Web服務器的配置與管理

Web服務器的配置與管理（2） 虛擬主機技術

在上篇博文中，我們已經利用IIS搭建好了一台Web服務器，並可以成功訪問IIS中自帶的默認站點，那么我們是否可以在這台服務器中再創建另外一個Web站點？也就是說，在一台Web服務器中是否可以同時存在多個網站呢？ 答案當然是肯定的，其實很多中小企業的網站都是從網上租用的空間，提供空間租用的Web服務器里就同時存在了很多個網站。 但是當多個網站同時存在於一台服務器里時，就必須得有一種方法能夠將它們區分開，這種方法也就是虛擬主機技術。 有三種方法可以實現虛擬主機技術：

• 利用不同的IP地址
• 利用不同的端口號
• 利用不同的主機名（域名）

也就是說，只要讓不同的網站在IP地址、端口號、主機名這三項中有一項是不相同的，那么這些網站就可以共存了。 下面分別來介紹這三種虛擬主機技術。 1. 使用不同IP地址架設多個網站 這種方法是為每個網站設置一個不同的IP，要采用這種方式首先需要Web服務器安裝有多塊網卡，每塊網卡使用不同的IP。如果web服務器中只有一塊網卡，那么也可以給這一塊網卡綁定多個IP地址。打開本地連接，在TCP/IP屬性的“高級”設置中，為服務器再添加一個IP地址192.168.0.15，如下圖所示。

下面我們在【IIS管理器】中再新建一個Web站點。 在IIS管理器中選擇“網站”，然后在右側的“操作”面板中選擇“添加網站”。 “網站名稱”可以隨意設置，這里用ytvc。 “物理路徑”也就是網站的主目錄，這里設置為c:\ytvc。 網站的協議類型仍為http，IP地址使用192.168.1.15，端口號80。

網站創建好之后，在其主目錄中也存放一個名為Default.htm的網頁文件，這樣在客戶端輸入不同的IP地址便可以訪問相應的網站。

這種方式在實際應用中很少采用，因為如果服務器使用的是公網IP，那么公網IP地址是非常寶貴的資源，而這種方式無疑是要浪費大量的IP地址。

2. 使用不同TCP端口架設多個網站

這種方法是讓每個網站仍然使用相同的IP地址，但給不同的網站分配不同的端口號。如默認網站仍然使用默認的80端口，ytvc網站則將端口改為8000。

首先將剛才在本地連接中添加的第二個IP刪掉，然后在【IIS管理器】中選中ytvc網站，點擊右側“操作”面板中的“綁定”鏈接，將IP仍然設為192.168.1.5，將端口設置為8000。

 這樣客戶端在訪問默認網站的時候，仍然可以通過URL“http://192.168.1.5”的形式訪問，而如果要訪問ytvc網站，則端口號就不能省略，必須要使用“http://192.168.1.5:8000”形式的URL。 但這時客戶端無法訪問ytvc網站，這是因為web服務器上的防火牆將發往TCP8000端口的數據自動過濾掉了，可以暫時關閉防火牆進行測試，或是在防火牆中增加一條入站規則。 打開防火牆的高級設置，新建一條入站規則，要創建的規則類型選擇“端口”。

指定規則應用於TCP 8000端口。

對滿足條件的操作允許連接。

在所有的網絡上全部應用該規則。

為規則隨意起一個名稱。

入站規則創建好之后，在客戶端就可以用8000端口正常訪問ytvc網站了。 采用這種方式，客戶端在訪問網站時必須要在網址后面加上相應的端口號，而用戶是不可能去記住每個網站的端口號的，所以這種方式在實踐中也很少采用。

3. 使用不同主機頭名架設多個網站

主機頭名實際上就是每個網站的網址，也就是它的FQDN名，所以要利用該方法首先需要在DNS服務器中添加相應的區域和主機記錄。下面在DNS服務器里創建一個名為ytvc.com.cn的區域，然后在其中添加一條名為“www”的主機記錄，對應的IP地址是192.168.1.5。（如果沒有DNS服務器，也可以通過修改客戶機的hosts文件進行域名解析。）

然后我們為ytvc網站設置主機名www.ytvc.com.cn，並將其端口號該回80。

然后再將默認網站的主機名設置為www.coolpen.net。

這樣客戶端就可以通過輸入不同的網址以訪問不同的網站，這也是實際中最經常采用也是最為推薦的一種方式，但采用這種方式就無法通過IP地址來訪問相應的網站了（實際中的很多網站都是可以用網址訪問，但無法用IP地址訪問。）

 

【轉載】http://www.it165.net/admin/html/201304/1012.html

 

 

Web服務器的配置與管理（3） 配置虛擬目錄

 一個網站中的所有網頁和相關文件都要存放在主目錄下，為了對文件進行歸類整理，也可以在主目錄下面建立子文件夾，分別存放不同內容的文件，例如一個網站中，新聞類的網頁放在主目錄的news文件夾，技術類的網頁文件放在主目錄的tech文件夾，產品類的網頁文件放在products文件夾等，這些直接存放在主目錄下的子文件夾都稱為物理目錄。 下面我們在默認站點的主目錄下創建一個名為news的子目錄，並在其中放置2個網頁文件。

在客戶端訪問時，如果輸入URL “http://www.coolpen.net/news”，那么就是打開news子目錄中的默認首頁，如果輸入URL  “http://www.coolpen.net/news/news.htm”，那么就是打開news子目錄中指定的網頁。 並非所有的子目錄都要在物理上直接位於主目錄中，如我們也可以“C:\tech”設置為默認站點的子目錄，這種在邏輯上歸屬於某個網站之下的子目錄就稱為虛擬目錄。虛擬目錄是主網站的下一級目錄，並且要依附於主網站，但它的物理位置不在主目錄下。 下面我們先創建“C:\tech”文件夾，然后將其設置為默認站點的虛擬目錄。 打開【IIS管理器】，在默認站點上右鍵單擊，選擇“添加虛擬目錄”。

虛擬目錄的別名這里就用tech，然后輸入其物理路徑。

在C:\tech文件夾中放置一些測試網頁，然后在客戶端可以像訪問物理目錄一樣的去訪問它們。  我們還可以將位於另外一台服務器上的共享文件夾設置為Web站點的虛擬目錄，這也是虛擬目錄技術的最大優勢所在。 下面我們將位於文件服務器FS上共享文件夾fs設置為默認站點的虛擬目錄。 注意，在指定虛擬目錄的路徑時必須要使用UNC路徑。

由於這個虛擬目錄是位於網絡上的共享文件夾，所以必須要傳遞身份驗證，也就是要指定以哪個用戶的身份去訪問。點擊“連接為”，然后輸入域管理員賬戶和密碼。

 這樣在客戶端就可以正常訪問了。  最后總結一下：

 

【轉載】http://www.it165.net/admin/html/201304/1011.html

 

 

Web服務器的配置與管理（4） 配置訪問權限和安全

1. 用戶身份驗證

IIS網站默認是允許所有用戶連接，如果對網站的安全性要求較高，網站只針對特定用戶開放，就需要對用戶進行驗證，進行驗證的主要方法有：

•   匿名身份驗證

•   基本身份驗證

•   摘要式身份驗證

•   Windows身份驗證

系統默認只啟用了匿名身份驗證，由於2008R2中的IIS采用了模塊化設計，默認只會安裝少數功能與組件，所以要設置使用其他的身份驗證方法，首先就需要安裝相應的功能組件。

在【服務器管理器】中選擇“添加角色服務”。

在“安全性”中勾選要安裝的3種身份驗證方法。

這4種身份驗證方法的優先級為：

匿名身份驗證>windows身份驗證>摘要式身份驗證>基本身份驗證

也就是說，如果同時開啟匿名身份驗證和基本身份驗證，那么客戶端就會優先利用匿名身份驗證，而基本身份驗證則無效！所以如果要使用戶必須驗證身份后才能訪問，首先必須禁用匿名訪問功能，然后再設置身份驗證方式。如果不禁用匿名訪問功能，即使設置了身份驗證方式也不會生效。 www.it165.net

在web站點的主窗口中打開“身份驗證”，默認情況下，“匿名身份驗證”為“已啟用”狀態，點擊右側“操作”菜單中的“禁用”命令，將其禁用。這樣當用戶再次訪問時就必須使用用戶名登錄。

基本身份驗證

基本身份驗證是使用web服務器的本地用戶進行身份驗證，如果web服務器屬於域的成員服務器，那也還可以使用域用戶進行身份驗證。

在身份驗證界面中啟用基本身份驗證，

這樣客戶端在訪問網站的時候就要輸入用戶名和密碼了。我們先嘗試用本地用戶進行驗證，在Web服務器上新建一個名為admin的本地用戶。

  然后在客戶端測試，用admin用戶可以成功訪問網站。

下面再用一個域用戶zhangsan進行測試，如果只輸入zhangsan的用戶名，是無法通過驗證的，必須要指定zhangsan所在的域，即使用域用戶賬戶的全名coolpen\zhangsan

我們也可以在web服務器上指定所處的域。選中基本身份驗證，然后點擊右側的“編輯”按鈕對其進行設置。

 

默認域：指定Web服務器所處的域。當用戶連接網站時，如果用戶輸入了一個用戶名zhangsan，那么服務器優先將其視為本地用戶進行身份驗證，如果發現zhangsan不是本地用戶，則自動將其視為coolpen.net域的域用戶，將用戶名和密碼送到此域的域控制器檢查。這樣設置的好處是，即使是域用戶，也可以只輸入用戶名，而不需要輸入全名了。

領域：此處的文字可供用戶參考，它會被顯示在登錄界面上。

需要注意的是，“基本身份驗證”的用戶名和密碼都是以明文的方式在網絡中傳送，因而安全性不高。如果要使用基本身份驗證的話，應搭配其他可確保數據發送安全的措施，如使用SSL連接等。

摘要式身份驗證

同基本身份驗證相比，摘要式身份驗證有少許改進，它將用戶名和密碼經過MD5加密之后再到網絡中傳輸，因而比基本身份驗證要更為安全。但摘要式身份驗證只能用於域環境，要求web服務器必須是域的成員服務器，而且用戶必須是域用戶賬戶。配置起來比較繁雜，而且實際中用得不多，因而這里就不予介紹。

 

Windows身份驗證

Windows 身份驗證使用 NTLM 或 Kerberos 協議進行身份驗證，但是使用時有一定的局限性。NTLM協議無法通過代理服務器，Kerberos協議無法通過防火牆，所以Windows 身份驗證最適用於Intranet 環境

 

總結：Windows 身份驗證和摘要式身份驗證因為使用條件限制，所以運用很少，我們更多的是使用基本身份驗證！

另外，虛擬目錄可以像主網站一樣的設置各種身份驗證方式，對於大多數網站，都是將主網站設置為允許匿名訪問，而將其下的某個虛擬目錄設置要通過身份驗證方可訪問。

2. IP地址限制

在IIS中，還可以通過限制IP地址的方式來增加網站的安全性，不過這種方式只適合於向特定用戶提供Web網站，或是限制一些特定用戶訪問。要使用IP地址限制功能，也必須先安裝“IP和域限制”組件。

組件安裝完成后，重新打開IIS管理器，會發現其中多了一個“IP地址和域限制”的功能組件。

打開該組件，點擊右側的“添加允許條目”，可以設置只允許哪些客戶端訪問該網站。可以只允許某個特定的IP地址，也可以是一個地址段。

需要注意的是，如果設置了允許條目，那除了指定的這些IP地址之外，其它的客戶端訪問網站時是將被允許還是拒絕呢？這個可以通過右側的“編輯功能設置”來設置。

可以根據需要將未指定的客戶端設為允許或拒絕訪問。

 拒絕訪問的設置與此類似。 3. 網站性能調整

如果web服務器的性能一般，或是網站的訪問量比較大，為避免服務器響應慢或是宕機，可以限制網站所占的帶寬及同時連接數量。

在默認站點的主界面中，點擊右側“操作”面板中的“限制……”鏈接。打開編輯網站限制對話框，限制帶寬使用：設置網站允許使用的最大帶寬，單位為字節，注意不要大於當前網絡帶寬。連接超時默認限制為120秒，即用戶訪問web站點時，如果在120秒內沒有活動則自動斷開。限制連接數用於限制允許同時連接網站的最多用戶數量。

4. 配置日志

通過網站日志，管理員可以查看跟蹤網站被訪問的情況，如哪些用戶訪問了本站點、訪問者查看了什么內容，以及最后一次查看該信息的時間等。可以使用日志來評估內容受歡迎程度或識別信息瓶頸，有時還可以通過日志查出非授權用戶訪問網站以便采取應對措施。

在站點主界面中點擊“日志”可以對其進行設置。

 

【轉載】http://www.it165.net/admin/html/201304/1013.html