Windows+Server+2008服务器配置及管理实战详解

2023年11月27日发(作者：)

Windows Server 2008

服务器配置及管理实战详解

图管理器图服务器安装成功

8-9 IIS 8-10 Web

8.2.2 配置IP地址和端口

Web服务器安装完成以后，可以使用默认创建的Web站点来发布Web网站。不过，如果

服务器中绑定有多个IP地址，就需要为Web站点指定唯一的IP地址及端口。

在管理器中，右击默认站点，单击快捷菜单中的“编辑绑定”命令，或者在右侧

IIS

“操作”栏中单击“绑定”，显示如图所示的“网站绑定”窗口。默认端口为，使用

8-1180

本地计算机中的所有地址。

IP

选择该网站，单击“编辑”按钮，显示如图所示的“编辑网站绑定”窗口，

8-12

在“地址”下拉列表框中选择欲指定的地址即可。在“端口”文本框中可以设置

IPIPWeb

站点的端口号，且不能为空。“主机名”文本框用于设置用户访问该网站时的名称，

Web

当前可保留为空。

01

STEP

02

STEP

图“网站绑定”窗口

8-11

图“编辑网站绑定”窗口

8-12

使用默认值端口时，用户访问该网站不需输入端口号，如

80192.168.0.1

或。但如果端口号不是，那么访问网站时就必须提

80Web

注 意

供端口号，如或。

192.168.0.1:8000:8000

设置完成以后，单击“确定”按钮保存设置，并单击“关闭”按钮关闭即可。此时，

在浏览器的地址栏中输入服务器的地址，显示如图所示的窗口，表示可以访问

IEWeb8-13

Web

网站。

03

STEP

168

第章服务配置与管理

8 Web

图8-13 Web网站

8.2.3 配置主目录

主目录也就是网站的根目录，用于保存Web网站的网页、图片等数据，默认路径为

“C:Intepubwwwroot”。但是，数据文件和操作系统放在同一磁盘分区中，会存在安全隐患，

并可能影响系统运行，因此应设置为其他磁盘或分区。

打开管理器，选择欲设置主目录

IIS

的站点，在右侧窗格的“操作”选项卡中单击“基

本设置”，显示如图所示的“编辑网站”

8-14

窗口，在“物理路径”文本框中显示的就是网站

的主目录。

在“物理路径”文本框中输入站

Web

点的新主目录路径，或者单击“浏览”按钮选择，最后单击“确定”按钮保存即可。

01

STEP

02

STEP

图8-14 “编辑网站”窗口

8.2.4 配置默认文档

用户访问网站时，通常只需输入网站域名即可，无需输入网页名，实际上此时显示的网页

就是默认文档。一般情况下，Web网站需要至少一个默认文档，当用户使用IP地址或域名访

问且没有输入网页名时，Web服务器就会显示默认文档的内容。

在管理器的左侧树形列表中选择默认站点，在中间窗格显示的默认站点主页中，

IIS

双击“”选项区域的“默认文档”图标，显示如图所示的“默认文档”列表。有种

IIS8-155

默认文档，分别为、、、和。当用户访问

时，会自动按顺序由上至下依次查找与之相对应的文件名。

IIS

01

STEP

169

Windows Server 2008

服务器配置及管理实战详解

图8-15 “默认文档”列表

单击右侧“操作”任务栏中的“添加”链接，

显示如图所示的“添加默认文档”窗口，在“名称”

8-16

文本框中可输入欲添加的默认文档名称。

单击“确定”按钮，即可添加该默认文档。

图8-16 “添加默认文档”窗口

新添加的默认文档自动排列在最上方，如图所示，

8-17

可通过单击右侧“操作”栏中的“上移”和“下移”超级链接来调整各个默认文档的顺序。

02

STEP

03

STEP

图8-17 添加的默认文档

若要删除或禁用某个默认文档，只需选择相应的默认文档，然后单击“删除”或“禁用”

超级链接即可。

8.2.5 配置访问权限和安全

默认状态下，允许所有的用户匿名连接IIS网站，即访问时不需要使用用户名和密码登录。

不过，如果对网站的安全性要求高，或网站中有机密信息，就需要对用户限制，禁止匿名访问，

而只允许特殊的用户账户才能进行访问。

170

1．禁用匿名访问

第章服务配置与管理

8 Web

01

IISWeb8-18

STEP

02

STEP

在管理器中，选择欲设置身份验证的站点，如图所示。

在站点主页窗口中，选择“身份验证”，双击，显示“身份验证”窗口。默认情况

下，“匿名身份验证”为“启用”状态，如图所示。

8-19

图站点图“身份验证”窗口

8-18 Web 8-19

03

STEP

右击“匿名身份验证”，单击快捷菜单中的“禁用”命令，即可禁用匿名用户访问。

2．使用身份验证

在IIS 7.0的身份验证方式中，还提供基本验证、Windows身份验证和摘要身份验证。需

要注意的是，一般在禁止匿名访问时，才使用其他验证方法。不过，在默认安装方式下，这些

身份验证方法并没有安装。可在安装过程中或者安装完成后手动选择。

在“服务器管理器”窗口中，展开“角色”节点，选择“服务器”，单击

Web(IIS)

“添加角色服务”，显示如图所示的“选择角色服务”窗口。在“安全性”选项区域中，

8-20

可选择欲安装的身份验证方式。

01

STEP

图8-20 “选择角色服务”窗口

171

Windows Server 2008

服务器配置及管理实战详解

安装完成后，打开管理器，再打开“身份验证”窗口，所经安装的身份验证方式

IIS

显示在列表中，并且默认均为禁用状态，如图所示。

8-21

02

STEP

图8-21 “身份验证”窗口

可安装的身份验证方式共有三种，区别如下。

 基本身份验证：该验证会“模仿”为一个本地用户（即实际登录到服务器的用户），

在访问Web服务器时登录。因此，若欲以基本验证方式确认用户身份，用于基本验

证的Windows用户必须具有“本地登录”用户权限。默认情况下，Windows主域控

制器（PDC）中的用户账户不授予“本地登录”用户的权限。但使用基本身份验证方

法将导致密码以未加密形式在网络上传输。蓄意破坏系统安全的人可以在身份验证过

程中使用协议分析程序破译用户和密码。

 摘要式身份验证：该验证只能在带有Windows域控制器的域中使用。域控制器必须具有

所用密码的纯文本复件，因为必须执行散列操作并将结果与浏览器发送的散列值相比较。

 Windows身份验证：集成Windows验证是一种安全的验证形式，它也需要用户输入

用户账户和密码，但用户名和密码在通过网络发送前会经过散列处理，因此可以确保

安全性。当启用Windows验证时，用户的浏览器通过Web服务器进行密码交换。

Windows身份验证使用Kerberos v5验证和NTLM验证。如果在Windows域控制器上

安装了Active directory服务，并且用户的浏览器支持Kerberos v5验证协议，则使用

Kerberos v5验证，否则使用NTLM验证。

Windows身份验证优先于基本验证，但它并不提示用户输入用户名和密码，只有Windows

验证失败后，浏览器才提示用户输入其用户名和密码。

Windows身份验证非常安全，但是在通过HTTP代理连

接时，Windows身份验证不起作用，无法在代理服务器

或其他防火墙应用程序后使用。因此，Windows身份验

证最适合企业Intranet环境。

例如，当Web服务器使用基本身份验证时，在客

户端访问该网站时，会提示如图8-22所示的“连接到

图8-22 “连接到”窗口

”窗口。在“用户名”和“密码”文本

框中，输入合法的用户名及密码，单击“确定”按钮即可打开该网页。

172

3．通过IP地址限制保护网站

第章服务配置与管理

8 Web

在IIS中，还可以通过限制IP的方式来增加网站的安全性。通过允许或拒绝来自特定IP

地址的访问，可以有效地避免非法用户的访问。不过，这种方式只适合于向特定用户提供Web

网站的情况。同样，“IP地址限制”功能也需要手动安装，可在“选择角色服务”窗口中勾选

“IP和域限制”复选框以进行安装。

设置允许访问的IP地址的操作步骤如下。

打开管理器，选择欲限制的站点，双击“地址和域限制”图标，显示

IISWebIPv4

如图所示的“地址和域限制”窗口。

8-23IPv4

在右侧“操作”任务栏中，单击“添加允许条目”链接，显示如图所示的“添

8-24

加允许限制规则”窗口。如果要添加一个地址，可点选“特定地址”单选按钮，并输

IPIPv4

入允许访问的地址即可；如果要添加一个地址段，可点选“地址范围”单选按钮，

IPIPIPv4

并输入地址及子网掩码即可。

IP

01

STEP

02

STEP

图“地址和域限制”窗口

8-23 IPv4

图“添加允许限制规则”窗口

8-24

IP

单击“确定”按钮，地址添加完成。

“拒绝访问”与“允许访问”正好相反。

通过“拒绝访问”设置将拒绝来自一个IP地址

或IP地址段的计算机访问Web站点。不过，已

授予访问权限的计算机仍可访问。单击“添加拒

绝条目”按钮，在打开的“添加拒绝限制规则”

窗口中，添加拒绝访问的IP地址，如图8-25所

示。其操作步骤与“添加允许条目”中相同，这

里不再赘述。

03

STEP

图8-25 “添加拒绝限制规则”窗口

8.2.6 配置自定义错误

有时可能会因为网络出现问题，或者因为Web服务器设置的原因，而使得用户无法正常访问

Web网页。为了能够使用户清楚地了解不能访问的原因，在Web服务器上应设置相应的反馈给用

173

Windows Server 2008

服务器配置及管理实战详解

户的错误页。错误页可以是自定义的错误页，也可以是包含排除故障信息的详细错误信息。

默认情况下，IIS已经集成了一些常见的错误代码。在“Default Web Site”主页中单击“错

误页”图标，显示如图8-26所示的“错误页”窗口，显示一些常用的错误代码信息。

图8-26 “错误页”窗口

如果要更改某个错误页代码号，可右击代码名称，单击快捷菜单中的“更改状态”命令，

则错误页代码号变为可改写状态，重新输入新的代码号即可。

如果要查看或修改错误页代码信息，右击一个错误页代码，在快捷菜单中单击“编辑”命

令，或者在右侧“操作”栏中单击“编辑”链接，显示如图8-27所示的“编辑自定义错误页”

窗口，此时即可自定义发生该错误时返回给用户的信息，以及发生该错误时所执行的操作。

 将静态文件中的内容插入错误响应中：在“文件路径”文本框中可设置当发生错误时，

返回给客户端的Web页。如果勾选“尝试返回使用客户端语言的错误文件”复选框，

可以根据客户端计算机所使用的语言不同页返回相应的错误页。

 在此网站上执行URL：选择该项后，可在“URL(相对于网站根目录)”文本框中输入

相对于网站根目录的相对路径中的错误页，如“/ErrorPages/”。

 以302重定向响应：选择该项后，可在“绝对URL(A)”文本框中输入当发生该错误

时重定向的网站地址。

虽然IIS自带了一些错误页代码，但并不一定能满足用户的所有需要。因此，可以自行添

加一些错误页代码。在“错误页”窗口中，单击“添加”按钮，显示如图8-28所示的“添加

自定义错误页”窗口。在“状态代码”文本框中设置一个错误页代码号，根据需要在“响应操

作”选项区域中设置当发生错误时的响应操作即可。最后，单击“确定”按钮保存设置。

图“编辑自定义错误页”窗口

8-27

图“添加自定义错误页”窗口

8-28

174

第章服务配置与管理

8 Web

8.2.7 配置MIME类型

MIME（Multipurpose Internet Mail Extensions）即多功能Internet邮件扩充服务，这是一种

保证非ASCII码文件在Internet上传播的标准，最早用于邮件系统传送图片等非ASCII的内容，

如今浏览器也支持这种规范。如果Web服务器中没有添加相应的MIME类型，则用户无法访

问该类型的文件。

在管理器中，选择站点主页，双击“类型”图标，显示如图所

IISWebMIME8-29

示的“类型”窗口，显示了系统已经集成的类型。

MIMEMIME

01

STEP

图8-29 “MIME类型”窗口

如果想添加新的类型，可在“操作”栏

MIME

中单击“添加”链接，显示如图所示的“添加

8-30MIME

类型”窗口。在“文件名扩展名”文本框中输入欲添加的

MIME.isoMIME

类型，如“”，在“类型”文本框中输入

文件扩展名所属的类型。

02

STEP

图8-30 “添加MIME类型”窗口

单击“确定”按钮，类型添加完成。如果还要添加其他类型，可按以

MIMEMIME

上步骤继续操作。

03

STEP

8.2.8 配置安全Web服务

为了保护Web网站的安全，防止数据在传输过程中被截获和篡改，可以在Web服务器上

配置SSL（Secure Socket Layer，安全套接字层）。SSL是一种利用证书实现数据加密的技术，

HTTP协议可用来加密传输对安全比较敏感的数据和信息，实现Web服务端与Web客户端的

安全通信。而客户端访问时，则要使用“DNS域名或IP地址”的形式。

1．创建SSL证书

由于SSL是利用证书实现数据加密传输，因此，若要使用SSL，必须在Web服务器端创

建用于SSL加密的证书。证书包含了有关服务器的信息，服务器允许客户在共享敏感信息之前

175

Windows Server 2008

服务器配置及管理实战详解

对其加以积极识别，Web服务器只有安装有效服务器证书后才拥有安全通信功能。

在“信息技术管理器”窗口中选择服务器名称，在“主页”中的“”

Internet(IIS)IIS

区域中双击“服务器证书”图标，显示如图所示的“服务器证书”窗口。在安装

8-31IIS 7.0

时，系统自动创建了一个证书，网络管理员可以直接应用该证书实现，也可以导入已有证

SSL

书，或者创建新证书。

这里，以创建一个自签名证书为例。在“操作”任务栏中单击“创建自签名证书”

超级链接，显示如图所示的“创建证书申请”窗口。在“为证书指定一个好记名称”文

8-32

本框中为新证书设置一个名称。

01

STEP

02

STEP

图“服务器证书”窗口

8-31

图“创建自签名证书”窗口

8-32

03

8-33

STEP

04

8-34

STEP

单击“确定”按钮，自签名证书创建完成，并显示在证书列表中，如图所示。

选择新创建的证书，在右侧“操作”栏中单击“查看”链接，显示如图所示的

“证书”窗口，可以查看该证书的名称、颁发者、颁发给、到期日期和证书哈希等详细信息，

单击“确定”按钮。

图证书创建完成

8-33

图“证书”窗口

8-34

2．创建SSL网站

当SSL证书创建完成以后，即可创建HTTPS站点，并启用SSL设置。需要注意的是，HTTPS

站点只能在创建SSL证书后创建，不能将已创建的HTTP站点更改为HTTPS站点。

176

第章服务配置与管理

8 Web

在管理器窗口的“连接”栏中，右击“网站”，在快捷菜单中单击“添加网站”

IIS

命令，显示“添加网站”窗口，设置网站名称、物理路径，在“类型”下拉列表中选择“”，

https

在“地址”下拉列表中指定地址，“端口”使用默认的即可；在“证书”下拉

IPIP443SSL

列表中选择该网站欲使用的证书，如图所示。

8-35

01

STEP

02

HTTPS8-36

STEP

单击“确定”按钮，网站创建完成，如图所示。

图“添加网站”窗口

8-35

图网站创建完成

8-36 HTTPS

在网站主页中，双击“”区域中的“设置”图标，显示如图所

HTTPSIISSSL8-37

示的“设置”窗口。

SSL

勾选“要求”复选框，默认启用位数据加密方法。如果勾选“需要位”复

SSL40128SSL

选框，则启动位数据加密方法。在“客户证书”选项区域中选择三种证书接受方式，分别如下。

128

 忽略：系统默认设置，不接受提供客户端证书，因此安全性最低。

 接受：启用服务器端的SSL设置，并接受客户端证书（若提供），在允许客户端获得

内容访问权限之前验证客户端身份。这里选择该项。

 必需：在接受访问之前要求用户必须提供证书，以验证客户端身份的有效性，安全性

最高。

设置完成后，在右侧“操作”栏中单击“应用”链接，应用所有设置，如图8-38所示。

03

STEP

04

STEP

图“设置”窗口

8-37 SSL

图应用设置

8-38 SSL

177