IIS0详细配置说明

1、配置Web站点在IIS管理控制台中右击对应的Web站点，然后选择属性，即可配置Web站点的属性，在此我仅介绍一下常用的几个配置标签：网站在网站标签，你可以在网站标识框修改此网站的默认HTTP标识，也可以点击高级按钮添加其他的HTTP标识和SSL标识；在连接框，你可以配置Web站点在客户端空闲多久时断开与客户端的连接，而保持HTTP连接选项有助于HTTP连接性能的提高，你应该总是启用；最后在下部你可以配置是否启用日志记录以及日志记录文件的存储路径和记录的字段。性能在性能标签，你可以限制网站可以使用的网络带宽和并发连接数，假如启用限制网络带宽，则勾选限制网站可以使用的网络带宽，然后输入此网站可以使

2、用的最大带宽即可，不过IIS需要在网络适配器上安装QoS数据包计划程序；默认情况下此Web站点的并发连接数不受限制，你可以限制它可以使用的并发连接数，但是配置时请注重，设置值不应超过应用程序池所设置的核心请求队列长度。主目录在主目录标签，主要可以进行以下配置:修改网站的主目录：配置为本地目录、共享目录或者重定向到其他URL地址；修改网站访问权限：网站访问权限用于控制用户对网站的访问，IIS6中具有以下六种网站访问权限，：读取：用户和读取文件内容和属性，默认启用；写入：用户可以修改目录或文件的内容；假如需要启用此权限，请在设置之前慎重考虑。脚本资源访问：答应用户访问脚本文件的源代码，必须和读取或

3、写入权限同时启用方可生效；假如需要启用此权限，请在设置之前慎重考虑。目录浏览：用户可以浏览目录，从而可以看到目录中的所有文件；假如需要启用此权限，请在设置之前慎重考虑记录访问：当用户浏览此网站时进行日志记录，默认启用。索引资源：答应索引服务对此资源进行索引，默认启用。需要注重的是，网站访问权限只是完整的用户访问控制体系结构中的一部分，我将在后文介绍IIS完整的用户访问控制体系。执行权限：执行权限用于控制此网站的程序执行级别，IIS6中具有以下三种执行权限：无：不能执行任何代码，只能访问静态内容；纯脚本：只能运行脚本代码例如ASP等等，不答应执行可执行程序；脚本和可执行文件：答应执行所有脚本和可

4、执行程序，假如需要启用此权限，请在设置之前慎重考虑。应用程序池：配置此网站所使用的应用程序池；此外，点击配置可以进入应用程序配置对话框，如下图所示：在映射标签中，你可以配置应用程序映射，即配置由哪个Web服务扩展来处理具有对应扩展名的文件，IIS默认安装的Web服务扩展如ASP等已经自动添加了应用程序映射，因此你只需要在Web服务扩展中启用；默认情况下勾选了缓存ISAPI扩展，这样以ISAPI方式运行的Web服务扩展可以在被用户请求激活后长驻内存，从而减少加载DLL的时间，否则DLL将在运行之后被卸载。你应该只有在非凡需要的环境下时才取消此选项，例如调试ISAPI扩展。应用程序配置二三i凶映射

5、|选项|调试|pISAPI扩展©i应用程序拉展口护麻名,可执行文件路径|动作一,电弓aC:tfTNBClHSiKste!m：32linRtsrveL.GET,HEA.一aspC:tfINIiOVfSsystfem32Vint5rv&.GET,HEk.c也C:WIHE0ttSSy5tem32in»tsrAa.GET,HEA-C4把NEDHS上中写teg艺Iigt"八色GET,HER,ideC：tfIHUDWSsyst&m32iiLtsrvh.GET,POSTtr-WTMTinWS1Itr/+xrkGETFAStJJH_IA第辑国）一|添力口6）一，|

6、删除®|通配将应用程序映射的行顺序）世）：插入国）嘘辑（X）.删除妙|上移ill）取消I在选项标签有个比较重要的选项，就是启用父路径。父路径指使用;”相对表示当前路径的父路径的方式，由于具有安全隐患，在IIS6中是默认禁用的，假如你的程序需要使用，则勾选此选项，不过，在启用之前，你应该检查你的应用程序，以确定不会引起安全问题选项I调试I应用程序配置P潟用会话状态苞：会话喇工）：曲。分钟“启用缪冲（1）F启用非赂径置）默认ASP诰言区）:ASf脚本超时®，：组90秒厂启用并排集合星清单文件名电）：I确定I取消I帮助I在调试标签，同样也具有一个比较重要的选项：脚本错误的错误消息

7、。默认情况下当脚本执行错误时，Web站点会向客户发送具体的ASP错误信息，这点有助于Web应用程序的开发；但是在正常的网站运行中，此选项也便于入侵者获得信息，因此建议你在正常的网站运行中，设置为向客户端发送下列文本错误消息：应用程序配置映射|选项调试|方应口汕wLn力fFJ调试标志厂启用ASF服务器端脚本调试度）F启用ASF客尸端脚本调试国）脚本错误的错误消息1"狗窗户端发送浮细的飞F错误消意这我dimBIUIBIEIMIBImaKBIBIIUIIHBIliUlBItllilKlIBIBIlallBIUIIIIBII-lj1UIBIBIldUr向客户端耨下列文本错膜消息（i）：.洋想

8、喻用二笔卡诸一守猛注印尸二盯五二确定聘肖|帮助|文档在文档标签，你可以配置此网站使用的默认内容文档。默认内容文档指假如客户请求时并未指定请求的具体文件名时，例如客户访问/,那么按照在此配置的优先级（从上到下）在对应目录下进行搜索直到找到匹配的文件为止，然后将找到的默认内容文档返回给客户。由于搜索需要耗费系统性能和降低响应时间，因此你最好确认指定的第一个默认内容文档即存在于网站主目录中。你可以添加和删除默认内容文档，也可以选择对应名字后点击上移、下移调整优先级。下部的启用文档页脚功能可以让Web站点自动附件一个HTML格式的页脚到返回给客户的任何一个文档中

9、，不过你选择的页脚文件不应是完整的HTML文件,而应仅仅是部分HTML代码。目录安全性在目录安全性标签，你可以配置身份验证和访问控制、IP地址和域名限制、安全通信等,身份验证和访问控制：点击编辑弹出身份验证方法对话框，IIS6支持五种身份验证方式，在此我仅介绍常用的三种：匿名访问：注重此匿名访问和Windows中的匿名访问概念不同。在启用匿名访问时，当客户访问此Web站点时，Web站点会使用预配置的用户账户代替客户进行身份验证，而不需要客户输入身份验证信息。在安装IIS时，会创建一个名为IUSR_服务器名的用户账户，它属于Guests用户组，具有很少的访问权限。默认情况下在启用匿名访问时，II

10、S使用此用户账户来代替客户进行身份验证；不过为了实现更高的安全性和隔离性，你可以配置为使用自定义的用户账户。但是无论配置为使用任何账户，你都必须确定此账户具有对网站主目录的相应NTFS权限，否则客户的访问将会被拒绝。基本身份验证：基本身份验证是广泛使用的工业标准身份验证方式，它访问时要求用户显式输入身份验证信息，然后通过BASE64编码传送至Web服务器，由于没有进行加密，假如数据包被其他人捕捉则会造成身份验证信息的泄漏，因此建议你在SSL上使用基本身份验证。集成Windows身份验证：集成Windows身份验证在通过网络发送用户名和密码之前，先将它们进行哈希计算，因此更为安全，它在Windo

11、ws系统中广泛使用。但是非Windows系统可能不支持集成身份验证，并且不能通过代理使用集成身份验证。IP地址和域名限制：点击编辑弹出IP地址和域名限制对话框，在此你可以限制可以访问此Web站点的IP地址范围，你可以仅答应你所添加的IP地址范围的访问，也可以答应除了所添加的IP地址范围外的其他IP地址范围的访问网站I性能目录安全性小匕/、出a为IF地址和域名限制*格官误小1817出定可自录吉口地址访问限制默认情况下，所有计算机都将被：y/授校访词®:下况赊外：c3r拒绝访问国）,门地址（子网俺码）添加代|确定取消帮助确定取消应用«帮助J安全通信：在安全通信中你可以配置Web

12、站点和客户端之间是否启用安全通信，我将在另行撰文介绍。配置上传文件限制默认情况下，在IIS6全局配置中答应上传的文件长度最大为4GB,但是在Web站点级却限制了ASP应用程序上传的最大文件长度为200KB。假如你需要上传超过200KB的文件，则需要手动修改IIS的metabase.xml中对应Web站点的AspMaxRequestEntityAllowed属性。metabase.xml位于"systemroot"system32inetsrv目录下，用于保存IIS的基本配置信息。默认情况下IIS是不答应你直接对metabase.xml进行编辑的，你可以通过以下两种方式来实现

13、：停止IISAdmin服务后再编辑；在IIS管理控制台中右击服务器名，选择属性，然后在弹出的服务器属性对话框中勾选答应直接编辑配置数据库，再点击确定即可；UUCM诔地计算机）择性工包t信息服药歹苑详苴接编辑配置数据库国："i-EL-LLILLLLELIFLLL-lT-rrrLLf-LLlL允许在ns运行时编辑工玲配置数据库配置文件.UTF-8日志允详IIS以VTF-6编码而不是本地代吗页来写日志项目.r用irrp-e编码日志®MIME类型IIS只为扩展名在MINE类型列表MTMV旅刷加、I金中i挪了的文件提供服却要配置帆肥类型如一|之同更委文件扩展名谙里击“虹ME类型”.确

14、定取消|应用地）|帮助|然后在任何文本编辑器中打开Metabase.xml文件，修改对应Web站点的AspMaxRequestEntityAllowed属性即可，它的单位是字节。.HetaBase.zbI-记事本女件3）编辑生）格式®直看W）帮助出）AspEnableParentPathsf!/7777/U?rjA5pEnableTpelibCache=*URUE1*ftspErrqtrsToHTLog-'TALSE"AspExceptionCatchEnable-,TRUEMAspExecuteInHTft*MIT'AspKeepSessiontDSecu

15、re-'*fl*1AspLClD"2D48lfftspLogErrarRquests="THUE*flspMaxDiskiexpiateCacheFiles=22000"aspMdxReqiiestEntitvAl.(JueiJ='N08(的pPsces三urTht*gadMax=*5"IAspQueuConnectionTetTiner3MAspO(jeueTirne(KJt,U29n967295"AspRquestsueueMax="3090"AspRunOnEnOfinonynously=i，JTRUE

16、"AspScriptEngineCacheMax="250*A印S"iptEMrMe”吗.“处理URL时服务器出错。请与系统官flspScriptErrorSentToBrowser=*'TRUE"AptFileCacheSize-'150or1fl5pScriptLangijage=1*UBScript,*iiftspSeriptTimeout-*'901*Metabase.xml对于IIS至关重要，修改之前最好进行备份。IIS6中的用户访问控制体系在上面中给大家介绍了Web站点中的配置，可以看到具有网站访问权限、身份验证和访问

17、控制、IP地址和域名限制等配置，它们都只是IIS6中用户访问控制体系的一部分。IIS6中的用户访问控制体系是和Windows系统紧密结合的,当IIS服务器接收到客户所发送的访问请求时，它按照以下步骤进行处理：IIS检查是否具有匹配客户访问请求的Web站点；假如没有则返回给客户400-错误请求错误信息；IIS检查客户的IP地址是否在Web站点所答应访问的IP地址范围内；假如被才!绝则IIS拒绝客户访问并返回给客户403.6-禁止访问错误信息；假如Web站点配置为使用除匿名验证的其他验证方式，则提示客户提交身份验证信息，假如客户提交的身份验证信息未能通过IIS服务器的身份验证，则IIS拒绝客户访问并返回给客户401.1-未经授权错误信息；IIS检查网站访问权限，假如不具有相应的网站访问权限，则IIS拒绝客户访问并返回给客户403.2-禁止访问错误信息；此时，工作进程模拟客户提交的用户账户或者使用配置为匿名访问时预定义的用户账户来访问网站主目录对应路径下的资源文件，假如此资源文件存放在NTFS格式的驱动器上，则Windows系统检查该资源文件的NTFS权限，假如工作进程模拟的用户账户不具有相应的权限，则工作进程访问被系统拒绝，此时IIS返回给客户401.3-未经授权错误信息。假如资源文件存放在FAT32格式的驱动器上则不会进行检查，