第 4 章 IIS 網頁伺服器 - 安裝與設定.

Presentation on theme: "第 4 章 IIS 網頁伺服器 - 安裝與設定."— Presentation transcript:

1 第 4 章 IIS 網頁伺服器 - 安裝與設定

2 本章提要 4-1 安裝 IIS 伺服器 4-2 建立第一個網站 4-3 網站的安全性設定 4-4利用 WebDAV 上傳網頁

3 前言 我們要介紹如何透過 Internet Information Server 6.0 (簡稱 IIS), 來架設網站。由於在安裝 Windows Server 2003 R2 的過程中, 預設不會自動安裝 IIS 6.0 。因此想使用這項功能, 必須先自行安裝 IIS 相關元件。 IIS 6.0 的主要功能和先前的版本並無太大的不同, IIS 主要提供下列 4 種服務： World Wide Web Publishing Service (簡稱 WWW Service)：讓 Windows Server 2003 R2 成為網站伺服器 (Web Server)。

4 前言 FTP Publishing Service (簡稱 FTP Service)：讓 Windows Server 2003 R2 成為 FTP 伺服器 (FTP Server)。 SMTP Service：讓 Windows Server 2003 R2 成為郵件伺服器 (Mail Server)。Windows Server 2003 R2 也附有搭配 SMTP 的 POP 服務, 但並未歸屬於 IIS 中。 NNTP Service：讓 Windows Server 2003 R2 成為新聞伺服器 (News Server)

5 4 - 1 安裝 IIS 伺服器 基於提高系統安全、降低被入侵的機會等理由, Windows Server 2003 R2 預設不安裝 IIS 伺服器, 因此要架設 Web、FTP 等伺服器, 必須先安裝 IIS 相關元件。 安裝 IIS 最簡單的方式就是使用管理您的伺服器這項工具, 只要選擇讓電腦具有應用伺服器角色, 就可安裝 IIS 。但我們並不建議用此種方式安裝, 因為選擇成為應用伺服器角色時所安裝的 IIS , 並未安裝許多相關元件, 因此這種 IIS 伺服器的功能會比較『陽春』。

6 4 - 1 安裝 IIS 伺服器 因此我們將介紹利用控制台/新增或移除程式的方式來安裝 IIS 元件, 其實這也是最基本的安裝方式, 適用於 Windows Server 2003 R2 提供的所有元件, 讀者應該要學會。首先請將 Windows Server 2003 R2 第一片光碟（標示為光碟 1）置入光碟機, 然後執行『開始/ 控制台/ 新增或移除程式』命令：

7 4 - 1 安裝 IIS 伺服器

8 4 - 1 安裝 IIS 伺服器

9 4 - 1 安裝 IIS 伺服器

10 4 - 1 安裝 IIS 伺服器

11 4 - 1 安裝 IIS 伺服器

12 4 - 1 安裝 IIS 伺服器

13 4 - 2 建立第一個網站 在說明如何建立新網站 (如果您用過 IIS 5.0, 當時所用的名詞是『Web 站台』) 之前, 先介紹系統預設的網站。請執行『開始/ 系統管理工具/ 網際網路資訊服務 (IIS) 管理員』命令：

14 4 - 2 建立第一個網站

15 4 - 2 建立第一個網站 上圖中可以看到 3 個網站, 分別說明如下： 預設的網站 Microsoft SharePoint 管理員
Administrat ion

16 預設的網站 系統預設的網站, 在 IIS 5.0 版的預設網站還有個圖文並茂的網頁, 但是 IIS 6.0 則只有提醒您網頁還沒做好的簡略內容：

17 預設的網站

18 Microsoft SharePoint 管理員
這是安裝 FrontPage 2002 Server Extensions 元件才會出現的的網站, 其功能是讓管理員可透過瀏覽器, 檢視及修改與 FrontPage 2002 Server Extensions 相關的設定。

19 Microsoft SharePoint 管理員

20 Administration 這是安裝遠端系統管理 (HTML)元件時, 才會出現的網站, 其功用就是讓管理員能夠透過瀏覽器, 從遠端管理 IIS 伺服器。

21 Administration

22 如何連結到網站 從本機 (IIS 伺服器) 連結時, 可在瀏覽器網址列輸入“ " IIS 預設的網站。 若從其它的電腦連結時, 在瀏覽器網址列輸入下列任一種資訊, 即可連結到 IIS 預設的站台：

23 如何連結到網站 伺服器的 IP 位址：如果電腦的 IP 位址是 192.168.10.1, 就在網址列輸入 “192.168.10.1”。
伺服器的電腦名稱：如果伺服器的電腦名稱是：cobra, 則區域網路中的電腦可在網址列輸入 “ 亦可連上網站。 伺服器的 DNS 名稱：如果您已替伺服器註冊 DNS 名稱, 並在 ISP 或自己的 DNS伺服器上設定妥當, 則可用此 DNS 名稱來連上網站, 例如

24 如何連結到網站

25 建立新的網站 接下來我們要介紹如何建立新的網站, 請在網際網路資訊服務 (IIS) 管理員依以下步驟進行：

26 建立新的網站

27 建立新的網站

28 建立新的網站

29 建立新的網站

30 建立新的網站

31 建立新的網站

32 建立新的網站 在建立新網站時, 若 IP 位址和TCP 連接埠 2 項設定, 與 IIS 伺服器上既有的網站都完全相同 (此指兩項設定值都相同), 在精靈最後步驟就會出現如上沒有成功的訊息, 且網站會進入已停止的狀態。 在本例中, “My First Site” 與預設的網站的IP 位址都是 (全未指定)、TCP 連接埠也都是 80, 所以 "My First Site" 會被設定為已停止, 稍後我們會介紹如何停止預設的網站, 並啟動 "My First Site"。

33 新網站的主目錄在遠端電腦的共用資料夾 在建立網站時, 若將網站的主目錄路徑, 設定為區域網路中其它電腦的共用資料夾, 則需在該電腦具有足夠權限：

34 新網站的主目錄在遠端電腦的共用資料夾

35 新網站的主目錄在遠端電腦的共用資料夾

36 啟動、暫停及停止網站 要停止預設的網站, 並啟動新增的My First Site, 請參考以下的步驟：

37 啟動、暫停及停止網站

38 啟動、暫停及停止網站 停止的網站將不提供任何服務, 所以任何人都無法瀏覽。
如果要維護系統或網頁資料, 可以先暫停網站, 不接受新使用者的連線 (現有連線則不受影響), 等完成維護工作後, 再重新啟動網站：

39 啟動、暫停及停止網站

40 啟動、暫停及停止網站 如果使用者連線到暫停或停止的網站, 瀏覽器會顯示如右的畫面：

41 將首頁放到網站中 建好網站後, 首要的工作就是將網頁、圖片等內容放到網站的主目錄中, 如此才能讓用戶端連結到此網站時, 能看到網頁。請參照下面的步驟： 新建立的網站預設可使用 Default.htm、index.htm 為首頁 (有安裝 ASP、ASP.NET Passport 時也可用 Default.asp、Default.aspx), 如果您已在其它地方編寫好您的首頁, 請將該檔案重新命名成上述 2 個名稱之一。

42 將首頁放到網站中 將首頁以及相關的檔案複製到新網站的主目錄即可 (在本例中為 C:\Newsite)：

43 將首頁放到網站中 將檔案與資料夾新增到主目錄之後, 在網際網路資訊服務 (IIS) 管理員主控台中, 可以看到代表這些物件的圖示：

44 將首頁放到網站中 建好自己的首頁後, 可立即用瀏覽器瀏覽網站, IIS 伺服器會自動將首頁檔案傳送給瀏覽器, 讓瀏覽器顯示出來：

45 建立虛擬目錄 除了將網頁等檔案放到主目錄及其下的實體目錄外, 我們也可以利用虛擬目錄來存放網站的檔案資料。

46 什麼是虛擬目錄 實際存在於主目錄的子資料夾稱為實體目錄；而虛擬目錄則是不在主目錄下的資料夾。簡言之, 虛擬目錄的功能是讓我們將主目錄以外的其它路徑 (包括網路上的共用資料夾), 在不改變其實體路徑的情況下, 也加入成為網站的內容。 我們可以把虛擬目錄看成是資料夾位於網站主目錄的一個指標, 例如：將 "personal" 指到 C:\Documents and Settings\Administrator\My Documents, "personal" 就是虛擬目錄。

47 什麼是虛擬目錄 瀏覽網頁時, 只需在網址列用『 就可存取到虛擬目錄下的內容, 例如：『 就可以讀取到 C:\Documents and Settings\Administrator\My Documents 資料夾中的 mypage. htm 網頁。對瀏覽網頁的使用者而言, 並不會察覺 mypage.htm 實際上並非儲存在主目錄中。

48 什麼是虛擬目錄 使用虛擬目錄有以下 2 個好處：
可將資料分散儲存在區域網路中其他電腦上 (或同一台電腦的其他硬碟), 例如：建立 "Sales" 虛擬目錄, 將其對應到"\\hawk\Sales Data", 避免網頁資料佔用 IIS 伺服器太多硬碟空間。

49 什麼是虛擬目錄 當資料移動到其他的位置時, 不會影響到網站的架構。例如：原本存在 "C:\Documents and Settings\Administrator\My Documents" 的資料全部移動到 "C:\Personal",我們只需重新將 "personal" 虛擬目錄指到 "C:\Personal" 即可, 用戶端完全不會察覺有任何變化。

50 建立虛擬目錄 要建立虛擬目錄, 請參考下面的步驟：

51 建立虛擬目錄

52 建立虛擬目錄

53 建立虛擬目錄

54 建立虛擬目錄

55 建立虛擬目錄

56 建立虛擬目錄 除了從網際網路資訊服務 (IIS) 管理員啟動虛擬目錄新增精靈來建立虛擬目錄外, 我們也可以直接在 資料夾上設定 。請先用我的 電腦找出想設 為虛擬目錄的 資料夾, 即可 依如下的方式 設定：

57 建立虛擬目錄

58 建立虛擬目錄

59 建立虛擬目錄

60 建立虛擬目錄 接下來請開啟網際網路資訊服務 (IIS) 管理員主控台, 即可看到設定的成果：

61 4 - 3 網站的安全性設定 建立個人網站後, 接下來我們要介紹網站的安全性設定, 控制用戶端只能夠存取某些網頁。

62 Web 站台的存取機制 用戶端要能夠讀取某個網頁, 必須通過如右的驗證程序：

63 Web 站台的存取機制 由上圖可知, 使用者要能夠讀取 Default.htm 必須通過 4 道程序： 網站接受使用者電腦的 IP 位址。
網站允許匿名存取, 或使用者輸入正確的帳戶及密碼。如果 IIS 伺服器安裝在成員伺服器或網域控制站, 則使用者必須擁有網域使用者帳戶；如果 IIS 伺服器安裝在獨立伺服器, 則使用者必須擁有本機使用者帳戶。

64 Web 站台的存取機制 網站的設定中已開放讀取網頁資料的權限 (換言之, 網站能夠提供讀取服務)。
使用者擁有 Default.htm 的讀取權限 (若檔案存於 NTFS 資料夾)。 Web 站台中的實體目錄、虛擬目錄, 以及目錄中的檔案, 預設都會繼承上述的驗證程序。如果有特別需要, 我們可以針對實體目錄、虛擬目錄, 以及檔案個別設定。在此僅以設定網站的驗證程序為例說明。

65 設定 IP 位址及網域名稱限制 當用戶端電腦連結到網站時, 網站會先確認該電腦是否來自被拒絕存取的 IP 位址, 如果使用者來自這些 IP 位址, 則無論他是否擁有合法的使用者帳戶, 都無法存取網頁。 要設定 IP 位址限制, 請參照下面的步驟：

66 設定 IP 位址及網域名稱限制

67 設定 IP 位址及網域名稱限制

68 設定 IP 位址及網域名稱限制

69 設定 IP 位址及網域名稱限制 前圖中, 可以看到設定 IP 位址限制的 2 種方式：

70 設定 IP 位址及網域名稱限制 如果是對外開放的網站, 可以選擇授予存取權, 然後把不受歡迎的傢伙列在例外名單中；相反地, 若網站僅供企業內部瀏覽, 那麼可以選擇拒絕存取, 然後把允許存取的 IP 位址列在例外名單上。 我們以預設授予存取權的情況, 但需排除特定位址範圍的電腦為例, 說明設定方式, 請按圖中的新增鈕：

71 設定 IP 位址及網域名稱限制

72 設定 IP 位址及網域名稱限制

73 設定 IP 位址及網域名稱限制 當使用者從被排除名單的電腦瀏覽網站時, 會收到以下的訊息：

74 設定身份驗證方法 網站驗證了使用者的 IP 位址之後, 接下來就會查看是否允許用戶端匿名存取。如果網站不允許匿名存取, 或是用戶端要求的網頁有其他 NTFS 權限限制時, 用戶端就必須輸入使用者帳戶及密碼：

75 設定身份驗證方法

76 設定身份驗證方法 IIS 伺服器接受 4 種傳送帳戶名稱及密碼的驗證方法：整合式 Windows 驗證、摘要式 Windows 網域伺服器驗證、基本驗證, 以及.NET Passport 驗證。 我們只須在網站設定要使用哪種驗證方法, 網站便會自動通知用戶端的瀏覽器, 也採用相同的方法。

77 允許匿名存取 當網站允許匿名存取時, 用戶端毋須輸入任何帳戶及密碼即可瀏覽網頁, 因為網站會先嘗試利用『IUSER_ 電腦名稱』這個內建帳戶讓使用者登入。 由於新增的網站預設都允許匿名存取, 因此我們只須確認該項設定即可, 請在網站圖示上按右鈕, 執行『內容』命令：

78 允許匿名存取

79 允許匿名存取

80 允許匿名存取 允許匿名存取代表每個人都先用『IUSR_ 電腦名稱』這個帳戶來存取網頁。但是在遇到某些網頁不允許『IUSR_ 電腦名稱』存取時 (亦即此帳戶沒有足夠的 NTFS 權限), 系統便依據所選擇的驗證方式, 要求使用者輸入帳戶及密碼；若未選擇任何驗證方法, 系統就不會要求輸入帳戶名稱與密碼, 而是直接拒絕使用者存取該網頁。

81 選擇驗證方法 這裡所選擇的驗證方法, 主要係決定用戶端的瀏覽器如何傳送帳戶及密碼, 由於考慮到用戶端的環境各有不同, 所以有 4 種驗證方法可供複選。請開啟驗證方法交談窗：

82 選擇驗證方法

83 選擇驗證方法 上圖中有 4 種驗證方法, 其中.NET Passport 驗證需進行額外設定, 也不適合於一般網站, 因此以下僅介紹另外 3 種： 整合式 Windows 驗證 摘要式 Windows 網域伺服器驗證 基本驗證

84 整合式 Windows 驗證 此為預設值, 此種驗證方式是將使用者輸入的帳戶名稱及密碼經過特殊演算後, 再傳送到網站, 然後透過 Kerberos 或 NTLM 機制做身份驗證, 是 3 種方式中最安全的驗證方法。然而使用整合式 Windows 驗證有以下限制：用戶端的瀏覽器必須為 IE 2.0 (含) 以上, 並且不能設定使用 Proxy 伺服器。

85 摘要式 Windows 網域伺服器驗證 這種驗證方法是將使用者輸入的帳戶名稱及密碼以加密的形式傳送。但是其限制條件是：IIS 伺服器必須在 AD 網域中、而使用者帳戶也需屬於同一網域或信任網域；此外, 使用者帳戶必須採可回復加密來存放密碼的設定, 請執行『開始/ 系統管理工具/Active Directory 使用者及電腦』命令, 雙按某個使用者帳戶：

86 摘要式 Windows 網域伺服器驗證

87 摘要式 Windows 網域伺服器驗證 接下來在 IIS 伺服器的驗證方法交談窗中, 勾選摘要式 Windows 網域伺服器驗證多選鈕後, 用戶端瀏覽器就會用這種驗證方式來傳送帳戶名稱及密碼。

88 基本驗證 這是最不安全的驗證方式, 帳戶名稱及密碼是以未加密的形式傳送到網站, 因此可能會遭有心人士從中攔截竊取。

89 設定網站的權限 使用者通過身份驗證後, 接下來網站會依據站台的權限設定, 決定網站所能提供的服務。舉例來說, 如果設定網站只提供讀取資料的權限, 那麼使用者就只能讀取網頁, 若網站開放寫入資料的權限, 則使用者就可以上傳資料。 網站的權限設定分成存取權限設定與應用程式設定, 設定方式如下：

90 設定網站的權限

91 設定網站的權限

92 存取權限設定 讀取 寫入 指令檔來源存取 瀏覽目錄 日誌查閱 編製這個資源的索引

93 讀取 預設每個網站都擁有讀取權限, 亦即站台都提供使用者讀取網頁的服務, 換言之, 用戶端可以從網站下載檔案。
請注意！如果網頁資料位於 NTFS 檔案系統的磁碟機上, 則使用者能否讀取網頁, 還需視 NTFS 權限的設定。若使用者沒有讀取網頁的 NTFS 權限, 即使網站提供讀取網頁的服務, 他還是無法讀取網頁。總之, 網站的存取權限設定如果與 NTFS 權限設定不一致時, 則取其中較嚴格的設定為有效設定。

94 寫入 允許用戶端上傳檔案或利用表單變更網頁內容。不過只有支援 HTTP 1.1 通訊協定PUT 功能的瀏覽器, 才能執行寫入動作。當然網頁也要有相對應的設計, 例如撰寫相關的 ASP 程式。 再次提醒您！即使網站提供寫入服務, 但若限制帳戶只擁有站台主目錄的 NTFS 讀取權限, 則仍然無法在此目錄中寫入檔案。

95 指令檔來源存取 這個項目只有在網站擁有讀取或寫入權限後, 才能勾選。一旦勾選此項, 則用戶端能夠存取指令檔 (例如 ASP 檔) 的原始碼。配合讀取權限, 用戶端能夠讀取原始碼；配合寫入權限, 用戶端能夠修改原始碼。 指令檔來源存取權限一般只會在開發網站階段開放給用戶端, 一旦站台建置完成, 建議您取消勾選此項。

96 瀏覽目錄 允許使用者瀏覽此站台的目錄。也就是說當使用者透過瀏覽器連上此站台時, 如果沒有指定檔名或目錄, 而且站台未啟用預設內容頁, 或預設文件不存在時, 便會看到此站台的目錄列表, 進而知悉此站台的目錄結構。如非必要, 建議不要開放此項權限。

97 日誌查閱 如果網站已經啟用了日誌記錄功能, 則勾選此項, 會使所有的檔案存取動作, 都記載到日誌檔中。

98 編製這個資源的索引 設定讓 Indexing Service (Windows Server 2003 R2 的系統服務之一) 為網站的內容建立索引, 讓使用者可以很快地在網站的文件中找到所搜尋的關鍵字。

99 應用程式設定 若要在網站執行應用程式, 例如 ASP、CGI、ISAPI等檔案, 則建立應用程式時必須指定應用程式的啟動點, 以及此應用程式的名稱。這方面的設定與程式開發有關, 我們僅就執行權限做說明。 要設定何種應用程式可以在網站中執行, 請開啟網站的內容交談窗, 並切換到主目錄頁次：

100 應用程式設定

101 應用程式設定 無：不允許任何應用程式在網站中執行；亦即, 用戶端只可以瀏覽靜態的網頁資料 (例如：圖檔或靜態 HTML 網頁)。
僅指令碼：只允許指令碼 (Script) 在網站中執行。指令碼包含 ASP 和 ASP.NET Passport 網頁以及 IDC (Internet Database Connection) 檔... 等。 指令碼及執行檔所有的應用程式 (包含指令碼) 都可以在網站中執行。應用程式可以是 EXE 檔以及 DLL 檔等。

102 4 - 4 利用 WebDAV 上傳網頁 建立基本的網站之後, 我們將介紹, 如何設定、利用 WebDAV 上傳個人的網頁資料。
一般而言, 用戶端會將檔案或設計完成的網頁用 FTP (請見第 8 章) 軟體上傳到網站。但在 Windows Server 2003 R2 上, 只要用 IIS 配合 WebDAV, 用戶端透過 IE 即可上傳網頁資料。

103 什麼是 WebDAV WebDAV (Web Distributed Authoring and Versioning) 是 HTTP 1.1 標準中的一項功能, 它讓用戶端只需透過 HTTP 協定連線就可以新增、刪除或修改網站上的資料。藉由 WebDAV, 網站上的資料彷彿就在本機中一般, 方便用戶端管理儲存在遠端的檔案。

104 什麼是 WebDAV IIS 從 5.0 版即支援 WebDAV, 但在 IIS 6.0 中, WebDAV 元件預設不會隨 IIS 一起安裝, 若您未依本章前述的安裝方式選取WebDAV 發行元件, 需再執行『開始/ 控制台/新增或移除程式』來安裝這個元件。

105 伺服器端的 WebDAV 設定 安裝好 WebDAV 後, 其功能預設就已在運作中, 若不放心, 可在網際網路資訊服務(IIS) 管理員中選擇網頁服務延伸項目來查看其狀態：

106 伺服器端的 WebDAV 設定

107 伺服器端的 WebDAV 設定 雖然 WebDAV 已在運作中, 但網站仍需開放寫入權限, 使用者才能從用戶端將資料傳送到伺服器。如果網頁是存放在 NTFS 資料夾, 使用者也需具備該資料夾的寫入、變更等權限。 因此管理員必須先在網站做好適當的權限設定, 才能讓 WebDAV 的功能得以發揮。在此沿用上一節的 My First Site 範例, 在此網站下新增一個虛擬目錄, 並開放此虛擬目錄的寫入權限：

108 伺服器端的 WebDAV 設定

109 伺服器端的 WebDAV 設定

110 伺服器端的 WebDAV 設定

111 伺服器端的 WebDAV 設定

112 伺服器端的 WebDAV 設定

113 伺服器端的 WebDAV 設定

114 伺服器端的 WebDAV 設定

115 用戶端連線 WebDAV 資料夾 在連線 WebDAV 資料夾前, 如果用戶端是 Windows XP/98/Me 等電腦, 不需做任何設定即可進行連線。但若是用 Windows Server 2003 R2 電腦為用戶端, 則在用戶端電腦上需先依如下的方式啟動 Web Client 服務, 才能正常連線。請先執行『開始/ 系統管理工具/ 服務』命令：

116 用戶端連線 WebDAV 資料夾

117 用戶端連線 WebDAV 資料夾

118 用戶端連線 WebDAV 資料夾

119 以新增網路位置精靈連線 用戶端可以透過數種不同方式連結到虛擬目錄, 使用 WebDAV 提供的功能來管理 IIS 伺服器上的檔案。在此先介紹使用新增網路位置精靈的方式, 請先開啟網路上的芳鄰視窗：

120 以新增網路位置精靈連線

121 以新增網路位置精靈連線

122 以新增網路位置精靈連線

123 以新增網路位置精靈連線

124 以新增網路位置精靈連線

125 以新增網路位置精靈連線 開啟 WebDAV 虛擬目錄後, 其操作方式和操作本機資料相同, 例如可在檔案圖示上按滑鼠右鈕, 進行檔案管理；可用滑鼠拉曳的方式, 將檔案從其它視窗『放到』伺服器上 (上傳)。這類基本操作, 在此就不多介紹。

126 以新增網路位置精靈連線

127 以 IE 直接連線 除了利用新增網路位置精靈外, 若想從 IE 中透過 WebDAV 來管理虛擬目錄中的檔案, 可依如下方式進行：

128 以 IE 直接連線

129 以 IE 直接連線 不管是用新增網路位置精靈或從 IE 中直接開啟, 此後在網路上的芳鄰中就會有代表 WebDAV 虛擬目錄的捷徑：