Windows2003 與 II6 架設管理課程 (2)

Windows2003 與 II6架設管理課程 (2)

主講人 : 高誌健老師台南市立和順國中資訊組台南市教育網路中心 -程式設計師微軟 MCP / intel 台灣區講師

Outline• 初階

– Windows2003 安裝設定經驗• 與 windows2000 差異

– IIS6 基礎• 基礎 web,ftp,smtp,pop3 server 架設

– 批次帳號建立• 2003 resource kit

– 遠端管理• RDP5.2• Iis 網頁管理模式

Outline cont.

• 進階– Web 應用程式 (asp,aspx,php)

• iis6 架構差異 , 效能實測• 2000web 資料遷移到 2003(migration kit)

– SSL 實作 ( 以和順國中為例 )– 流量與效能

• Log 檔 , 流量監測 , 壓力測試• 負載平衡介紹 (resource kit)

– 網路架構經驗分享 ( 以和順國中為例 )• VPN , 雙防火牆

Web application

• 如何執行 asp– 必須啟用網頁延伸服務的” asp”

• 預設不啟用• 過去 2000 沒有此設定

– 注意使用權限• 如果 asp 有讀取寫入 access 資料庫 , 本機安全性的

IUSR_xxx 寫入權限必須開啟• *** 關閉 iis 的 *.mdb 檔讀取權限 , 否則遭入侵

Web application

• 如何執行 aspx– 必須啟用網頁延伸服務的” asp.net”– **Iis 需要設定 asp.net 資料夾的應用程式點– 過去 2000 需要額外安裝 .net framework

• 2003 效率更加 , 運作方式與 2000 不同

DLLHOST.exeDLLHOST.exe

ISAPIISAPIExtensionsExtensions(ASP, etc.)(ASP, etc.)

ISAPI FiltersISAPI Filters

metabasemetabase

IIS 6.0 架構IIS 5.0 到 IIS 6.0 的轉變


TCP/IPTCP/IP

INETINFOINETINFO

ASP.NETASP.NETISAPIISAPI

Aspnet_wp.exeAspnet_wp.exe

CLR App DomainCLR App Domain



IIS 6.0 主要架構成員IIS 6.0 主要架構成員• IIS 管理服務 (InetInfo.exe)

–提供非 HTTP 的相關服務• WWW 管理服務 (WAS)

–管理工作處理序 ,設定 HTTP.sys• HTTP.sys

–將要求的 URL 導向到 App Pool•工作處理序 (W3WP.exe)

–不受應用程式設計不良的影響–當不正常時可以隔離工作處理序進行偵錯

DLLHOST.exeDLLHOST.exe



metabasemetabase



TCP/IPTCP/IP

INETINFOINETINFO

ASP.NETASP.NETISAPIISAPI

Aspnet_wp.exeAspnet_wp.exe



CLR App DomainCLR App Domainmetabasemetabase

INETINFOINETINFO W3WP.EXEW3WP.EXE

應用程式集區應用程式集區 11

ASP.NET ISAPIASP.NET ISAPI



W3WP.EXEW3WP.EXE



應用程式集區應用程式集區 22

W3WP.EXEW3WP.EXE




W3WP.EXEW3WP.EXE




W3WP.EXEW3WP.EXE




Web GardenWeb Garden

W3WP.EXEW3WP.EXE



WASWAS

Co

nfi

g M

gr

Co

nfi

g M

gr

Pro

ce

ss

Mg

rP

roc

es

s M

gr

HTTP.SYSHTTP.SYS Namespace MapperNamespace Mapper

HTTP EngineHTTP Engine

ResponseResponseCacheCache

Req

Qu

eue

Req

Qu

eue

Req

Qu

eue

Req

Qu

eue

Send ResponseSend Response

User mode

Kernel mode

Req

Qu

eue

Req

Qu

eue

不再因為某個應用程式失敗而影響其他應用程式

不再因為某個應用程式失敗而影響其他應用程式

• 工作處理序完全隔離 – 所有的工作處理序直接

對Kernel 溝通– 工作處理序之間無法互

相影響– Kernel 模式下提供快取

和佇列功能• 應用程式集區– Web gardensHTTP.sysHTTP.sys

WWWWWWServiceService

工作處理序工作處理序


ISAPIISAPIExtensionsExtensions

工作處理序工作處理序


ISAPIISAPIExtensionsExtensions

應用程式集區應用程式集區應用程式集區應用程式集區

設定應用程式集區•新增新的應用程式集區

–工作處理序的相關設定•將 iis 的 asp,aspx 目錄加入不同的集區•如果有一程式出錯 ,不會影響其他程式

–過去會造成整個 iis 當機

Web application

•執行 PHP–安裝 php-4.4.0-installer.exe

•此版本為自動設定•目的是將能處理 php 的檔案裝起來•www.php.net

–安裝後 ,該程式會自動對 iis 的網頁延伸服務啟用 php

–測試 php 網頁 (利用 phpinfo 函式 )

Migration

•利用內建的”匯出成檔案 (xml)”–此功能可匯出所有設定–但是實體資料必須自己搬移

•利用 iis6 migration kit 工具–一次搬移與設定– Free tool– http://www.microsoft.com/windowsserver2003

/iis/downloads/default.mspx

Migration

• Iis migration kit 安裝在新的 2003 server

• 安裝後執行– iismt 要搬出的 server 網站名稱 /user 帳號

/password 密碼 /path 搬到本機的哪裡• /path 未指定的話 , 會仿舊 server 的結構

SSL

• 網站的傳輸提供 ssl 加密 , 可避免被攔截明碼

• 如何讓網站有 SSL 功能– 需要具備憑證 ( 可向外面申請 , 或自行架設核發 )

– Iis 設定加密通道• 範例了解憑證

– 教育網路中心 www.tn.edu.tw– 和順國中 www.hsjh.tn.edu.tw

SSL

• 自行架設憑證 server• 優 :Free, 快速• 缺 :公信力較差

– 新增憑證伺服器 certificate service– 安裝憑證服務後 , 不得更改電腦名稱與群組

SSL• 設定申請資料

– Iis 網站內容目錄安全設定安全通訊伺服器憑證建立新的憑證依指示設定最後產生文字檔

– 將文字檔內容複製• 線上申請

– 打開 iis,叫出線上申請憑證網頁 ,Cerlsrv– 要求憑證進階憑證要求 base64 將申請內容貼上送出申請

• 自我審核– 系統管理工具憑證授權單位發行

• 線上取憑證– 打開 iis,叫出線上申請憑證網頁 ,Cerlsrv– 下載憑證

• 回到 iis 網站 ,將憑證安裝• 將要 ssl 加密的目錄或檔案 ,設定 ssl 加密通道

– 要存取該網頁需要 https:// 連線 ... 例如 https://aaa.aaa.aaa/123.asp

Log分析•方法一

–將 log 設成 odbc 格式–自行寫程式分析

•方法二– Free分析軟體–可線上網頁查詢– www.weblogexpert.com– Wlexpert.zip

流量分析• www.pasessler.com• Free• Prtg 的 win32版本•需搭配 2003 的 snmp 功能

壓力測試• Microsoft free

– Web application stress tool– free

負載平衡•多個 server分攤流量要求 (同一 domain)•方法一

– DNS 將多個 ip設成同一 domain,2003DNS 具備輪循效果

•方法二– 2003 新增負載平衡 cluster 功能–網路卡需要支援

•方法三–硬體負載平衡器

進階課程 end

Documents

Windows2003 與 II6 架設管理課程 (2)