 |
|
Ostatnie artykuły |
|
Windows 2003
Server
Sieci
Windows XP
Pozostałe
|
|
Redakcja |
Zespół redakcyjny:
Jacek Kolonko
Adam Stępień
Sebastian Sawicki
Tomasz Sadkowski
Mikołaj Kamiński
syndrom windziarza
Marcin Jankowski
Marcin Gondek
Marcin Mierzejewski
Kontakt z redakcją:
Napisz do nas na
adres mailowy lub
na forum bądź wejdź na kanał irc #jama (np. via chat) Zapraszamy!
Szczegółowe informacje dostępne są tutaj.
|
|
Kto nas ogląda |
Aktualnie przegląda
nas 20035 gości.
Wywołano nas już
1379258 razy.
Na forum znajduje
się obecnie
uczestników.
|
|
|
Poskromić IIS-a - konfiguracja serwera www/ftp
(99646
odsłon)
 
Każdy, kto posiada lub posiadał chociaż jedną faktycznie dobrą stronę w Globalnej Pajęczynie wie, że dobry design i właściwa treść to nie wszystko, jeśli chce się piąć na szczyty w statystykach oglądalności. Korzystając z darmowych usług utrzymania naszej strony w portalach czy innych instytucjach nie możemy wycisnąć z serwera zbyt dużo. Wiele możliwości tracimy nawet wówczas, gdy korzystamy z płatnego hostingu. Dopiero postawienie własnej strony na własnym serwerze daje nam pewność, że mamy pełną kontrolę nad całością.
Istnieje już w naszej bazie podobny artykuł, zatytułowany "Własny portal w 30 minut". Autor opsiuje tam bardzo ogólnie proces zakładania serwera pod portal oparty na PHP-Nuke. Ja natomiast pozostawiam Ci dowolność - zdobytą tutaj wiedzę możesz wykorzystać w całej Twojej przyszłej pracy z IIS'em. Jednocześnie chciałem podkreślić, iż aby postawić własny serwer WWW wcale nie musisz korzystać z programu Apache. Jeśli posiadasz Windows 2000, XP lub Server 2003 to wszystkie potrzebne elementy masz już wbudowane w system! Poza tym (moim zdaniem) IIS jest prostszy w obsłudze dla początkujących, niż Apache.
 Instalacja serwera IIS
IIS nie jest standardowo instalowany w żadnym z systemów, które posiadają go na swojej liście składników. Musimy więc go doinstalować. Wkładamy płytkę instalacyjną Windows i z menu wybieramy "Zainstaluj opcjonalne składniki/Install optional Windows components". Z listy, która się pojawi wybieramy, zależnie od systemu, albo Application Server/IIS, albo bezpośrednio IIS. Ponieważ nie potrzebujemy serwera poczty wychodzącej, nie instalujemy usługi SMTP ani NNTP (tylko w Windows Server 2003, serwer grup dyskusyjnych). Klikamy OK i czekamy na zakończenie instalacji.
Konfiguracja witryn WWW
Aby uruchomić nowozainstalowany IIS należy przejść do Narzędzi administracyjnych (Administrative Tools) i stamtąd wybrać pozycję IIS. Otworzy się konsola zarządzania usługą. Drzewo "NAZWAKOMPUTERA (local)" posiada następujące gałęzie: "FTP Sites/Witryny FTP", "Application pools", "Web Sites/Witryny WWW" oraz "Web Service Extensions/Rozszerzenia serwera WWW".
Główne okno IIS w systemie Windows Server 2003
Ponieważ na razie chcemy tylko skonfigurować serwer WWW, rozwijamy gałąź Web Sites, klikamy prawym przyciskiem na "Default Website/Domyślna witryna" i wybieramy "Properties/Właściwości". W zakładce Web Site możemy zmienić nazwę na jakąś bardziej przyjazną. Po przełączeniu się na "Performance/Wydajność" można wprowadzić ograniczenie maksymalnej liczby osób połączonych do naszego serwera. W Windows XP maksimum to 10 połączeń, w Windows Server 2003 liczba ta wacha się od 500 do 1000, w zależności od wersji. Bardzo istotna jest zakładka "Home Directory/Katalog macierzysty". Upewnijmy się, że opcja "Write/Zapisz" oraz "Script Source Access/Wykonywanie skryptów" nie jest zaznaczona. W przeciwnym wypadku każda osoba mogła by dokonać uploadu jakiegoś programu na naszą stronę i uruchomić go! Zakładka "Documents/Dokumenty" przeznaczona jest do zmiany stron, które uważane są za strony główne.
Zakładka "Katalog macierzysty"
Nasz serwer WWW jest wstępnie skonfigurowany. Napiszmy teraz jakąś prostą stronę WWW i sprawdźmy, czy się otwiera. W tym celu zapisz stronę index.htm w katalogu C:/InetPub/wwwroot (litera C to litera Twojego dysku), a następnie otwórz Internet Explorera i wpisz w polu adresu "http://localhost". Jeśli otworzy się Twoja strona, to w porządku. W przeciwnym wypadku wpisz 127.0.0.1 - powinno pomóc.
Teraz każdy, kto wpisze Twój adres IP (oczywiśćie musi on być zewnętrzny, tak jak to było w przypadku artykułu "Własny portal w 30 minut") zobaczy stronę index.htm. Jeśli nie chcesz otwierać swojej strony dla całego świata, a jedynie dla Twojej sieci, to wcale nie potrzebujesz adresu zewnętrznego. Wystarczy znać swój prywatny adres IP (np. 192.168.0.34).
Internet Explorer z naszą próbną stroną
Konfiguracja serwera FTP
Strona WWW to jeszcze nie wszystko. Skoro IIS udostępnia nam tyle możliwości, to dlaczego ich nie wykorzystać? Warto postawić swój własny serwer FTP, który będzie albo współpracował z witryną WWW, albo będzie zupełnie niezależny! Wszystko w Twoich rękach!
Domyślnie serwer FTP zezwala na anonimowe połączenia oraz jest skonfigurowany do obsłużenia 10 połączeń naraz. Jeśli czujesz taką potrzebę (na przykład chcesz, aby dostęp mieli tylko użytkownicy z odpowiednimi uprawnieniami) to wystarczy zmienić kilka opcji. Np. za dostęp anonimowy odpowiada karta "Security Accounts".
W ten sposób mamy skonfigurowany serwer FTP niezależny od witryny WWW. Jednak wyobraźmy sobie taką sytuację: mamy sieć osiedlową i stworzyliśmy stronę naszego osiedla. Chcielibyśmy, aby sąsiad również mógł ją redagować. Mając tak ustawiony serwer nasz współredaktor musiałby za każdym razem przekazywać nam zaaktualizowane pliki. Czasochłonne, nieprawdaż? Dużo lepszym rozwiązaniem było by nadanie prawa sąsiadowi do ładowania plików na nasz serwer FTP, który byłby sprzężony z witryną WWW...
Aby tak ustawić FTP, potrzebujemy dokonać kilka zmian w konfiguracji. Przede wszystkim wyłączamy anonimowy dostęp oraz zmieniamy katalog macierzysty z c:/inetpub/ftproot na c:/inetpub/wwwroot. W ten sposób po wpisaniu "ftp://localhost" zobaczymy pliki tworzące stronę WWW. Jednak sąsiad dalej nie ma uprawnień do zamieszczania plików. Powód - w okienku logowania wyświetlanym przy próbie wejścia do serwera należy się posłużyć kontem jakiegoś administratora. Musimy teraz stworzyć odpowiedniego użytkownika i nadać mu prawa do katalogu wwwroot.
Podaj hasło...
Otwieramy konsolę "Computer Managament/Zarządzanie komputerem" i przechodzimy do gałęzi "Users/Użytkownicy". Tworzymy użytkownika "Sasiad" z normalnymi prawami (tzn. nie administratora). Następnie otwieramy zakładkę "Zabezpieczenia" z katalogu wwwroot i ustawiamy pełny dostęp dla użytkownika Sasiad.
Teraz cała operacja aktualizacji strony przebiega o wiele szybciej i wszyscy są zadowoleni - my mamy mniej roboty, sąsiad nie musi do nas biegać z plikami a nasi goście mają częściej aktualizowany serwis.
Prawa dostępu do zasobów na serwerze
Korzystanie z IIS działającego na partycji z systemem plików FAT32 jest po prostu wielką pomyłką. FAT32 nigdy nie zapewni nam tego poziomu bezpieczeństwa co NTFS. Mając już właściwy system plików trzeba odpowiednio skonfigurować uprawnienia dostępu do poszczególnych plików. Otwieramy Właściwości folderu wwwroot. Upewnijmy się, że użytkownik IUSR_NAZWAKOMPUTERA posiada możliwość odczytywania zawartości. Jest to tak zwane konto Internet Guest, a bez wspomnianych uprawnień nikt nie zobaczy stron umieszczonych na naszym serwerze WWW.
Nie inaczej sprawa wygląda z serwerem FTP. Tutaj należy jednak pamiętać, że użytkownik IUSR_NAZWAKOMPUTERA reprezentuje użytkownika anonimowego, więc jeśli wyłączyliśmy dostęp anonimowy wcześniej, to nie musimy ustawiać mu uprawnień. Należy natomiast przypisać prawa dostępu dla wszystkich pozostałych użytkowników (przywołując znowu przykład naszej sieci osiedlowej, ustawiamy uprawnienia Pełna kontrola dla sąsiada).
Zdalna administracja serwerem IIS
Kiedy coś się popsuje, a z jakichś przyczyn nie będziemy mieli fizycznego dostępu do naszego komputera powstaje problem. Stali goście naszego serwisu nie będą na pewno zadowoleni z dłuższych przerw. W takim wypadku pozostaje tylko zdalne rozwiązanie problemu. Zależnie od systemu jest to prostsze lub trudniejsze.
Stosując Windows 2000 mamy bardzo ograniczone możliwości, bo system do naszej dyspozycji oddaje jedynie polecenie "net" z wiersza poleceń. Aby uzyskać więcej informacji na ten temat (składnia, parametry itp.) wpisz w interpretatorze poleceń wyrażenie "net /?".
"Podpolecenia" programu net
Jeśli jesteśmy w posiadaniu systemu Windows XP Professional to sytuacja jest dużo prostsza, bowiem możemy wykorzystać "Pulpit zdalny/Remote desktop", połączyć się z naszym komputerem i mieć przed oczami okno konsoli IIS (pokazane na pierwszym screenie). Opcja ta wypali jednak tylko wówczas, kiedy łączymy się z sieci lokalnej lub mamy łącze o dużej przepustowości. Nie polecam łączenie się z komputera wyposażonego w modem...
Pełnię szczęścia osiągamy mając Windows Server 2003. Wyposażono go w narzędzia Remote Administration, które pozwala wykonać większość prac administracyjnych wykorzystując przeglądarkę webową. Bez problemu możemy zarządzać całą usługą IIS i nie tylko. W wypadku jakiegoś poważniejszego błędu system może nawet wysyłać nam e-maile! Aby dostać się do tego narzędzia, wystarczy wpisać w polu adresu "https://naszanazwa:8098". Upewnijmy się przedtem, czy ta usługa jest zainstalowana!
Logujemy się do Administracji Zdalnej. Wszystko przez SSL!
A oto i konsola IIS w Administracji Zdalnej systemu Windows Server 2003
Grunt to bezpieczeństwo
Mając włączony całą dobę komputer narażeni jesteśmy na ataki z zewnątrz. Również gdy nasz serwer pracuje tylko w sieci lokalnej warto się zabezpieczyć!
Pierwszym ważnym aspektem jest ustawienie silnych haseł dla kont, które mają jakieś sensowne prawa do katalogów wwwroot i ftproot. Mam tu na myśli głównie konta wszystkich lokalnych administratorów, chociaż jeśli posiadasz inne z podobnymi uprawnieniami to również ustaw im silne hasła. Silne hasło składa się z ośmiu znaków ułożonych bez ładu i składu, w tym cyfr, liter, znaczków !@#$%^&*()=+ (czyli niealfanumerycznych) itp..
Drugą ważną sprawą jest instalacja Service Pack'ów, szczególnie jeśli chodzi o Windows 2000. Zostało udokumentowane wiele dziur w IIS, dzięki którym można się włamać nie tylko do samych Internetowych Usług Informacyjnych, ale także do całego komputera - to dlatego tak ważne jest bycie na czasie. Wszystkie poprawki SP (z wyjątkiem 1 dla Windows 2000) są do pobrania w naszym portalu.
Jeśli chcemy ograniczyć dostęp do plików na serwerze jakiejś osobie (a ściślej - komputerowi), to można bardzo łatwo takie ograniczenia wprowadzić. Jest to nawet prostsze niż w Apache (gdzie trzeba się posłużyć plikami .htaccess). We właściwościach np. serwera FTP, na ostatniej karcie Directory Security, znajdują się opcje przydzielania dostępu przy pomocy adresów IP klientów. Jeśli zaznaczona jest pierwsza kontrolka, wtedy wszystkie osoby poza wymienionymi na liście poniżej uzyskają dostęp. Można też zrobić odwrotnie - przełączając kontrolkę na drugą pozycję. Wtedy dostęp będzie odmawiany wszystkim, poza osobami uwzględnionymi na liście. Warto z tym poeksperymentować!
A może by tak PHP?
Oczywiście kłamie ktoś, kto twierdzi, że pod IIS'em nie da się prowadzić stron wykorzystujących język PHP. Oczywiście istnieje taka możliwość, PHP może spokojnie funkcjonować obok zwykłego HTML i, jednej z nowości, ASP.
Aby dodać obsługę PHP musimy ściągnąć archiwum zawierające interpretator PHP i rozpakować je, powiedzmy, do D:/Program Files/PHP. Następnie otwieramy właściwości Default Web Site i wybieramy zakładkę Home Directory. W dole okna klikamy na Configuration i Add. Wpisujemy wszystko tak jak w okienku poniżej.
Konfiguracja interpretatora skryptów PHP pod IIS
Jeśli korzystamy z IIS w wersji 6.0, to potrzebujemy jeszcze tylko dodać rozszerzenie .php do Web Service Extensions i ustawić na Allowed. Bez tego manewru serwer nie będzie interpretował dokumentów napisanych w PHP. Natomiast IIS w starszych wersjach nie potrzebuje żadnych dodatkowych ustawień.
Okno Web Service Extensions wraz z dodanym elementem PHP
I gotowe! Możemy napisać prostą stronę w PHP i sprawdzić jej działanie, tak jak to robiliśmy wcześniej z HTML. |
Dla Jamy Mastaha: Docent
Ostatnia aktualizacja: 25 lutego 2003 |
[ Indeks sekcji ]
|
|
Komentarze Dodaj komentarz»
interpiast
2 sierpnia 2008,
20:44
Bardzo dziękuję za przejrzysty i przystępny styl wyjaśniający "majstersztyk"
dzięki i pozdrawiam
Bartosz Kaźmierczak
1 października 2008,
22:24
(komentarz czeka na akceptacje moderatora)
Ten artykuł jest dobry, ale trzeba mieć drugi dysk jako jest nazwa dysku: (D:\)
Dodaj swój komentarz
|
|
|
|