Интернет-службы в Windows-2000

Введение
В комплекте с операционной системой Windows 2000 Server поставляется последняя версия Microsoft Internet Information Service. Как и следовало ожидать от пятой версии продукта, все внесенные в него изменения носят явно эволюционный, аддитивный, характер. И все же IIS 5.0 отличается и новыми возможностями и опциями, которые заметно облегчают администрирование и разработку веб-сайтов. Те, кто решит обновить предыдущие версии продукта, не должны почувствовать никаких или почти никаких трудностей.

В IIS 5.0 применяется интерфейс администрирования, впервые появившийся в предыдущей версии: оболочка Microsoft Management Console (MMC), отображающая все службы и сайты в виде дерева. Просмотр и выбор конфигурации всех опций осуществляется посредством расширенного диалога Properties. В контекстных меню для сайтов появилось несколько новых позиций, включая инструмент настройки защиты Permissions Wizard (рис. 1) и возможность устанавливать, удалять и проверять расширения для сервера. Permissions Wizard помогает управлять доступом к веб-сайту, позволяя задавать правила доступа — включая выбор метода аутентификации и разрешения доступа, ограничение по IP-адресам, а также специальные списки управления доступом (access control lists, ACL) для виртуальных каталогов и файлов.

Рис. 1. Новый мастер Permissions Wizard упрощает процесс управления доступом к файлам

IIS 5.0 использует новые возможности восстановления работы служб, появившиеся в Windows 2000. Теперь в случае отказа той или иной службы Windows 2000 может: 1) перезапустить эту службу, 2) запустить некоторую программу или 3) перезагрузить компьютер в случае первого, второго и последующих сбоев. В сочетании со счетчиком сбоев эта возможность позволяет IIS исполнять сценарии, состоящие, например, в вызове администраторов в случае сбоя определенной службы. Кроме того, по умолчанию IIS исполняет все приложения в общем, или объединенном, процессе, отдельном от внутренних процессов IIS.

Расширены и возможности регистрации событий: в дополнение к новой опции создания журналов почасовых записей — нужная вещь для веб-сайтов с большим трафиком — IIS теперь можно настроить на регистрацию данных о ходе процессов (Process Accounting), включая такие параметры, как время пользователя и ядра, неудачные загрузки страниц и прерванные процессы. Это позволяет администраторам выявлять сайты, использующие слишком много ресурсов или функционирующие неправильно; на основании этих данных можно ограничить ресурсы ЦП, выделяемые отдельным веб-сайтам для выполнения внешних приложений.

Усовершенствована и поддержка HTTP. Кроме настраиваемых сообщений об ошибках, IIS 5.0 включает поддержку компрессии HTTP, причем компрессируются как статические, так и динамические веб-страницы, что ускоряет их загрузку в браузеры, поддерживающие эту функцию. Динамические страницы должны каждый раз компрессироваться заново, зато сжатые статические веб-страницы сохраняются в настраиваемом буфере, что еще больше повышает производительность при повторных запросах. Кроме того, IIS 5.0 обеспечивает поддержку на сервере нового расширения HTTP 1.1 Microsoft Web Distributed Authoring and Versioning (WebDAV), которое позволяет удаленным авторам управлять файлами и каталогами на сервере (создавать, перемещать или удалять) по каналу связи HTTP.

Защита
IIS 5.0 содержит несколько новых средств защиты. Этот продукт всегда поддерживал ряд механизмов аутентификации: Anonymous, Basic, NT LAN Manager и запрос/ответ Windows NT. Новый метод аутентификации Digest заключается в том, что передаются не сами пароли, а их хешированные значения. Это значительно более надежный метод по сравнению с аутентификацией Basic, где пароли передаются открытым текстом, так как восстановить хешированные пароли практически невозможно.

Механизм запроса/ответа Windows NT теперь называется интегрированной аутентификацией Windows и усилен поддержкой протокола аутентификации Kerberos V5, реализованного в Windows 2000. У Kerberos несколько преимуществ, наиболее важное из которых, вероятно, это возможность перепоручать аутентификацию другим компьютерам, также поддерживающим Kerberos, даже тем, которые работают под управлением других операционных систем. Это облегчает наращивание веб-сайта с использованием разных машин веб-серверов и серверов базы данных. Предыдущие решения, такие как реализация всех служб на одной машине, выполнение всех клиентских запросов в едином контексте защиты или жесткое программирование передачи функций защиты в файлах скриптов, не способствовали усилению архитектуры защиты.

IIS 5.0 поддерживает средства шифрования Server-Gated Cryptography (SGC) и Fortezza.sgc (RFC 2069), которые требуют специальных сертификатов, что позволяет финансовым учреждениям с экспортными версиями IIS использовать сильные 128-битные алгоритмы шифрования. Fortezza — это зарегистрированная торговая марка Агентства национальной безопасности, государственный стандарт защиты сообщений, созданный для архитектуры защиты системы оборонных сообщений США (более подробную информацию можно получить здесь).

Windows 2000 включает Certificate Server 2.0, который обеспечивает существенно улучшенную поддержку цифровых сертификатов по сравнению с весьма ограниченной версией, вошедшей в Windows NT Option Pack. Кроме того, поддержка сертификатов теперь лучше интегрирована с IIS: новый мастер Web Server Certificate Wizard (рис. 2) упрощает создание запроса на сертификат, обеспечивающий защищенную SSL-связь. Еще один мастер помогает администраторам настраивать доверительные списки сертификатов (certificate trust lists, CTL). CTL — это утвержденный список основных сертификационных служб (certification authorities, CA) для данного сайта. Их можно вести для каждого сайта отдельно, что особенно полезно для интернет-сервис-провайдеров, которым приходится поддерживать разные веб-сайты.

Рис. 2. Certificate Wizard облегчает создание сертификатов для организации защищенной SSL-связи

Программирование
Улучшились и возможности прикладного программирования IIS 5.0. Как у Active Server Pages (ASP) — главного механизма запуска динамического контента в IIS, так и у самих объектов программирования повысилась производительность и появились новые функции.

В ASP появился новый объект asperror с возможностями управления ошибками, так что разработчики получили возможность обработки ошибок посредством скрипт-файлов. Кроме того, ASP-страницы стали поддерживать новые возможности ветвления, которые позволяют серверу выполнять другие страницы, не испытывая перегрузки из-за переключения туда-сюда, характерного для традиционных способов переадресации со стороны сервера.

Заметно повысилась производительность бесскриптовых страниц ASP. Многие сайты используют расширение asp для всех страниц, чтобы не менять ссылки и указатели, если впоследствии придется добавить скрипт к странице, первоначально содержащей только команды HTML. К сожалению, в предыдущих версиях за это упрощение приходилось платить —по умолчанию ASP загружал механизм обработки скриптов даже в том случае, если он не требовался. Новая проверка на стадии синтаксического анализа программы снимает эту проблему. Теперь ASP обнаруживает запросы на исполнение, заблокированные внешними (ожидающими) компонентами, и автоматически создает дополнительные потоки, позволяющие продолжать обработку других запросов.

Компоненты
Одна из наиболее интересных новых особенностей IIS — кодирование (или сокрытие) скриптов (script encoding, или script obfuscation). IIS 5.0 содержит новейшие механизмы скриптов Microsoft — VBscript 5.0 и Jscript 5.0, которые поддерживают эту функцию. Шрифты, которые прежде хранились в обычном текстовом формате, подвергаются простому преобразованию (подобно кодированию в формате uuencode), что делает их нечитабельными для случайных пользователей. Во время выполнения такие шрифты декодируются механизмом обработки скриптов. Хотя это и не настоящее решение защиты, оно может помешать прочесть скрипты большинству случайных пользователей.

Теперь ASP поддерживает формат Windows Script Components, который можно использовать для превращения скриптов в компоненты многократного применения Component Object Model (COM), доступные для ASP и других COM-совместимых программ. К ASP прилагаются более дюжины готовых компонентов для таких операций, как регистрация, подсчет событий и обращение к файлам и данным. Все эти компоненты отличаются повышенным быстродействием и масштабированием, а инструмент Browser Capabilities дополнен поддержкой возможностей, описанных в файлах cookies, передаваемых браузером. Это повышает гибкость при выполнении на сервере кода, основанного на функциях, поддерживаемых клиентом.

IIS 5.0 дает несколько прямых преимуществ, таких как новые средства защиты и администрирования, только потому, что этот продукт интегрирован с Windows 2000. Однако он целиком переработан с целью повышения производительности и введения новых возможностей, отвечающих последним интернет-стандартам и составляющих прочную платформу для веб-приложений.

Обсуждение и комментарии

	AlexanderVM 14 Mar 2000 7:22 AM
Обычно стараются сделать работу стабильнее, а тут доп. возможность "пнуть" зависший сервис введена. К каждому СиДи с Вынь2000 прилагается должность пинальщика сервера.

	Valery Shachin - shachinmail.ru 14 Mar 2000 12:25 PM
Вопрос предыдущему оратору: А что к иномарки перестали комплектовать домкратом и запаской?

	Maxim Ralnicov - ralnicovmail.ru 14 Mar 2000 3:16 PM
В состав Win2K введена система восстановления от сбоев для всех служб, как самой MS - так и третьих производителей. Поэтому нельзя говорить что эта служба введена именно для IIS. Не лишним будет напомнить, что, к примеру, squid для unix запускается из батника, который его поднимает в случае падения. По-моему это нормальный дополнительный уровень надёжности.

	Владимир - gr8wladmail.ru 14 Mar 2000 5:22 PM
Только надежность этой службы (надежности - прошу прощения за тавтологию) оставляет желать лучшего - так если изменить dll как в основном так и в backup каталоге - то вся пресловутая надежность полетит в тартарары :(

	Sergey - expocomch.ru 14 Mar 2000 5:58 PM
Попробовал русский Вынь2000 третьей тестовой редакции. Это просто г... Мало того что он мышь не обнаружил, так ещё и в установке оборудования её забыли вставить вообще как устройство. Короче эта муть сильно попортила моё отношение к, типа, супер навороченной, в плане защты и всего такого, проге Вынь2000. Может у кого-то эта версия работала лучше или кто-то знает как это исправить?

	Daniel 14 Mar 2000 7:21 PM
Во блин... А всё-таки, это действительно легче, чем настроить апач с его единственным файлом конфигурации?

	Di - dima.mskmtu-net.ru 14 Mar 2000 9:56 PM
Кто подскажет - нужна ли прокся для 2000 сервера?

	Wocson - wocsonzmail.ru 14 Mar 2000 11:24 PM
>Только надежность этой службы (надежности - >прошу прощения за тавтологию) оставляет желать >лучшего - так если изменить dll как в основном >так и в backup каталоге Несовсем понял, что значит заменить? Т.е. я приду к Вам в контору (иное место), подойду к вашему серверу и заменю dll? Т.е. возможность такой операции в Вашей конторе (ином месте) в порядке вещей? Тогда причем здесь "надежность этой службы".?

	Yuri A. Karpenko - yuri.karpenkoinfopulse.nl 15 Mar 2000 12:19 AM
>>Только надежность этой службы (надежности - >Несовсем понял, что значит заменить? >Т.е. я приду к Вам в контору (иное место), >подойду к вашему серверу и заменю dll? Т.е. >возможность такой операции в Вашей конторе (ином >месте) в порядке вещей? Тогда причем >здесь "надежность этой службы".? Так должна же подняться - найти что поменялось и найти правильную dll. В этом-то и вся прелесть Windows Installer!

	Yuri A. Karpenko - yuri.karpenkoinfopulse.nl 15 Mar 2000 12:22 AM
>Кто подскажет - нужна ли прокся для 2000 сервера? У нее внутри есть - но она опять какая-то недоделанная. Если хочеться чего-то особенного - 3rd company product :)

	FreeBSD 4.0-RELEASE is out!!! 16 Mar 2000 11:43 AM
Она вышла! Вышла! Своп работает быстрее! Она стала стабильнее! И совместимей с POSIX!!!

	Дмитрий - ldvvniiki.ru 20 Mar 2000 12:49 PM
Кто ни будь ставил 2000 на Ahtlon?

	Dark Agent - svs16mail.ru 29 Mar 2000 10:12 PM
Во блин народ дает! Кричать что W2k не нашел мышь! Ребята, а вы загляните под корпус, и внимательно посмотрите, как собрана ваша машина. И тогда уже думайте, и делайте выводы. Очень много случаев не корректной работы ОС свзяно именно с железом. Или совместимостью оборудования. (нехер покупать корейский модем за 30 баксов и спрашивать почему его Винда не нашла!). W2k очень приятная ОС. Я ошибки есть везде и всегда. Просто все мы пользуем неличензионное ПО и нехер орать и доказывать что Microsoft козлы. Выбор ПО для сервера, конечно дело личное, и никто не вправе заставить вас поставить Windows вместо Unix или Linux. А вот c DLL w2k хорошо справляется. Когда программы ставят старые файлы, windows автоматически проверяет версию, и если версия старее имеющегося файла, она предотвращает подмену.

	Спиридон - stardustkiss.ru 30 Mar 2000 8:55 PM
А если бы все браузеры стали пятыми Explorer-ами

	Йохан Палыч - forwarder-onebigfoot.com 31 Mar 2000 5:01 PM
Половина этих новых features IIS -- сплошное уродство. Ну вот нахрена нужно так делать -- кодирование скриптов "от случайного пользователя". Ежу же ясно, что уровень защиты это кодирование ни грамма не поднимает -- мера рассчитана против полных чайников, которым и так эти скрипты не нужны. А поднимает оно только уровень геморроя, возникающего при отладке скриптов. Опять же ясно, что теперь _все_ глючные скрипты от Microsoft будут поступать в закодированном виде. Придется писать программу массовой расшифровки. Встроенная Fortezza от NSA -- тоже хохма. Средство шифрования от организации, которая предназначена для вскрытия любых шифров в мире. Просто мечта для любой серьезной конторы. Permissions Wizard -- эти люди всерьез считают, что администраторы, которым необходимы всякие wizard'ы, имеют право на существование. MS в своем репертуаре.

	юзер - мылона мыле 3 Apr 2000 2:10 PM
какая боль! какая боль! интернет эксплорер 5.0

	курент Морковка ёшкен Кот ,?!@ - saponovsurfree.net.il 4 Apr 2000 4:03 AM
vju,s могбы продат !!! bkv gj vtyzn уже новую версию WINDOWS 120000000> K OS-2000 4.2000.3 ///////// [ХАХЕР ИЛИ ПРОСТО Антон ]--------ntkt www.microsoft.com : dj anton win2000 у тебя в дружок !!!!!!! орехин.Н

	Sgt.Pepper - pepper7ka.mipt.ru 4 Apr 2000 10:48 AM
Йохану Палычу Относительно безопасности спорить не буду - не знаю, не плавал. А вот чем плохо, что интерфейс для администратора станет лучше - я хоть убей не понимаю. ЗАчем тратить время на то, чтобы показать свою крутизну в непонятном и неудобном интерфейсе (либо в ручном вводе), если те же операции можно сделать быстрее?

	Shadow 4 Apr 2000 10:59 AM
Теперь, братки, на скорость... Что быстрее - cd /usr/local/apache/htdocs/ или обкликаться мышью? :))) Но это, конечно, идеальный случай. Администрирование через GUI каких-то текущих задач удобнее, но настройка единственная и глобальная легче через конфигурационный файл с комментариями. (т.е. перекомпилять ядро мне легче в FreeBSD, чем в Linux, но squid я МЕЧТАЮ настраивать как MS Proxy).

	Влад - v987mail.ru 4 Apr 2000 2:17 PM
>Только надежность этой службы.... >так если изменить dll.. >полетит в тартарары :( Да ладно!! чего уж там... если комп. вырубить, то вообще все работать перестанет!! Возмутительно!!! :))

	Сергей 10 Apr 2000 6:19 PM
Грамотно

	Alex - AlexAlex.com 25 Apr 2000 2:27 PM
>Теперь, братки, на скорость... >Что быстрее - >cd /usr/local/apache/htdocs/ >или обкликаться мышью? :))) А иногда и cd быстрее... особенно если мышкой надо раз десять кликнуть, подождать пока разные програмки загрузятся (типа Explorer'а) пока все менюшки нарисуются, особенно на очень устаревшем П2-450-128М.... Может кто еще и помнит как Линух на четверке летает, особенно если 16 мегов поставить ...

	N/A - idiotovtut.net 29 Apr 2000 11:24 AM
>Теперь, братки, на скорость... >Что быстрее - >cd /usr/local/apache/htdocs/ >или обкликаться мышью? :))) А ты проведи эксперемент. Мышью может и быстрее, но куда удобнее тоскать файлы мышкой и настройки сервисов тоже делать мышкой. (с) Администрация Майкрософт.

	Некто 6 May 2000 7:55 PM
Это просто беда! Юниксоиды - просто бараны! Их отстреливать надо! Пишут про крутизну: >Теперь, братки, на скорость... >Что быстрее - >cd /usr/local/apache/htdocs/ >или обкликаться мышью? :))) У них что, мозги отрафировались?!!! Или они забыли, что в Windows есть штатный shell. Привык работать без мыши - так и работай без неё. Эти калеки ругают Windiws за то, чего просто нет в юнихах, но при этом забывают (или просто не знают и не умеют пользоваться), что можно всё сделать из шела и с помощью скриптов. В общем в Windows есть почти всё, что есть в юнихах и плюс к этому УДОБНЫЙ графический интерфейс (в отличии от X-Windows, где многие действия просто НЕВОЗМОЖНО выполнить без мышки)!

	Андрей Черепанов - andrey_tigeri.am 13 May 2000 11:43 AM
2Некто: надо полагать, что уровень культуры любителей M$ прямо пропорционален уровню их мозговой активности ;) Насчет шелла и скриптов M$ здорово придумала - опять все уворовала: да еще и в кастрированном виде! Да никогда с ее идеологией не создать полноценной рабочей среды, как в Unix! Насчет XWindows Вы также не правы (впрочем я уж о возможностях emacs и mc вообще не говорю - Вы о них и не знаете!) Вы видели Gnome или KDE? Куда там до них Windows GUI? А править системные файлы руками значительно проще - можно быстро через поиск найти нужный параметр. Вот под Windows крутость администратора измеряется исключительно знанием расположения кнопок в диалогах. ИМХО, знание кликанья мышкой без знания сущности - вредно!

	Nikolai - ndigoronmtu-net.ru 17 May 2000 4:31 AM
Что-то я понять никак не могу, почему с Win2000 vs IE5.01 не работает Flash Player?

	Shadow 19 May 2000 10:25 PM
У меня мозги не атрофировались. Я и под виндой CygWin пользую. Просто не хочу учить то, что само собой не учится. Windows - не более придатка офиса. На этом уровне она user-friendly. Всё остальное требует ТАКОГО прогиба!

	Sem - sem_krashotmail.com 11 Jun 2000 11:53 PM
Не знаю я про дешовое железо , но ATI RAGE 2C глючит на Virus2000 "Proffesional" , а some russians fonts вообще не берёт , может кто подскажет .

	Firehawk - taeerovwriteme.com 12 Jun 2000 5:49 AM
Да... вот и опять схлестнулись юниксоиды и виндовозовцы... должен остаться только один, так чтоли? :)

	Ils - iilshatmail.ru 17 Jul 2001 1:29 PM
Попробовал я сквитсу под дырку 2000 настроить. На 45 странице уснул. Я люблю клавиатуру, но не до такой же степени!!!!!!!!!

	Billy 17 Jul 2001 2:49 PM
======================================== В общем в Windows есть почти всё, что есть в юнихах и плюс к этому УДОБНЫЙ графический интерфейс (в отличии от X-Windows, где многие действия просто НЕВОЗМОЖНО выполнить без мышки)! ======================================== Самая удачная шутка, которую я слышал за последние полгода!;-))))

← февраль 2000

6 7 9 10 13 14 15 16 17

апрель 2000 →