Internet Information Server 4.0

Администрирование

MMC - Microsoft Management Console

  •  
    •  
      •  
          A) Нажмите конпки stop, start или pause в меню панели инструментов.
          B) Нажмите правой кнопкой мыши на нужном сервисе и нажмите Start, Stop или pause.
    • Свойства наследуются по всей иерархии сайта (Site, Directory и Files), если только в индивидуальный свойствах явно не указан другой набор свойств. Например, установки сайта (Site settings)будут унаследованы каталогами и файлами в пределах этого сайта.

      Web site operator имеет ограниченный набор администраторских полномочий на конкретном сайте. Он может только менять установки сайта, но не установки IIS. Web site operator может быть назначен сайту через свойства сайта (закладка Operators).

      При помощи MMC можно останавливать, запускать и ставить на паузу различные службы.

      Что бы остановить, запустить или поставить на паузу службу, сделайте одно из следующих действий:

Для того, что бы удаленно администрировать IIS, в адресе необходимо указать порт, например : http://www.cramsession.com:6967/iisadmin/

.

Аутентификация

Возможные способы аутентификации :

  •  
    • Allow Anonymous - любой пользователь может получить доступ к вашему сайту.
    • Basic - Для доступа требуется имя пользователя и пароль.
    • Windows NT Challenge/Response - Используется проверка прав пользователя через User Manager for Domains.
    • SSL Client Certificate - Сертификат, установленный на системе клиента, используется для аутентификации.

Если права пользователя меняются в то время, когда загружен IIS, необходимо либо подождать 15 минут, пока изменения вступят в силу, либо перезапустить соответствующую службу для немедленного внесения изменений.

От пользователей Web аутентификация требуется только когда:

  •  
    • Анонимный доступ запрещен.
    • Анонимному пользователю запрещен доступ к данному ресурсу.

Когда используется метод аутентификации challenge/response, браузер, не поддерживающий этот метод (не MS-браузен ) выведет на экран сообщение Access is Denied

.

Если браузер поддерживает только basic authentication, не отключайте ее в IIS, в противном случае сайт будет недоступен.

В IIS доступ на чтение позволяет пользователям читать или скачивать файлы.

Для доступа к каталогам, которые находятся на разделе NTFS на удаленном сервера, вам необходимо указать имя пользователя и пароль.

Что бы не передавать имя пользователя и пароль по сети, используйте метод challenge/response в WWW и используйте только анонимные подключения в службе FTP.

Виртуальные каталоги, расположенные на удаленном компьютере, для доступа к ним требуют учетной записи пользователя NT.

Если IIS установлен на server1, а виртуальный каталог располагается на server2, и две системы не входят в один NT домен, вы должны добавить одинаковую учетную запись пользователя на server1 и на server2.

Клиентские сертификаты могут быть назначены на учетные записи NT.

Разрешения NTFS и IIS:

  •  
    • Содержание сайта = Read
    • Программы = Read и Execute
    • Базы данных = Read и Write

Что бы исключить доступ анонимного пользователя к конкретным директориям:

  •  
    • Уберите все разрешения NTFS у группы guest
    • Присвойте пользователю IUSR_ComputerName право no access

Если в FTP используются только анонимные подключения, задействуйте оба свойста - Allow Anonymous Connections и Allow Only Anonymous Connections в разделе Security Accounts свойств сайта FTP.

WWW

Есть два пути как пользователь может получить доступ к виртуальному каталогу:

  •  
    • Ссылки.
    • Написать alias в URL.

Пробелы в именах виртуальных каталогов вызовут проблемы у старых браузеров.

Если вы не указали адрес IP виртуального сервера к виртуальному каталогу, он будет виден всеми виртуальными серверами.

Когда реплицируете ваш web сайт на несколько серверов, используйте одинаковое имя для любого сайта. Создайте отдельные записи с именем web сервера как alias.

Пользователь по умолчанию должен иметь право logon local для получения доступа к WWW страницам вашего сервера.

Для улучшения загрузки web страниц, увеличьте время HTTP keep alive.

Виртуальные каталоги на другом сервере:

  •  
    • Создайте каталог общего доступа на удаленном сервере
    • Используйте путь UNC к удаленному серверу и каталогу общего доступа
    • Введите имя пользователя и пароль для соединения
    • Удаленный сервер должен быть в том же домене, или добавьте имя пользователя с правами доступа в обоих доменах.

Для каждого виртуального сервера может быть создан только один домашний каталог (home directory).

Каталог скриптов в виртуальном домашнем каталоге управляет скриптами для этого виртуального домашнего каталога.

Общий каталог скриптов не назначенный на виртуальный домашний каталог может управлять скриптами для всех виртуальных серверов.

Виртуальные каталоги различаются именами alias. Alias привязан к виртуальному каталгу в закладке каталог (directory tab).

Если вы удалите виртуальный каталог IISadmin на сервере, который вы администрируете, вы не сможете использовать HTML администратора.

FTP

Для использования аннотаций каталогов:

  •  
    • Поместите AnnotateDirectories REG_DWORD=1 в реестр.
    • Создайте ~ftpsvc~.ckm в каждом каталоге.

Некоторые броузеры не могут моддерживать управлени более чем одной линии в FTP приветственном сообщении, и получают ошибку 404.

Изменение Порта TCP через FTP Site Properties потребует изменение клиентам их настроек software FTP для TCP портa для правильного подключения.

Типы листиногов каталогов FTP:

  •  
    • DOS - дата, время, размер, имя
    • UNIX - разрешения, владелец, группа, размер, дата, время, имя

Порты



Порт Номер
FTP 21
Telnet 23
SMTP 25
HTTP 80
SSL 443

Если вы изменяете номер порта, клиенты должны указать измененный номер порта для доступа к ресурсу.

ISAPI/CGI/Perl

Разрешение на Исполнение (Execute) необходимы для ISAPI и CGI приложений.

Разрешение на Чтение (Read) необязательно для ISAPI и CGI приложений.

Разрешения NTFS Читать (Read) и Писать (write) необходимы для ISAPI/CGI на разделах NTFS.

Для возможности серверу запускать CGI приложения, добавьте запись для типа приложения в реестр.

CGI приложения не могут быть запущены если использовалась аутентификация challenge/response.

CGI необходим новый процесс для каждого исполнения.

ISAPI фильтры используются для настройки процесса авторизации, доступа или процесса входа пользователя (logging).

Perl необходимо установленного command interpreter на IIS сервере.

MIME

MIME (Multipurpose Internet Mail Extensions) - Содержит список расширений и их ассоциаций с приложениями.

Установки MIME существуют в metabase. Metabase подобна реестру, но используется исключительно для хранения установок IIS.

Назначения MIME существуют с MMC - Свойства Web Site, под закладкой HTTP Headers. Вы должны остановить и перезапустить web сайт для вступления в силу изменений MIME.

Добавьте тип MIME для разрешения обработки файлов с другими расширениями. Например, добавьте тип MIME для разрешения фaйлов *.WEB быть обработанными как файлы *.HTML.

SSL - Secure Sockets Layer

Страницы SSL влияют на загрузку CPU и дольше загружаются сами.

URL SSL начинаются с https:// вместо http://.

Используйте Key Manager для запроса и импорта сертификатов безопасности.

Если две компании используют один и тот же IIS сервер, вам нужно два SSL сертификата.

Вы можете указать IP адрес и номер порта для применения сертификата когда импортируете в KEYMGR.

Вы можете применить SSL сертификат на виртуальный сервер, на котором не установлен IIS, указывая его адрес IP.

Процедуры для получения и внедрения SSL сертификата:

    1. Сгенерируйте файл ключевой пары (key pair) и файл запроса (request).
    2. Запросите сертификат у authority.
    3. Установите сертификат.
    4. Активизируйте SSL на сайте/директории.


Коды Ошибок



Код Описание Ошибки
401 Unauthorized; Необходима требуемая аутентификация пользователя.
403 Forbidden; Сервер понял запрос но отказался выполнять его. Аутентификация не поможет. Обычно возникает когда пытаются получить доступ на SSL web страницу без поддерживающего SSL броузера.
404 Файл не найден; Запрашиваемый ресурс не найден. Виртуальный Каталог может содержать пустое место в его имени.
500 Внутренняя Ошибка Сервера; учетная запись Аноним (Anonymous) не имеет права локально регистрироваться (log on local).
502 Плохой шлюз (Bad gateway); Ошибка возникает когда пытаются получить доступ к SQL базе данных с неправильным DSN в файле .IDC.

Регистрация (Logging)

Регистрация может быть реализована только для желательных служб, не для страниц, файлов и т.д.

Регистрация Текстового файла имеет минимальные воздействия на производительность.

Регистрация на базу данных SQL требует больше ресурсов.

Вы можете определить счетчик посещений для страницы из файла регистрации.

Только один файл журнала (log file) может быть создан для всех WWW виртуальных серверов.

Вы можете наблюдать за регистрациями пользователей Анонимов (Anonymous) через файл регистрации.

  • CONVLOG.EXE - Используется для преобразования IP адресов в DNS имена, и для преобразования файлов журана web в формат NCSA Common Log File.


Настройка Производительности

Вы можете органичить пропускную способность для IIS кликнув по limit bandwidth. Эти ограничения доступны для WWW служб (особенно для транспортировщиков файлов *.HTML), чтобы больше пропускной способности оставалось для других служб.

Пропускная способность может быть ограничена индивидуально для каждого сайта.

ASP приложения, CGI скрипты и базы данных загружают CPU, по сравнению со стандартными .HTML и FTP транспортировщиками файлов.

Пропускную способность можно подсчитать добавляя 4 бита к каждому 12 биту на каждый байт:

  •  
    • т.e. 56,000 байт займут 56k*12 для передачи.

Модернизируйте сетевую архитектуру (100 BaseT, FDDI) если сетевая утилизация больше 60%.

IIS/SQL

.IDC файлы содержат имена и расположение .HTX файлов, ODBC имя источника (DSN), SQL утверждения и ID пользователя и его пароль (оба опцыональны).

.Коммуникация IDC требует 32-битовых драйверов ODBC.

Файл .HTX это шаблон HTML, используемый для отображения запрошенных данных SQL.

Измениение транспортоного протооокола между SQL и IIS серверами (на разных машинах) остановит хакеров от доступа к SQL через TCP/IP.

Три файла необходимы для соединения между IIS и SQL:

  •  
    • .IDC
    • .HTX
    • HTTPODBC.DLL

Если IIS и SQL сервера расположены в разных доменах, необходимо установить доверительные отношения между доменами или учетная запись IUSR_WEB должна быть добавлена в SQL домен.

Специальная однопользовательская лицензия (на SQL Сервер) необходима для разрешения неограниченного доступа к Интернет.

Если включена аутентификация challenge на IIS, это остановить регитсрацию на удаленном SQL сервере. Вам нужно установить основную (basic) аутентификацию или установить SQL сервер на тотже сервер, что и IIS.

Index Сервер

Файлы index занимают по совокуности 40%

Index Сервер может искать ОДИН каталог на каждый запрос.

Есть два пути наблюдать за производительностью Index Сервера:

  •  
    • Performance Monitor
    • .IDA script

Вы можете сделать слитие (merge) Index Сервера более частым, делая принудительное слитие с web административной станицой, или сокращением максимального цисла постоянных indexes в реестре, уменьшив MaxIndexesValue.

.IDQ эквивалетны .IDC файлам и используются как фалы помощи при запросе преобразования от WWW. Они содержат вводимую пользователем HTML форму. Они содержат следующую информацию:

  •  
    • Scope запроса
    • Ограничения Запроса (Query restrictions)
    • Запрос самого себя (Query itself)
    • Имя .HTX файлов

Избегайте нессответствущих hits добавляя шумовые слова (noise words) в WINNT\SYSTEM32\NOISE.ENU.

Избегайте нежелательных hits в Index Сервера, создавая отдельные каталоги на каждый виртуальный каталог с различным содержанием, и сопоставляя отдельные каталоги с соотвествующими виртуальными серверами.

Имейте отдельные каталоги в установках IS Я знаяю, что документ там, но мой запрос не возвращает этого.

Запросы Index Сервера с нулевыми результатами занимают слишком много времени CPU.

Три шага процессов фильтрации для Index Сервера:

  •  
    • Фильтрация Содержания (Content filtering) - Извлекает текст из файла.
    • Разрыв Слова (Word breaking) - Идентифицирует слова в пределах символьного потока.
    • Нормализация (Normalizing) - Удаляет преобразование букв в прописные, пунктуацию, и шумовые слова.

Типы index:

  •  
    • Списки Слова (Word lists) - Слова, извлеченные из документа в память во время когда документ фильтруется.
    • Индексы Тени (Shadow indexes) - Постоянные (сохраненные на диск, а не в память) - созданные слиянием списков слов и другими индексами тени.
    • Главный Индеск (Master index) - Постоянный, сильно сжатый; содержит данные индексов для большого числа документов, созданных главным слиянием (master merge). Слитые индексы тени и текущий главный индекс могут иметь много индексов в каталоге.

Подсети (Subnetting)



Десятичное Подсети # Класса A Хостов # Класса B Хостов # Класса C Хостов
.192 2 4,194,302 16,382 62
.224 6 2,097,150 8,190 30
.240 14 1,048,574 4,094 14
.248 30 524,286 2,046 6
.252 62 262,142 1,022 2
.254 126 131,070 510 NA
.255 254 65,534 254 NA

ODBC Коды Ошибок

Microsoft OLE DB Provider for ODBC Drivers error "80004005" [Microsoft] [ODBC Microsoft Access Driver] The Microsoft Jet database engine cannot open file "(unknown)". It is already opened exclusively by another user, or you need permission to view its data.

Причина - учетная запись (обычно IUSR) не имеет необходимых разрешений. Проверьте Разрешения NTFS и Share.

Microsoft OLE DB Provider for ODBC Drivers error "800004005" [Microsoft] [ODBC Microsoft Access 97 Driver] Couldn't use "(unknown)"; file already in use.

Причина - База данных не может быть блокирована правильно для большого количества пользователей.

Microsoft OLE DB Provider for ODBC Drivers error "800004005"[Microsoft] [ODBC Driver Manager] Data source not found and no defaultdriver specified.

Причина - Файл GLOBAL.ASA не правильно выполняется. Проверьте, что этот файл находится в папке Application Root для IIS, и что пользователи имеют разрешение Execute на эту папку.

Microsoft OLE DB Provider for ODBC Drivers error '80004005' [Microsoft][ODBCAccess 97 ODBC driver Driver] General error Unable to open registry key'DriverId'.

Причина - Эта ошибка возникает при чтении значения из реестра. Проверьте разрешения на ключ реестра используя Редактор Реестра (Regedt32.exe). Вам также понадобится для использования Windows NT Монитор Реестра (Registry Monitor) для проверки попыток неудачно прочесть реестр.

Microsoft OLE DB Provider for ODBC Drivers error '80004005' [Microsoft][ODBCDriver Manager] Data source name not ??

Причина - Это появляется в связи с проблемой какое ПО установлено или удалено с компьютера. Если основные файлы ODBC становятся несинхронизированными (они должны иметь одинаковую версию) вы можете увидеть эту ошибку.

Microsoft OLE DB Provider for ODBC Drivers error "800004005"[Microsoft] [ODBC Microsoft SQL Driver] [dbnmpntw] ConnectionOpen (create file)

Причина - IIS будет использовать (по умолчанию) учетную запись Windows NT названную IUSR_Имя компьютера. Эта учетная запись локальна для Web сервера, но по существу неизвестна для любого компьютера в сети. Когда IIS, оперируя контекстом безопасности учетной записи IUSR, пытается получить доступ к любому ресурсу на удаленном компьютере, удаленный компьютер пытается утвердить используемую учетную запись. Так как учетная запись IUSR - локальная и не известна для удаленного компьютера, в доступе отказано.

Microsoft OLE DB Provider for ODBC Drivers error "800004005"[Microsoft] [ODBC Microsoft SQL Driver] Logon Failed

Причина - SQL Сервер запретил доступ учетной записи, пытающейся получить доступ на SQL сервер. Проверьте что пароли учетных записей SQL и NT совпадают, и что подключение IIS к SQL серверу назначено на правильное имя пользователя.

Microsoft OLE DB Provider for ODBC Drivers error '80004005' [Microsoft][ODBC SQL Server Driver][SQL Server] Login failed- User: Reason: Not defined as a valid user of a trusted SQL Server connection.

Причина - Встроенная Защита включена в SQL Enterprise Manager, а учетная запись Windows NT не была назначена на учетную запись SQL. - Попытайтесь изменить SQL на использование Standard Security. Если используете IIS 4.0, выключите "Синхронизация Пароля (Password Synchronization)" для этого проекта.

Другие записи

10.06.2016. Networking Essentials
IRQ (Interrupt Requests) IRQ 0 Системный таймер IRQ 1 Клавиатура IRQ 2(9) Видеокарта IRQ 3 Com2, Com4 IRQ 4 Com1, Com3 IRQ 5 Свободно (обычно LPT2 или саунд-карта…
10.06.2016. Proxy Server 2.0
Инсталляция Минимальные требования для Proxy Server 2.0:   CPU 486 и выше 24Mb ОЗУ (Intel) 32Mb ОЗУ (RISC) 10Мb свободного места на диске 5Мb минимум свободного места на диске…
10.06.2016. Windows NT Server 4.0 Enterprise Technologies
Установка Windows NT WINNT32.EXE используется только для модернизации с предыдущей версии NT. WINNT.EXE используется для обычной установки Windows NT, или для установки через DOS или Windows 95. Модернизация…
10.06.2016. Внедрение и Поддержка Microsoft Windows NT Workstation 4.0
Требования Минимальные требования для Workstation 4.0:   110M Свободного места на диске 12M RAM (для процессоров Intel) 16M RAM (для процессоров RISC) 486-DX33 CD-ROM (если установка…
10.06.2016. Шпаргалка к экзамену 70-67 Windows NT 4.0 Server
Требования Минимальные требования к компьютеру для установки NT Server 4.0:   125MB свободного пространства на диске 16MB памяти (ОЗУ) процессор 486-DX33 CD-ROM (если установка…