沒有辦法不學點東西真是無法應付現在的職位:網管,真想把學校的老師都抓來痛扁,在學校那么多年為什么就不教我們一些實用的東西,全部還要我們工作以后再自己學呢?
我學了好長時間,先整理了三個組件出來,因為管理過虛擬主機的朋友,一定是知道他們的重要性了,好廢話不說,看技術:
關鍵組件: (缺少關鍵組件的服務器會不支持很多網站,會丟失很多客戶)
Scripting.FileSystemObject 組件 這個就是FSO
本組件是asp基本組件,不需要另外下載。(當然如果你意外刪除了呢?也沒有關系到微軟官方上搜下下載一個)
開啟方法:
win2000系統:
在CMD命令行狀態輸入以下命令:
關閉命令:RegSvr32 /u C:\WINNT\SYSTEM32\scrrun.dll
打開命令:RegSvr32 C:\WINNT\SYSTEM32\scrrun.dll
win2003更簡單
運行 regsvr32 scrrun.dl l即可。
如果想關閉FSO組件,請運行 regsvr32 /u scrrun.dll 即可。
MSXML2.ServerXMLHTTP 組件
開啟方法:
win2000系統:
在CMD命令行狀態輸入以下命令:
關閉命令:RegSvr32 /u C:\WINNT\SYSTEM32\msxml2.dll
打開命令:RegSvr32 C:\WINNT\SYSTEM32\msxml2.dll
win2003
運行 regsvr32 scrrun.dll 即可。
如果想關閉組件,請運行 regsvr32 /u msxml2.dll 即可。
Microsoft.XMLDOM 組件
win2000系統:
在CMD命令行狀態輸入以下命令:
關閉命令:RegSvr32 /u C:\WINNT\SYSTEM32\msxml.dll
打開命令:RegSvr32 C:\WINNT\SYSTEM32\msxml.dll
win2003
運行 regsvr32 scrrun.dll 即可。
如果想關閉組件,請運行 regsvr32 /u msxml.dll即可。
ADODB.Stream 組件: 只要能跑ASP這個就有不用再安了
Scripting.Dictionary 組件: 也是屬于scripting
安裝方法都相同,也不多重復。 ]]>
我比較小心,先關了端口。只開了3389、21、80、1433,有些人一直說什么默認的3389不安全,對此我不否認,但是利用的途徑也只能一個一個的窮舉爆破,你把帳號改了密碼設置為十五六位,我估計他要破上好幾年,哈哈!辦法:本地連接–屬性–Internet協議(TCP/IP)–高級–選項–TCP/IP篩選–屬性–把勾打上,然后添加你需要的端口即可。PS一句:設置完端口需要重新啟動!
當然大家也可以更改遠程連接端口方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ Terminal Server\WinStations\RDP-Tcp]
“PortNumber”=dword:00002683
保存為.REG文件雙擊即可!更改為9859,當然大家也可以換別的端口,直接打開以上注冊表的地址,把值改為十進制的輸入你想要的端口即可!重啟生效!
還有一點,在2003系統里,用TCP/IP篩選里的端口過濾功能,使用FTP服務器的時候,只開放21端口,在進行FTP傳輸的時候,FTP 特有的Port模式和Passive模式,在進行數據傳輸的時候,需要動態的打開高端口,所以在使用TCP/IP過濾的情況下,經常會出現連接上后無法列出目錄和數據傳輸的問題。所以在2003系統上增加的Windows連接防火墻能很好的解決這個問題,不推薦使用網卡的TCP/IP過濾功能。
做FTP下載的用戶看仔細,如果要關閉不必要的端口,在\system32\drivers\etc\services中有列表,記事本就可以打開的。如果懶的話,最簡單的方法是啟用WIN2003的自身帶的網絡防火墻,并進行端口的改變。功能還可以!
Internet 連接防火墻可以有效地攔截對Windows 2003服務器的非法入侵,防止非法遠程主機對服務器的掃描,提高Windows 2003服務器的安全性。同時,也可以有效攔截利用操作系統漏洞進行端口攻擊的病毒,如沖擊波等蠕蟲病毒。如果在用Windows 2003構造的虛擬路由器上啟用此防火墻功能,能夠對整個內部網絡起到很好的保護作用。
]]>
ASP 執行時,是以“IUSR_機器名”的身份訪問硬盤的,這里沒給該用戶帳號權限,ASP 也就不能讀寫硬盤上的文件了。
解決方法:在服務器上打開資源管理器,用鼠標右鍵點擊asp文件所在目錄或硬盤分區,選擇“屬性”,選擇“安全”選項卡,此時就可以看到有哪些帳號可以訪問這個目錄,分區(卷)及訪問權限。默認安裝后,出現的是“Everyone”具有完全控制的權限。點“添加”,將“IUSR_機器名”給予“完全控制”或相應的權限。
這樣做有一定的安全隱患,因為通過fso可以獲得讀寫文件的權限,容易被黑客利用,下面是一種方法。
我們知道,除了CreateObject方法以外,也可以使用一般的標注建立一個組件,我們可以在ASP里面使用HTML
Runat表示是在服務端執行,Scope表示組件的生命周期,可以選用Session,Application或page(表示當前頁面,也可缺省)
我們也可以通過修改該Clsid的值而禁用該組件,如將注冊表中HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID的值0D43FE01-F093-11CF-8940-00A0C9054228改成0D43FE01-F093-11CF-8940-00A0C9054229(改了最后面一位),這時候的寫法為:
CF-8940-00A0C9054229″>
看運行結果,沒問題,OK。這時候我們再用CF-8940-00A0C9054228″>這時候就出錯了。
新建一用戶:iusr_domain
IIS里設置對應站點的匿名用戶IUSR_DOMAIN
CACLS: 設置目錄權限
這樣FSO可用,但不會影響別人
預防的辦法:
限制用戶使用FileSystemObject對象。一種極端的做法是完全反注冊掉提供FileSystemObject對象的那個組件,也就是Scrrun.dll。具體的方法如下:
在MS-DOS狀態下面鍵入:
Regsvr32 /u c:\windows\system\scrrun.dll
(注意:在實際操作的時候要更改成為你本地的實際路徑)
]]>很多人借助第3方軟件在自己的系統中建站,其實利用Win XP的組件就可以滿足建站的要求,而且安全性能不錯,為什么還要借助第3方軟件呢?
IIS的安裝
在Windows XP pro 中,IIS并不是默認安裝的,而是作為可選的組件,現在我們要建站,就可以選擇安裝他們,方法很簡單,放入XP光盤,然后運行光盤,在運行界面中選擇添加組件,或者打開控制面板然后打開添加或者刪除文件,選擇添加Windows組件。在彈出對話框中選擇internet 信息服務(IIS)。然后點擊確定安裝就可以了。
Web網站的架設
在控制面板中打開“管理工具”–“internet 信息服務”入圖:
大家可能都看到了上圖有個“默認網站”選項,你既可以修改默認的Web站點為你的新站點,也可以重新命名一個新的Web站點,方法是在默認網站上點擊鼠標右鍵選擇重命名然后輸入你想要的名字,大家可以自己隨意修改。比如筆者就將其修改為“夢幻世紀網”。
IIS關于Web服務器的配置
要想網站順利運行還得配置IIS,在命名后的站點上點擊鼠標右鍵選擇屬性如圖:
在上圖的主目錄中定義網頁內容的來源,默認如上圖,本地路徑可以根據你的需要設置,一般從安全性角度上考慮不要設置在系統分區,可以在另外的分區重新建立一個路徑。
如上圖在網站選項框中可以設置網站的描述,指定的IP地址,連接超時的時間,這些都可以根據愛好隨意設置,重點說一下日志紀錄,一個好的網管必須養成經常觀察日志的習慣,只有這樣,才能保證計算機網絡的安全性。點擊日志設置的屬性如下圖:
設置日志屬性,一般新建日志時間設置為每小時,下面可以設置日志文件目錄,不建議使用默認路徑。
[NextPage]
設置“文檔”:確保“啟用默認文檔”一項已選中,再增加需要的默認文檔名并相應調整搜索順序即可。此項作用是,當在瀏覽器中只輸入域名(或IP地址)后,系統會自動在“主目錄”中按“次序”(由上到下)尋找列表中指定的文件名,如能找到第一個則調用第一個;否則再尋找并調用第二個、第三個……如果“主目錄”中沒有此列表中的任何一個文件名存在,則顯示找不到文件的出錯信息。如下圖:
如果需要,可再增加虛擬目錄:比如,有“IP/dreams”之類的地址,“dreams”可以是“主目錄”的下一級目錄(姑且稱之為“實際目錄”),也可以在其它任何目錄下,也即所謂的“虛擬目錄”。要在“默認Web站點”下建立虛擬目錄,選“夢幻世紀網→右鍵→新建→虛擬目錄”,然后在“別名”處輸入“dreams”,在“目錄”處選擇它的實際路徑即可(比如“d:”)
啟動Web站點
上述設置后,我們的網站就可以啟動了,在站點上點擊右鍵選擇啟動,然后在瀏覽器里輸入剛才指向的網址,就可以瀏覽你自己制作的網頁了。
當然這些都是最基本的設置,你還可以配置一些關于性能和安全的設置,例如限制帶寬和哪些用戶可以訪問此Web頁等,其實要想建立一個相對安全的網站這些還遠遠不夠,限于篇幅及本文的主題限制在此不再多費口舌,有興趣與此的朋友可以參閱相關資料。
建立ftp服務器
FTP是File Transport Protocol的簡稱,其作用是使連接到服務器上的客戶可以在服務器和客戶機間傳輸文件。除WWW服務外,FTP也算是使用最廣泛的一種服務了。在此介紹一下利用IIS建立FTP服務器的方法。
在WWW服務里已經介紹過了,同WWW服務一樣,IIS默認有一個默認的FTP站,因此你可以通過修改默認FTP站點來滿足你的需要。
在默認FTP站點上點右鍵如圖:
輸入描述:夢幻末世紀,設置IP地址:192.168.1.12,端口默認為21,一般不需要更改。
設置連接,同Web服務器一樣注意啟用日志紀錄。
然后選中主目錄對話框如圖:
基本上按照上圖的設置就可以了,指定目錄的訪問權限。一般選擇讀取,你也可以以后再指定訪問權限,讓管理員具體寫入的權限,讓一般文章者具有讀取的權限。
在安全賬戶中修改賬戶信息,根據自己的需要修改,如下圖:
[NextPage]
允許匿名連接選項一定要填上。否則用戶訪問此站點時需要用戶名和密碼。默認狀態下是可以允許匿名訪問的。用戶名為anonymous,密碼為空。
定義用戶訪問FTP站點和退出站點時的信息以及最大連接數,如圖:
當然大家也可以根據自己的需要和愛好來設置。
最后測試:
在運行中,打開cmd,然后輸入 ftp 192.168.1.12(剛才設置的IP地址)回車,輸入用戶名anonymous。
然后回車,要求輸入密碼,因為密碼為空,按回車即可!(日后為了網站的安全,可以設置禁止匿名訪問,并加強密碼,這里為了測試方便所以設置匿名用戶)如果和下圖一樣那么祝賀你,ftp網站配置成功,剩下的就是你豐富自己的站點內容了。
當然基于XP還有很多別的服務器可以架設,但個人網站一般最經常使用的就是這兩種服務器,所以其它的就不再多說了,最后提醒一下,建立自己的服務器,必須提高自己的網絡安全意識,否則損失不小。
]]>安裝完NT/2K以后,并不等于就可以把這臺機器放到Internet上做服務器了。還需要進行以下幾步:
一、 以Windows NT的安全機制為基礎
1)NT打SP6、2K打SP1。把磁盤的文件系統轉換成NTFS(安裝系統的分區可以在安裝系統的時候轉換,也可以安裝完系統以后,用工具轉換)。同時把使用權限里有關Everyone的寫、修改的權限去掉,關鍵目錄:如Winnt\Repair連讀的權限也去掉。
2)共享權限的修改。在NT下到開始菜單–》程序–》管理工具–》系統策略編輯器,然后打開系統策略里文件菜單里的“打開注冊表”修改其中的 windows nt 網絡把其中勾去掉。 2K下可以寫個net share c$ /delete的bat文件,放到機器的啟動任務里。
3)為系統管理員賬號更名。同時把系統管理員的密碼改成強加密:密碼長度在10位以上,并且密碼要包括數字、字母、!等各種字符。
4)廢止TCP/IP上的NetBIOS。通過網絡屬性的綁定選項,廢止NetBIOS與TCP/IP之間的綁定。
5)安裝其他服務。應該盡量不在同臺服務器上安裝數據庫的別的服務,如果裝了的話 最主要一點是數據庫密碼不能跟系統的登陸密碼一樣。
二、 設置IIS的安全機制
1)解決IIS4以及之前的版本受到D.O.S攻擊會停止服務。 運行Regedt32.exe 在:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w3svc\parameters 增加一個值: Value Name: MaxClientRequestBuffer Data Type: REG_DWORD 設置為十進制具體數值設置為你想設定的IIS允許接受的URL最大長度。CNNS的設置為256。
2)刪除HTR腳本映射。
3)將IIS web server下的 /_vti_bin 目錄設置成禁止遠程訪問。
4)在IIS管理控制臺中,點 web站點,屬性,選擇主目錄,配置(起始點),應用程序映射,將htw與webhits.dll的映射刪除。
5)如果安裝的系統是2K的話,安裝Q256888_W2K_SP1_x86_en.EXE。
6)刪除:c:\Program Files\Common Files\System\Msadc\msadcs.dll。
7)如果不需要使用Index Server,禁止或卸載該服務。 如果你使用了Index Server,請將包含敏感信息的目錄的“Index this resource”的選項 禁止。
8)解決unicode漏洞: 2K安裝2kunicode.exe、NT安裝ntunicode86.exe
]]>什么是域名解析?
域名解析就是域名到IP地址的轉換過程。IP地址是網路上標識您站點的數字地址,為了簡單好記,采用域名來代替ip地址標識站點地址。域名的解析工作由DNS服務器完成。
1,A記錄:WEB服務器的IP指向
A (Address) 記錄是用來指定主機名(或域名)對應的IP地址記錄。
說明:用戶可以將該域名下的網站服務器指向到自己的web server上。同時也可以設置自己域名的二級域名。
就是說:通過A記錄,大家可以設置自己的不同域名轉到不同的IP上去!如:
將
www.yourname.com 轉到IP 321.32.321.321
ftp.yourname.com 轉到IP 123.12.123.123
mail.yourname.com 轉到IP 213.21.213.213
2,MX記錄(Mail Exchange):郵件路由記錄
說明:用戶可以將該域名下的郵件服務器指向到自己的mail server上,然后即可自行操作控制所有的郵箱設置。您只需在線填寫您服務器的主機名或主機IP地址,即可將您域名下的郵件全部轉到您自己設定相應的郵件服務器上。
這個大家都明白了嗎?就是將你的域名中郵件服務器分開,將它設置到其它的IP去!
比如同樣是 myweb.com ,如果你設置A記錄是指向123.12.123.123,而MX記錄你設置是指向222.22.222.222,那么你的DNS服務器接收到別人的郵件路由請求時就將會將它的請求解釋到222.22.222.222上去!而別人訪問你的網頁的時候仍然是訪問123.12.123.123。
3,CNAME (Canonical Name)記錄,(alias from one domain name to another)通常稱別名指向
這是個挺好用記錄,它可以將你注冊的不同域名統統轉到一個主域名上去!與A記錄不同的是,CNAME別名記錄設置的可以是一個域名的描述而不一定是IP地址!有什么好處?大家想想就知道!
4,URL (Uniform Resource Locator )轉發:網址轉發
功能:如果您沒有一臺獨立的服務器(也就是沒有一個獨立的IP地址)或者您還有一個域名B,您想訪問A域名時訪問到B域名的內容,這時您就可以通過URL轉發來實現。
url轉發可以轉發到某一個目錄下,甚至某一個文件上。而cname是不可以,這就是url轉發和cname的主要區別所在。
一.錯誤表現
IIS5的HTTP 500內部服務器錯誤是我們經常碰到的錯誤之一,它的主要錯誤表現
就是ASP程序不能瀏覽但HTM靜態網頁不受影響。另外當錯誤發生時,系統事件日
志和安全事件日志都會有相應的記錄。
具體如下:
(一)IE中的表現
當瀏覽以前能夠正常運行的asp頁面時會出現如下的錯誤:
網頁無法顯示
您要訪問的網頁存在問題,因此無法顯示。
請嘗試下列操作:
打開 http://127.0.0.1 主頁,尋找指向所需信息的鏈接。
單擊刷新按鈕,或者以后重試。
HTTP 500 – 內部服務器錯誤
Internet 信息服務
技術信息(支持個人)
詳細信息:
Microsoft 支持
或者是:
Server Application Error
The server has encountered an error while loading an application durin
g the processing of your request. Please refer to the event log for mo
re detail information. Please contact the server administrator for ass
istance.
(二)安全日志記錄(2條)
事件類型: 失敗審核
事件來源: Security
事件種類: 登錄/注銷
事件 ID: 529
日期: 2001-9-9
事件: 11:17:07
用戶: NT AUTHORITY\SYSTEM
計算機: MYSERVER
描述:
登錄失敗:
原因: 用戶名未知或密碼錯誤
用戶名: IWAM_MYSERVER
域: MYDOM
登錄類型: 4
登錄過程: Advapi
身份驗證程序包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名: MYSERVER
事件類型: 失敗審核
事件來源: Security
事件種類: 帳戶登錄
事件 ID: 681
日期: 2001-9-9
事件: 11:17:07
用戶: NT AUTHORITY\SYSTEM
計算機: MYSERVER
描述:
登錄到帳戶: IWAM_MYSERVER
登錄的用戶: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
從工作站: MYSERVER
未成功。錯誤代碼是: 3221225578
(三)系統日志中的記錄(2條)
事件類型: 錯誤
事件來源: DCOM
事件種類: 無
事件 ID: 10004
日期: 2001-9-9
事件: 11:20:26
用戶: N/A
計算機: MYSERVER
描述:
DCOM 遇到錯誤“無法更新密碼。提供給新密碼的值包含密碼中不允許的值。 ”
并且無法登錄到 .\IWAM_MYSERVER 上以運行服務器:
{3D14228D-FBE1-11D0-995D-00C04FD919C1}
事件類型: 警告
事件來源: W3SVC
事件種類: 無
事件 ID: 36
日期: 2001-9-9
事件: 11:20:26
用戶: N/A
計算機: MYSERVER
描述:
服務器未能轉入應用程序 ‘/LM/W3SVC/4/Root’。錯誤是 ‘RunAs 的格式必須是<
域名>\<用戶名>或只是<用戶名>’。
若要獲取關于此消息的更多的信息,請訪問 Microsoft 聯機支持站點:
http://www.microsoft.com/contentredirect.asp 。
二.原因分析
綜合分析上面的錯誤表現我們可以看出,主要是由于IWAM賬號(在我的計算機即
是IWAM_MYSERVER賬號)的密碼錯誤造成了HTTP 500內部錯誤。
在詳細分析HTTP500內部錯誤產生的原因之前,先對IWAM賬號進行一下簡要的
介紹:
IWAM賬號是安裝IIS5時系統自動建立的一個內置賬號,主要用于啟動進程之外
的應用程序的Internet信息服務。IWAM賬號的名字會根據每臺計算機NETBIOS名字
的不同而有所不同,通用的格式是IWAM_MACHINE,即由“IWAM”前綴、連接線
“_”加上計算機的NETBIOS名字組成。我的計算機的NETBIOS名字是MYSERVER,
因此我的計算機上IWAM賬號的名字就是IWAM_MYSERVER,這一點與IIS匿名賬號
ISUR_MACHINE的命名方式非常相似。
IWAM賬號建立后被Active Directory、IIS metabase數據庫和COM+應用程序三方
共同使用,賬號密碼被三方分別保存,并由操作系統負責這三方保存的IWAM密碼
的同步工作。按常理說,由操作系統負責的工作我們大可放心,不必擔心出錯,
但不知是BUG還是其它什么原因,系統的對IWAM賬號的密碼同步工作有時會失敗,
使三方IWAM賬號所用密碼不統一。當IIS或COM+應用程序使用錯誤IWAM的密碼登錄
系統,啟動IIS Out-Of-Process Pooled Applications時,系統會因密碼錯誤而
拒絕這一請求,導致IIS Out-Of-Process Pooled Applications啟動失敗,也就
是我們在ID10004錯誤事件中看到的“不能運行服務器{3D14228D-FBE1-11D0-995
D-00C04FD919C1} ”(這里{3D14228D-FBE1-11D0-995D-00C04FD919C1} 是IIS O
ut-Of-Process Pooled Applications的KEY),不能轉入IIS5應用程序,HTTP 5
00內部錯誤就這樣產生了。
三.解決辦法
知道了導致HTTP 500內部錯誤的原因,解決起來就比較簡單了,那就是人工同步
IWAM賬號在Active Directory、IIS metabase數據庫和COM+應用程序中的密碼。
具體操作分三步,均需要以管理員身份登錄計算機以提供足夠的操作權限(IWAM賬
號以IWAM_MYSERVER為例)。
(一)更改Active Directory中IWAM_MYSERVER賬號的密碼
因IWAM賬號的密碼由系統控制,隨機產生,我們并不知道是什么,為完成下面兩
步的密碼同步工作,我們必須將IWAM賬號的密碼設置為一個我們知道的值。
1、選擇“開始”->“程序”->“管理工具”->”Active Directory用戶和計算機”,
啟動“Active Directory用戶和計算機”管理單元。
2、單擊“user”,選中右面的“IWAM_MYSERVER”,右擊選擇“重設密碼(T)…”,
在跳出的重設密碼對方框中給IWAM_MYSERVER設置新的密碼,這兒我們設置成
“Aboutnt2001”(沒有引號的),確定,等待密碼修改成功。
(二)同步IIS metabase中IWAM_MYSERVER賬號的密碼
可能因為這項改動太敏感和重要,微軟并沒有為我們修改IIS metabase中IWAM_M
YSERVER賬號密碼提供一個顯式的用戶接口,只隨IIS5提供了一個管理腳本adsut
il.vbs,這個腳本位于C:\inetpub\adminscripts子目錄下(位置可能會因你安裝
IIS5時設置的不同而有所變動)。
adsutil.vbs腳本功能強大,參數非常多且用法復雜,這里只提供使用這個腳本修
改IWAM_MYSERVER賬號密碼的方法:
adsutil SET w3svc/WAMUserPass Password
“Password”參數就是要設置的IWAM賬號的新的密碼。因此我們將IIS metabase中
IWAM_MYSERVER賬號的密碼修改為“Aboutnt2001”的命令就是:
c:\Inetpub\AdminScripts>adsutil SET w3svc/WAMUserPass “Aboutnt2001”
修改成功后,系統會有如下提示:
WAMUserPass: (String) “Aboutnt2001”
(三)同步COM+應用程序所用的IWAM_MYSERVER的密碼
同步COM+應用程序所用的IWAM_MYSERVER的密碼,我們有兩種方式可以選擇:一種
是使用組件服務MMC管理單元,另一種是使用IWAM賬號同步腳本synciwam.vbs。
1、使用組件服務MMC管理單元
(1)啟動組件服務管理單元:選擇“開始”->“運行”->“MMC”,啟動管理控
制臺,打開“添加/刪除管理單元”對話框,將“組件服務”管理單元添加上。
(2)找到“組件服務”->“計算機”->“我的電腦”->“COM+應用程序”->“O
ut-Of-Process Pooled Applications”,右擊“Out-Of-Process Pooled Appli
cations”->“屬性”。
(3)切換到“Out-Of-Process Pooled Applications”屬性對話框的“標志”選
項卡。“此應用程序在下列賬戶下運行”選擇中“此用戶”會被選中,用戶名是
“IWAM_MYSERVER”。這些都是缺省的,不必改動。在下面的“密碼”和“確認密
碼”文本框內輸入正確的密碼“Aboutnt2001”,確定退出。
(4)系統如果提示“應用程序被一個以上的外部產品創建。你確定要被這些產品
支持嗎?”時確定即可。
(5)如果我們在IIS中將其它一些Web的“應用程序保護”設置為“高(獨立的)”,
那么這個WEB所使用的COM+應用程序的IWAM賬號密碼也需要同步。重復(1)-
(4)步,同步其它相應Out of process application的IWAM賬號密碼。
2、使用IWAM賬號同步腳本synciwam.vbs
實際上微軟已經發現IWAM賬號在密碼同步方面存在問題,因此在IIS5的管理腳本
中單獨為IWAM賬號密碼同步編寫了一個腳本synciwam.vbs,這個腳本位于C:\ine
tpub\adminscripts子目錄下(位置可能會因你安裝IIS5時設置的不同而有所變動)。
synciwam.vbs腳本用法比較簡單:
cscript synciwam.vbs [-v|-h]
“-v”參數表示詳細顯示腳本執行的整個過程(建議使用),“-h”參數用于顯示
簡單的幫助信息。
我們要同步IWAM_MYSERVER賬號在COM+應用程序中的密碼,只需要執行
“cscript synciwam.vbs -v”即可,如下:
cscript c:\inetpub\adminscripts\synciwam.vbs -v
Microsoft (R) Windows Script Host Version 5.6
版權所有(C) Microsoft Corporation 1996-2000。保留所有權利。
WamUserName:IWAM_MYSERVER
WamUserPass:Aboutnt2001
IIS Applications Defined:
Name, AppIsolated, Package ID
w3svc, 0, {3D14228C-FBE1-11d0-995D-00C04FD919C1}
Root, 2,
IISHelp, 2,
IISAdmin, 2,
IISSamples, 2,
MSADC, 2,
ROOT, 2,
IISAdmin, 2,
IISHelp, 2,
Root, 2,
Root, 2,
Out of process applications defined:
Count: 1
{3D14228D-FBE1-11d0-995D-00C04FD919C1}
Updating Applications:
Name: IIS Out-Of-Process Pooled Applications Key: {3D14228D-FBE1-11D0-
995D-00C04FD919C1}
從上面腳本的執行情況可以看出,使用synciwam.vbs腳本要比使用組件服務的方
法更全面和快捷。它首先從IIS的metabase數據庫找到IWAM賬號”IWAM_MYSERVER”
并取出對應的密碼“Aboutnt2001”,然后查找所有已定義的IIS Applications和
Out of process applications,并逐一同步每一個Out of process applicatio
ns應用程序的IWAM賬號密碼。
使用synciwam.vbs腳本時,要注意一個問題,那就是在你運行synciwam.vbs之前,
必須保證IIS metabase數據庫與Active Directory中的IWAM密碼已經一致。因
為synciwam.vbs腳本是從IIS metabase數據庫而不是從Active Directory取得IW
AM賬號的密碼,如果IIS metabase中的密碼不正確,那synciwam.vbs取得的密碼
也會不正確,同步操作執行到“Updating Applications”系統就會報80110414錯
誤,即“找不到應用程序{3D14228D-FBE1-11D0-995D-00C04FD919C1}”。
好了,到現在為止,IWAM賬號在Active Directory、IIS metabase數據庫和COM+
應用程序三處的密碼已經同步成功,你的ASP程序又可以運行了! ]]>
IIS(Internet Information Server,互聯網信息服務)是一種Web(網頁)服務組件,其中包括Web服務器、FTP服務器、NNTP服務器和SMTP服務器,分別用于網頁瀏覽、文件傳輸、新聞服務和郵件發送等方面,它使得在網絡(包括互聯網和局域網)上發布信息成了一件很容易的事。本文將向你講述Windows 2000高級服務器版中自帶的IIS 5.0的配置和管理方法。
準備篇 IIS的添加和運行
一、IIS的添加
請進入“控制面板”,依次選“添加/刪除程序→添加/刪除Windows組件”,將“Internet信息服務(IIS)”前的小鉤去掉(如有),重新勾選中后按提示操作即可完成IIS組件的添加。用這種方法添加的IIS組件中將包括Web、FTP、NNTP和SMTP等全部四項服務。
二、IIS的運行
當IIS添加成功之后,再進入“開始→程序→管理工具→Internet服務管理器”以打開IIS管理 器,對于有“已停止”字樣的服務,均在其上單擊右鍵,選“啟動”來開啟。
第一篇 IIS之Web服務器
一、建立第一個Web站點
比如本機的IP地址為192.168.0.1,自己的網頁放在D:\Wy目錄下,網頁的首頁文件名為Index.htm,現在想根據這些建立好自己的Web服務器。
對于此Web站點,我們可以用現有的“默認Web站點”來做相應的修改后,就可以輕松實現。請先在“默認Web站點”上單擊右鍵,選“屬性”,以進入名為“默認Web站點屬性”設置界面。
1.修改綁定的IP地址:轉到“Web站點”窗口,再在“IP地址”后的下拉菜單中選擇所需用到的本機IP地址“192.168.0.1”。
2.修改主目錄:轉到“主目錄”窗口,再在“本地路徑”輸入(或用“瀏覽”按鈕選擇)好自己網頁所在的“D:\Wy”目錄。
3.添加首頁文件名:轉到“文檔”窗口,再按“添加”按鈕,根據提示在“默認文檔名”后輸入自己網頁的首頁文件名“Index.htm”。
4.添加虛擬目錄:比如你的主目錄在“D:\Wy”下,而你想輸入“192.168.0.1/test”的格式就可調出“E:\All”中的網頁文件,這里面的“test”就是虛擬目錄。請在“默認Web站點”上單擊右鍵,選“新建→虛擬目錄”,依次在“別名”處輸入“test”,在“目錄”處輸入“E:\All”后再按提示操作即可添加成功。
5.效果的測試:打開IE瀏覽器,在地址欄輸入“192.168.0.1”之后再按回車鍵,此時就能夠調出你自己網頁的首頁,則說明設置成功!
二、添加更多的Web站點
1.多個IP對應多個Web站點
如果本機已綁定了多個IP地址,想利用不同的IP地址得出不同的Web頁面,則只需在“默認Web站點”處單擊右鍵,選“新建→站點”,然后根據提示在“說明”處輸入任意用于說明它的內容(比如為“我的第二個Web站點”)、在“輸入Web站點使用的IP地址”的下拉菜單處選中需給它綁定的IP地址即可(如圖1);當建立好此Web站點之后,再按上步的方法進行相應設置。
2.一個IP地址對應多個Web站點
當按上步的方法建立好所有的Web站點后,對于做虛擬主機,可以通過給各Web站點設不同的端口號來實現,比如給一個Web站點設為80,一個設為81,一個設為82……(如圖2),則對于端口號是80的Web站點,訪問格式仍然直接是IP地址就可以了,而對于綁定其他端口號的Web站點,訪問時必須在IP地址后面加上相應的端口號,也即使用如“http://192.168.0.1:81”的格式。
很顯然,改了端口號之后使用起來就麻煩些。如果你已在DNS服務器中將所有你需要的域名都已經映射到了此惟一的IP地址,則用設不同“主機頭名”的方法,可以讓你直接用域名來完成對不同Web站點的訪問。比如你本機只有一個IP地址為192.168.0.1,你已經建立(或設置)好了兩個Web站點,一個是“默認Web站點”,一個是“我的第二個Web站點”,現在你想輸入“www.enanshan.com”可直接訪問前者,輸入“www.popunet.com”可直接訪問后者。其操作步驟如下:
(1)請確保已先在DNS服務器中將你這兩個域名都已映射到了那個IP地址上;并確保所有的Web站點的端口號均保持為80這個默認值。
(2)再依次選“默認Web站點→右鍵→屬性→Web站點”,單擊“IP地址”右側的“高級”按鈕,在“此站點有多個標識下”雙擊已有的那個IP地址(或單擊選中它后再按“編輯”按鈕),然后在“主機頭名”下輸入“www.enanshan.com”再按“確定”按鈕保存退出(如圖3)。
(3)接著按上步同樣的方法為“我的第二個Web站點”設好新的主機頭名為“www.popunet.com”即可。
(4)最后,打開你的IE瀏覽器,在地址欄輸入不同的網址,就可以調出不同Web站點的內容了。
3.多個域名對應同個Web站點
你只需先將某個IP地址綁定到Web站點上,再在DNS服務器中,將所需域名全部映射向你的這個IP地址上,則你在瀏覽器中輸入任何一個域名,都會直接得到所設置好的那個網站的內容。
三、對IIS服務的遠程管理
1.在“管理Web站點”上單擊右鍵,選“屬性”,再進入“Web站點”窗口,選擇好“IP地址”。
2.轉到“目錄安全性”窗口,單擊“IP地址及域名限制”下的“編輯”按鈕,點選中“授權訪問”以能接受客戶端從本機之外的地方對IIS進行管理;最后單擊“確定”按鈕。
3.則在任意計算機的瀏覽器中輸入如“http://192.168.0.1:3598”(3598為其端口號)的格式后,將會出現一個密碼詢問窗口,輸入管理員帳號名(Administrator)和相應密碼之后就可登錄成功,現在就可以在瀏覽器中對IIS進行遠程管理了!在這里可以管理的范圍主要包括對Web站點和FTP站點進行的新建、修改、啟動、停止和刪除等操作。
四、本部分常見問題解答
Q:在上文中所涉及到的網址中,有的加了“http://”,有的沒加,這意味著什么呢?
A:沒有加“http://”部分的網址,說明其可加可不加;而加了“http://”部分的,則說明它必不可少!對于帶端口號的網址則必須加;否則可省略。
Q:對于上文中涉及到IP地址的網址,可否用比較“友好”的名稱來代替呢?
A:可以!它除了能夠用IIS服務器所在的計算機名來代替之外,還可在DNS服務器中新建域名和相應IP地址的映射表,就也可以用域名來進行訪問了!
Q:我設置好了一個Web服務器,但是當我訪問網頁時,卻出現密碼提示窗口。這是為什么?
A:訪問Web站點時,出現密碼提示窗口,一般來說有以下原因,請逐個去進行檢查:
1.所訪問的網頁文件本身加了密。比如“默認Web站點”原主目錄“E:\Inetpub\wwwroot”下的首頁文件“iisstart.asp”訪問時就需要密碼。
2.沒有設置允許匿名訪問或作了不應該的改動。如圖4所示,首先應確保已勾選中了“匿名訪問”這一項;并且其下“編輯”中“匿名用戶帳號”中“用戶名”一項應為“IUSR_NODISK”(其中“NODISK”為計算機名)的格式;另外,還需要已勾選中“允許IIS控制密碼”一項。
3.你的目標目錄被限制了訪問權限。此項僅當該目錄位于NTFS格式分區中時才可能出現。請在其上單擊右鍵,選“屬性”,再進入“安全”窗口,看列表中是不是默認的允許“Everyone”組完全控制的狀態,如不是,請改回(如圖5)。
第二篇 IIS之FTP服務器
一、建立你的FTP站點
第一個FTP站點(即“默認FTP站點”)的設置方法和更多FTP站點的建立方法請參照前文Web服務器中相關操作執行。需要注意的是,如果你要用一個IP地址對應多個不同的FTP服務器,則只能用使用不同的端口號的方法來實現,而不支持“主機頭名”的作法。
對于已建立好的FTP服務器,在瀏覽器中訪問將使用如“ftp://192.168.0.1”或是“ftp://192.168.0.1:22的格式”;除了匿名訪問用戶(Anonymous)外,IIS中的FTP將使用Windows 2000自帶的用戶庫(可在“開始→程序→管理工具→計算機管理”中找到“用戶”一項來進行用戶庫的管理)。
二、本部分常見問題解答
Q:如何修改FTP服務器登錄成功或退出時的系統提示信息?
A:在相應的FTP站點上單擊右鍵,選“屬性”,再轉到“消息”窗口,在“歡迎”處輸入登錄成功之后的歡迎信息,在“退出”處輸入用戶退出時的歡送信息即可(如圖6)。
Q:為什么我的FTP服務器建立成功之后,除了管理員(Administrator)和匿名用戶(Anonymous)之外,普通用戶都不能在本機上登錄;可在其他計算機上卻能夠正常使用。這是為什么?
A:因為默認的,普通用戶不具有在本機登錄的權限。如果要修改,請進入“開始→程序→管理工具→本地安全策略”中選擇“左邊框架→本地策略→用戶權利指派”,再在右邊框架中雙擊“在本地登錄”項,然后將所需的普通用戶添加到它的列表中去就行了。
第三篇 IIS之SMTP服務器
如果你嫌互聯網上的那些免費郵件發送郵件的速度過慢的話,你或許可以考慮用IIS來建立一個本地的SMTP服務器。不管你是直接連入互聯網還是通過局域網接入,不管你是有靜態的IP地址還是用動態的IP地址,都可以很輕松地建立成功!
建立IIS下的SMTP服務器的方法非常簡單,只需在IIS管理器中讓“默認SMTP虛擬服務器”處于已啟動狀態就行了;此外一般不用再做其他任何設置。
如果你想要用自己的SMTP服務器發信,只需將你E-mail客戶端軟件設置中“發送郵件服務器(SMTP)”項中填入“localhost”,則不管你的IP地址如何變化,它都能正常工作(如圖7)。
當你使用自己的這個SMTP服務器發送E-mail時,不僅有不受制于人的自由感,更有閃電般的發信速度,是個人SMTP服務器的最佳選擇!
]]>因使用windows2003服務器的用戶越來越多,而一些精品的程序都是由php開發出來的,所以,本次講講window2003下php的安裝和配置,以及2003下權限的設置等問題!
2003以及iis6的安裝這里就不講了,如果你還不會安裝win2003和iis6,那最好先看看其他的文章把安裝系統和組件學會了再看下面的也不遲!
######################
第一:安裝 PHP
#####################
1、下載php安裝程序 http://www.php.net/downloads.php,
最新版的為php5.1 windows的php安裝分為兩種方式,一種是源代碼安裝方式,一種是exe安裝方式,exe安裝方式為傻瓜式的安裝,雙擊即可安裝,我們在此就不講了,主要的說一下源代碼的安裝!
下載“PHP 4.3.10 zip package”或者是5.0幾5.1幾都一樣。然后解壓縮下載到的 zip 文件到
c:\php(可以根據不同的需要解壓到不同的目錄,不過不熟悉的默認即可,占用不了多大的空間)。
2、復制 c:\php\php4ts.dll 到 c:\windows\system32。(有時候為了方便,在php文件夾中點擊搜索*.dll把搜索到的所有文件夾都復制到system32中也可以,這樣省去很多麻煩!)
復制 c:\php\php.ini-recommended(或者是php.ini-dist)為 c:\windows\php.ini然后打開 c:\windows\php.ini,修改如下幾個地方:
; 如果使用默認的 4096,那么 PHP 在 IIS6 里面性能將非常糟糕
output_buffering = On
; 如果是在生產服務器上,可以不用修改下面這兩行
error_reporting=E_ALL & ~E_NOTICE
display_errors = On(這里是修改php的錯誤提示,off為不提示,有些數據庫鏈接非錯誤信息也會被php當做錯誤信息輸出,建議用作web服務器的關閉!)
; 指示 PHP 擴展庫所在文件夾
extension_dir=”c:\php\extensions”(這兒在php5中為ext文件夾,不同的版本不一樣,即放置dll文件的文件夾)
以下兩個是超時時間:一般60-120
max_execution_time = 90
max_input_time = 90
post_max_size = 8M(6-10M最佳)
upload_max_filesize = 8M(上傳附件大小最大)
default_socket_timeout = 90(端口時間60-120)
session.gc_maxlifetime = 3600(session默認存活時間,秒)
session.save_path = “C:\PHP\sessiondata”(此處修改session的存儲目錄,如果您不需要session功能,也可不修改,注意該目錄一定要存在,不存在則建立)
其他設置就根據自己的需要來修改了。做完這些,第一部分就完成了。
######################
第二:在 IIS 中配置 PHP
#####################
1、首先通過“管理您的服務器”向導中的“添加或刪除角色”功能將IIS安裝好。在Windows Server 2003里面,IIS被稱為“應用程序服務器”。安裝時如果需要,可以選中ASP.NET等選項。不過就算沒選中,以后也可以很方便啟用的。
(圖02_01:安裝好IIS)
2、在“管理您的服務器”向導中,點擊“管理此應用程序服務器”連接,打開“應用程序服務器”管理窗口。然后從左側依次選中“Internet 信息服務(IIS)管理器->本地計算機->Web 服務擴展”。接著選中右邊任意一個項目。點擊“添加一個新的Web服務擴展”連接。
輸入擴展名,并點擊“添加”按鈕將 c:\php\sapi\php4isapi.dll(有時候isapi文件也可能在c:\php下)文件添加到列表中。注意是 php4isapi.dll,不是 php4ts.dll。
最后選中“設置擴展狀態為允許”,并點擊“確定”按鈕關閉對話框。現在應該在“Web 服務擴展”列表中可以看到剛剛添加的項目了。
(注意,該圖片來自網絡,圖片中路徑和本文路徑不一致!下同)
(注意:php解析分為兩種模式,cgi和isapi兩種,如果此處你選擇了php_cgi.exe,那步驟3中一定保持一致!)
(圖02_02:添加 PHP4 的擴展)
3、從“應用程序服務器”管理窗口左側依次選中“Internet 信息服務(IIS)管理器->網站”。然后在“默認網站”項目上單擊鼠標右鍵選擇“屬性”,打開“默認網站屬性”對話框。
切換到“主目錄”選項卡,點擊“配置”按鈕,打開“應用程序配置”對話框。再點擊“添加”按鈕,打開“添加/編輯應用程序擴展名映射”對話框。
點擊“瀏覽”按鈕,選中 c:php\sapi\php4isapi.dll,并按照(圖03)中的選項進行設置。最后一路“確定”返回“默認網站屬性”對話框。
(圖02_03:添加應用程序擴展名映射)
4、切換到“文檔”選項卡,點擊“添加”按鈕將 index.html 和 index.php 添加到默認內容文檔列表中。最后確認關閉對話框。
(圖02_04:添加默認文檔)
######################
第三:驗證安裝
#####################
用記事本寫幾行代碼:
保存為 網站根目錄下為phpinfo.php 文件。然后啟動瀏覽器,訪問 http://xxx.aaa.com/phpinfo.php,如果看到如下畫面就證明php安裝成功了!
(圖03_01: 檢查 PHP 是否安裝成功)
######################
第四:關于權限
#####################
windows2003和其他系統為了文件安裝使用了NTFS格式,并且IIS6下可給每個虛擬主機分配不同的用戶來匿名訪問網站,如果您做了如上設置,那么您在測試php的安裝的時候可能會出現提示輸入用戶名,解決辦法:
請先確認訪問該虛擬主機的用戶對網站跟目錄有可讀和執行權限!
在iis管理相應虛擬主機上右健屬性查看,目錄安全性選項卡,匿名訪問和認證控制中可看到允許訪問的用戶,并讓用戶對c:\php有可讀寫權限
如果您的主機上有多個虛擬主機,并且每個用戶都使用不同的用戶名訪問網站,那最好是把所有用戶加入到同一個組,讓組對php文件夾有讀寫權限即可!
修改后,提示輸入用戶名和密碼的窗口應該已經去掉!!
######################
第四:mysql安裝和gd2的支持
#####################
首先下載mysql安裝文件,mysql在win的安裝一般都是使用exe安裝文件,所以,這里就不介紹安裝了!
php在安裝后是默認不支持讀取mysql的,我們要修改php.ini文件,把
extension=php_mysql.dll
extension=php_gd2.dll
前面的“;”去掉,注意,為了讓php支持生成真彩圖片,一般都要求支持gd2,extension=php_gd2.dll即支持gd2的dll文件。
注意,php5以前的版本,是默認不支持mysql4.1以后的密碼訪問格式的,在Mysql中使用如下命令,把密碼統一一下就可以了:
set password for ‘username’@’hostname’=OLD_PASSWORD(‘password’);
這樣即可順利連接mysql了!或者是干脆直接安裝php5即可!