пример:
Disptree –a IIS://LocalHost/w3svc -n
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Поиск веб-узла (findweb)
Обзор:
Выполняет поиск указанного веб-узла на заданном компьютере.
Использование:
findweb [--computer|-c КОМПЬЮТЕР] ВЕБ_УЗЕЛ [--help|-?]
Параметры:
КОМПЬЮТЕР Компьютер, на котором выполняется поиск. Если компьютер не указан,
поиск будет выполняться на LocalHost.
ВЕБ_УЗЕЛ
Искомый веб-узел. Если он не задан, выполняется поиск для узла "1".
Имя может быть указано одним из следующих способов,
перечисленными в порядке убывания приоритета:
Номер сервера (например 1, 2, 10, и т. п.)
Описание сервера ("My Server")
Имя узла сервера (www.domain.com)
IP-адрес (172.16.0.0)
help
Выдача справки по данной команде.
Примеры:
findweb
findweb -c MACHINE www.domain.com
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Создание веб-узла (mkw3site)
Обзор:
Создает веб-узел.
Использование:
mkw3site <--rootdirectory|-r КОРНЕВОЙ_КАТАЛОГ>
<--comment|-t ПРИМЕЧАНИЕ_ДЛЯ_СЕРВЕРА>
[--computer|-c КОМПЬЮТЕР1[,КОМПЬЮТЕР2...]]
[--port|-o НОМЕР_ПОРТА]
[--ipaddress|-i IP_АДРЕС]
[--admin|-a АДМИНИСТРАТОР]
[--hostname|-h ИМЯ_УЗЛА]
[--dontstart]
[--help|-?]
Параметры:
IP_АДРЕС
IP-адрес, присваиваемый новому серверу.
(необязательный параметр)
КОМПЬЮТЕР1,
КОМПЬЮТЕР2,...
Список компьютеров, на которых создается данный
узел. Этот параметр используется для настройки
нескольких компьютеров с одинаковыми параметрами.
Если компьютеры не указаны, используется LocalHost.
КОРНЕВОЙ_КАТАЛОГ
Полный путь к корневому каталогу для нового сервера.
ПРИМЕЧАНИЕ_ДЛЯ_СЕРВЕРА Имя, которое отображается на консоли Microsoft
Management Console (MMC).
АДМИНИСТРАТОР
Имя пользователя, который будет назначен
администратором сервера.
НОМЕР_ПОРТА
Номер порта, к которому должен быть привязан новый
сервер.
ИМЯ_УЗЛА
Имя, присваиваемое данному узлу.
ПРЕДУПРЕЖДЕНИЕ: Используйте это имя, только
если в системе для поиска серверов используется DNS.
DONTSTART
При указании этого аргумента сценарий не будет
запускать созданный веб-сервер.
Пример:
Mkw3site -rootdirectory d:\someplace -t NewServer -hostname
www.domain.com
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Создание виртуального вебкаталога (mkwebdir)
Обзор:
Создает новый виртуальный каталог для веб-сервера.
Использование:
mkwebdir <--computer|-c КОМПЬЮТЕР1,КОМПЬЮТЕР2,...>
<--website|-w ВЕБ_УЗЕЛ>
<--virtualdir|-v ИМЯ1,ПУТЬ1,ИМЯ2,ПУТЬ2,...>
[--help|-h]
Параметры:
КОМПЬЮТЕР1,
КОМПЬЮТЕР2,...
Список компьютеров, на которых создается данный вебкаталог. Этот параметр используется для настройки
нескольких компьютеров с одинаковыми параметрами.
Если компьютеры не указаны, используется LocalHost.
ВЕБ_УЗЕЛ
Веб-узел, на котором будет создан каталог. Имя может
быть указано одним из следующих способов
(перечисленных в порядке уменьшения их приоритета):
Номер сервера (например, 1, 2, 10)
Описание сервера (My Server)
Имя узла сервера (www.domain.com)
IP-адрес (172.16.0.0)
ИМЯ1,ПУТЬ1,ИМЯ2,ПУТЬ2
Имена и пути для создаваемых виртуальных каталогов.
Пример:
Mkwebdir –c LocalHost –w "Default Web Site" –v CommonImages,D:\Images
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Остановка веб-сервера
(stopweb)
Обзор:
Останавливает указанные веб-серверы.
Использование:
stopweb <--adspath|-a СЕРВЕР1[,СЕРВЕР2,СЕРВЕР3...]>
[--computer|-c КОМПЬЮТЕР1[,КОМПЬЮТЕР2...]]
[--verbose|-v]
[--help|-?]
Параметры:
-a
SERVERx
Номер сервера, который должен быть остановлен.
-Computer Список имен компьютеров, разделенных запятыми. Например, -c
Machine1,Machine2,Machine3. Предполагается, что указанный путь
существует на всех указанных компьютерах. Если компьютеры не указаны,
используется LocalHost.
Примеры:
stopweb -a 1,2
stopweb -c MACHINE1,MACHINE2,MACHINE3 -a 1,2
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Остановка сервера (stopsrv)
Обзор:
Возобновляет работу серверов, перечисленных в списке.
Использование:
stopsrv <--ADSPath|-a ServerInstance/X[,ServerInstance/Y,ServerInstance/Z...]>
[--computer|-c КОМПЬЮТЕР1[,КОМПЬЮТЕР2...]]
[--verbose|-v]
[--help|-?]
Параметры:
-a
Экземпляр веб-сервера или FTP-сервера. Обычно это
ServerInstance/X w3svc/X или msftpsvc/X, где X представляет
порядковый номер экземпляра сервера. В установке
IIS по умолчанию w3svc/1 представляет веб-узел по
умолчанию, сопоставленный с каталогом
Inetpub\Wwwroot на системном диске.
-Computer
Список имен компьютеров, разделенных запятыми. Например, -c
Machine1,Machine2,Machine3. Предполагается, что указанный путь
существует на всех указанных компьютерах. Если компьютеры не
указаны, используется LocalHost.
-v
Печать сведений о состоянии в процессе обработки.
-?
Выдача справки по данной команде.
Примеры:
Пример 1: stopsrv -a w3svc/1,msftpsvc/2
Пример 2: stopsrv -c MACHINE1,MACHINE2,MACHINE3 -a
w3svc/1,msftpsvc/2
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Остановка FTP-сервера (stopftp)
Обзор:
Останавливает указанные FTP-серверы.
Использование:
stopftp <--adspath|-a СЕРВЕР1[,СЕРВЕР2,СЕРВЕР3...]>
[--computer|-c КОМПЬЮТЕР1[,КОМПЬЮТЕР2...]]
[--verbose|-v]
[--help|-?]
Параметры:
-a
SERVERx
Номер сервера, который должен быть остановлен.
-Computer
Список имен компьютеров, разделенных запятыми.
Например, -c Machine1,Machine2,Machine3. Предполагается, что указанный
путь существует на всех указанных компьютерах. Если компьютеры не
указаны, используется LocalHost.
-v
Печать сведений о состоянии в процессе обработки.
-?
Выдача справки по данной команде.
Примеры:
stopftp -a 1,2
stopftp -c MACHINE1,MACHINE2,MACHINE3 -a 1,2
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Запуск веб-сервера (startweb)
Обзор:
Запускает указанные веб-серверы.
Использование:
startweb <--adspath|-a СЕРВЕР1[,СЕРВЕР2,СЕРВЕР3...]>
[--computer|-c КОМПЬЮТЕР1[,КОМПЬЮТЕР2...]]
[--verbose|-v]
[--help|-?]
Параметры:
-a
SERVERx
Номер сервера, который должен быть запущен.
-Computer
Список имен компьютеров, разделенных запятыми. Например, -c
Machine1,Machine2,Machine3.
Предполагается, что указанный путь существует на всех указанных
компьютерах. Если компьютеры не указаны, используется LocalHost.
Примеры:
startweb -a 1,2
startweb -c MACHINE1,MACHINE2,MACHINE3 -a 1,2
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Запуск FTP-сервера (startftp)
Обзор:
Запускает указанные серверы.
Использование:
startftp <--adspath|-a СЕРВЕР1[,СЕРВЕР2,СЕРВЕР3...]>
[--computer|-c КОМПЬЮТЕР1[,КОМПЬЮТЕР2...]]
[--verbose|-v]
[--help|-?]
Параметры:
-a
SERVERx
Номер сервера, который должен быть запущен.
-Computer
Список имен компьютеров, разделенных запятыми.
Например, -c Machine1,Machine2,Machine3. Предполагается, что указанный
путь существует на всех указанных компьютерах. Если компьютеры не
указаны, используется LocalHost.
-v
Печать сведений о состоянии в процессе обработки.
-?
Выдача справки по данной команде.
Примеры:
startftp -a 1,2
startftp -c MACHINE1,MACHINE2,MACHINE3 -a 1,2
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Запуск сервера (startsrv)
Обзор:
Запускает серверы, перечисленные в списке.
Использование:
startsrv <--ADSPath|-a
ServerInstance/X[,ServerInstance/Y,ServerInstance/Z...]>
[--computer|-c КОМПЬЮТЕР1[,КОМПЬЮТЕР2...]]
[--verbose|-v]
[--help|-?]
Параметры:
-a
Экземпляр веб-сервера или FTP-сервера. Обычно это
ServerInstance/X w3svc/X или msftpsvc/X, где X представляет
порядковый номер экземпляра сервера. В установке
IIS по умолчанию w3svc/1 представляет веб-узел по
умолчанию, сопоставленный с каталогом
Inetpub\Wwwroot на системном диске.
-Computer
Список имен компьютеров, разделенных запятыми. Например, -c
Machine1,Machine2,Machine3.
Предполагается, что указанный путь существует на всех указанных
компьютерах. Если компьютеры не указаны, используется
LocalHost.
-v
Печать сведений о состоянии в процессе обработки.
-?
Выдача справки по данной команде.
Примеры:
startsrv -a w3svc/1,msftpsvc/2
startsrv -c MACHINE1,MACHINE2,MACHINE3 -a w3svc/1,msftpsvc/2
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Приостановка веб-сервера
(pauseweb)
Обзор:
Приостанавливает указанные веб-серверы.
Использование:
pauseweb <--adspath|-a СЕРВЕР1[,СЕРВЕР2,СЕРВЕР3...]>
[--computer|-c КОМПЬЮТЕР1[,КОМПЬЮТЕР2...]]
[--verbose|-v]
[--help|-?]
Параметры:
-a
SERVERx
Номер сервера, который должен быть приостановлен.
-Computer
Список имен компьютеров, разделенных запятыми. Например, -c
Machine1,Machine2,Machine3.
Предполагается, что указанный путь существует на всех указанных
компьютерах. Если компьютеры не указаны, используется LocalHost.
Примеры:
pauseweb -a 1,2
pauseweb -c MACHINE1,MACHINE2,MACHINE3 -a 1,2
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Приостановка сервера
(pausesrv)
Обзор:
Приостанавливает работу серверов, перечисленных в списке.
Использование:
pausesrv <--ADSPath|-a
ServerInstance/X[,ServerInstance/Y,ServerInstance/Z...]>
[--computer|-c COMPUTER1[,COMPUTER2...]]
[--verbose|-v]
[--help|-?]
Параметры:
-a
Экземпляр веб-сервера или FTP-сервера. Обычно это
ServerInstance/X w3svc/X или msftpsvc/X, где X представляет
порядковый номер экземпляра сервера. В установке
IIS по умолчанию w3svc/1 представляет веб-узел по
умолчанию, сопоставленный с каталогом
Inetpub\Wwwroot на системном диске.
-Computer
Список имен компьютеров, разделенных запятыми. Например, -c
Machine1,Machine2,Machine3.
Предполагается, что указанный путь существует на всех указанных
компьютерах. Если компьютеры не указаны, используется
LocalHost.
-v
Печать сведений о состоянии в процессе обработки.
-?
Выдача справки по данной команде.
Примеры:
pausesrv -a w3svc/1,msftpsvc/2
pausesrv -c MACHINE1,MACHINE2,MACHINE3 -a w3svc/1,msftpsvc/2
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Приостановка FTP-сервера
(pauseftp)
Обзор:
Приостанавливает указанные FTP-серверы.
Использование:
pauseftp <--adspath|-a СЕРВЕР1[,СЕРВЕР2,СЕРВЕР3...]>
[--computer|-c КОМПЬЮТЕР1[,КОМПЬЮТЕР2...]]
[--verbose|-v]
[--help|-?]
Параметры:
-a
SERVERx
Номер сервера, который должен быть приостановлен.
-Computer
Список имен компьютеров, разделенных запятыми.
Например, -c Machine1,Machine2,Machine3. Предполагается, что указанный
путь существует на всех указанных компьютерах. Если компьютеры не
указаны, используется LocalHost.
-v
Печать сведений о состоянии в процессе обработки.
-?
Выдача справки по данной команде.
Примеры:
pauseftp -a 1,2
pauseftp -c MACHINE1,MACHINE2,MACHINE3 -a 1,2
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Возобновление работы вебсервера (contweb)
Обзор:
Возобновляет работу ранее приостановленных указанных веб-серверов.
Использование:
contweb <--adspath|-a СЕРВЕР1[,СЕРВЕР2,СЕРВЕР3...]>
[--computer|-c КОМПЬЮТЕР1[,КОМПЬЮТЕР2...]]
[--verbose|-v]
[--help|-?]
Параметры:
-a
SERVERx
Номер сервера, работу которого нужно возобновить.
-Computer
Список имен компьютеров, разделенных запятыми. Например, -c
Machine1,Machine2,Machine3.
Предполагается, что указанный путь существует на всех указанных
компьютерах. Если компьютеры не указаны, используется LocalHost.
Примеры:
contweb -a 1,2
contweb -c MACHINE1,MACHINE2,MACHINE3 -a 1,2
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Возобновление работы сервера
(contsrv)
Обзор:
Возобновляет работу серверов, перечисленных в списке.
Использование:
contsrv <--ADSPath|-a
ServerInstance/X[,ServerInstance/Y,ServerInstance/Z...]>
[--computer|-c КОМПЬЮТЕР1[,КОМПЬЮТЕР2...]]
[--verbose|-v]
[--help|-?]
Параметры:
-a
Экземпляр веб-сервера или FTP-сервера. Обычно это
ServerInstance/X w3svc/X или msftpsvc/X, где X представляет
порядковый номер экземпляра сервера. В установке
IIS по умолчанию w3svc/1 представляет веб-узел по
умолчанию, сопоставленный с каталогом
Inetpub\Wwwroot на системном диске.
-Computer
Список имен компьютеров, разделенных запятыми. Например, -c
Machine1,Machine2,Machine3.
Предполагается, что указанный путь существует на всех указанных
компьютерах. Если компьютеры не указаны, используется
LocalHost.
-v
Печать сведений о состоянии в процессе обработки.
-?
Выдача справки по данной команде.
Примеры:
contsrv -a w3svc/1,msftpsvc/2
contsrv -c MACHINE1,MACHINE2,MACHINE3 -a w3svc/1,msftpsvc/2
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Возобновление работы FTPсервера (contftp)
Обзор:
Возобновляет работу перечисленных серверов.
Использование:
contftp <--adspath|-a СЕРВЕР1[,СЕРВЕР2,СЕРВЕР3...]>
[--computer|-c КОМПЬЮТЕР1[,КОМПЬЮТЕР2...]]
[--verbose|-v]
[--help|-?]
Параметры:
-a SERVERx
Номер сервера, работу которого нужно возобновить.
-c
КОМПЬЮТЕРx
Список имен компьютеров, разделенных запятыми. Например, -c
Machine1,Machine2,Machine3.
Предполагается, что указанный путь существует на всех указанных
компьютерах. Если компьютеры не указаны, используется LocalHost.
-v
Печать сведений о состоянии в процессе обработки.
-?
Выдача справки по данной команде.
Примеры:
contftp -a 1,2
contftp -c MACHINE1,MACHINE2,MACHINE3 -a 1,2
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Изменение ограничений доступа
(chaccess)
Обзор:
Изменяет тип доступа, разрешенный на данном узле для указанного
набора компьютеров. Этот сценарий можно использовать, например, для
изменения типа доступа к каталогу, виртуальному каталогу или файлу с
«только для чтения» на «выполнение» и наоборот.
Использование:
chaccess -a ПУТЬ_ADS -computer|-c КОМПЬЮТЕР1, КОМПЬЮТЕР2,...
[+read|-read]
[+write|-write]
[+script|-script]
[+execute|-execute]
[+browse|-browse]
[-verbose|-v]
[--help|-?]
Параметры:
-a ПУТЬ_ADS
Машинно-зависимый путь. Например, -a w3svc/1
Список имен компьютеров, разделенных запятыми, для которых
c КОМПЬЮТЕРx выполняются изменения. Например, -c Machine1,Machine2,Machine3.
Предполагается, что указанный путь существует на всех указанных
компьютерах. Если компьютеры не указаны, используется LocalHost.
+-write
Включение или отключение разрешения на запись для данного узла.
+-script
Включение или отключение разрешения сценариев для данного узла.
+-execute
Включение или отключение разрешения на выполнение для данного
узла.
+-browse
Включение или отключение просмотра каталога для данного узла.
-verbose
Печать сведений о состоянии в процессе обработки.
Примеры:
chaccess -a w3svc/1/ROOT +read -write +script +browse
chaccess -c MACHINE1,MACHINE2 -a w3svc/1/ROOT +read -write +script
+browse
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Справочник администратора
Добро пожаловать в главу «Справочник администратора». В данной
главе содержатся подробные сведения о свойствах, обеспечивающих
настройку реестра, о метабазе, событиях Windows для IIS, счетчиках,
временах ожидания и свойствах ведения журнала. Она рассматривается
как справочник для выполнения задач администрирования.
Глава содержит следующие разделы.




Реестр. Свойства, обеспечивающие конфигурацию разделов
реестра для IIS.
Метабаза. Свойства, обеспечивающие конфигурацию метабазы.
События Windows для IIS. Список событий, которые
фиксируются в журнале событий Windows.
Разнообразные ссылки. Ссылки на сведения о счетчиках, а
также стандартные установки времен ожидания и свойств ведения
журналов.
Данная глава не содержит сведений по следующим вопросам.



Обычные операции администрирования сервера; см.
Администрирование сервера.
Объекты IIS Admin; см. Объекты IIS Admin.
Сценарии администрирования, см. Сценарии администрирования.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Системный реестр
В системном реестре сохраняются параметры, определяющие рабочую
среду для операционной системы Windows и любых служб,
установленных на компьютере с Windows. Для изменения этих значений
могут быть использованы графические средства, например «Панель
управления», программа установки Windows или оснастка IIS. Чтобы
непосредственно изменить системный реестр, можно использовать
программу «Редактор реестра» (Regedt32.exe), включенную в Windows.
В данном разделе описываются следующие вопросы.





О системном реестре. Основные сведения о реестре.
Глобальные записи реестра. Описание параметров,
используемых для задания общей конфигурации служб Интернета.
Записи реестра для служб. Описание параметров, которые
сохраняются в реестре службой Интернета и определяют
характеристики конкретной службы.
Записи реестра для службы WWW. Параметры, относящиеся
только к службам WWW.
Записи реестра для службы FTP. Параметры, относящиеся
только к службам FTP.
Данная глава не содержит сведений по следующим вопросам.


Метабаза; см. раздел Метабаза.
Обычные операции администрирования сервера; см.
Администрирование сервера.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
О системном реестре
Оснастка IIS может быть использована для настройки многих служб
Интернета. Параметры конфигурации в системном реестре, которые не
настраиваются с помощью оснастки IIS, являются характерными для
службы или глобальными для IIS и всех служб.
По мере возможности для изменения параметров сервера Интернета
используйте оснастку IIS. Для вступления в действие измененной
настройки параметра реестра необходимо перезапустить службу,
затрагиваемую этим изменением. Для глобальных записей необходимо
перезапустить все службы.
Важно! Неверное использование редактора реестра может привести к
неполадкам, в том числе сбоям веб- или FTP-узла. Ошибочная настройка
может повлечь повреждение конфигурации узла. Изменение записей
реестра следует выполнять только для параметров, недоступных через
интерфейс пользователя. Будьте осторожны при непосредственном
редактировании реестра.
Многие разделы реестра, существовавшие для предыдущих версий IIS,
были перемещены в обеспечивающую быстрый доступ иерархическую
базу данных, которую называют метабазой. Оставшиеся разделы реестра
используются для инициализации служб Интернета и для обеспечения
обратной совместимости со старыми версиями IIS. Любая новая
информация, записываемая пользователем, должна записываться в
метабазу. Дополнительные сведения см. в разделе Метабаза.
Ключ к таблицам свойств реестра
Свойства в реестре представлены в табличном формате. Сведения о
настройке организованы следующим образом:
Идентификатор. Имя (значение типа DWORD), которое представляет свойство реестра.
Тип данных. Значение типа DWORD, указывающее тип данных.
Диапазон. Область возможных значений свойства.
По умолчанию. Значение, которое свойство сохраняет без вмешательства пользователя.
Описание свойства и последствий его изменения.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Глобальные записи реестра
Путь в реестре:
HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet
\Services
\InetInfo
\Parameters
CacheSecurityDescriptor
REG_DWORD
Диапазон: 0, 1
По умолчанию: 1 (включен)
Определяет кэширование описателей безопасности для файловых объектов. Если
параметр включен (имеет значение 1), IIS загружает разрешения системы безопасности
при кэшировании файлового объекта и не нуждается в получении доступа к файловому
объекту для проверки прав новых пользователей. Это средство полезно только в том
случае, когда используются несколько учетных записей пользователей (не применяется
только анонимный доступ).
CheckCertRevocation
REG_DWORD
Диапазон: 0, 1
По умолчанию: 0 (отключен)
Определяет в IIS проверку, не являются ли клиентские сертификаты аннулированными.
Этот параметр по умолчанию отключен, поскольку проверка для общих поставщиков
сертификатов обычно выполняется через Интернет и оказывает заметное влияние на
быстродействие. Однако включение этого параметра оказывается полезным, если ваша
организация выпускает собственные сертификаты и аннулирование выполняется на
локальном уровне.
DisableMemoryCache
REG_DWORD
Диапазон: 0, 1
По умолчанию: 0 (отключен)
Отключает кэширование на сервере. Настройка этого параметра оснастке IIS невозможна.
ListenBackLog
REG_DWORD
Диапазон: 1 - 250
По умолчанию: 15
Указывает максимальное число активных подключений, которые ,будут удерживаться в
очереди в ожидании ответа от сервера. Расширенные функциональные возможности IIS
обычно делают ненужным изменение данного параметра, хотя в условиях особенно
большой нагрузки может оказаться полезным увеличение этого значения до 50.
MaxCachedFileSize
REG_DWORD
Диапазон: 0
По умолчанию: 256 Кбайт (262144 байт)
Определяет максимальный размер кэшированных файлов. Если значение не указано, то
используется значение по умолчанию 256 Кбайт.
MaxConcurrency
REG_DWORD
Диапазон: 0 - не ограничен
По умолчанию: 0
Определяет степень параллельного выполнения, обеспечиваемую системой.
Окончательные порты используются IIS для обработки операций ввода-вывода (I/O). В
общем случае лучше не допускать выполнения нескольких потоков. При этом возможны
конфликты блокировок или использования общей памяти. Данный параметр задает
допустимое число одновременно выполняющихся потоков, приходящихся на процессор,
если имеется ожидаемая операция ввода-вывода. Значение 0 позволяет системе выбирать
подходящее число потоков. Любое ненулевое значение задает допустимое число
одновременно выполняющихся потоков, приходящихся на процессор.
MaxPoolThreads
REG_DWORD
Диапазон: 4 - не ограничен
По умолчанию: 0
Задает число сгруппированных потоков, создаваемых на один процессор. Каждая группа
потоков ожидает поступления сетевых запросов и обрабатывает их. При подсчете
значения MaxPoolThreads не включаются потоки, находящиеся внутри приложений
ISAPI. По умолчанию допускается параллельное выполнение только четырех
минипрограмм CGI. Если выполняется большое число приложений CGI, следует
увеличить это значение для повышения пропускной способности. В необязательном
порядке можно задать для параметра UsePoolThreadForCGI (в разделе
..\Services\W3SVC\Parameters) значение FALSE (0), но это иногда оказывается опасным
из-за существенного понижения быстродействия при высокой степени использования
приложений CGI. В общем случае не рекомендуется создавать более 20 потоков на один
процессор.
MemCacheSize
REG_DWORD
Диапазон: 0 - 2500 Мбайт
По умолчанию: примерно половина доступной физической памяти (калибруется в
мегабайтах)
Определяет размер кэша. Значение по умолчанию динамически корректируется каждые 60
секунд.
PoolThreadLimit
REG_DWORD
Диапазон: 0 - не ограничен
По умолчанию: 2 * # Мбайт
Задает максимальное число сгруппированных потоков, создаваемых в системе. Каждая
группа потоков ожидает поступления сетевых запросов и обрабатывает их.
PoolThreadLimit представляет жесткий предел, включающий все потоки IIS.
PoolThreadLimit всегда должно превышать или равняться значению MaxPoolThreads.
MinFileKbSec
REG_DWORD
Диапазон: 1 -8192
По умолчанию: 1000
Когда веб-сервер отправляет файл клиенту, устанавливается время ожидания завершения
передачи, по истечении которого сервер останавливает передачу. Выбранное время
ожидания представляет максимальное из двух значений: значения времени ожидания
подключения, которое задается в оснастке IIS, и размера файла, деленного на значение
параметра MinFileKbSecs. Например, для файла с размером 100 Кбайт будет задано время
ожидания 100 секунд или время ожидания подключения, если последнее значение выше.
Следует отметить, что имя параметра является неудачным, поскольку значение задается в
байтах, а не в килобайтах, как может показаться по имени.
ObjectCacheTTL
REG_DWORD
Диапазон: 0 - не ограничен
По умолчанию: 30 секунд
Этот параметр реестра определяет время сохранения объектов в кэш-памяти (TTL). Если
за указанный промежуток времени отсутствуют обращения к объекту, объект удаляется из
кэша. Если системная память ограничена или содержимое сервера является
динамическим, следует использовать меньшее значение TTL, чтобы запретить
кэширование в системной памяти большого числа временных объектов. Значение
0xFFFFFFFF отключает чистильщик кэша объектов и позволяет объектам оставаться в
кэше до тех пор, пока они не будут переписаны. Отключение чистильщика кэша объектов
является полезным, если на сервере имеется достаточно памяти, а данные изменяются
относительно редко.
ThreadTimeout
REG_DWORD
Диапазон: 0 - не ограничен
По умолчанию: 24 * 60 * 60 (24 часа)
Задает промежуток времени, в течение которого сохраняется поток обработки вводавывода даже при отсутствии в системе активных операций ввода-вывода. В общем случае
при отсутствии активных операций ввода-вывода и отложенных запросов сервер не
работает и не занимает память. Однако при продолжении такой ситуации и превышении
интервала, заданного параметром ThreadTimeout, поток останавливается. Значения
задаются в секундах.
UserTokenTTL
REG_DWORD
Диапазон: 0 - 0x7FFFFFFF
По умолчанию: 15 * 60 (15 минут)
При поступлении запроса к серверу учетные сведения в запросе (или параметры
анонимного пользователя) используются для создания описателя пользователя на сервере.
Этот описатель используется сервером для представления пользователя при доступе к
файлам или другим системным ресурсам (см. CacheSecurityDescriptor). Описатель
помещается в кэш; поэтому процедура входа Windows выполняется только при первом
доступе пользователя к системе или после удаления описателя пользователя из кэша. При
встроенной проверке подлинности Windows описатели не кэшируются. Значения задаются
в секундах.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Записи реестра для служб
Следующие параметры сохраняются в реестре в разделах служб и
определяют характеристики конкретной службы, но имеют одинаковые
имена для каждой службы.
Путь в реестре:
HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet
\Services
\ИмяСлужбы
\Parameters
где ИмяСлужбы
MSFTPSVC (служба FTP)
W3SVC (служба WWW)
AllowGuestAccess
REG_DWORD
Диапазон: 1, 0
По умолчанию: 1 (включен)
Этот параметр указывает, разрешается ли вход гостя для служб Интернета. При попытке
входа нового пользователя сервер проверяет вход с учетной записью гостя Windows. На
основании значения этого параметра служба Интернета либо разрешает, либо запрещает
новое подключение. Известно, что на узлах с плохим управлением разрешение доступа
гостя часто приводит к неприятностям. При установке Windows учетной записи гостя по
умолчанию предоставляются разрешения на все типы доступа к системе. Поскольку такая
стандартная настройка может привести к нарушению системы безопасности,
рекомендуется отключить этот параметр, изменив его значение на 0.
EnableSvcLoc
REG_DWORD
Диапазон: 1, 0
По умолчанию: 1 (включен)
Службы PWS регистрируются в системе поиска служб, после чего становится возможным
обнаружение службы оснасткой IIS. Данный параметр определяет возможность такой
регистрации. При значении 0 служба не регистрируется. При значении 1 служба
регистрируется и может быть обнаружена.
Следующий раздел реестра, LanguageEngines, не устанавливается по
умолчанию. Для его использования необходимо создать раздел на
следующем пути.
HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet
\Services
\W3SVC
\ASP
\LanguageEngines
\ИмяЯзыка
Значение: Write REG_SZ: Response.WriteEquiv |
Значение: WriteBlock REG_SZ: Response.WriteBlockEquiv |
LanguageEngines
REG_STRING
Диапазон:Строка
По умолчанию: Неприменимо
Этот параметр задает язык сценариев, который не поддерживает синтаксис
Объект.Метод, в качестве основного языка сценариев Active Server Pages (язык,
используемый для обработки команд внутри ограничителей ASP <% ... %>). ИмяЯзыка
представляет имя выбранного языка, Response.WriteEquiv представляет эквивалент
языка Response.Write, а Response.WriteBlockEquiv представляет эквивалент языка
Response.WriteBlock. Символ вертикальной черты (|) является вставкой, используемой
ASP для отправки выражений и блоков HTML, которые обычно обрабатываются с
помощью методовResponse.Write и Response.WriteBlock. При установке
дополнительных языков сценариев такие операции могут выполняться автоматически.
Если язык сценариев является чувствительным к пробелам или символам новой строки,
его использование в качестве основного языка сценариев может оказаться невозможным
даже после добавления этого раздела реестра. В качестве альтернативы имеется
возможность вручную записать блоки HTML в веб-обозреватель или записать функции
этого языка внутри блоков сценариев, ограниченных тегами (<SCRIPT> ... </SCRIPT> ), а
затем вызывать из любого другого языка.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Записи реестра для службы
WWW
В дополнение к параметрам, перечисленным в разделе Записи реестра
для служб, служба WWW поддерживает следующие параметры.
Путь в реестре:
HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet
\Services
\W3SVC
\Parameters
AcceptByteRanges
REG_DWORD
Диапазон: 1, 0
По умолчанию: 1 (включен)
Этот параметр определяет, будет ли сервер HTTP обрабатывать заголовок «Range» для
типа «bytes:». Если этот параметр включен, сервер подает сигнал о том, что он принимает
запросы в диапазоне, отправляя поле заголовка «Accept-Range: bytes», после чего
обрабатывает поступающий запрос с полем заголовка «Range: bytes=» согласно проекту
Интернета «Byte range extension to HTTP».
AllowSpecialCharsInShell
REG_DWORD
Диапазон: 0, 1
По умолчанию: 0 (отключен)
Это значение определяет, являются ли специальные символы программы Cmd.exe [ | ( , ; %
< > ] разрешенными для командной строки при запуске пакетных файлов (.bat и .cmd).
Использование таких символов связано с серьезным риском для системы безопасности.
Если для данного параметра задано значение 1, то злонамеренные пользователи получают
возможность выполнения команд на сервере. Таким образом, настоятельно рекомендуется
оставлять для этого параметра заданное по умолчанию значение 0. Стандартное значение
параметра не позволяет передавать специальные символы в минипрограммы CGI,
сопоставленные сценариям. Если задать значение 1, то становится возможной передача
специальных символов в минипрограммы CGI, сопоставленные сценариям, за
исключением символа вертикальной черты | и стандартных символов перенаправления
ввода-вывода < и >, имеющих специальный смысл для командного процессора.
DLCSupport
REG_DWORD
Диапазон: 0, 1
По умолчанию: 0 (отключен)
Этот параметр определяет включение поддержки клиентов нижнего уровня. В некоторых
старых версиях веб-обозревателей не поддерживаются заголовки HOST, дающие
клиентам возможность доступа к нескольким веб-узлам, имеющим общий IP-адрес.
Значение 0 означает, что клиенты нижнего уровня не поддерживаются. Значение 1
означает, что клиенты нижнего уровня поддерживаются.
DLCCookieNameString
REG_STRING
Диапазон:Строка
По умолчанию: Неприменимо
Этот параметр задает имя модуля настройки узла HTTP (Cookie), которое сервер
отправляет клиентам нижнего уровня. Отправленный модуль настройки выполняет роль
заменителя заголовка HOST, что позволяет серверу направлять запросы HTTP клиента на
соответствующий веб-узел.
DLCHostNameString
REG_STRING
Диапазон:Строка
По умолчанию: Неприменимо
Этот параметр определяет имя веб-узла, который содержит меню хост-компьютера
нижнего уровня, которое сохраняется в параметре LCCookieMenuDocumentString. Меню
хост-компьютера нижнего уровня является документом (например, файлом HTML, .asp и
т.д.), в котором перечислены веб-узлы, имеющие общий IP-адрес. Из этого меню
посетитель выбирает соответствующий экземпляр сервера.
DLCCookieMenuDocumentString
REG_STRING
Диапазон:Строка
По умолчанию: Неприменимо
Этот параметр указывает имя файла меню хост-компьютера для клиентов, которые
поддерживают модули настройки узла (cookies), но не поддерживают заголовки HOST.
Модуль настройки выполняет роль заменителя заголовка HOST, а меню хост-компьютера
содержит список веб-узлов, имеющих общий IP-адрес. Этот модуль настройки
привязывается ко всем запросам на хост-компьютер вплоть до закрытия сеанса вебобозревателя. Однако закрытие сеанса веб-обозревателя не приводит к удалению модуля
настройки.
DLCMungeMenuDocumentString
REG_STRING
Диапазон:Строка
По умолчанию: Неприменимо
Этот параметр указывает имя файла меню хост-компьютера для клиентов, которые не
поддерживают модули настройки узла (cookies). Этот файл используется для детализации
адресов URL, запрошенных клиентом нижнего уровня путем вставки имени хост-
компьютера в адрес URL.
DLCMenuString
REG_STRING
Диапазон:Строка
По умолчанию: Неприменимо
Этот параметр задает специальный префикс адресов URL, которые запрашиваются
клиентами нижнего уровня. Сервер сравнивает все запросы нижнего уровня с этой
строкой.
LogSuccessfulRequests
REG_DWORD
Диапазон: 0, 1
По умолчанию: 1 (включен)
Определяет запись успешных действий в файл журнала. Значение 1 включает запись
успешных действий в журнал, значение 0 его отключает.
SSIEnableCmdDirective
REG_DWORD
Диапазон: 0, 1
По умолчанию: 0 (отключен)
Директива #exec cmd на стороне сервера включает выполнение команд оболочки. На
узлах с защищенным содержимым рекомендуется в качестве дополнительной меры
безопасности отключить директиву #exec cmd, задавая для данного параметра значение 0,
в особенности, когда посторонним разрешается размещать файлы на сервере. Этот
параметр не существует в реестре по умолчанию. Чтобы разрешить этой директиве
выполнение команд оболочки, следует сначала создать параметр и задать для него
значение 1.
TryExceptDisable
REG_DWORD
Диапазон: 0, 1
По умолчанию: 0 (отключен)
Этот параметр отключает кэширование исключений при вызове процедуры
HttpExtensionproc() приложения ISAPI. Заданное для параметра TryExceptDisable значение
1 приведет к остановке сервера при любом исключении, вызванным неверным
выполнением приложения ISAPI. Однако при этом разработчик получает возможность
немедленно выполнить отладку. Таким образом, значение 1 для этого параметра следует
задавать только при отладке приложений ISAPI.
UploadReadAhead
REG_DWORD
Диапазон: 0 - 0x80000000
По умолчанию: 48 Кбайт
При отправке клиентом данных на сервер, этот параметр задает количество данных,
которое сервер читает по умолчанию перед передачей управления в приложение. После
этого ответственным за чтение оставшихся данных становится приложение. Если
требуется увеличить это значение, следует увеличить объем оперативной памяти сервера.
UsePoolThreadForCGI
REG_DWORD
Диапазон: 1, 0
По умолчанию: 1 (включен)
IIS по умолчанию использует группы потоков на сервере для выполнения обработки
сценариев CGI. Это означает, что запросы CGI в течение длительного промежутка
времени могут исчерпать группу потоков сервера.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Записи реестра для службы FTP
В дополнение к записям, перечисленным в разделе Записи реестра для
служб, служба FTP поддерживает следующие параметры.
Путь в реестре:
HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet
\Services
\MSFTPSVC
\Parameters
AnnotateDirectories
REG_DWORD
Диапазон: 0, 1
По умолчанию: 0 (отключен)
Служба FTP поддерживает аннотации каталогов с помощью специальных сообщений.
Текст аннотации сохраняется в специальном файле с именем ~ftpsvc~.ckm в каталоге, для
которого создается аннотация. Если такой файл существует в каталоге назначения
операции смены каталога (CWD) FTP, то служба возвращает в операцию содержимое
этого файла. Это позволяет администраторам добавлять специальные сообщения для
обрабатываемых каталогов. По умолчанию в конфигурации службы отправка текста
аннотации не задается. Если предполагается добавлять специальные сообщения,
необходимо создать файл аннотации. Кроме того, рекомендуется сделать файл аннотации
скрытым, чтобы он не отображался в списке файлов каталога.
DisableExtendedCharFilenames
REG_DWORD
Диапазон: 1
По умолчанию: Отсутствует
Служба FTP принимает имена файлов с символами из расширенного набора. Если
требуется запретить в службе FTP имена файлов с символами из расширенного набора,
следует создать для конкретного FTP-узла параметр
DisableExtendedCharFilenames и задать для него значение 1.
DisableExtendedCharFilenames вступает в действие после перезагрузки службы FTP.
EnablePortAttack
REG_DWORD
Диапазон: 0, 1
По умолчанию: 0 (отключен)
Значение этого параметра задается по умолчанию, чтобы предотвратить возможность
нарушения безопасности в спецификации протокола FTP. В спецификации службы FTP
допускается установление пассивных подключений на основании адреса порта,
задаваемого клиентом. Это позволяет компьютерным хулиганам выполнять в службе FTP
разрушительные команды. Эта проблема возникает, когда подключение к службе FTP
выполняется с помощью порта, отличного от порта данных FTP (20), номер которого
меньше, чем IP_PORT_RESERVED (1024). Параметр EnablePortAttack определяет,
возможность такой атаки на компьютер. Служба по умолчанию не выполняет
подключения к портам, номера которых меньше IP_PORT_RESERVED (кроме 20). Если
требуется обеспечить возможность пользователям подключаться с помощью других
портов, как указано в документе FTP RFC, этот параметр следует включить.
LowercaseFiles
REG_DWORD
Диапазон: 0, 1
По умолчанию: 0 (отключен)
Служба FTP использует исходный регистр символов в именах файлов (как эти имена
сохраняются в файловой системе). Однако для совместимости с файловыми системами, в
которых имена анализируются с учетом регистра, может оказаться необходимым
использование имен в фиксированном регистре. После добавления значения этого
параметра администраторами, служба будет при сравнении имен использовать имена с
символами нижнего регистра.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Метабаза
Метабаза —это иерархическая база данных, в которой сохраняются
параметры настройки IIS. Она обеспечивает более тонкую настройку
свойств сервера, чем это было возможно, когда значения
непосредственно редактировались в редакторе реестра; впрочем,
некоторые значения можно по-прежнему изменять с помощью редактора
реестра. Изменяя метабазу, можно задать свойства сервера на уровне
компьютера, веб-узла, виртуального каталога, каталога и файла.
В данном разделе описываются следующие вопросы.

О метабазе.
Основные сведения о метабазе.
Данная глава не содержит сведений по следующим вопросам.





Создание резервной копии метабазы; см. Архивирование метабазы.
Восстановление метабазы; см. Восстановление метабазы.
Реестр; см. Реестр.
Обычные операции администрирования сервера; см.
Администрирование сервера.
Программное администрирование; см. Программное
администрирование IIS.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
О метабазе
Метабаза модифицируется путем настройки значений с помощью
административных средств, таких как оснастка IIS. Кроме того, метабазу
можно изменять и программным способом, используя объекты IIS Admin
Objects и ADSI.
Сведения о структуре метабазы, ее разделах и путях, наследовании
свойств и защите см. в разделе Введение в метабазу IIS.
Сведения об использовании объектов IIS Admin и IIS Admin Base для
программного администрирования IIS см. в разделе Программное
администрирование IIS.
Полная справочная информация обо всех настраиваемых свойствах
метабазы содержится в разделе Справочник по административным
свойствам.


Пространство имен
Наследование
Важно! Проявляйте осторожность при непосредственном
редактировании метабазы. Неверная настройка свойств метабазы может
привести к неполадкам, в том числе сбоям веб- или FTP- узла.
Ошибочная настройка может повлечь повреждение конфигурации узла.
Изменение свойств в метабазе следует выполнять только для
параметров, недоступных через оснастку IIS.
Пространство имен
Пространство имен определяет местоположение свойств метабазы. Оно
организовано следующим образом:
LM/Служба/веб-узел/Root/виртуальный каталог/каталог/файл
где LM = Local Machine
Служба = служба Интернета (W3SVC или MSFTPSVC)
веб-узел = имя веб-узла
Root = виртуальный корневой каталог
виртуальный каталог = имя виртуального каталога
каталог = имя каталога
файл = имя файла
Например, если пространство имен пути метабазы
LM/W3SVC/Website1/Root
ассоциировано с путем
C:\Inetpub\wwwroot,
то URL-адрес
http://domain.com/default.htm
можно сопоставить с физическим путем к файлу
C:\Inetpub\wwwroot\default.htm
Наследование
Свойства метабазы, задаваемые на высших уровнях, таких как уровень
веб-узла, могут передаваться нижним уровням, например, уровню
каталога. Этот процесс называется наследованием. Эти унаследованные
свойства могут редактироваться и на нижнем уровне. Если изменить
свойство для отдельного сервера, каталога или файла, то изменение
настройки на верхнем уровне не приведет автоматически к
переопределению значения свойства, заданного на нижнем уровне.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все права
защищены.
Metabase Snapshot Writer
Metabase Snapshot Writer
Программа Metabase Snapshot Writer (MSW) использует интерфейсы COM
для создания стабильных и надежных архивов метабазы с помощью
средства архивирования NTbackup. MSW автоматически активизируется
при вызове NTbackup для архивирования метабазы. MSW определяет,
содержит ли один из томов на диске, назначенный NTbackup для
архивирования, файл metabase.bin. Если да, MSW сбрасывает данные из
метабазы, находящейся в оперативной памяти, в файл metabase.bin.
Если нет, MSW ожидает следующего вызова NTbackup. Далее, MSW
препятствует добавлению новой информации в метабазу в ОЗУ в течение
максимум двух минут, пока программа NTBackup записывает архив в
файл metabase.bin. После завершения работы NT Backup MSW снимает
блокировку записи с метабазы в ОЗУ. Следующий рисунок иллюстрирует
активизацию и работу MSW.
Примечание. Metabase Snapshot Writer поддерживает NTbackup, эта
программа не является частью приложения «Архивирование и
восстановление конфигурации», которое выполняется из оснастки IIS.
Важно! NTbackup не вызывает программу Metabase Snapshot Writer при
восстановлении файла metabase.bin. Перед восстановлением метабазы с
помощью NTbackup следует остановить службу WWW (Веб-публикации),
чтобы предотвратить операции записи IIS в файл metabase.bin.
См. также





Дополнительные сведения о программе NT см. в документации
Windows. Нажмите кнопку Пуск выберите команду Справка и
проведите поиск по ключевому слову «ntbackup».
Дополнительные сведения об остановке и перезапуске службы
WWW см. в разделе Перезапуск IIS.
Вводные сведения о метабазе см. в разделе Введение в метабазу
IIS.
Сведения об архивировании метабазы см. в разделе
Архивирование метабазы.
Сведения о восстановлении метабазы см. в разделе
Восстановление метабазы.
События Windows для IIS
IIS порождает события, регистрируемые в приложении «Просмотр
событий», что позволяет следить за производительностью IIS.
Приложение «Просмотр событий» регистрирует события,
классифицируемые следующим образом (в порядке возрастания
важности): сведения, предупреждения и ошибки. Журналы
приложения «Просмотр событий» содержат сведения аудита для
всех служб и процессов Windows; в них регистрируются такие
подробности, как, например, время входа в систему или время
подключения к серверу.
Глава содержит следующие разделы.
o
o
o
o
События Windows. Основные сведения о событиях
Windows.
События веб-службы. Список событий, порождаемых вебслужбой.
События FTP-службы. Список событий, порождаемых FTPслужбой.
События активных серверных страниц (ASP). Список
событий, порождаемых ASP.
Данная глава не содержит сведений по следующим вопросам.
o
o
Сообщения об ошибках, отображаемые в обозревателе
клиента; см. в разделе Специальные сообщения об ошибках.
Ведение журналов; см. раздел Ведение журналов узлов.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все
права защищены.
События Windows
При запуске Windows регистрация событий в журналах включается
автоматически. Существует три типа журналов: «Система»,
«Безопасность» и «Приложение». В каждом журнале можно
отбирать для просмотра определенные категории событий,
задавать число просматриваемых событий, определять срок
хранения записей о событиях, а также указывать, можно ли
записывать новые события на место существующих при
переполнении журнала.
Есть несколько способов открыть окно просмотра событий.
o
o
o
o
Нажмите кнопку Пуск, выберите команду Выполнить и
введите eventvwr в поле Открыть. Нажмите клавишу ENTER.
В окне командной строки введите start eventvwr и нажмите
клавишу ENTER.
Нажмите кнопку Пуск и выберите команды Программы,
Администрирование и Просмотр событий.
Нажмите кнопку Пуск и выберите команды Программы,
Администрирование и Управление компьютером.
Компонент Просмотр событий находится в узле
Служебные программы. Преимуществом этого окна
является наличие в нем же оснастки IIS в узле Службы и
приложения.
Ошибки ASP и журнал событий Windows
В окне «Просмотр событий» имеется возможность открыть окно
свойств для каждого типа журнала и задать параметры фильтра по
умолчанию применяемые ко всем типам событий.
IIS предоставляет дополнительные возможности контроля с
помощью двух разделов метабазы, позволяющих указать, что
отправляется в журнал событий Windows при возникновении
ошибок ASP.
o
o
AspLogErrorRequests. Если этот раздел получает значение
TRUE, IIS позволяет отправлять ошибки ASP в журнал
приложений. Если раздел имеет значение FALSE, ошибки ASP
не отправляются. Этот раздел можно определить в оснастке
IIS или задать в программе. В оснастке IIS откройте окно
свойств виртуального каталога, в поле со списком Защита
выберите Высокая (изолированная) и нажмите кнопку
Настройка. Выберите вкладку Параметры процесса и
установите флажок Записывать неудачные запросы
клиентов в журнал событий. Когда флажок установлен,
раздел метабазы получает значение TRUE.
AspErrorsToNTLog. Если этот раздел получает значение TRUE,
все возможные ошибки ASP отправляются в журнал
приложений. Если раздел имеет значение FALSE,
отправляется только подмножество ошибок ASP. В
подмножество включаются ошибки 100, 101, 102, 103, 104,
105, 106, 107, 115, 190, 191, 192, 193, 194, 240, 241, 242.
Этот раздел нельзя установить в оснастке IIS; он должен
задаваться программным образом.
Описание ошибок ASP см. в разделе События активных серверных
страниц (ASP).
Дополнительные сведения о метабазе и программном
администрировании IIS см. в разделе Программное
администрирование IIS. Быстро установить эти разделы можно с
помощью сценария adsutil.vbs в каталоге X:\inetpub\adminscripts,
где X: представляет диск, на который установлен IIS. Например,
для отправки подмножества ошибок событий ASP в журнал событий
Windows введите в окне командной строки следующие строки:
cscript adsutil.vbs SET
w3svc/1/root/<виртуальный_каталог>/AspLogErrorRequests TRUE
cscript adsutil.vbs SET
w3svc/1/root/<виртуальный_каталог>/AspErrorsToNTLog FALSE
Примечание. Ошибки ASP можно также записывать в файлы
журналов IIS. Эта настройка задается в оснастке IIS. Если занести
ошибку ASP в журнал IIS не удается, она регистрируется в
журнале событий Windows.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все
права защищены.
События веб-службы
Проверка подлинности
Код
события
Описание
1
Ошибка загрузки файла отображения %1, ошибка %2.
2
Сбой входа в систему для пользователя %1 : %2.
3
Краткая проверка подлинности: неправильная проверка для
пользователя "%1", область "%2".
4
Краткая проверка подлинности: неизвестный пользователь "%1",
область "%2".
5
Краткая проверка подлинности: остановлена проверка подлинности
для пользователя "%1", область "%2".
Ведение журнала
Код
события
Описание
1
Запись журнала IIS для %1 была отключена из-за ошибки
переполнения диска.
2
При записи журнала IIS не удалось создать каталог %1. Данные
содержат код ошибки.
3
При записи журнала IIS не удалось создать файл %1. Данные содержат
код ошибки.
4
Запись журнала IIS для %1 восстановлена.
5
Сбой подключения к источнику данных %1 при записи журнала IIS
ODBC. Текст ошибки: [%2].
100
Не удалось выполнить вход на сервер с учетной записью Windows '%1'
из-за следующей ошибки: %2 Данные содержат код ошибки.
101
Серверу не удалось добавить виртуальный корневой адрес '%1' для
каталога '%2' из-за следующей ошибки: %3 Данные содержат код
ошибки.
102
Серверу не удалось загрузить файл ODBC32.DLL для записи журнала
sql из-за следующей ошибки: %1 Данные содержат код ошибки
103
Серверу не удалось открыть источник данных ODBC %1, таблица: %2,
имя пользователя: %3. Ошибка ODBC: %4. Данные содержат код
ошибки.
104
Для записи указаны слишком длинные параметры. Поле: %1; данные:
%2.
105
Серверу не удалось зарегистрировать найденные сведения о средстве
управления. Средство управления, вероятно, не видит данный сервер.
Данные содержат код ошибки.
106
Сбой создания контекста InetLog. Данные содержат код ошибки.
107
Сбой записи сведений в журнал. Объект-журнал не был создан,
вероятно, из-за неправильной конфигурации.
108
Серверу не удалось найти каталог файла журнала %1. Данные
содержат код ошибки.
109
Сервер приостановил запись журнала запросов из-за ошибки занесения
записи журнала. Данные содержат код ошибки. Текст ошибочного
кода: %1.
110
Сервер возобновил запись журнала запросов.
111
Службе не удается инициализировать библиотеку соединителей
(socket). Данные содержат код ошибки.
112
Службе не удается найти модуль %1. Данные содержат код ошибки.
113
Экземпляр %1 имеет недопустимый дескриптор привязки %2.
114
Экземпляр %1 имеет недопустимый дескриптор безопасной привязки
%2 (имя узла игнорируется).
115
Службе не удается создать привязку экземпляра %1. Данные содержат
код ошибки.
116
Не удается открыть путь '%1' к метабазе. Данные содержат код
ошибки.
Метабаза
Код
события
Описание
1
Нет доступа к конфигурации метабазы IIS для сервера %1 (копия %2),
ошибка %3.
2
Сервер %1 (копия %2) не отвечает на запрос протокола, ошибка %3.
800
Метаданные не были инициализированы.
801
Указанные метаданные не были найдены.
802
Версия, указанная в хранилище метаданных, не была определена.
803
Не найден указанный путь к метаобъекту. Метаобъект и связанные
метаданные игнорируются.
804
Метаобъект или метаданные указаны несколько раз. Повторение
игнорируется.
805
Указаны недопустимые метаданные. Недопустимые метаданные
игнорируются.
806
Безопасные каналы связи не могут быть установлены с указанным
сервером.
807
Требуемый путь не был помещен в строку. Возможно причина
заключается в том, что данные являются объектом более высокого
уровня, чем этот дескриптор.
808
Не удается удалить атрибут METADATA_SECURE из элемента
данных с помощью метода GetData. Для удаления безопасных данных
воспользуйтесь методом DeleteData.
809
Сбой сохранения метаданных перед архивированием. В архиве
сохранена предыдущая версия данных.
Журнал ODBC
Код
события
Описание
1
Не удается выполнить запрос %1.
2
В данной форме нужно заполнить поле %1. Заполните это поле и вновь
отправьте форму.
3
Не удается открыть объект %1. Файл не существует, или у вас
отсутствует разрешение на его открытие.
4
Не удается открыть файл шаблона %1. Файл не существует, или у вас
отсутствует разрешение на его открытие.
5
Файл шаблона содержит тег else без соответствующего тега if.
6
Файл шаблона содержит тег endif без соответствующего тега if.
7
Файл шаблона содержит выражение с параметрами разного типа.
Например, тег if, сравнивающий строку с числом, приведет к такой
ошибке.
8
Файл шаблона содержит выражение, использующее оператор
CONTAINS, в котором один или оба параметра не являются строками.
Оператор CONTAINS работает только со строковыми значениями.
9
Файл шаблона содержит выражение, которое использует строку в
кавычках, но закрывающая кавычка отсутствует.
10
Файл шаблона содержит выражение с неизвестным оператором.
Допускаются операторы GT, LT, EQ и CONTAINS.
11
Файл запроса содержит неизвестное поле %1.
12
Файл запроса должен содержать допустимое, непустое поле
Datasource: и поле SQLStatement:.
13
Не удается загрузить библиотеку odbc32.dll для выполнения запроса.
Убедитесь в правильной установке ODBC на сервер.
14
Указанный метод HTTP не поддерживается. Поддерживаются только
методы POST и GET.
15
Ошибка выполнения запроса %1.
16
Превышено максимально допустимое число полей SQLStatement в
файле IDC.
Включения на стороне сервера
Код
события
Описание
1
Не удается разрешить виртуальный путь '%1'.
2
Ошибка обработки файла SSI '%1'.
3
Недопустимый тег SSI.
4
Не удается выполнить flastmod( '%1' ): ошибка Win32 с кодом = %2.
5
Не удается выполнить fsize( '%1' ): ошибка Win32 с кодом = %2.
6
Не удается найти переменную '%1'.
7
Не удается оценить переменную '%1'.
8
Возможность SSI не поддерживается.
9
Ошибка обработки файла SSI '%1': ошибка Win32 с кодом = %2.
10
Успешная препроцессорная обработка файла SSI '%1'.
11
Сбой обработки файла SSI '%1'.
12
Сбой выполнения CMD '%1': ошибка Win32 с кодом = %2.
13
Сбой выполнения сценария '%1': ошибка Win32 с кодом = %2.
14
Сбой выполнения расширения ISAPI '%1'.
16
Документ был перемещен в данное (URL) место.
17
Сбой установки среды дочернего процесса: ошибка Win32 с кодом =
%1.
18
Сбой установки каналов дочернего процесса: ошибка Win32 с кодом =
%1.
19
Сбой создания процесса: ошибка Win32 с кодом = %1.
20
Истекло время ожидания команды #EXEC.
21
Сбой вызова #EXEC приложения ISAPI: ошибка Win32 с кодом = %1.
22
Приложение ISAPI пыталось выполнить отправку в данное (URL)
место.
23
Невозможно выполнить вызов #EXEC '%1' из-за отсутствия
разрешения EXECUTE.
24
Невозможно обработать '%1' из-за отказа в доступе.
25
Файл вставки на стороне сервера был добавлен в самого себя, или
была превышена предельная глубина вложенности таких файлов.
26
Не поддерживаемый параметр ServerSupportFunction(),
использованный ISA.
27
Параметр CMD не включен для вызовов #EXEC.
28
Вызовы #EXEC были отключены для данного виртуального пути.
29
Рекурсивная цепочка #INCLUDE с '%1'.
Веб-службы
Код
события
Описание
1
Серверу HTTP не удается инициализировать систему безопасности.
Данные содержат код ошибки.
3
Серверу HTTP не удается инициализировать библиотеку соединителей
(socket). Данные содержат код ошибки.
4
Не удалось инициализировать сервер HTTP из-за недостатка доступной
памяти. Данные содержат код ошибки.
6
Серверу HTTP не удается создать соединитель (socket) основного
подключения. Данные содержат код ошибки.
8
Серверу HTTP не удается создать объект связи с клиентом для
пользователя на узле %1. Связь с пользователем прервана. Данные
содержат код ошибки.
14
Не удается загрузить библиотеку фильтра HTTP %1. Данные содержат
код ошибки.
16
Сценарий, запущенный с адреса URL '%1' с параметрами '%2', не
отвечал в течение настроенного периода ожидания. Сценарий был
завершен сервером HTTP.
18
Сервер HTTP обнаружил ошибку при обработке на стороне сервера
заголовочного файла '%1'. Ошибка: '%2'.
19
Сервер HTTP обнаружил необрабатываемое исключение при обработке
приложения ISAPI '%1'.
20
Серверу HTTP не удалось загрузить приложение ISAPI '%1'. Данные
содержат код ошибки.
21
Файл вставки на стороне сервера был добавлен в самого себя, или была
превышена предельная глубина вложенности таких файлов.
22
Попытка загрузить фильтр '%1' на экземпляре сервера, но при этом
требуется уведомление SF_NOTIFY_READ_RAW_DATA, поэтому его
нужно загрузить как глобальный фильтр.
23
Для совместимости с предыдущими версиями IIS фильтр '%1' был
загружен из реестра как глобальный. Для управления фильтром с
помощью оснастки IIS, удалите его из реестра и добавьте как
глобальный с помощью диспетчера служб Интернета. Фильтры хранятся
в разделе реестра
"HKLM\\System\\CurrentControlSet\\Services\\W3Svc\\Parameters\\Filter
DLLs".
26
Серверу не удалось прочитать файл %1 из-за отсутствия разрешений на
доступ.
27
Серверу не удалось принять лицензию для подключения SSL.
28
Сервер прекратил обслуживание запросов для приложения '%1' из-за
превышения максимального числа сбоев компонентов "Out of
Process".\r\n
29
Серверу не удалось завершить работу приложения '%1'. Ошибка: '%2'.
30
Серверу не удалось прочитать файл %1. Файл не существует.
31
Серверу не удалось прочитать файл %1. Возвращена ошибка Windows
32: %2.
32
Серверу не удалось прочитать файл %1. Размер файла превышается
допустимый предел: %2.
33
Серверу не удалось выделить буфер для чтения файла %1.
34
Серверу не удалось выполнить команду PUT по адресу URL %1 (имя
файла %2). Возможно файл потерян. Резервная копия была сохранена в
%3.
35
Серверу не удалось выполнить команду PUT по адресу URL %1 (имя
файла %2).
36
Серверу не удалось загрузить приложение '%1'. Ошибка: '%2'.
37
Непредвиденное завершение внешнего приложения '%1'.
Диспетчер веб-приложений (WAM)
Код
события
201
Описание
Экземпляр WAM запущен с кодом процесса %1.
202
Сбой запуска экземпляра WAM в процессе %1. Данные содержат код
ошибки.
203
Экземпляр WAM в процессе %1 завершил работу.
204
Сервер HTTP обнаружил необрабатываемое исключение при
обработке приложения ISAPI '%1'.
205
Серверу HTTP не удалось загрузить приложение ISAPI '%1'. Данные
содержат код ошибки.
Примечание. Когда эти сообщения появляются в журнале или в
веб-обозревателе, символы %s, %X, %1, %2 и т. п. заменяются
данными конкретной возникшей ошибки.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все
права защищены.
События FTP-службы
Код
события
Описание
1
Серверу FTP не удается инициализировать свою безопасность. Данные
содержат код ошибки.
3
Серверу FTP не удается инициализировать библиотеку соединителей
(socket). Данные содержат код ошибки.
4
Невозможна инициализация сервера FTP из-за недостатка памяти.
Данные содержат код ошибки.
5
Серверу FTP не удается найти службу FTP/TCP. Данные содержат код
ошибки.
6
Серверу FTP не удалось создать соединитель (socket) главного
подключения. Данные содержат код ошибки.
7
Серверу FTP не удалось создать поток главного подключения. Данные
содержат код ошибки.
8
Серверу FTP не удалось создать клиентский рабочий поток для
пользователя на узле %1. Связь с пользователем прервана. Данные
содержат код ошибки.
9
Непредвиденный сбой вызова системной службы. Данные содержат
код ошибки.
10
Период ожидания для пользователя %1 на узле %2 истекает через %3 с
отсутствия активности.
11
Получен запрос на анонимный вход от %1 на узел %2.
12
Получен запрос на вход от %1 на узел %2.
13
Пользователь %1, не вошедший в систему, не сможет получить доступ
к основному каталогу %2.
14
Пользователю %1 отказано в доступе к текущему каталогу %2 из-за
изменения безопасности.
1000
Не удается собрать статистику быстродействия службы FTP. Код
ошибки, возвращенный службой, имеет формат данных DWORD 0.
Примечание. Когда эти сообщения появляются в журнале или в
веб-обозревателе, символы %s, %X, %1, %2 и т. п. заменяются
данными конкретной возникшей ошибки.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все
права защищены.
События активных серверных
страниц
Код
события
Описание
100
Недостаточно памяти - Не удается выделить требуемую память.
101
Непредвиденная ошибка - Функция вернула |.
102
Ожидается ввод строки - Функция ожидает строку.
103
Ожидается ввод числа - Функция ожидает число.
104
Недопустимая операция.
105
Индекс выходит за допустимые пределы - Индекс массива выходит за
пределы допустимого диапазона.
106
Несоответствие типа - Обнаружен необрабатываемый тип данных.
107
Переполнение стека - Обрабатываемые данные превышают допустимый
предел.
108
Сбой создания объекта. Ошибка при создании объекта '%s'.
109
Компонент не найден.
110
Неизвестное имя.
111
Неизвестный интерфейс.
112
Пропущен параметр.
113
Истекло время ожидания сценария - Превышено максимальное время,
выделенное для выполнения сценария. Можно изменить это предельное
значение, указав новое значение для свойства Server.ScriptTimeOut или
воспользовавшись средствами администрирования IIS.
114
Несвободный потоковый объект - Объект приложения допускает только
свободные потоковые объекты; объект '%s' не относится к таким
объектам.
115
Непредвиденная ошибка - Произошла перехватываемая ошибка (%X) во
внешнем объекте. Продолжение сценария невозможно.
116
Отсутствует закрывающий ограничитель сценария - В блоке Script
отсутствует закрывающий тег (%>).
117
Отсутствует закрывающий тег сценария - В блоке Script отсутствует
закрывающий тег (</SCRIPT>) или закрывающий символ тега (>).
118
Отсутствует закрывающий тег объекта - В блоке Object отсутствует
закрывающий тег объекта (</OBJECT>) или закрывающий символ тега
(>).
119
Отсутствует атрибут Classid или Progid - Экземпляру объекта '|'
требуется допустимый атрибут Classid или Progid в теге объекта.
120
Недопустимый атрибут Runat - Атрибут Runat тега Script или Object
может иметь только значение 'Server'.
121
Недопустимая область определения в теге объекта - Экземпляр объекта
'|' не может иметь область определения Application или Session. Для
создания экземпляра объекта с областью определения Session или
Application поместите тег Object в файл Global.asa.
122
Недопустимая область определения в теге объекта - Экземпляр объекта
'|' должен иметь область определения Application или Session. Это
относится ко всем объектам, созданным в файле Global.asa.
123
Отсутствует атрибут Id - Отсутствует необходимый атрибут Id тега
Object.
124
Отсутствует атрибут Language - Отсутствует необходимый атрибут
Language тега Script.
125
Отсутствует закрытие атрибута - Значение атрибута '|' не имеет
закрывающего ограничителя.
126
Не найден файл вставки - Файл вставки '|' не был найден.
127
Отсутствует закрытие примечания HTML - В примечании HTML или
серверном файле вставки отсутствует закрывающий тег (-->).
128
Отсутствует атрибут File или Virtual - Файл вставки должен быть указан
с помощью атрибута File или Virtual.
129
Неизвестный язык сценария - Язык сценариев '|' не обнаружен на
сервере.
130
Недопустимый атрибут File - Атрибут File '|' не может начинаться с
прямой или обратной косой черты.
131
Недопустимый путь к родительскому каталогу - Файл вставки '|' не
может содержать строку '..' для указания родительского каталога.
132
Ошибка компиляции - Невозможна обработка активной серверной
страницы '|'.
133
Недопустимый атрибут ClassID - Тег объекта имеет недопустимый
атрибут ClassID для '|'.
134
Недопустимый атрибут ProgID - Объект имеет недопустимый атрибут
ProgID для '|'.
135
Циклическая вставка - Файл '|' вставлен в самого себя (возможно,
косвенно). Проверьте в файлах вставки другие инструкции Include.
136
Недопустимое имя экземпляра объекта - Экземпляр объекта '|' пытается
использовать зарезервированное имя. Это имя используется
внутренними объектами Active Server Pages.
137
Недопустимый сценарий Global - Блок Script должен быть одной из
допустимых в файле Global.asa процедур. Директивы сценария внутри
<% ... %> в файле global.asa не допускаются. Допустимыми являются
процедуры Application_OnStart, Application_OnEnd, Session_OnStart и
Session_OnEnd.
138
Вложенный блок Script - Блок сценария не может быть помещен внутрь
другого блока сценария.
139
Вложенный объект - Тег объекта не может быть помещен внутрь
другого тега объекта.
140
Неупорядоченная команда страницы - Команда @ должна быть первой
командой активной серверной страницы.
141
Повторяющаяся команда страницы - Команда @ может быть
использована внутри активной серверной страницы только один раз.
142
Ошибка маркера потока - Не удается открыть маркер потока.
143
Недопустимое имя приложения - Допустимое имя приложения не
найдено.
144
Ошибка инициализации - Сбой составления списка объектов уровня
страницы во время инициализации.
145
Сбой создания приложения - Не удается добавить новый объект
Application.
146
Сбой создания сеанса - Не удается добавить новый объект Session.
147
Ошибка сервера.
148
Сервер сильно занят.
149
Перезапуск приложения - Невозможна обработка запроса при
перезапуске приложения.
150
Ошибка каталога приложений - Не удается открыть каталог объектов
Application.
151
Ошибка уведомления об изменении - Не удается создать событие
уведомления об изменении.
152
Ошибка безопасности - Ошибка при обработке учетных сведений
безопасности пользователя.
153
Ошибка потока - Сбой запроса нового потока.
154
Ошибка записи заголовка HTTP - Заголовки HTTP не удается записать в
клиентский обозреватель.
155
Ошибка записи содержимого страницы - Содержимое страницы не
удается записать в клиентский обозреватель.
156
Ошибка заголовка - Заголовки HTTP уже записаны в клиентский
обозреватель. Все изменения заголовка HTTP должны быть выполнены
до записи содержимого страницы.
157
Буферизация включена - Нельзя отключить уже включенную
буферизацию.
158
Отсутствует адрес URL - Требуется адрес URL.
159
Буферизация отключена - Буферизация должна быть включена.
160
Сбой записи журнала - Сбой выполнения записи в журнал.
161
Ошибка типа данных - Сбой преобразования типа данных Variant к типу
String.
162
Невозможно изменить модуль настройки клиента - Модуль настройки
клиента 'ASPSessionID' не может быть изменен. Это зарезервированное
имя модуля настройки клиента.
163
Недопустимое использование запятой - Запятые не могут
использоваться в записях журнала. Выберите другой ограничитель.
164
Недопустимое значение TimeOut - Указано недопустимое значение
TimeOut.
165
Ошибка SessionID - Не удается создать строку SessionID.
166
Неинициализированный объект - Попытка обращения к объекту,
который не был инициализирован.
167
Ошибка инициализации сеанса - Ошибка при инициализации объекта
Session.
168
Недопустимое использование объекта - Внутренний объект не может
быть сохранен внутри объекта Session.
169
Отсутствуют сведения об объекте - Объект с отсутствующими
сведениями не может быть сохранен в объекте Session. Требуются
сведения о модели потоков для объекта.
170
Ошибка удаления сеанса - Объект Session не был правильно удален.
171
Отсутствует параметр Path - Для метода MapPath необходимо указать
параметр Path.
172
Недопустимый параметр Path - Параметр Path для метода MapPath
должен представлять собой виртуальный путь. Был использован
физический путь.
173
Недопустимый знак в параметре Path - Указан недопустимый знак в
параметре Path для метода MapPath.
174
Недопустимый знак в параметре Path - Указан недопустимый знак в
параметре Path для метода MapPath.
175
Недопустимые знаки в параметре Path - Знаки '..' не допускаются в
параметре Path для метода MapPath.
176
Путь не найден - Параметр Path для метода MapPath не соответствует
реальному пути.
177
Сбой Server.CreateObject.
178
Ошибка доступа Server.CreateObject - Сбой вызова Server.CreateObject
при проверке разрешений. Нет доступа к данному объекту.
179
Ошибка инициализации приложения - Ошибка при инициализации
объекта Application.
180
Недопустимое использование объекта - Внутренний объект не может
быть сохранен внутри объекта Application.
181
Недопустимая модель потоков - Объект, использующий комнатную
модель потоков, не может быть сохранен внутри объекта Application.
182
Отсутствуют сведения об объекте - Объект с отсутствующими
сведениями не может быть сохранен внутри объекта Application.
Требуются сведения о модели потоков для данного объекта.
183
Пустой ключ в модуле настройки клиента - Невозможно сохранить
модуль настройки клиента с пустым ключом.
184
Отсутствует имя модуля настройки клиента - Необходимо указать имя
модуля настройки клиента.
185
Отсутствует свойство, используемое по умолчанию - Используемое по
умолчанию свойство не было найдено для объекта.
186
Ошибка разбора сертификата.
187
Конфликт добавления объекта - Не удается добавить объект в
приложение. Приложение блокировано другим запросом добавления
объекта.
188
Недопустимое использование объекта - Внутренний объект не может
быть сохранен внутри объекта Session.
189
Недопустимое использование объекта - Нельзя добавлять объекты,
созданные с помощью тегов объектов, внутрь приложения.
190
Непредвиденная ошибка - Перехватываемая ошибка при освобождении
внешнего объекта.
191
Непредвиденная ошибка - Перехватываемая ошибка в методе
OnStartPage внешнего объекта.
192
Непредвиденная ошибка - Перехватываемая ошибка в методе
OnEndPage внешнего объекта.
193
Сбой OnStartPage - Ошибка в методе OnStartPage внешнего объекта.
194
Сбой OnEndPage - Ошибка в методе OnEndPage внешнего объекта.
195
Недопустимый вызов метода сервера - Данный метод объекта Server не
может быть вызван во время Session_OnEnd и Application_OnEnd.
197
Недопустимое использование объекта - Невозможно добавить объект с
комнатной моделью поведения во внутренний объект приложения.
198
Сервер завершает работу. Обработка запроса невозможна.
199
Недопустимое использование объекта - Невозможно добавление в сеанс
объектов JScript.
200
Атрибут 'Expires' выходит за допустимые пределы - Дата и время,
присвоенные 'Expires', меньше 1 января 1980 или больше 19 января
2038, 3:14:07 GMT.
201
Неизвестный язык сценариев в реестре - Язык сценариев '|', указанный в
реестре, не обнаружен на сервере.
202
Отсутствует кодовая страница - Пропущен атрибут кодовой страницы.
203
Недопустимая кодовая страница - Указан недопустимый атрибут
кодовой страницы.
205
Уведомление об изменении - Сбой создания события для уведомления
об изменении.
206
Невозможно вызвать BinaryRead - Невозможно вызвать BinaryRead
после использования семейства Request.Form.
207
Невозможно применить Request.Form - Невозможно применить
семейство Request.Form после вызова BinaryRead.
208
Невозможно применить универсальное семейство Request Невозможно применить универсальное семейство Request после вызова
BinaryRead.
209
Недопустимое значение свойства TRANSACTION - Свойство
TRANSACTION может иметь только значение REQUIRED,
REQUIRES_NEW, SUPPORTED или NOT_SUPPORTED.
210
Метод не реализован - Данный метод еще не был реализован.
211
Объект выходит за пределы допустимой области - Выполнена ссылка на
встроенный объект ASP, который больше недоступен.
212
Не удается очистить буфер - Response.Clear не допускается после
Response.Flush, пока включена отладка клиента.
214
Недопустимый параметр Path - Параметр Path превышает максимально
допустимую длину.
215
Недопустимое значение свойства SESSION - Свойство SESSION может
иметь только значение TRUE или FALSE.
216
Служба MSDTC не запущена - Веб-страницы, использующие
транзакции, не могут работать, если не запущена служба MSDTC.
217
Недопустимая область определения в теге объекта - Областью
определения объекта должна быть Page, Session или Application.
218
Отсутствует атрибут LCID - Пропущен атрибут LCID.
219
Недопустимый атрибут LCID - Указанный атрибут LCID не
допускается.
220
Не допускаются запросы файла GLOBAL.ASA - Не допускаются
запросы с адресом URL, указывающим на GLOBAL.ASA.
221
Недопустимая директива команды @ - Указан неизвестный или
недопустимый параметр '|'.
222
Недопустимая спецификация TypeLib - Тег METADATA содержит
недопустимую спецификацию библиотеки типов.
223
Не найдена спецификация TypeLib - Тег METADATA содержит
спецификацию, которая не совпадает ни с одной записью реестра.
224
Не удается загрузить спецификацию TypeLib - Не удается загрузить
библиотеку типов, указанную в теге METADATA.
225
Невозможно создание оболочки для библиотек типов - Не удается
создать объект Type Library Wrapper из библиотек типов, указанных в
тегах METADATA.
226
Невозможно изменить StaticObjects - Невозможно изменить семейство
StaticObjects во время выполнения.
227
Сбой Server.Execute - Сбой вызова Server.Execute.
228
Ошибка Server.Execute - Сбой вызова Server.Execute при загрузке
страницы.
229
Сбой Server.Transfer - Сбой вызова Server.Transfer.
230
Ошибка Server.Transfer - Сбой вызова Server.Transfer при загрузке
страницы.
231
Ошибка Server.Execute - Были использованы недопустимая форма
адреса URL или полный абсолютный адрес URL. Используйте
относительные адреса URL.
232
Недопустимая спецификация модуля настройки клиента - Тег
METADATA содержит недопустимую спецификацию модуля
настройки клиента.
233
Не удается загрузить источник сценария модуля настройки клиента - Не
удается загрузить исходный файл сценария модуля настройки клиента,
указанный в теге METADATA.
234
Недопустимая директива 'include' - Директивы вставки на стороне
сервера не могут находиться в блоках сценария. Воспользуйтесь
атрибутом SRC= тега <SCRIPT>.
235
Ошибка Server.Transfer - Недопустимая форма адреса URL или
использован абсолютный адрес URL. Используйте относительные
адреса URL.
236
Недопустимая спецификация модуля настройки клиента - Тег
METADATA содержит недопустимый параметр SRC, либо этот
параметр вообще отсутствует.
237
Недопустимая спецификация модуля настройки клиента - Тег
METADATA содержит недопустимый параметр NAME, либо этот
параметр вообще отсутствует.
238
Пропущено значение атрибута - Не указано значение для атрибута '|'.
239
Не удается обработать файл - ASP-файлы в кодировке UNICODE не
поддерживаются.
240
Исключение обработчика сценариев - Исключение ScriptEngine '%X' в
'%s' от '%s'.
241
Исключение CreateObject - CreateObject '%s' вызвал исключение %X.
242
Исключение в интерфейсе при запросе OnStartPage - росы методов
OnStartPage или OnEndPage для объекта '%s' вызвали исключение %X.
243
Невозможно использование IStream для объекта Request - Невозможно
использование IStream для объекта Request после использования
семейства Request.Form или Request.BinaryRead.
Примечание. Когда эти сообщения появляются в журнале или в
веб-обозревателе, символы %s, %X, %1, %2 и т. п. заменяются
данными конкретной возникшей ошибки.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все
права защищены.
Справочник по счетчикам
Данные счетчиков можно просматривать в системном мониторе, в
клиентских программах независимых изготовителей или в
специальном приложении, которое использует один из двух
протоколов, обеспечивающих доступ к системным счетчикам.
Этими протоколами являются SNMP (Simple Network Management
Protocol) и PDH (Performance Data Helper), характеристики которых
сравниваются в следующей таблице. Нельзя изменять
вспомогательные файлы протоколов. Пользователи, которые
собираются писать собственные приложения для доступа к
системным счетчикам, могут использовать вспомогательные файлы
как примеры. Интерфейсы обоих протоколов документированы в
электронной библиотеке MSDN Online.
Протокол
Использование
PDH
Системный монитор (или
пользовательское
приложение).
Клиентское программное
обеспечение независимого
изготовителя, иногда называемое
обозревателями MIB, (или
пользовательское приложение).
Устанавливается по
умолчанию.
Должен выбираться во время
установки Windows в группе
«Средства управления и
наблюдения» или в окне
«Установка и удаление программ».
Ftpctrs.ini
W3ctrs.ini
Infoctrs.ini
Axperf.ini
Ftp.mib
Inetsrv.mib
Http.mib
Имена идентификаторов,
имена счетчиков, описания.
Имена идентификаторов, имена
счетчиков, описания, уникальные
идентификаторы объектов (OID),
другие атрибуты, определяющие
доступность и состояние.
Более удобный интерфейс
программирования.
Повышение стабильности и
надежности при
использовании программным
обеспечением Microsoft.
Доступность из WMI.
Протокол SNMP является
привычным для пользователей
других операционных систем.
Доступность из WMI. Хотя все
счетчики IIS доступны только для
чтения, SNMP является
управляющим протоколом,
позволяющим записывать
значения, где это возможно.
PDH является скорее
протоколом мониторинга, а не
управляющим протоколом;
невозможно записывать
значения.
Вспомогательные файлы
используют упорядочение и
идентификаторы OID, что
затрудняет добавление счетчиков.
Установка
Вспомогательные
файлы IIS
Содержимое
вспомогательные
файлов
Преимущества
Недостатки
SNMP
Счетчики объектов служб Веб и FTP, устанавливаемые с Internet
Information Server, регистрируют частоту передачи файлов,
использование полосы пропускания, скорость подключения,
ошибки, а также количество и типы пользователей. Пользователь
имеет возможность просматривать данные для всех экземпляров
этого объекта (с помощью экземпляра _Total) или для конкретных
экземпляров, таких как экземпляры «Веб/FTP узел по умолчанию»
или «Администрирование веб-узла». Счетчики общего объекта
служб IIS возвращают данные о производительности всех служб
IIS. Счетчики объекта «Страницы Active Server» регистрирую
активность подключений для сценариев, в том числе ошибки при
выполнении, запросы, сеансы, шаблоны и транзакции.
Системные счетчики IIS ниже упорядочены по типам заданий.
Имена счетчиков соответствуют именам во вспомогательных
файлах PDH. Все счетчики IIS доступны только для чтения. Для
просмотра полного алфавитного списка всех счетчиков и их
описаний щелкните ниже любое имя счетчика. Дополнительные
сведения о системном мониторе см. в разделе О настройке
быстродействия.
o
o
o
o
o
o
o
o
Счетчики
Счетчики
Счетчики
Счетчики
Счетчики
Счетчики
Счетчики
Счетчики
для
для
для
для
для
для
для
для
использования полосы пропускания
пропускной способности
конкретных запросов и ошибок
подключений и пользователей
кэширования и использования памяти
сеансов
транзакций
перезапусков
Счетчики для использования полосы
пропускания
Объекты
Счетчик
Общий IIS, Веб
Блокировано запросов асинхронного ввода/вывода
Общий IIS, Веб
Использование полосы пропускания асинхронного
ввода/вывода
Общий IIS, Веб
Всего разрешено запросов асинхронного ввода/вывода
Общий IIS, Веб
Всего блокировано запросов асинхронного ввода/вывода
Общий IIS, Веб
Всего отклонено запросов асинхронного ввода/вывода
Счетчики для пропускной способности
Объекты
Счетчик
Веб, FTP
Получено байт в секунду
Веб, FTP
Отправлено байт в секунду
Веб, FTP
Всего байт в секунду
Веб
Файлов в секунду
Веб
Получено файлов в секунду
Веб
Отправлено файлов в секунду
Веб, FTP
Всего файлов получено
Веб, FTP
Всего файлов отправлено
Веб, FTP
Всего файлов передано
Счетчики для конкретных запросов и
ошибок
Объекты
Счетчик
Веб
Запросов CGI в секунду
Веб
Запросов Copy в секунду
Веб
Текущих запросов CGI
Веб
Текущих запросов расширения ISAPI
ASP
Отладочные запросы
Веб
Запросов Delete в секунду
ASP
Ошибки во время выполнения сценария
ASP
Ошибки препроцессора ASP
ASP
Ошибки компилятора сценариев
ASP
Ошибок в секунду
Веб
Запросов Get в секунду
Веб
Запросов Head в секунду
Веб
Запросов расширения ISAPI в секунду
Веб
Запросов Lock в секунду
Веб
Ошибок блокировки в секунду
Веб
Максимум запросов CGI
Веб
Максимум запросов расширения ISAPI
Веб
Запросов Mkcol в секунду
Веб
Запросов Move в секунду
Веб
Ошибок 'Не найден' в секунду
Веб
Запросов Options в секунду
Веб
Других запросов в секунду
Веб
Запросов Post в секунду
Веб
Запросов Propfind в секунду
Веб
Запросов Proppatch в секунду
Веб
Запросов Put в секунду
ASP
Полное число байт запросов
ASP
Неполное число байт запросов
ASP
Время выполнения запроса
ASP
Время ожидания запроса
ASP
Запросов отключено
ASP
Выполняется запросов
ASP
Всего сбоев запросов
ASP
Неразрешенных запросов
ASP
Запросов не найдено
ASP
Запросов в очереди
ASP
Запросов не выполнено
ASP
Запросов выполнено
ASP
Запросов с истекшим временем ожидания
ASP
Всего запросов
ASP
Запросов в секунду
Веб
Запросов Search в секунду
Веб
Всего запросов CGI
Веб
Всего запросов Copy
Веб
Всего запросов Delete
Веб
Всего запросов Get
Веб
Всего запросов Head
Веб
Всего запросов расширения ISAPI
Веб
Всего запросов Lock
Веб
Всего ошибок блокировки
Веб
Всего запросов методов
Веб
Всего запросов методов в секунду
Веб
Всего запросов Mkcol
Веб
Всего запросов Move
Веб
Всего ошибок 'Не найден'
Веб
Всего запросов Options
Веб
Всего других запросов
Веб
Всего запросов Post
Веб
Всего запросов Propfind
Веб
Всего запросов Proppatch
Веб
Всего запросов Put
Веб
Всего запросов Search
Веб
Всего запросов Trace
Веб
Всего запросов Unlock
Веб
Запросов Trace в секунду
Веб
Запросов Unlock в секунду
Счетчики для подключений и
пользователей
Объекты
Счетчик
Веб
Анонимных пользователей в секунду
Веб
Попыток подключения в секунду
Веб, FTP
Текущих анонимных пользователей
Веб, FTP
Текущее число лицензий для проверенных пользователей
Веб, FTP
Текущее число клиентских лицензий для подключений SSL
Веб, FTP
Текущие подключения
Веб, FTP
Текущих неанонимных пользователей
Веб, FTP
Попыток входа в секунду
Веб, FTP
Максимум анонимных пользователей
Веб, FTP
Максимум лицензий для законных пользователей
Веб, FTP
Максимум клиентских лицензий для подключений SSL
Веб, FTP
Максимум подключений
Веб, FTP
Максимум неанонимных пользователей
Веб, FTP
Неанонимных пользователей в секунду
Веб, FTP
Всего анонимных пользователей
Веб, FTP
Всего попыток подключений
Веб, FTP
Всего сбоев запросов клиентских лицензий для проверенных
пользователей
Веб, FTP
Всего сбоев запросов клиентских лицензий для подключений
SSL
Веб, FTP
Всего попыток входа
Веб, FTP
Всего неанонимных пользователей
Счетчики для кэширования и
использования памяти
Объекты
Счетчик
Общий IIS
Текущее число закрываемых входов
Общий IIS
Число удалений кэша BLOB
Общий IIS
Попаданий в кэше BLOB
Общий IIS
Процент попаданий в кэше BLOB
Общий IIS
Промахов в кэше BLOB
Общий IIS
Текущее число кэшированных блоков BLOB
Общий IIS
Текущее использование памяти кэша файлов
Общий IIS
Файлы в кэше
Общий IIS
Текущее число кэшированных блоков URI
Общий IIS
Число удалений кэша файлов
Общий IIS
Попаданий в кэше файлов
Общий IIS
Процент попаданий в кэше файлов
Общий IIS
Промахов в кэше файлов
ASP
Попаданий в кэше шаблонов в памяти
ASP
Кэшировано шаблонов в памяти
Общий IIS
Предельное использование памяти кэша файлов
ASP
Выделено памяти
ASP
Число обработчиков сценариев в кэше
ASP
Кэшированных шаблонов
ASP
Степень заполнения кэша шаблонов
ASP
Уведомления шаблонов
Общий IIS
Всего кэшированных блоков BLOB
Общий IIS
Всего файлов в кэше
Общий IIS
Всего удаленных блоков BLOB
Общий IIS
Всего закрытых файлов
Общий IIS
Всего удаленных блоков URI
Общий IIS
Всего кэшированных блоков URI
Общий IIS
Число удалений кэша URI
Общий IIS
Попаданий в кэше URI
Общий IIS
Процент попаданий в кэше URI
Общий IIS
Промахов в кэше URI
Счетчики для сеансов
Объекты
Счетчик
ASP
Длительность сеанса
ASP
Текущих сеансов
ASP
Сеансов с истекшим временем ожидания
ASP
Всего сеансов
Счетчики для транзакций
Объекты
Счетчик
ASP
Прервано транзакций
ASP
Выполненных транзакций
ASP
Ожидается транзакций
ASP
Всего транзакций
ASP
Транзакций в секунду
Счетчики для перезапусков
Объекты
Веб, FTP
Счетчик
(FTP) Доступное время службы
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все
права защищены.
Справочник по периодам
ожидания
IIS имеет несколько значений времен ожидания, которые
устанавливаются по умолчанию при установке Windows XP.
Значения времени ожидания позволяют серверу указывать, на
какое время ресурсы сервера выделяются конкретным задачам или
клиентам. В приведенной ниже таблице перечислены значения
времен ожидания в IIS и указано, где они могут быть установлены.
Имя свойства
Идентификатор в метабазе
Доступно в оснастке IIS
AspScriptTimeout
MD_ASP_SCRIPTTIMEOUT
Да
AspSessionTimeout
MD_ASP_SESSIONTIMEOUT
Да
ConnectionTimeout
MD_CONNECTION_TIMEOUT
Да
CGITimeout
MD_SCRIPT_TIMEOUT
Да
ServerListenTimeout
MD_SERVER_LISTEN_TIMEOUT
Нет
PoolIdcTimeout
MD_POOL_IDC_TIMEOUT
Нет
AspQueueTimeout
MD_ASP_QUEUETIMEOUT
Нет
CpuLimitLogEvent
MD_CPU_LIMIT_LOGEVENT
Да
CpuLimitPriority
MD_CPU_LIMIT_PRIORITY
Да
CpuLimitProcStop
MD_CPU_LIMIT_PROCSTOP
Да
CpuLimitPause
MD_CPU_LIMIT_PAUSE
Нет
Времена ожидания
перезапуска IIS
Значение по умолчанию (в
секундах)
Останов
60
Перезапуск
20
Перезагрузка
0
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все
права защищены.
Список свойств для ведения
журналов
Здесь приведены определения свойств, предназначенных для
ведения журналов, и указаны их значения для расширенного
формата файла журнала W3C. Этот раздел содержит следующие
подразделы.
o
o
o
o
Общие свойства расширенного формата журнала
W3C. Общие свойства, доступные в расширенном формате
файла журнала W3C.
Свойства для сбора статистики
процесса. Дополнительные свойства для получения
статической информации о процессе, имеющиеся в
расширенных файлах журнала W3C.
Определения свойств формата журнала Microsoft
IIS. Общие свойства, доступные в формате файла журнала
Microsoft IIS.
Определения свойств общего формата журнала
NCSA. Общие свойства, доступные в общем формате файла
журнала NCSA.
Дополнительные сведения о расширенном формате журнала W3C
см. на веб-узле консорциума World Wide Web.
Общие свойства расширенного формата
журнала W3C
Префикс
Описание
s-
Серверные действия
c-
Клиентские действия
cs-
Действия «клиент-сервер»
sc-
Действия «сервер-клиент»
Поле
В журнале
Описание
Дата
дата
Дата возникновения события.
Время
время
Время возникновения события.
IP-адрес
клиента
c-ip
IP-адрес клиента, получившего доступ к серверу.
cs-username
Имя
пользователя
Имя пользователя, получившего доступ к серверу.
Это не относится к анонимным пользователям,
которые обозначаются дефисами "-".
Имя службы
s-sitename
Служба Интернета и номер экземпляра, к
которому клиент получил доступ.
Имя сервера
scomputername
Имя сервера, на котором была создана запись
журнала.
IP-адрес
сервера
s-ip
IP-адрес сервера, на котором была создана запись
журнала.
Порт
сервера
s-port
Номер порта, к которому подключен клиент.
Способ
cs-method
Действие, которое пытался выполнить клиент
(например, метод GET).
Ресурс URI
cs-uri-stem
Ресурс, к которому было выполнено обращение,
например Default.htm.
Запрос URI
cs-uri-query
Запрос, который пытался выполнить клиент.
Состояние
протокола
sc-status
Состояние действия (в терминах HTTP или FTP).
Состояние
Win32
sc-win32status
Состояние действия (в терминологии Windows).
Передано
байт
sc-bytes
Число байт, отправленных сервером.
Получено
байт
cs-bytes
Число байт, полученных сервером.
Заняло
времени
time-taken
Время, которое заняло выполнение действия.
Версия
протокола
cs-version
Версия протокола (HTTP, FTP), используемого
клиентом. Для протокола HTTP это либо HTTP
1.0, либо HTTP 1.1.
Хост
cs-host
Отображает содержимое заголовка узла.
cs(UserАгент
пользователя Agent)
Обозреватель, используемый клиентом.
Cookie
cs(Cookie)
Содержимое отправленного или полученного
модуля настройки клиента (cookie) (если имеется).
Источник
ссылки
cs(Referer)
Предыдущий просмотренный пользователем узел.
На этом узле содержалась ссылка на данный узел.
Свойства для сбора статистики о
процессе
Поле
В
Описание
журнале
Событие
процесса
s-event
Возникшее событие: Site-Stop, Site-Start, SitePause, Periodic-Log, Interval-Start, Interval-End,
Interval-Change, Log-Change-Int/Start/Stop,
Eventlog-Limit, Priority-Limit, Process-Stop-Limit,
Site-Pause-Limit, Eventlog-Limit-Reset, PriorityLimit-Reset, Process-Stop-Limit-Reset или SitePause-Limit. Щелкните эту ссылку, чтобы вывести
описание этих значений.
Тип процесса
sprocesstype
Тип процесса, вызвавшего событие (CGIприложение или внешнее приложение). Типом
может быть CGI, приложение или «Все».
s-userОбщее
пользовательское time
время
Суммарное время работы процессора в
пользовательском режиме (%), которое узел
использовал в пределах текущего интервала.
Общее время
ядра
skerneltime
Суммарное время работы процессора в режиме
ядра (%), которое узел использовал в пределах
текущего интервала.
Всего сбоев
страниц
s-pagefaults
Общее число обращений к памяти, вызвавших
сбои страниц памяти.
Всего процессов
s-totalprocs
Общее число приложений CGI и внешних
приложений, созданных в пределах текущего
интервала.
Активные
процессы
sactiveprocs
Общее число приложений CGI и внешних
приложений, выполнявшихся в момент записи в
журнал.
Всего
прерванных
процессов
sstoppedprocs
Общее число приложений CGI и внешних
приложений, остановленных в пределах текущего
интервала из-за ограничений на процесс.
Значение
Описание
Site-Stop
Веб-узел по какой-то причине был остановлен.
Site-Start
Веб-узел был запущен или перезапущен.
Site-Pause
Веб-узел был приостановлен.
Periodic-Log
Одна из регулярных записей в журнал,
интервал между которыми задан
администратором.
Reset-Interval- Начался интервал сброса.
Start
Reset-Interval- Интервал сброса завершен и произведен сброс.
Start
Reset-Interval- Администратор веб-узла изменил значение
Start
интервала сброса.
Log-ChangeInt/Start/Stop
Произошло одно из перечисленных ниже
событий: был изменен интервал записи в
журнал; произошло событие интервала; узел
был остановлен, запущен или приостановлен.
Eventlog-Limit Выполнена запись в журнал веб-узла,
поскольку использование ресурсов процессора
для CGI и внешних приложений достигло
предела, установленного администратором.
Priority-Limit
На веб-узле был автоматически установлен
низкий приоритет приложения CGI или
внешнего приложения, поскольку это
приложение достигло предела, установленного
администратором для низкого приоритета.
Process-StopLimit
На веб-узле остановлено приложение CGI или
внешнее приложение вследствие достижения
установленного администратором предела
остановки процесса.
Site-PauseLimit-Reset
Веб-узел был приостановлен, поскольку
выполнявшееся на нем приложение CGI или
внешнее приложение достигло установленного
администратором предела приостановки узла.
Eventlog-Limit- Был исчерпан интервал сброса или было
Reset
вручную сброшено событие Eventlog-Limit.
Priority-Limit- Был исчерпан интервал сброса или было
Reset
вручную сброшено событие Priority-Limit.
Process-StopLimit-Reset
Был исчерпан интервал сброса или было
вручную сброшено событие Priority-Stop-Limit.
Site-PauseLimit-Reset
Был исчерпан интервал сброса или было
вручную сброшено событие Site-Pause-Limit.
Определения формата журнала
Microsoft IIS
Поле
Описание
IP-адрес
клиента
IP-адрес компьютера клиента, выполняющего
запрос.
Имя
пользователя
Имя пользователя, получившего доступ к
серверу. Это не относится к анонимным
пользователям, которые обозначаются
дефисами "-".
Дата
Дата возникновения события
Время
Время возникновения события.
Служба и
экземпляр
Экземпляр веб-узла отображается как
W3SVC#, экземпляр FTP-узла отображается
как MSFTPSVC#, где # представляет
экземпляр узла.
Имя
компьютера
Имя NetBios сервера.
IP-адрес
сервера
IP-адрес сервера, который обслуживает запрос.
Заняло
времени
Время, которое заняло выполнение действия.
Отправлено
байт
Число байт, отправленных на сервер.
Получено байт Число байт, полученных с сервера.
Код состояния Код состояние HTTP или FTP.
службы
Код состояния Состояние действия (в терминологии
Windows
Windows).
Тип запроса
Тип запроса, полученного сервером (например
GET и PASS).
Объект
операции
Конечный адрес URL операции.
Параметры
Параметры, которые передаются в сценарий.
общий формат файла журнала NCSA.
Поле
Описание
Адрес
удаленного
компьютера
IP-адрес компьютера клиента, выполняющего
запрос.
Имя входа на
удаленный
узел
Значением всегда является дефис "-".
Пользователь
В формате Домен\имя_пользователя для
проверенных пользователей или дефис "-" для
анонимных пользователей.
Дата
Дата возникновения события.
Время и
смещение
относительно
GMT
Время возникновения события со смещением
относительно GMT.
Запрос и
версия
Используемый тип запроса, конечный адрес
URL, переданные в сценарий параметры, если
имеются, и версия HTTP, которую использует
клиент.
Код состояния Код состояния HTTP.
сервера
Отправлено
байт
Число байт, отправленных сервером клиенту.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все
права защищены.
Справочник по
перенаправлению
Перенаправление клиентских запросов является одним из
способов, гарантирующих получение пользователем правильной
страницы, если узел реконструируется или сменил адрес.
Клиентские запросы могут быть перенаправлены в каталог на
сервере, на котором запущен IIS, в сетевой каталог на другом
компьютере, заданный в формате UNC, или на другой адрес URL.
Переменные перенаправления
Можно использовать переменные перенаправления для получения
конечного адреса URL заменой части исходного адреса URL. Эти
переменные могут быть использованы при открытии окна свойств
каталога в оснастке IIS и выборе одной из вкладок Домашний
каталог, Виртуальный каталог или Каталог.
Переменная
Описание
Пример
$S
Передает выделенный
суффикс запрошенного
адреса URL. Выделенный
суффикс представляет часть
исходного адреса URL,
остающуюся после
подстановки адреса URL
перенаправления.
Если каталог /scripts перенаправляется на
/newscripts, а в исходном запросе задается
/scripts/program.exe, то суффиксом является
часть адреса /program.exe. Подстановка
суффикса выполняется сервером
автоматически; переменную $S следует
использовать только в комбинации с другими
переменными.
$P
Передает параметры из
Например, если исходный адрес URL имеет
исходного адреса URL.
вид /scripts/myscript.asp?number=1, то строка
"number=1" подставляется в конечный адрес
URL.
$Q
Передает вопросительный
знак и параметры из
исходного адреса URL.
Например, если исходный адрес URL имеет
вид /scripts/myscript.asp?number=1, то строка
"?number=1" подставляется в конечный адрес
URL.
$V
Передает запрошенный
адрес URL без имени
сервера.
Например, если исходный адрес URL имеет
вид //myserver/scripts/myscript.asp, то строка
"/scripts/myscript.asp" подставляется в
конечный адрес URL.
$0 — $9
Передает часть
запрошенного адреса URL,
отвечающую указанному
подстановочному знаку.
Например, если подстановочный знак
используется для имени каталога нижнего
уровня, такого как */default.htm, то
передаваться будет часть адреса URL,
именующая каталог, содержащий файл
Default.htm.
!
Перенаправление
отсутствует.
Эту переменную используют для запрета
перенаправления каталога или отдельного
файла из виртуального каталога, для которого
выполняется перенаправление.
Подстановочные знаки
перенаправления
Можно использовать подстановочные знаки перенаправления для
выбора произвольного числа символов из исходного адреса URL.
Вставьте подстановочный знак (*) в поле Адрес на вкладке
свойств Домашний каталог, Виртуальный каталог или
Каталог. Начните адрес URL места назначения со звездочки и
точки с запятой и разделяйте точками с запятыми пары
подстановочных знаков и адресов URL места назначения.
Например, чтобы переадресовать все запросы к файлам
/scripts/имяФайла.stm на единственный файл Default.stm, а все
запросы к файлам /scripts/имяФайла.htm на единственный файл
Default.htm, введите в поле Адрес для виртуального каталога
Scripts:
*;*.stm;/default.stm;*.htm;/default.htm
Чтобы использовать подстановочные знаки, следует обязательно
установить флажок на введенный выше адрес URL. Используйте
адрес URL, когда указываете путь перенаправления.
См. также
Обзор основных понятий по перенаправлению см. в подразделе
Изменение маршрутов запросов перенаправлением раздела Управление
веб-узлом.
Описание действий по перенаправлению см. в разделах
Перенаправление запросов на каталог или Перенаправление запросов в
программу.
© Корпорация Майкрософт (Microsoft Corporation), 1997-2001. Все
права защищены.