当一个在先前的操作系统上能够正常工作的应用程式在升级后出现问题时,他就无能为力了。但是,这种类型的问题还是 有启发意义的。IIS 4.0和IIS 5.0之间的一个差异就和COM和COM 之间的一个差异有关系。在IIS 5.0中,当一个COM 对象代表用户访问文档时,他的默认行为就是使用用户的安全上下文环境来完成这些工作。这在IIS 4.0中并不算什么事情。因此,当从IIS 4.0向IIS 5.0迁移包含COM的应用程式时,您可能需要向文档提供用户权限,而在IIS 4.0中并无需。虽然跟以前相比这有些不方便,但是他在提高应用程式安全性设计方面的确是个进步。即使是不能使用定制的COM对象去访问数据库, COM在本地的IIS组件中还是得到了广泛的应用。
这里有一个能够帮助您理解这种需求的例子,比如,您需要为正在创建数据库的用户授予请求使用Access临时文档夹的权限。更多的信息请查阅Microsoft Knowledge Base中的Q210457和Q271071。
问:如何在没有恢复原始配置的情况下运行IIS锁定工具?
答: IIS锁定工具很有效。这个工具允许您轻松、显著地增加服务器的安全性。一旦运行了这个工具,他就将其活动的历史记录储存到一个文档中,这个文档的 位置是%systemdrive%%systemdir%system32inetsrv。您将在下面的文档中找到这个信息:
Oblt-rep.log
Oblt-once.md0
Oblt-mb.md0
Oblt-undone.log也可能是最新的。
假如您删除了这些文档,向导就会启动,就似乎IIS Lockdown tool并未被运行相同。重复这个过程并没有什么风险。在您这么做之前,一定要制作一个Metabase.bin的副本。
因为当他第一次运行的时候,这个过程将会让您运行锁定工具,就似乎他从未被运行过,但并不会“解开”或反转锁定工具进行了一些配置,所以这个过程应该能够正常工作。
问:在我的intranet环境中,如何处理“server-side include”语法,而不必重新命名任何的文档?
答: IIS 4.0和IIS 5.0提供了这样一个选项,他无需您更改任何文档的扩展名。ASP处理器也能处理服务器端的include语法,因此没有必要使用.stm或是. asp扩展名。那么,这对您又有什么帮助呢?通过在应用程式配置中创建一个条目,您能够将.htm 文档映射为由asp.dll处理,这样,哪些带有.htm扩展名的文档就将由asp.dll来处理。通过使用这种方式,那些含有includes的. htm 文档不用重命名就能被处理。现在您可能在考虑:“这会不会导致我任何的.htm文档都像脚本相同被处理,从而降低系统的性能呢?”事实上,在IIS 4.0中,这的确是个问题;但是,在IIS 5.0中,性能问题并不像您想象中的那么大,并且在IIS 5.1中,甚至会更好。IIS 5.0有一个特性叫做“Scriptless ASP”(无脚本ASP)用来处理这个特别的问题。假如一个不包含脚本的文档被提交到ASP处理器,他就不会被解析,只是简单地作为静态页面发送出去-- 在这种特定的情况中是个有用的特性。
问:当我从一个客户工作站进行访问时,怎样做才能在IIS 4.0(Windows NT 4.0 Service Pack 6a)中访问IISADMIN虚拟目录而不会导致服务器重新启动呢?
答: 因为IIS 4.0是在Windows NT 4.0 Service Pack 6a(SP6a)之前发布的,所以一定要在安装完IIS 4.0后重新安装SP6a和任何必需的实时修补程式。
问:在Windows 2000 Professional中,我怎样做才能让域用户来管理虚拟目录,以便域用户能够创建和管理他们自己的虚拟目录?
答: 您需要做的最后事情就是将域用户加入到Power Users组中,因为这样就能够为域中任何一个拥有用户帐号的人赋予经过提升的权限。假如您信任域中的每一个成员都能够对系统进行很好的管理,这样做不会 有什么问题,但是对于大多数电脑用户来说,这样的信任级别是不合适的。
为了在IIS中创建一个虚拟目录,用户需要有管理员权限。之所以这样设计,是因为任何能在Web站点上创建虚拟目录的人也能对虚拟目录进行删除、重命名、重定向或其他管理工作。
认 识到这点后,您可能希望不为用户提供管理员身份就能获得类似的权力,在IIS插件中有一个特性(“操作员”标签),能让您指定一个Web站点操作员(不是 管理员),为Web站点创建虚拟目录。这个特性只有在Windows 2000 Server、Windows 2000 Advanced Server和Windows 2000 Datacenter Server中是可用的。相同的特性也可应用于IIS 4.0。
另外,您还 能够在IIS Web站点内部创建一个虚拟目录,并将他映射到%systemroot%%systemdir%inetsrviisadmin。您应该保护这个虚拟目录 的安全,否则那些访问这个站点的人就能够管理这个Web站点。还要注意,这只有在Windows 2000 Server,Windows 2000 Advanced Server,和Windows 2000 Datacenter Server (连同IIS 4.0)上面是可行的。
当您发现您自己根据操作系统的限制将扩展权限授予了其他人或别的工作组,并且试图将您的工作站当作服务器时,您可能需要安装一个服务器操作系统。
问:在Windows 2000 Server上,当一个站点需要SSL时,我怎样才能在相同的站点上使用主机头?
答: 让我们回顾一下SSL和主机头的问题,因为对IIS来说,他的问题一直在常见问题解答的头五个中。
当 客户发出一个到IIS服务器的HTTP连接请求时,这个客户的请求包括一个叫做HOST:的字段,他包括了URL中的Web服务器请求。例如,假如您的请 求将http://www.microsoft.com作为目的地,则浏览器将其发送到服务器,并一同提交HTTP头中的其他信息,HOST: http://www.microsoft.com。因为此字段的名称是“HOST”,并且他在客户的HTTP头中,所以我们把他称作“主机头”。
假如客户请求建立一个SSL连接,主机头字段仍然会包括在请求当中,只但是他被包含在这个包的加密部分里(在应用层中),因此Web服务器无法对其进行解密,以确定应该将请求发送到哪一个Web站点。
这就产生了一条定律:当使用SSL时,不能使用主机头来作为识别一个Web站点的主要手段。
如 果您确实想使用带有主机头的SSL,那么会发生什么情况呢?考虑一下这个情况。您有两个Web站点,其中一个不使用主机头,另一个则使用。两个站点都使用 相同的IP地址,并且都配置成使用证书。当您利用SSL访问使用主机头的站点时,第一个Web站点会对此做出响应。之所以发生这种情况是因为:我们使用 IP地址来识别您希望用来建立连接的站点,而不是主机头。因为第一个站点对IP地址和HTTPS有反应,所以他接受了请求。假如第一个Web站点需要主机 头,并且在不同的IP地址上,或没有证书,那么连接将会失败。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
