首页 » 建站技术 » 浏览内容

[IIS总结 5 ]IIS常见问题及解答以及故障分析


2005-09-20 08:47:29 5,726 0 发表评论 字体: 作者:C.K.

体验版 88 元,个人版 128 元,多用户版 288元个人版160元升级到多用户版。

From:http://www.im286.com/viewthread.php?tid=1072095&extra=page%3D1%26filter%3Ddigest

利用FrontPage Server Extensions管理您的NTFS权限

问:我们在自己的IIS 4和IIS 5服务器上装载了FrontPage Server Extensions 2000。我们发现,一旦载入FrontPage Server Extensions 2000,服务器上的NTFS权限便会遭到修改。新的权限中将包含对网络与交互组的使用。您能否解释一下这些组的作用以及FrontPage Server Extensions如何管理NTFS权限?

答:当您在Web服务器上安装FrontPage Server Extensions(FPSE)时,需要确定允许FPSE自动管理相关权限,还是希望手工管理相关权限。缺省情况下,FPSE将自动对其所处Web站点的权限进行管理。如果需要的话,您可以禁用这种自动管理方式,为此,您只需在Internet Information Services管理器中的服务器图标上右键单击鼠标,选择“Server Extensions”选项卡,并选定“手工管理权限”复选框。请注意,这是一个服务器级选项,它无法针对各个站点采取不同的设置。在此,我强烈建议您从允许FPSE自动管理权限或手工管理权限这两种方式中选择其一,而不要尝试同时使用这两种方式。

位于网址http://officeupdate.microsoft.com/frontpage/wpp/serk/上的FPSE 2000资源工具包提供了关于由FPSE所分配并维护的相关权限的详细信息。这些权限中包含您在问题中所提到的针对网络与交互组的使用情况。

网络组是一种自动进行维护的本地组,它由所有包含某种网络登录类型的用户所组成。网络组中的成员通常通过网络进行登录。交互组同样是一种自动进行维护的本地组,它由所有包含某种本地登录类型的用户所组成。本地组包含在计算机控制台上进行登录的用户以及通过基本身份验证功能实现身份验证的用户。

从多种身份验证方法中进行选择

问:IIS 5允许您针对Web站点选择多种不同的身份验证方法。当您同时选择匿名身份验证、基本身份验证和集成化Windows身份验证方法时,请问IIS将如何选择针对特定用户的身份验证机制?

答:针对这一问题的背景情况比较复杂,但其可以通过几条规则来加以总结。这些规则同时适用于IIS 4和IIS 5。有关身份验证方法的第一条不变规则是“如果可能的话,您将首先以匿名用户的身份通过验证。”从资源角度考虑,这种方式只要求在服务器上启用匿名身份验证方式–即确保匿名用户拥有访问请求资源的权限。针对这条规则的唯一例外情况是,用户已经以匿名用户以外的其它用户身份通过验证,且系统支持除匿名验证方式以外的其它身份验证方式。

假设您已经选择了多种身份验证方法,且用户无法凭借匿名用户身份通过验证,那么,如何确定所需采用的身份验证方法呢?答案是IIS将向客户端提供一份身份验证方法列表,由客户端自行选择何种方法最为安全可靠。当您同时选择基本身份验证和集成化Windows身份验证(或者IIS 4中的Windows NT 质询/响应身份验证方法)时,由于无法执行集成化Windows身份验证,Netscape将选择基本身份验证方法。相反,对于Internet Explorer来说,如果提供同样的选项,它将选择集成化Windows身份验证方法。在IIS 5服务器上,IIS与IE将进一步确定是否支持Kerberos,如果支持的话,最终将选择使用Kerberos身份验证方法。对于包括IIS 4在内的其它情况,将使用Windows NT 质询/响应身份验证方法。

重新命名IIS Server将会导致何种后果?

问:作为对11月份所提问题的延续:“请问对IUSR帐号进行重命名将会产生何种后果?”,我希望了解重命名服务器时针对IIS服务器所产生的后果。

答:服务器名称是在Windows 2000安装过程中分配的,此名称可以在安装完成后进行修改。从技术上讲,服务器名称、计算机名称和主机名称这三种术语均可用于描述计算机的Betbios名称。您可以在命令行窗口中使用“hostname”命令来确定当前服务器名称。

在Microsoft网络中,此名称用于通过WINS、DNS(在Windows 2000中)或使用Netbios名称表查找方式将服务器名称解析为IP地址。IIS并不使用这种服务器名称,因此,您可以任意对其进行修改。然而,这并不意味着其它应用程序或应用程序中所包含的COM对象均独立于服务器名称。举例来说,如果运行IIS 4的服务器上安装了Site Server 3,那么,系统便不支持您修改服务器名称。当您在运行IIS 4的服务器上修改服务器名称时,需要完成一些必要的内部管理工作,如需获取有关这些工作的详细描述信息,请参阅http://support.microsoft.com/default.aspx?scid=kb;EN-US;234142&sd=tech。相比之下,IIS 5的处理方式则截然不同,我经常对运行IIS 5的Windows 2000服务器进行服务器名称修改操作,且从未遇到过任何异常现象;但是,尽管如此,我还是建议您不要轻易执行这项操作。

如需修改服务器名称,请右键单击“我的电脑”,在随后出现的快捷菜单中选择“属性”并单击“网络标识”。此后,单击“属性”按钮以查看“计算机名称”设置。

在执行此类修改操作后,请牢记,服务器名称以及IUSR_和IWAM_用户帐号仍将反映原有的服务器名称。这些对象未被更新为反映新的服务器名称。然而,这与IIS没有任何关联,匿名身份验证过程(以及由此衍生而来且以IWAM用户帐号身份运行的处理应用程序)仍将顺利执行。如果使用诸如远程MMC控制台、脚本或终端服务客户端之类需要查找原先服务器名称的远程应用程序,那么,您还需要进行其它一些修改。此外,通过IIS服务器上的文件共享方式进行内容发布的客户端需要使用新的服务器名称对其共享文件夹连接进行更新。

请记住,安装证书服务的Windows 2000服务器无法修改自身标识。在对相应计算机名称进行修改,或者将其加入到域中或从域中剥离之前,您必须首先卸载证书服务。

“语法分析程序错误消息”具有何种含义?

问:我拥有一台装有最新补丁程序的IIS 5服务器,这台服务器总是收到内容为“语法分析程序错误消息:这是一个由于在应用程序层上使用注册为allowDefinition=‘MachineToApplication’的部分所导致的错误。这个错误可能是由一个在IIS中未被配置为应用程序的虚拟目录所造成的。”的出错信息。请问这是为什么?

答:我喜欢这些内容详细的ASP.NET错误消息!它们不仅描述了出现问题的原因,同时还经常为您提供解决方案。如果您的ASP.NET应用程序被配置为需要使用那些在元数据库定义好的“应用程序”的特性(如或),而这些“应用程序”定义又不存在,那么,您将看到这条出错信息。您可以通过从web.config文件中删除相关设置或分别在Web站点、虚拟目录或目录的“主目录”、“虚拟目录”和“目录”属性选项卡上点击“创建”按钮的方式纠正这种错误。为执行上述操作,您至少需要具备针对上述位置的脚本执行权限和读取权限。

如何分析URLScan日志文件?

问:为确定我们的服务器所遭受的攻击类型并对其进行分类,我们目前正在着手对W2SVC和URLScan的日志文件进行分析。虽然我们已经找到了能够载入W3SVC日志文件的产品,但这些工具却无一能够对URLScan的日志文件进行扫描。请问Microsoft公司是否提供了能够帮助我们对URLScan日志文件进行分析的产品或工具?

答:请问一种允许您针对URLScan日志、W3SVC、事件查看器记录或其它任意一种基于文本的日志文件(如防火墙或入侵监测系统日志)进行数据挖掘、格式变化并生成分析报告的免费实用工具是否能够满足您的需要?Microsoft所提供的免费日志分析器工具正是专为满足那些需要收集并报告从具有不同文件格式的日志文件或其它数据源中所提取重要信息的IIS管理员、系统管理员和安全管理员的日常工作需求而设计的。

日志分析器可以将采用多种不同格式的日志文件当作“数据源”进行处理,这些日志文件包括:
W3C Extended
IIS
IISMSID [在安装MSIDFILT过滤器或CLOGFILT过滤器后所生成的Microsoft IIS日志格式文件]
NCSA Common
二进制日志文件格式(针对IIS 6)
开放式数据库连接(ODBC)
URLScan
HTTP错误日志文件(针对IIS 6)
针对系统日志文件、应用程序日志文件、安全事件日志文件和EVT备份日志文件的事件查看器记录。
普通CSV文件
普通W3C文件,如个人防火墙日志文件,Windows媒体服务日志文件和Exchange跟踪日志文件。
文件与目录结构信息。
普通文本文件
日志分析器包含一种允许您通过运行SQL查询语句的方式生成分析报告或重新格式化信息结构的查询引擎。某些通过SQL语法实现的技巧将为您提供极大的便利。
例如,您可以通过以下语句针对某个Web站点汇总每小时处理的请求个数以及所发送的字节数量:

SELECT TO_STRING(TO_TIMESTAMP(date, time), 'yyyy-MM-dd hh') AS Hour,
   COUNT(*) AS Total,  
   SUM(sc-bytes) AS TotBytesSent
FROM ex*.log
GROUP BY Hour
ORDER BY Hour

当然,您还可以通过单独文件夹或文件以及日志文件中所提供的诸如日期、时间之类的参数来缩小查询范围。
按照相同的方式,您便可以对URLScan日志进行查询。以下示例将报告通过某一客户端IP地址所拒绝的请求次数:

SELECT   ClientIP,
   COUNT(*)
FROM URLSCAN
WHERE Comment LIKE 'Url%'
GROUP BY ClientIP

日志分析器还提供了许多其它特性,其中包括将结果输出至XML文件的功能、提供日志分析器功能的Active X对象(通过ADO实现)、以及通过自定义模板格式化输出结果的能力。
显而易见,这是一种功能非常强大的实用工具,它将顺理成章的成为广大IIS管理员“工具包”文件夹中的一员。

网站统计 Statistics

  • 创建时间: 2005年1月3日 距今5041 天
  • 日志总数: 2461
  • 评论总数: 630
  • 标签总数: 654
  • 链接总数: 273
  • 最后更新: 2018-8-31 17:57:04
  • 您是本站第 14061215 位访客

广告区 Guǎng Gào