1. IIS 5.0新功能

本章重点
 

介绍IIS 5.0於安全性上、管理上、Internet标准上等所新增加的功能。

 

IIS 5.0新功能
 

Windows 2000的IIS(Internet Information Services)5.0提供甚麽样的新功能呢 ?

IIS 5.0新提供的功能如下:

  •  安全性上: 包括摘要式验证、整合的Windows验证、SGC(Server-Gated Cryptography)、Microsoft Certificate Services 2.0、集区处理程序之程式保护等。
     
  •  管理上: 包括IIS重新启动、站台CPU使用时间的限制、CPU资源使用记录、使用终端机服务远端管理IIS、自订错误讯息、新的预设执行程式(IISStart.asp、LocalStart.asp)。
     
  •  Internet标准上: 包括WebDAV(Web Distributed Authoring and Versioning)、FTP重新启动、HTTP压缩等。
     
  •  Active Server Pages: 包括新的转向方法(Server.Transfer与Server.Execute方法)、新的错误处理功能(Server.GetLastError方法)、支援XML、增快无指令.asp的执行速度、调升可安装元件的效能、支援Scriptlet、使用cookie取得浏览器资讯、自动增减执行绪(executing threads)、SRC伺服器端包含功能、侦测使用者是否仍然连线、Script Encoder编码保护、内建物件的新增功能等。

    本章介绍IIS 5.0於安全性上、管理上、Internet标准上等所新增加的功能,Active Server Pages新功能将於下一章介绍。

IIS 5.0硬体需求
 

IIS 5.0对硬体的需求,以Windows 2000 Server而言,建议采用如下,()内为最小需求:

  1. P2 / 400 MHz CPU(P1 / 166 MHz)
  2. 128 MB以上记忆体(80 MB)
  3. 100 MB Network Card(10 MB)
  4. SCSI HDD(IDE HDD)

以Windows 2000 Professional而言,建议采用硬体如下,()内为最小需求:

  1. P2 / 300 MHz CPU(P1 / 166 MHz)
  2. 80 MB以上记忆体(64 MB)
  3. 100 MB Network Card(10 MB)
  4. SCSI HDD(IDE HDD)

IIS 5.0於安全性上所新增加的功能,包括摘要式验证、整合的Windows验证、SGC(Server-Gated Cryptography)、Microsoft Certificate Services 2.0、集区处理程序之程式保护等,简介如下:

1-1 IIS 5.0於安全性上新增哪些功能呢?
 

摘要式验证
 

使用者登入IIS时,若采用IIS 4.0所提供的 基本验证 方式,在输入使用者名称和密码来建立连线时,会将使用者的名称及密码以未加密的格式透过网路传输,使用网路监视工具即可在网路传输中拦截和破解使用者名称及密码。

IIS 5.0新提供 摘要式验证 方式,当使用者登入IIS时输入使用者名称和密码来建立连线,透过网路传送「杂凑值」而非密码,设定画面如下:


 

 摘要式验证 方式可以跨越proxy伺服器或其他防火墙。

但是 摘要式验证 方式,於伺服器和用户端的浏览器方面都有一些限制:

  1.  伺服器方面: 只有在具有Windows 2000的网域主控站的网域,才能使用 摘要式验证 方式。
  2.  用户端的浏览器方面: 由於 摘要式验证 方式采用新的HTTP 1.1功能,目前唯有Internet Explorer 5.0或以後版本的浏览器才能使用 摘要式验证 方式。

整合的Windows验证
 

当使用者登入IIS时,不须输入使用者名称和密码即可建立连线整合的Windows验证,即以前的「Windows NT挑战与回应」验证(或称为NTLM),加上新的Kerberos v5验证通讯协定(Kerberos v5 Authentication Protocol)方式。设定画面如下:


 

使用整合的Windows验证时,用户端的浏览器会透过一种加密机制来验证密码,由於使用者名称和密码不会透过网路传送,因此整合的Windows验证是安全的验证形式。

但是 整合的Windows验证 方式於伺服器和用户端的浏览器方面都有一些限制:

  1.  伺服器方面: 不可以跨越proxy伺服器或其他防火墙。
  2.  用户端的浏览器方面: 唯有Internet Explorer 2.0以後版本的浏览器才支援整合的Windows验证方式。

因此 整合的Windows验证 最适合用於intranet环境。

SGC(Server-Gated Cryptography)
 

美国外销法律(Export Law)规定美国和加拿大以外地区只能使用40位元长度做为加解密之用。因此,美国和加拿大地区之SSL(Secure Sockets Layer)虽然可以使用128位元,但是美国和加拿大以外地区之SSL只能使用40位元。

SGC(Server-Gated Cryptography)是SSL的延伸,使用128位元,并限於使用於银行或其他经核准的应用上。SGC就是可以使用於美国和加拿大地区以外地区之128位元SSL。

为了保护於网际网路上传输的财务资料之安全,网路银行(Internet Banking)之应用建议采用128位元加解密方式。

使用SGC需要向CA(凭证授权单位)要求核发特殊的SGC凭证,目前只有VeriSign核发SGC凭证。

IIS伺服器方面,IIS 5.0支援128位元的SGC,IIS 3.0/4.0也支援SGC,但须另外安装SGC Add-on,并修改机码。详细资料可连线到 www.microsoft.com/security/tech/sgc 。

用户端的浏览器方面,Internet Explorer 4.0/5.0支援128位元的SGC。

Microsoft Certificate Services 2.0
 

使用Microsoft 2000的Microsoft Certificate Services 2.0可以自己扮演CA(凭证授权单位),自己可以发行伺服器凭证、用户端凭证。

CA所发行之凭证,可用於数位签章、SSL安全传输、TLS传输层安全、S/MIME保护邮件等。

Microsoft Certificate Services并未包含於Windows 2000的标准安装当中,须再加装。

使用Microsoft 2000 Microsoft Certificate Services 2.0的凭证功能,须先将凭证、凭证授权单位新增至MMC。画面如下:


 

说明

有关Certificate Services部份,请参阅 第十章〈伺服器凭证与SSL〉 、 第十一章〈用户端凭证与数位签名〉 。

集区处理程序之程式保护
 

为了避免一个不稳定的应用程式影响到整个IIS的运作,IIS 4.0可以将一个应用程式放在与其他程序完全隔绝的独立程序中执行。

IIS 5.0,则多了一个选择为所谓「中(集区的)」,可将所有应用程式一起於共用的集区处理程序中执行,与IIS处理程序分离。「中(集区的)」设定画面如下:


 

当您新建立一个应用程式时,IIS预设此应用程式与其他应用程式在同一个处理程序中执行,此处理程序与IIS核心处理程序分离。

对於重要的应用程式,您可以设定於独立的处理程序中执行。

1-2 IIS 5.0於管理性上新增哪些功能呢?
 

IIS 5.0於管理上所新增加的功能,包括IIS重新启动、站台CPU使用时间的限制、CPU资源使用记录、使用终端机服务远端管理IIS、自订错误讯息、新的预设执行程式(IISStart.asp、LocalStart.asp)等,简介如下:

IIS重新启动
 

在之前的IIS版本,当应用程式执行错误时,常常必须重新启动电脑。

IIS 5.0可以从 Internet服务管理员 来直接停止和启动所有的Internet服务,不须重新启动电脑。设定画面如下:


 

另外也可以使用Iisreset.exe重新启动IIS。

站台CPU使用时间的限制
 

若在一个Web伺服器电脑上执行多个Web站台时,有的站台可能耗尽大部份CPU处理资源,以导致其他站台分不到CPU处理的资源。现在IIS 5.0,让您可以限制每一个Web站台最多可以使用多少CPU处理时间。

站台CPU使用时间限制的设定画面如下:


 

说明

有关站台CPU使用时间的限制部份,请参阅 7-6〈如何限制站台CPU的使用时间呢?〉 。

CPU资源使用记录
 

IIS 5.0之W3C扩充日志档加入 处理帐户 栏位来记录有关Web站台如何使用伺服器CPU资源的资讯。设定画面如下:


 

您可以使用这些资讯,来判断站台是否使用了过高的CPU资源,也可以用来侦测指令档或CGI处理程序的错误。每一个站台可以设定W3C扩充日志档记录中的处理帐户选项,只有选取W3C扩充记录档案格式时,才会加予记录。

使用终端机服务远端管理IIS
 

Windows 2000提供的 Microsoft终端机服务 (Terminal Service)功能,让您可以透过LAN、PPTP、或拨接等网路连线由远端管理IIS。

「终端机服务」提供类似PC Anywhere的功能,让使用者能在远端使用个人电脑,执行伺服器上的应用程式。使用者的电脑只负责键盘、滑鼠和萤幕显示等输入输出的功能,且只当做一台终端机而已。

使用非Windows用户端的电脑,如UNIX工作站,只要安装协力厂商的外挂用户端软体,也可以使用终端机服务进行远端管理。

自订错误讯息
 

当Web站台发生HTTP错误时,用户端於浏览器中会收到IIS所传送的错误讯息,IIS 5.0可以自己制作错误的讯息。

透过500-100.asp程式,可以自订错误讯息。设定画面如下:


 

说明

有关自订错误讯息部份,请参阅 2-3〈如何使用Server.GetLastError呢?〉 。

新的预设执行程式
 

IIS 5.0提供新的预设执行程式IISStart.asp、LocalStart.asp。一个Web站台或虚拟目录若没有Default.htm或Default.asp,会执行IISStart.asp,而於IIS本机电脑执行时,则会先执行LocalStart.asp。

1-3 IIS 5.0於Internet标准上新增哪些功能呢?
 

IIS 5.0於Internet标准上所新增加的功能,包括WebDAV(Web Distributed Authoring and Versioning)、FTP重新启动、HTTP压缩等,简介如下:

WebDAV
 

WebDAV(Web Distributed Authoring and Versioning)为一个HTTP/1.1通讯协定的延伸建议RFC-2518,让用户端使用者可以透过网路来进行网页内容的编辑工作。WebDAV透过HTTP/1.1通讯协定标准,提供简单的档案输入/输出(simple File I/O)的功能。

安装Windows 2000、Internet Explorer 5、或Office 2000的用户端电脑,具有权限的使用者,就可以针对IIS的虚拟目录来发行、锁定、管理Web的资源,将文件发行至Web伺服器,并在Web目录中处理档案,包含:

  1.  移动、复制档案: 具有权限的使用者可以在WebDAV目录中移动、复制档案。
  2.  修改档案: 具有权限的使用者可以读取、修改写入档案的内容。
  3.  锁定档案: 多位使用者可以同时读取同一个档案,读取时会将档案锁定,因此同时只有一人可以修改同一个档案。
  4.  搜寻档案: 连线到WebDAV目录後,就可以搜寻WebDAV目录中的档案与内容,譬如搜寻到所有由Jack所建立的档案,或者搜寻所有含IIS关键字的档案。

说明

有关WebDAV部份,请参阅 第六章〈WebDAV〉 。

FTP重新启动
 

在以前的IIS版本,FTP下载档案过程时若网路连线中断,必须重新下载档案。IIS 5.0则提供了FTP重新启动功能,FTP下载档案过程时若网路连线中断,支援FTP重新启动的用户端使用REST指令,就可重新建立FTP连线,档案传输会自动从中断处再继续传递,而不须重头开始下载。

FTP重新启动功能仅对下载档案有效,当上载档案到伺服器(PUT)、使用万用字元下载档案(MGET)、或下载超过4 GB量的档案时,IIS 5.0不会执行FTP重新启动功能。

HTTP压缩
 

为了增加Web伺服器与用户端之间的网页传输速度,可以启用HTTP压缩,将静态内容档案压缩。

根据实验测试,将静态和动态内容压缩,大约可以减少20%的传输量。

动态产生的内容档案(压缩应用程式档案)也可以压缩,但是须耗费额外CPU处理时间,若% Processor Time已经百分之八十或更多时,建议不要压缩。

HTTP压缩功能启用或关闭,系针对整台Web伺服器来设定。

用户端需使用Internet Explorer 5.0浏览器连线到已经启用HTTP压缩IIS 5.0之Web伺服器,才有HTTP压缩功能。

若要启用HTTP压缩功能,方法为在 Internet服务管理员 中,选取电脑之 内容 ,并在 主要内容 中选取 WWW服务 。然後按一下 编辑 按钮,如下:


 

 服务 标签页上,选取 压缩静态档案 可以压缩静态档案;选取 压缩静态档案  压缩应用程式档案 可以压缩应用程式档案,如下:


 

保存压缩之档案可於 暂时资料夹 中设定,此目录必须在本机NTFS磁碟中,不可共用。保存压缩档案之大小可於 限制在 栏位中输入数字来加以限制其大小。