遠(yuǎn)程管理IIS網(wǎng)站

同 Apache、Tomcat等 網(wǎng)絡(luò)服務(wù)器軟件相比，Microsoft的 IIS（Internet Information Server）具有安裝方便、使用配置簡單的特點(diǎn)，在網(wǎng)絡(luò)上使用得非常廣泛，許多網(wǎng)站都是基于IIS建立的。為了保證網(wǎng)站的正常運(yùn)行，需要經(jīng)常對(duì)其進(jìn)行維護(hù)和管理。通常大家都是采用FTP方式對(duì)網(wǎng)站文件進(jìn)行維護(hù)。不過，這需要另外架設(shè)FTP服務(wù)器，進(jìn)行FTP賬戶的創(chuàng)建和配置操作，增加了網(wǎng)絡(luò)運(yùn)維的工作量。另外，一旦FTP賬戶密碼被黑客破譯，就會(huì)對(duì)整個(gè)網(wǎng)站帶來威脅。其實(shí)，我們完全可以打破常規(guī)，采用更加安全高效的方法，對(duì)IIS網(wǎng)站進(jìn)行遠(yuǎn)程管理操作。

圖1 添加所需的角色

使用WebDAV遠(yuǎn)程管理網(wǎng)站

除了使用FTP等傳統(tǒng)手段來管理Web網(wǎng)站外，還可以使用WebDAV（Web Distributed Authoring and Versioning）來對(duì)網(wǎng)站進(jìn)行維護(hù)。WebDAV擴(kuò)展了HTTP 1.1協(xié)議的功能，允許擁有合適權(quán)限的用戶，通過瀏覽器等工具，來遠(yuǎn)程管理網(wǎng)站中WebDAV文件夾中的文件，可以用來維護(hù)網(wǎng)站中的網(wǎng)頁文件等內(nèi)容，相比FTP來說，其安全性更高，使用起來更加方便。

本例中服務(wù)器上安裝的是Windows Server 2008 R2，客戶機(jī)使用的Windows 7。首先需要在IIS組件中安裝了“URL授權(quán)”和“WebDAV發(fā)布”對(duì)象。如果沒有的話，需要在服務(wù)器管理器窗口左側(cè)選擇“角色→Web服務(wù)器（IIS）”項(xiàng)，在右側(cè)點(diǎn)擊“添加角色服務(wù)”連接，在選擇角色服務(wù)窗口（如圖1）中的“常見HTTP功能”分支下選擇“WebDAV發(fā)布”項(xiàng)，在“安全性”分支下選擇“URL授權(quán)”項(xiàng)，之后點(diǎn)擊下一步按鈕，按照提示完成以上角色的安裝操作。

在IIS信息服務(wù)管理窗口（如圖2）左側(cè)的“網(wǎng)站”節(jié)點(diǎn)下選擇合適的站點(diǎn)（例如“Default Web Site”等），在窗口中部雙擊“WebDAV創(chuàng)作規(guī)則”項(xiàng)，在窗口右側(cè)列表中點(diǎn)擊“啟用WebDAV”鏈接，激活WebDAV服務(wù)。

圖2 IIS信息服務(wù)管理窗口

圖3 添加創(chuàng)作規(guī)則

點(diǎn)擊“添加創(chuàng)作規(guī)則”鏈接，在彈出窗口（如圖3）中的“允許訪問”欄中選擇“全部內(nèi)容”項(xiàng)，在“允許訪問此內(nèi)容”欄中選擇“指定的用戶”項(xiàng)，輸 入“administrator”賬戶名，在“權(quán)限”欄中選擇“讀取”、“源”、“寫入”等項(xiàng)，授予Administrator賬戶對(duì)所有內(nèi)容擁有讀取寫入等權(quán)限，點(diǎn)擊“確定”按鈕，保存規(guī)則信息。在IIS信息服務(wù)管理窗口選擇目標(biāo)站點(diǎn)，在窗口中部雙擊“身份驗(yàn)證”項(xiàng)，在身份驗(yàn)證界面中的“Windows身份驗(yàn)證”欄中選擇“已啟用”項(xiàng)。如果啟用了“基本身份驗(yàn)證”項(xiàng)，那么WebDAV客戶端就需要使用HTTPS協(xié)議來連接WebDAV網(wǎng)站。

為了讓客戶端可以順利連接WebDAV網(wǎng)站，必須依靠WebDAV Redirector組件的支持方可。WebDAV Redirector是架構(gòu)在WebDAV協(xié)議上的遠(yuǎn)程文件系統(tǒng)，允許客戶端訪問WebDAV網(wǎng)站服務(wù)器中的文件，如同訪問普通的文件服務(wù)器一樣。在Windows XP/7等各版本的Windows中，其實(shí)已經(jīng)內(nèi)置了WebDAV Redirector組件，不過要想讓其正常運(yùn)作，必須開啟WebClient服務(wù)。在命令提示符窗口中執(zhí)行“sc start webclient”命令，就可以啟動(dòng)該服務(wù)。其實(shí)，當(dāng)Windows 7客戶端在連接WebDAV網(wǎng)站時(shí)，服務(wù)器上的WebClient服務(wù)會(huì)自動(dòng)啟動(dòng)。注意，在Windows 2008 Server R2中默認(rèn)并沒有安裝WebDAV Redirector，為此可以在服務(wù)器管理器中啟動(dòng)功能添加向?qū)Ы缑?，在選擇功能窗口中選擇“桌面體驗(yàn)”項(xiàng)，來安裝WebDAV Redirector。

當(dāng)服務(wù)器端啟用和配置好WebDAV Redirector各項(xiàng)參數(shù)后，在客戶端上就可以執(zhí)行連接操作。例如，在Windows 7桌面上的“網(wǎng)絡(luò)”圖標(biāo)的右鍵菜單中點(diǎn)擊“映射網(wǎng)絡(luò)驅(qū)動(dòng)器”項(xiàng)，在彈出窗口中的“驅(qū)動(dòng)器”列表中選擇合適的盤符，在“文件夾”欄中輸入目標(biāo)網(wǎng)站地址（例如“http：//www.xxx.com/”等）。注意，如果目標(biāo)網(wǎng)站采用的驗(yàn)證方法為基本身份驗(yàn)證，就需要使用“https：//www.xxx.com/”之 類 的HTTPS鏈接。點(diǎn)擊“完成”按鈕，在登錄窗口中輸入賬戶名（本例為“administrator”）和密碼，點(diǎn)擊連接按鈕，就可以連接到WebDAV網(wǎng)站中。

之后在資源管理器左側(cè)的“計(jì)算機(jī)”節(jié)點(diǎn)下會(huì)出現(xiàn)映射成功后得到的網(wǎng)絡(luò)盤符，在其中顯示網(wǎng)站中的所有文件。您就可以如同操作本地文件一樣，對(duì)網(wǎng)站中的文件進(jìn)行編輯。當(dāng)然，也可以命令行來完成連接操作。在命令提示符窗口中執(zhí)行“net use z：http：//www.xxx.com”命令，之后按照提示輸入賬戶名和密碼，就可以將WebDAV網(wǎng)站映射到Z盤中。如果執(zhí)行“net use * http：//www.xxx.com”命令，則可以讓系統(tǒng)自動(dòng)為WebDAV網(wǎng)站設(shè)定可用的網(wǎng)絡(luò)盤符。如果在連接過程中出現(xiàn)錯(cuò)誤，需要對(duì)一些關(guān)鍵環(huán)節(jié)進(jìn)行檢查，例如客戶端主機(jī)是否安裝了WebDAV Redirector組件，是否啟動(dòng)了WebClient服務(wù)，服務(wù)器網(wǎng)站上是否啟用了WebDAV組件，網(wǎng)站使用的身份驗(yàn)證模式是否合適等。例如，網(wǎng)站使用基本身份驗(yàn)證，客戶端卻使用常規(guī)的HTTP協(xié)議連接等。檢測網(wǎng)站上配置的WebDAV規(guī)則是否為賬戶授予了合適的權(quán)限，防止因?yàn)闄?quán)限不足無法連接。檢查客戶機(jī)的DNS服務(wù)器參數(shù)是否設(shè)置正確，避免無法檢測到網(wǎng)站的IP。

圖4 創(chuàng)建IIS管理賬戶

圖5 查看功能委派設(shè)置信息

圖6 管理服務(wù)設(shè)置界面

委派指定賬戶遠(yuǎn)程管理Web網(wǎng)站

一般情況下，都是服務(wù)器管理員負(fù)責(zé)IIS網(wǎng)站的維護(hù)工作。在某些情況下，可能需要將管理權(quán)交與非管理員的用戶來使用。這里假設(shè)IIS網(wǎng)站安裝在一臺(tái)Windows Server 2008 R2上，需要從另一臺(tái)Windows Server 2008 R2或者Windows 7主機(jī)對(duì)其遠(yuǎn)程管理為例，說明具體的實(shí)現(xiàn)方法。首先在IIS主機(jī)上打開服務(wù)器管理器窗口，在左側(cè)點(diǎn)擊“角色”項(xiàng)，在右側(cè)的Web服務(wù)器（IIS）界面中點(diǎn)擊“添加角色服務(wù)”鏈接，在向?qū)Ы缑嬷械摹肮芾砉ぞ摺惫?jié)點(diǎn)下的“管理服務(wù)”項(xiàng)，來安裝該角色。

對(duì)IIS網(wǎng)站進(jìn)行管理，可以配置兩種賬戶類型。一種是本地的賬戶或者域賬戶。一種是IIS管理器賬戶。對(duì)于后者來說，可以在IIS管理器中雙擊“IIS管理器用戶”項(xiàng)，在彈出窗口（如圖4）右側(cè)點(diǎn)擊“添加用戶”鏈接。輸入用戶名和密碼，創(chuàng)建所需的賬戶。

要想讓非管理員用戶對(duì)IIS管理器進(jìn)行遠(yuǎn)程管理，需要針對(duì)不同的管理權(quán)限，通過功能委派的方式來實(shí)現(xiàn)。在IIS管理器中雙擊“功能委派”項(xiàng)，可以查看默認(rèn)的配置信息（如圖5）?？梢钥闯觯煌奈身?xiàng)目對(duì)應(yīng)的權(quán)限包括只讀，讀寫等。例如。對(duì)于目錄瀏覽來說，遠(yuǎn)程管理者具有對(duì)所有網(wǎng)站的目錄具有讀取寫入的權(quán)限。

當(dāng)然，可以根據(jù)實(shí)際需要，針對(duì)不同的網(wǎng)站設(shè)置不同的委派配置參數(shù)。在功能委派管理面板右側(cè)點(diǎn)擊“自定義站點(diǎn)委派”鏈接，在“站點(diǎn)”列表中選擇目標(biāo)站點(diǎn)（例如“Default Web Site”等），在面板下部的針對(duì)不同的委派項(xiàng)目（例如HTTP響應(yīng)頭，HTTP重定向，IPv4地址和域限制等），進(jìn)行權(quán)限的設(shè)置操作。例如，選擇對(duì)應(yīng)的委派項(xiàng)目，在右側(cè)點(diǎn)擊“讀/ 寫”，“只讀”，“未委派”等鏈接，可以更改其屬性。為了順利實(shí)現(xiàn)遠(yuǎn)程管理操作，必須在IIS主機(jī)上開啟遠(yuǎn)程連接功能。在IIS管理器中雙擊“管理服務(wù)”項(xiàng)，在管理服務(wù)面板（如圖6）中勾選“啟用遠(yuǎn)程連接”項(xiàng)，在“標(biāo)識(shí)憑據(jù)”欄中選擇“僅限于Windows憑據(jù)”項(xiàng)，表示只允許本地的賬戶或者域賬戶執(zhí)行遠(yuǎn)程管理操作。

選擇“Windows 憑據(jù)或IIS管理器憑據(jù)”項(xiàng)，表述允許本地的賬戶或者域賬戶和IIS賬戶執(zhí)行管理操作。在右側(cè)選擇“應(yīng)用”項(xiàng)，并點(diǎn)擊“啟動(dòng)”鏈接項(xiàng)，激活遠(yuǎn)程連接功能。在IIS管理器中雙擊“IIS管理器權(quán)限”項(xiàng)，在打開窗口的右側(cè)點(diǎn)擊“允許用戶”鏈接。在允許用戶窗口中選擇用戶類型，包括Windows賬戶和IIS管理器賬戶。例如這里選擇“IIS管理器”項(xiàng)，輸入IIS賬戶名稱，或者點(diǎn)擊“選擇”按鈕，選擇所需的IIS賬戶。為了保證客戶端可以順利執(zhí)行遠(yuǎn)程訪問，需要在IIS主機(jī)上對(duì)防火墻進(jìn)行合理配置，允許文件和打印機(jī)共享通過防火墻。

當(dāng)配置好IIS主機(jī)后，接下來需要在執(zhí)行遠(yuǎn)程訪問的主機(jī)上安裝所需的遠(yuǎn)程管理工具。在服務(wù)器管理器中打開添加功能操作界面，在選擇功能窗口中的“遠(yuǎn)程服務(wù)器管理工具”節(jié)點(diǎn)下打開“角色管理工具”項(xiàng)，在其中選擇“Web服務(wù)器（IIS）工具”項(xiàng)，執(zhí)行該功能項(xiàng)的安裝操作。如果使用Windows 7客戶機(jī)的話，需要安裝Remote Server Administrator Tools for Windows 7這一工具。當(dāng)安裝完畢后，在控制面板中打開“程序”類，在其中雙擊“打開或關(guān)閉Windows功能”項(xiàng)，在彈出窗口中勾選“遠(yuǎn)程服務(wù)器管理工具”項(xiàng)，選擇所需的工具項(xiàng)目即可。下載地址：http：//www.microsoft.com/en-us/download/details.aspx?id=7887。

在Internet信息服務(wù)（IIS）管理器窗口中打開起始頁界面，在其中點(diǎn)擊“連接至站點(diǎn)”鏈接，在打開窗口中輸入服務(wù)器名稱和站點(diǎn)名稱，點(diǎn)擊下一步按鈕，輸入目標(biāo)服務(wù)器上的賬戶名或者IIS管理器賬戶名，輸入密碼，執(zhí)行連接操作，如果出現(xiàn)服務(wù)器證書報(bào)警窗口，點(diǎn)擊“連接”按鈕即可。當(dāng)完成連接操作后，在客戶機(jī)的IIS管理器窗口左側(cè)就會(huì)出現(xiàn)目標(biāo)網(wǎng)站項(xiàng)目，選擇對(duì)應(yīng)的網(wǎng)站名稱，就可以在右側(cè)窗口顯示其管理分組項(xiàng)目，您就可以對(duì)其進(jìn)行靈活的遠(yuǎn)程管理操作了。

深入分析IIS用戶身份驗(yàn)證方式

前面談到了Windows身份驗(yàn)證，IIS基本身份驗(yàn)證等模式，這就涉及到IIS的用戶管理方式。實(shí)際上，IIS用來驗(yàn)證用戶名稱和密碼的方式不僅包括以上兩種，還包括摘要式身份驗(yàn)證，匿名身份驗(yàn)證等。了解這些身份驗(yàn)證方式，對(duì)于IIS的管理是極為重要的。在默認(rèn)情況下，IIS網(wǎng)站允許所有的用戶進(jìn)行訪問，但是如果網(wǎng)站僅僅針對(duì)特定的用戶開放的話，來訪者就必須輸入合適的賬戶名和密碼。

一般來說，系統(tǒng)默認(rèn)采用匿名身份驗(yàn)證模式。如果需要使用其他的驗(yàn)證方式，在IIS主機(jī)上打開服務(wù)器管理器窗口，在左側(cè)點(diǎn)擊“角色”項(xiàng)，在右側(cè)的Web服務(wù)器（IIS）界面中點(diǎn)擊“添加角色服務(wù)”鏈接，在選擇角色服務(wù)界面中的IIS安全性欄中選擇“基本身份驗(yàn)證”，“Windows身份驗(yàn)證”，“摘要式身份驗(yàn)證”等項(xiàng)目。實(shí)際上，不僅可以針對(duì)整個(gè)網(wǎng)站設(shè)置身份驗(yàn)證方式，還可以對(duì)其中的文件或者文件夾設(shè)定合適的身份驗(yàn)證模式。

例如，在IIS管理器中選擇對(duì)應(yīng)的站點(diǎn)，雙擊“身份驗(yàn)證”項(xiàng)，在彈出窗口（如圖7）中選用合適的身份驗(yàn)證模式即可。如果您同時(shí)啟用了所有的身份驗(yàn)證模式，那么當(dāng)客戶端訪問目標(biāo)網(wǎng)站，文件夾或者文件時(shí)。首先執(zhí)行匿名身份驗(yàn)證，如果驗(yàn)證失敗，則按照順序依次執(zhí)行Windows驗(yàn)證，摘要式身份驗(yàn)證，基本身份驗(yàn)證模式。

不管是何種的瀏覽器，都支持匿名身份驗(yàn)證模式，無需輸入賬戶名和密碼，就可以訪問目標(biāo)網(wǎng)站。實(shí)際上，在系統(tǒng)內(nèi)部內(nèi)置了名為IUSR的賬戶，當(dāng)用戶匿名訪問網(wǎng)站時(shí)，其具有的權(quán)限與該賬戶相當(dāng)。當(dāng)使用身份驗(yàn)證模式時(shí)，用戶在訪問目標(biāo)網(wǎng)站時(shí)，必須輸入對(duì)應(yīng)的賬戶名和密碼。不過，在發(fā)送賬戶和密碼給服務(wù)器時(shí)，其并沒有加密。為了保護(hù)其安全性，最好使用SSL加密連接方式。

要想使用該種驗(yàn)證方式，必須先禁用其他三種身份驗(yàn)證方式。在身份驗(yàn)證管理界面中選擇“基本身份驗(yàn)證”項(xiàng)，點(diǎn)擊“編輯”鏈接，在彈出窗口中的“默認(rèn)域”欄中可以輸入對(duì)應(yīng)的域名，這樣當(dāng)客戶端訪問時(shí)，就可以將賬戶名密碼發(fā)送到該域中的域控制器進(jìn)行檢測。該值默認(rèn)為空，表示將賬戶名和密碼發(fā)送到IIS服務(wù)器的本地安全數(shù)據(jù)庫，或者發(fā)送到本域中的Active Directory數(shù)據(jù)庫中來檢查其是否合法。在“領(lǐng)域”欄中輸入登錄提示信息（例如本單位名稱等），該信息會(huì)顯示客戶端的登錄窗口中。

圖7 選擇身份驗(yàn)證模式

相比基本身份驗(yàn)證模式，摘要式身份驗(yàn)證模式要安全得多，當(dāng)客戶端輸入賬戶名和密碼時(shí)，這些信息會(huì)經(jīng)過MD5加密處理，然后才發(fā)送給目標(biāo)服務(wù)器。當(dāng)然，前提是IIS主機(jī)必須是活動(dòng)目錄域中的成員或者域控制器，賬戶名必須是活動(dòng)目錄域用戶，該賬戶必須與IIS主機(jī)位于同域或者是信任域。使用該種身份驗(yàn)證模式，需要禁用Windows驗(yàn)證模式和匿名身份驗(yàn)證模式。在身份驗(yàn)證管理界面中選擇“摘要式身份驗(yàn)證”項(xiàng)，點(diǎn)擊“編輯”鏈接，在彈出窗口中的“領(lǐng)域”欄中輸入對(duì)應(yīng)的域名。當(dāng)客戶端連接網(wǎng)站時(shí)，在登錄窗口中輸入域賬戶名和密碼，才可以執(zhí)行連接操作。

如果使用Windows身份驗(yàn)證模式，在連接時(shí)同樣要求輸入賬戶名和密碼，這些信息也經(jīng)過加密處理，其支持Kerberos v5和NTLM驗(yàn)證協(xié)議。一般來說，因?yàn)镵erberos v5協(xié)議會(huì)被防火墻攔截，而NTLM認(rèn)證協(xié)議得不到代理服務(wù)器的支持。因此，該身份驗(yàn)證模式很適用于內(nèi)網(wǎng)環(huán)境。內(nèi)網(wǎng)客戶端可以利用該模式，來連接內(nèi)部網(wǎng)咯。為了提高使用的靈活性，可以利用自動(dòng)登錄賬戶來連接網(wǎng)站。

例如在IE中打開配置窗口，在“安全”面板中選擇“本地Intranet”項(xiàng)，點(diǎn)擊“站點(diǎn)”按鈕，在彈出窗口中點(diǎn)擊“高級(jí)”按鈕，在本地Intranet窗口中輸入網(wǎng)站地址，點(diǎn)擊“添加”按鈕，將其添加到網(wǎng)站列表中。點(diǎn)擊“自定義級(jí)別”按鈕，在彈出窗口中“用戶身份驗(yàn)證”合適的登錄項(xiàng)目，例如選擇“自動(dòng)使用當(dāng)前用戶名和密碼登錄”等。這樣，在連接目標(biāo)網(wǎng)站時(shí)，就可以使用當(dāng)前賬戶和密碼自動(dòng)登錄了。如果登錄失敗的的話，可以按照提示輸入其他的賬戶和密碼進(jìn)行登錄即可。