Web服务器的配置与管理

Web服务器的配置与管理（2） 虚拟主机技术

在上篇博文中，咱们已经利用IIS搭建好了一台Web服务器，并能够成功访问IIS中自带的默认站点，那么咱们是否能够在这台服务器中再建立另一个Web站点？也就是说，在一台Web服务器中是否能够同时存在多个网站呢？ 答案固然是确定的，其实不少中小企业的网站都是从网上租用的空间，提供空间租用的Web服务器里就同时存在了不少个网站。 可是当多个网站同时存在于一台服务器里时，就必须得有一种方法可以将它们区分开，这种方法也就是虚拟主机技术。 有三种方法能够实现虚拟主机技术：

• 利用不一样的IP地址
• 利用不一样的端口号
• 利用不一样的主机名（域名）

也就是说，只要让不一样的网站在IP地址、端口号、主机名这三项中有一项是不相同的，那么这些网站就能够共存了。 下面分别来介绍这三种虚拟主机技术。 1. 使用不一样IP地址架设多个网站 这种方法是为每一个网站设置一个不一样的IP，要采用这种方式首先须要Web服务器安装有多块网卡，每块网卡使用不一样的IP。若是web服务器中只有一块网卡，那么也能够给这一块网卡绑定多个IP地址。打开本地链接，在TCP/IP属性的“高级”设置中，为服务器再添加一个IP地址192.168.0.15，以下图所示。

下面咱们在【IIS管理器】中再新建一个Web站点。 在IIS管理器中选择“网站”，而后在右侧的“操做”面板中选择“添加网站”。 “网站名称”能够随意设置，这里用ytvc。 “物理路径”也就是网站的主目录，这里设置为c:\ytvc。 网站的协议类型仍为http，IP地址使用192.168.1.15，端口号80。

网站建立好以后，在其主目录中也存放一个名为Default.htm的网页文件，这样在客户端输入不一样的IP地址即可以访问相应的网站。

这种方式在实际应用中不多采用，由于若是服务器使用的是公网IP，那么公网IP地址是很是宝贵的资源，而这种方式无疑是要浪费大量的IP地址。

2. 使用不一样TCP端口架设多个网站

这种方法是让每一个网站仍然使用相同的IP地址，但给不一样的网站分配不一样的端口号。如默认网站仍然使用默认的80端口，ytvc网站则将端口改成8000。

首先将刚才在本地链接中添加的第二个IP删掉，而后在【IIS管理器】中选中ytvc网站，点击右侧“操做”面板中的“绑定”连接，将IP仍然设为192.168.1.5，将端口设置为8000。

 这样客户端在访问默认网站的时候，仍然能够经过URL“http://192.168.1.5”的形式访问，而若是要访问ytvc网站，则端口号就不能省略，必需要使用“http://192.168.1.5:8000”形式的URL。 但这时客户端没法访问ytvc网站，这是由于web服务器上的防火墙将发往TCP8000端口的数据自动过滤掉了，能够暂时关闭防火墙进行测试，或是在防火墙中增长一条入站规则。 打开防火墙的高级设置，新建一条入站规则，要建立的规则类型选择“端口”。

指定规则应用于TCP 8000端口。

对知足条件的操做容许链接。

在全部的网络上所有应用该规则。

为规则随意起一个名称。

入站规则建立好以后，在客户端就能够用8000端口正常访问ytvc网站了。 采用这种方式，客户端在访问网站时必需要在网址后面加上相应的端口号，而用户是不可能去记住每一个网站的端口号的，因此这种方式在实践中也不多采用。

3. 使用不一样主机头名架设多个网站

主机头名实际上就是每一个网站的网址，也就是它的FQDN名，因此要利用该方法首先须要在DNS服务器中添加相应的区域和主机记录。下面在DNS服务器里建立一个名为ytvc.com.cn的区域，而后在其中添加一条名为“www”的主机记录，对应的IP地址是192.168.1.5。（若是没有DNS服务器，也能够经过修改客户机的hosts文件进行域名解析。）

而后咱们为ytvc网站设置主机名www.ytvc.com.cn，并将其端口号该回80。

而后再将默认网站的主机名设置为www.coolpen.net。

这样客户端就能够经过输入不一样的网址以访问不一样的网站，这也是实际中最常常采用也是最为推荐的一种方式，但采用这种方式就没法经过IP地址来访问相应的网站了（实际中的不少网站都是能够用网址访问，但没法用IP地址访问。）

 

【转载】http://www.it165.net/admin/html/201304/1012.html

 

 

Web服务器的配置与管理（3） 配置虚拟目录

 一个网站中的全部网页和相关文件都要存放在主目录下，为了对文件进行归类整理，也能够在主目录下面创建子文件夹，分别存放不一样内容的文件，例如一个网站中，新闻类的网页放在主目录的news文件夹，技术类的网页文件放在主目录的tech文件夹，产品类的网页文件放在products文件夹等，这些直接存放在主目录下的子文件夹都称为物理目录。 下面咱们在默认站点的主目录下建立一个名为news的子目录，并在其中放置2个网页文件。

在客户端访问时，若是输入URL “http://www.coolpen.net/news”，那么就是打开news子目录中的默认首页，若是输入URL  “http://www.coolpen.net/news/news.htm”，那么就是打开news子目录中指定的网页。 并不是全部的子目录都要在物理上直接位于主目录中，如咱们也能够“C:\tech”设置为默认站点的子目录，这种在逻辑上归属于某个网站之下的子目录就称为虚拟目录。虚拟目录是主网站的下一级目录，而且要依附于主网站，但它的物理位置不在主目录下。 下面咱们先建立“C:\tech”文件夹，而后将其设置为默认站点的虚拟目录。 打开【IIS管理器】，在默认站点上右键单击，选择“添加虚拟目录”。

虚拟目录的别名这里就用tech，而后输入其物理路径。

在C:\tech文件夹中放置一些测试网页，而后在客户端能够像访问物理目录同样的去访问它们。  咱们还能够将位于另一台服务器上的共享文件夹设置为Web站点的虚拟目录，这也是虚拟目录技术的最大优点所在。 下面咱们将位于文件服务器FS上共享文件夹fs设置为默认站点的虚拟目录。 注意，在指定虚拟目录的路径时必需要使用UNC路径。

因为这个虚拟目录是位于网络上的共享文件夹，因此必需要传递身份验证，也就是要指定以哪一个用户的身份去访问。点击“链接为”，而后输入域管理员帐户和密码。

 这样在客户端就能够正常访问了。  最后总结一下：

 

【转载】http://www.it165.net/admin/html/201304/1011.html

 

 

Web服务器的配置与管理（4） 配置访问权限和安全

1. 用户身份验证

IIS网站默认是容许全部用户链接，若是对网站的安全性要求较高，网站只针对特定用户开放，就须要对用户进行验证，进行验证的主要方法有：

•   匿名身份验证

•   基自己份验证

•   摘要式身份验证

•   Windows身份验证

系统默认只启用了匿名身份验证，因为2008R2中的IIS采用了模块化设计，默认只会安装少数功能与组件，因此要设置使用其余的身份验证方法，首先就须要安装相应的功能组件。

在【服务器管理器】中选择“添加角色服务”。

在“安全性”中勾选要安装的3种身份验证方法。

这4种身份验证方法的优先级为：

匿名身份验证>windows身份验证>摘要式身份验证>基自己份验证

也就是说，若是同时开启匿名身份验证和基自己份验证，那么客户端就会优先利用匿名身份验证，而基自己份验证则无效！因此若是要使用户必须验证身份后才能访问，首先必须禁用匿名访问功能，而后再设置身份验证方式。若是不由用匿名访问功能，即便设置了身份验证方式也不会生效。 www.it165.net

在web站点的主窗口中打开“身份验证”，默认状况下，“匿名身份验证”为“已启用”状态，点击右侧“操做”菜单中的“禁用”命令，将其禁用。这样当用户再次访问时就必须使用用户名登陆。

基自己份验证

基自己份验证是使用web服务器的本地用户进行身份验证，若是web服务器属于域的成员服务器，那也还可使用域用户进行身份验证。

在身份验证界面中启用基自己份验证，

这样客户端在访问网站的时候就要输入用户名和密码了。咱们先尝试用本地用户进行验证，在Web服务器上新建一个名为admin的本地用户。

  而后在客户端测试，用admin用户能够成功访问网站。

下面再用一个域用户zhangsan进行测试，若是只输入zhangsan的用户名，是没法经过验证的，必需要指定zhangsan所在的域，即便用域用户帐户的全名coolpen\zhangsan

咱们也能够在web服务器上指定所处的域。选中基自己份验证，而后点击右侧的“编辑”按钮对其进行设置。

 

默认域：指定Web服务器所处的域。当用户链接网站时，若是用户输入了一个用户名zhangsan，那么服务器优先将其视为本地用户进行身份验证，若是发现zhangsan不是本地用户，则自动将其视为coolpen.net域的域用户，将用户名和密码送到此域的域控制器检查。这样设置的好处是，即便是域用户，也能够只输入用户名，而不须要输入全名了。

领域：此处的文字可供用户参考，它会被显示在登陆界面上。

须要注意的是，“基自己份验证”的用户名和密码都是以明文的方式在网络中传送，于是安全性不高。若是要使用基自己份验证的话，应搭配其余可确保数据发送安全的措施，如使用SSL链接等。

摘要式身份验证

同基自己份验证相比，摘要式身份验证有少量改进，它将用户名和密码通过MD5加密以后再到网络中传输，于是比基自己份验证要更为安全。但摘要式身份验证只能用于域环境，要求web服务器必须是域的成员服务器，并且用户必须是域用户帐户。配置起来比较繁杂，并且实际中用得很少，于是这里就不予介绍。

 

Windows身份验证

Windows 身份验证使用 NTLM 或 Kerberos 协议进行身份验证，可是使用时有必定的局限性。NTLM协议没法经过代理服务器，Kerberos协议没法经过防火墙，因此Windows 身份验证最适用于Intranet 环境

 

总结：Windows 身份验证和摘要式身份验证由于使用条件限制，因此运用不多，咱们更多的是使用基自己份验证！

另外，虚拟目录能够像主网站同样的设置各类身份验证方式，对于大多数网站，都是将主网站设置为容许匿名访问，而将其下的某个虚拟目录设置要经过身份验证方可访问。

2. IP地址限制

在IIS中，还能够经过限制IP地址的方式来增长网站的安全性，不过这种方式只适合于向特定用户提供Web网站，或是限制一些特定用户访问。要使用IP地址限制功能，也必须先安装“IP和域限制”组件。

组件安装完成后，从新打开IIS管理器，会发现其中多了一个“IP地址和域限制”的功能组件。

打开该组件，点击右侧的“添加容许条目”，能够设置只容许哪些客户端访问该网站。能够只容许某个特定的IP地址，也能够是一个地址段。

须要注意的是，若是设置了容许条目，那除了指定的这些IP地址以外，其它的客户端访问网站时是将被容许仍是拒绝呢？这个能够经过右侧的“编辑功能设置”来设置。

能够根据须要将未指定的客户端设为容许或拒绝访问。

 拒绝访问的设置与此相似。 3. 网站性能调整

若是web服务器的性能通常，或是网站的访问量比较大，为避免服务器响应慢或是宕机，能够限制网站所占的带宽及同时链接数量。

在默认站点的主界面中，点击右侧“操做”面板中的“限制……”连接。打开编辑网站限制对话框，限制带宽使用：设置网站容许使用的最大带宽，单位为字节，注意不要大于当前网络带宽。链接超时默认限制为120秒，即用户访问web站点时，若是在120秒内没有活动则自动断开。限制链接数用于限制容许同时链接网站的最多用户数量。

4. 配置日志

经过网站日志，管理员能够查看跟踪网站被访问的状况，如哪些用户访问了本站点、访问者查看了什么内容，以及最后一次查看该信息的时间等。可使用日志来评估内容受欢迎程度或识别信息瓶颈，有时还能够经过日志查出非受权用户访问网站以便采起应对措施。

在站点主界面中点击“日志”能够对其进行设置。

 

【转载】http://www.it165.net/admin/html/201304/1013.html