IIS 市一中windows xp 的web 服务器可以使用他非常便捷的在Internet 上发布信息
安装 默认的情况下我们的windows xp 个人电脑上不会安装Internet 信息服务仅仅当前版本的windows 上安装了pws 时 才会默认的安装IIS 可以通过控制面板添加删除应用程序IIS或是选择附加组件
IIs 作为可选安装组件
01 单击开始 控制面板 双击添加控制或删除程序 启动 添加删除程序 应用程序
02 在添加删除程序对话框中列中单击添加删除windows组件
03 出现windows 组件向导后单击下一步
在windows 组建列表中寻则INternet 信息服务
单击下一步 然后根据知道进行操作
卸载后保留的目录
卸载IIS之后下列包含永续信息的目录是忍让保留在计算机上的
Inetub
systemroothelpIisHelp
systemrootSystem32Intetsrv
功能
Internet Information Services5.1新增了许多功能,可以帮助网站管理员创建可缩放的、灵活的 Web 应用程序。
关于身份验证
可以要求用户在访问服务器上的信息之前 提供有效的windows 用户帐号 和密码这种标识过的成为身份验证 于IIS中的其他的许多的功能一样身份验证的可以分为网站 目录 或文件进行设置 IIS 提供了下列的身份验证 方法用以控制对服务器的内容的访问
www 方法
匿名身份验证:
匿名身份验证使用的是无需输入用户名和密码的既可以访问到网站的或ftp 的站点上的公共部分 当用户试图连接到公共网站或ftp站点时web 服务器僵持连接的用户指定为windows 用户帐号 IUSR_computername其中的computername是运行IIS的服务器的名称 默认情况下IUSR_computername 帐户包含在windows用户组的Guest 中 此组的具有一定的安全限制 (油NTFS权限硬性的设置)制定了公共用户的访问的级别可以访问的内容类型
如果服务器上有多个站点或站点上的不同区域要求不同的访问权限则可以创建多个匿名帐户分别用于网站或者Ftp站点 目录或者文件通过这些帐户授予不同的访问权限 获奖这些账户哦分配到不同的windows 的用户组中即授予了 用户公共的web 和ftp的内容的不同区域的进行匿名的访问的权限
下面解释IIS 如何的使用IUSR_computername帐户
1 安装IIS 的时候IUSR_computername 帐户被添加到IIS 所在的计算机的Guests组中
2受到请求时IIS将在执行任何代码的或访问任何文件之前模拟IUSR_computername帐户 IIS之所以可以模仿这限额帐户是因为 IIS知道次帐户的用户名和密码
3 将网页返回到客户端之前IIS 将检查NTfS文件和目录的访问权限 查看是否可以允许IUSR_computername帐户,
4 如果允许访问身份验证过程即告完成这些资源可以提供用户使用
5 如果不允许的 IIS 将尝试使用其他身份验证如果为选择其他任何方法IIS 将向浏览器返回错误的信息Http 403拒绝访问
要点如果启用了匿名身份验证,则即使启用了其他身份验证方法,IIS也总是首先尝试使用匿名身份验证对用户进行身份验证。
无论是在 Web 服务器服务级,还是对于单独的虚拟目录和文件,都可以通过 Internet信息服务管理单元更改匿名身份验证所使用的帐户。匿名帐户必须具有“本地登录”用户权限。如果帐户没有“本地登录”权限,IIS将无法为任何匿名请求提供服务。安装 IIS 时,特别为 IUSR_computername帐户授予了“本地登录”权限。默认情况下,域控制器上的 IUSR_computername 帐户不会添加到 Guest组中。要允许匿名登录,必须将 IUSR_computername 的权限更改为“本地登录”。
注意可以使用Active Directory 服务接口 (ADSI),以编程方式更改对“本地登录”权限的要求。有关信息,请参阅“ActiveServer Pages 指南”中的 LogonMethod。
还可以使用 Microsoft Management Console (MMC) 中的“组策略管理器”管理单元更改Windows 中 IUSR_computername帐户的安全权限。但是,如果匿名用户帐户不具有对特定文件或资源的访问权限,Web服务器将拒绝为此资源建立匿名连接。有关详细信息,请参阅设置 Web 和 FTP权限。
要点如果更改IUSR_computername 帐户,将影响 Web 服务器应答的所有匿名 HTTP请求。修改此账户时须小心谨慎。
注意可以使用Active Directory 服务接口 (ADSI),以编程方式更改对“本地登录”权限的要求。有关信息,请参阅“ActiveServer Pages 指南”中的 LogonMethod。
还可以使用 Microsoft Management Console (MMC) 中的“组策略管理器”管理单元更改Windows 中 IUSR_computername帐户的安全权限。但是,如果匿名用户帐户不具有对特定文件或资源的访问权限,Web服务器将拒绝为此资源建立匿名连接。有关详细信息,请参阅设置 Web 和 FTP权限。
要点如果更改IUSR_computername 帐户,将影响 Web 服务器应答的所有匿名 HTTP请求。修改此账户时须小心谨慎。
Internet信息服务管理单元
Internet 信息服务管理单元提供了一些服务器管理选项,用于控制网站或 FTP站点的内容以及对这些站点的访问。例如,如果您是一位开发人员,在将站点上载到公司 Intranet 或 Internet之前要对站点进行测试,则可以使用此工具测试您的设置并查看这些设置在最终服务器上的精确效果。在以前版本的 IIS中,此工具称为“Internet 服务管理器”。Internet 信息服务管理单元包含下列功能:
·服务器的一些附加设置,如管理 FTP 站点、隔离应用程序、映射 MIME 类型或指定其他脚本引擎等。
·新建虚拟目录的向导。
·管理 Internet 信息服务网络安装的能力。
打开 Internet 信息服务管理单元
第一种方法
1.从“开始”菜单,选择“设置”,然后选择“控制面板”。
2.打开“管理工具”。
3.打开“Internet 服务管理器”。
第二种方法
1.在桌面上,用鼠标右键单击“我的电脑”,再单击“管理”。
2.在“服务和应用程序”下面,选择“Internet 信息服务”。
除此之外,还可以创建到%SystemRoot%System32inetsrvinetmgr.exe 的快捷方式。从“开始”菜单启动 Windows2000 帮助,然后在其中搜索“添加快捷方式”获取有关创建快捷方式的指导。
基本身份验证
基本身份验证方法是一种被广泛使用的行业标准方法,用于收集用户名和密码信息。
客户端身份验证过程
1.Internet Explorer Web 浏览器显示一个对话框,用户可以在此输入以前为其分配的 Windows帐户用户名和密码(也称为凭据)。
2.然后,Web 浏览器尝试使用用户凭据与服务器建立连接。明文密码在通过网络发送之前是 Base64 编码的。
要点Base64编码是未加密的。如果 Base64 编码的密码通过网络时被网络探测器截获,则非法用户可以很容易地将密码解码并重新使用。
3.如果用户的凭据被拒绝,Internet Explorer将显示身份验证对话框窗口,用户可以重新输入凭据。在连接失败并向用户报告错误之前,Internet Explorer允许用户进行三次连接尝试。
4.如果 Web 服务器验证用户名和密码与某个有效的 Microsoft Windows 用户帐户相对应,则建立连接。
有关设置基本身份验证的信息,请参阅启用和配置身份验证。
基本身份验证的优点在于,它是 HTTP 规范的一部分,而且大多数浏览器都支持这种方式。缺点是使用基本身份验证的 Web浏览器以未加密的形式传输密码。某些人通过监视网络通信,使用某些通用工具,很容易截获和破解这些密码。因此,建议一般不要使用基本身份验证,除非确信用户和Web 服务器之间的连接是安全的,例如使用专线连接或安全套接字层 (SSL) 连接。详细信息,请参阅加密。
注意集成Windows 身份验证优先于基本身份验证。在提示用户输入用户名和密码之前,浏览器将选择集成 Windows身份验证方法,并尝试使用当前的 Windows 登录信息。目前,只有 Internet Explorer 2.0 及更高版本支持集成Windows 身份验证。
摘要式身份验证
摘要式身份验证提供的功能与基本身份验证相同,但它增强了通过网络发送用户凭据的安全性。摘要式身份验证以 MD5散列(也称为消息摘要)方式通过网络传输凭据,非法用户将无法根据散列破解其中的原始用户名和密码。Web 分布式创作与版本管理(WebDAV) 目录可以使用摘要式身份验证。
摘要式身份验证不需要安装其他客户端软件,但它依赖于 HTTP 1.1 协议,如 World Wide Web Consortium(WWW 协会)网站 RFC 2617规范中的定义所述。由于摘要式身份验证要求 HTTP 1.1 兼容性,所以并非所有浏览器都支持这种方法。如果非 HTTP 1.1兼容的浏览器从使用摘要式身份验证的服务器请求文件,服务器将请求客户端提供摘要式凭据。非 HTTP 1.1兼容的客户端将拒绝此请求,因为此客户端不支持摘要式身份验证。
摘要式身份验证的要求
在 IIS 服务器上启用摘要式身份验证之前,请确保满足下列所有基本要求。只有域管理员可以验证是否满足域控制器 (DC)的要求。如果不能确定 DC 是否满足下列要求,请与域管理员联系:
·访问采用摘要式身份验证进行安全保护的资源时,客户端需使用 Internet Explorer 5.0 或更高版本。
·用户和 IIS 服务器必须是同一个域的成员或被同一个域信任。
·用户必须将有效的 Windows 用户帐户存储在 DC 上的 Active Directory 中。
·域必须具有 Windows 2000 或更高版本的 DC。
·IIS 服务器必须是 Windows 2000 或更高版本。
客户端身份验证过程
下列步骤概述如何使用摘要式身份验证对客户端进行身份验证:
1.客户端从 IIS 服务器请求文件。
2.IIS 服务器拒绝请求并向客户端发送下列信息:
1.正在使用摘要式身份验证
2.领域名
3.Internet Explorer 将提示用户输入凭据(用户名和密码)。然后,Internet Explorer将凭据与领域名合并,创建 MD5 散列,并将文件请求重新提交给 IIS 服务器,此次将发送 MD5 散列。
4.IIS 服务器接收客户端的散列,并将其发送到域控制器进行验证。
5.域控制器将身份验证结果通知 IIS 服务器。
6.如果客户端通过身份验证,IIS 则将请求的文档或数据发送给客户端。
要点DC必须将提交请求的用户密码的明文副本存储在 Active Directory 中,才能完成摘要式身份验证过程。而且由于 DC将密码的明文副本存储在 Active Directory 中,所以必须保护 Active Directory的安全,使其免受物理破坏和网络攻击。
高级摘要式身份验证
除用户凭据在域控制器 (DC)上的存储方式不同之外,高级摘要式身份验证与摘要式身份验证完全相同。高级摘要式身份验证比摘要式身份验证更安全,因为高级摘要式身份验证不仅以MD5 散列方式通过网络发送用户凭据,而且以 MD5 散列(也称为消息摘要)方式将用户凭据存储在 DC 的 Active Directory中。由于凭据是以 MD5 散列方式存储在 Active Directory 中,因此可以访问 DC 的用户也不可能获得密码。Web分布式创作与版本管理 (WebDAV) 目录可以使用高级摘要式身份验证,而且高级摘要式身份验证不会替代摘要式身份验证。
高级摘要式身份验证不需要安装其他客户端软件,但是它依赖于 HTTP 1.1 协议,如 World Wide Web Consortium(WWW协会)网站 RFC 2617 规范中的定义所述。因为高级摘要式身份验证依赖于 HTTP 1.1协议,因此并非所有浏览器都支持这种方法。如果非 HTTP 1.1兼容的浏览器从使用摘要式身份验证的服务器请求文件,服务器将请求客户端提供摘要式凭据。非 HTTP 1.1兼容的客户端将拒绝此请求,因为此类客户端不支持摘要式身份验证。
高级摘要式身份验证的要求
在 IIS 服务器上启用高级摘要式身份验证之前,请确保满足下列所有基本要求。只有域管理员可以验证是否满足域控制器 (DC)的要求。如果不能确定 DC 是否满足下列要求,请与域管理员联系:
·访问采用摘要式身份验证进行安全保护的资源时,客户端需使用 Internet Explorer 5.0 或更高版本。
·用户和 IIS 服务器必须是同一个域的成员或被同一个域信任。
·用户必须将有效的 Windows 用户帐户存储在 DC 上的 Active Directory 中。
·域必须具有 Windows DC。
·IIS 服务器必须是 Windows XP。
要点只有DC 和 IIS 服务器运行的都是 Windows XP,才可以启用高级摘要式身份验证。如果 DC 或 IIS 服务器之一运行的是Windows 2000 或更低版本,IIS 将默认使用摘要式身份验证,并且不会对此操作发出警告。
客户端身份验证过程
下列步骤概述如何使用高级摘要式身份验证对客户端进行身份验证:
1.客户端从 IIS 服务器请求文件。
2.IIS 服务器拒绝最初的请求,并向客户端发送下列信息:
1. 正在使用摘要式身份验证
2.领域名
3.Internet Explorer 将提示用户输入凭据(用户名和密码)。然后,Internet Explorer将凭据与领域名合并,创建 MD5 散列,并将文件请求重新提交给 IIS 服务器,此次还将在 HTTP 请求头中发送 MD5散列。
4.IIS 服务器接收客户端的散列,并将其发送到域控制器进行验证。
5.域控制器将客户端的散列与 Active Directory 中存储的副本进行比较。如果两个散列值相匹配,域控制器将通知 IIS服务器客户端已通过身份验证。
6.IIS 服务器将请求的文件发送给客户端。
注意在步骤2 中,IIS 服务器向客户端 (Internet Explorer)报告“正在使用摘要式身份验证”,而不是“正在使用高级摘要式身份验证”,这是因为对于摘要式身份验证和高级摘要式身份验证而言,IIS服务器和客户端之间使用相同的摘要式身份验证算法。
1. 有关配置高级摘要式身份验证的信息,请参阅配置高级摘要式身份验证。
2.有关摘要式身份验证的详细信息,请参阅摘要式身份验证和World Wide Web Consortium(WWW协会)网站中定义的 RFC 2617 规范。
3.有关 Active Directory 或域控制器的详细信息,请参阅 Windows XP 联机文档。
集成 Windows 身份验证
集成 Windows 身份验证(以前称为 NTLM 或 Windows NT质询/响应身份验证)是一种安全的身份验证形式,因为用户名和密码在通过网络发送之前就进行了散列处理。启用集成 Windows身份验证时,用户浏览器通过与 Web 服务器进行加密信息交换(包括散列算法)来证明自己知晓密码。
集成 Windows 身份验证使用 Kerberosv5 身份验证和 NTLM身份验证。如果 Windows 2000 或更高版本的域控制器上安装了 Active Directory 服务,而且用户浏览器支持Kerberosv5 身份验证协议,则使用Kerberosv5 身份验证;否则,将使用 NTLM 身份验证。
Kerberos v5 身份验证协议是 Windows 2000 分布式服务架构的一个特性。为了成功进行 Kerberos v5身份验证,客户端和服务器都必须与密钥发行中心 (KDC) 建立可信的连接,而且与目录服务兼容。有关 Kerberos 和 NTLM的详细信息,请参阅 Windows XP 联机文档。
集成 Windows 身份验证过程
下列步骤概述如何使用集成 Windows 身份验证对客户端进行验证:
1.与基本身份验证不同,集成 Windows 身份验证并不会先提示用户输入用户名和密码。可将客户端计算机上的当前 Windows用户信息用于集成 Windows 身份验证。
注意如有必要,可将Internet Explorer 4.0 及其更高版本配置为先提示输入用户信息。详细信息,请参阅 Internet Explorer文档。
2.如果最初的身份验证信息交换未能识别用户,浏览器将提示用户输入 Windows 用户帐户的用户名和密码,并使用集成 Windows身份验证进行处理。
3.Internet Explorer 将继续提示用户,直到用户输入了有效的用户名和密码,或者关闭了提示对话框。
集成 Windows 身份验证虽然非常安全,但存在下列局限性:
1.只有 Microsoft Internet Explorer 2.0 及更高版本支持此身份验证方法。
2.通过 HTTP 代理连接时,无法使用集成 Windows 身份验证。
因此,集成 Windows 身份验证最适用于 Intranet 环境,其中的用户和 Web服务器计算机都在同一个域中,而且管理员可以确保每个用户都使用 Microsoft Internet Explorer 2.0或更高版本。
证书身份验证
还可以使用 Web 服务器的安全套接字层 (SSL)安全功能进行两种类型的身份验证。可以使用“服务器证书”,使用户在传输个人信息(如信用卡号码)之前对网站进行身份验证。同样,可以使用“客户证书”对请求网站上信息的用户进行身份验证。通过检查登录过程中用户Web 浏览器提交的加密数字标识的内容,可进行 SSL身份验证。(用户从一个互相信任的第三方机构获取客户证书。)服务器证书通常包含有关用户所在公司以及证书颁发机构的信息。客户证书通常包含有关用户和证书颁发机构的标识信息。详细信息,请参阅关于证书。
客户证书映射
因为访问文件等资源需要 Windows 用户帐户,所以可以将客户证书关联或“映射”到 Web 服务器上的 Windows用户帐户。创建并启用证书映射后,每次用户使用客户证书登录时,Web 服务器都自动将此用户与相应的 Windows用户帐户关联。这样,可以自动对使用客户证书登录的用户进行身份验证,而不必请求使用基本、摘要式或集成 Windows等身份验证方法。可以将一个客户证书映射到一个 Windows用户帐户,也可以将多个客户证书映射到一个帐户。例如,如果服务器上有几个不同的部门或公司,而且每个部门或公司都有自己的网站,则可以使用多对一映射将每个部门或公司的所有客户证书映射到它们各自的网站。这样,每个站点仅允许自己的客户访问。详细信息,请参阅将客户证书映射到用户帐户。
FTP 身份验证
匿名 FTP 身份验证
可以配置 FTP 服务器以允许匿名访问 FTP 资源。如果为某一资源选择了匿名 FTP身份验证,那么对此资源的所有请求都不会提示用户输入用户名或密码。这是可以做到的,因为 IIS 自动创建一个称为IUSR_computername 的 Windows 用户帐户(其中 computername是运行 IIS 的服务器的名称),这一点与基于 Web 的匿名身份验证非常相似。如果启用了匿名 FTP 身份验证,则即使启用了基本FTP 身份验证,IIS 也将始终首先尝试使用匿名 FTP 身份验证进行身份验证。详细信息,请参阅匿名身份验证。
基本 FTP 身份验证
要通过基本 FTP 身份验证与 Web 服务器建立 FTP 连接,用户必须使用与一个有效的 Windows用户帐户对应的用户名和密码登录。如果 FTP 服务器无法验证用户身份,服务器将返回错误消息。FTP身份验证不太安全,因为通过网络传输的用户名及密码是未加密的。详细信息,请参阅关于访问控制。