如何在 Windows Server 2003 中配置 IIS 网站身份验证

如何配置 IIS 中的身份验证
启动“IIS 管理器”或者打开 IIS 管理单元。
展开 Server_name，其中 Server_name 是服务器的名称，然后展开网站。
在控制台树中，右键单击您要配置身份验证的网站、虚拟目录或文件，然后单击属性。
单击目录安全性或文件安全性选项卡（根据需要），然后在“匿名和访问控制”下单击编辑。
单击以选中您要使用的一种或多种身份验证方法旁边的复选框，然后单击确定。
默认设置的身份验证方法是“匿名访问”和“集成 Windows 身份验证”：
匿名访问：如果启用了匿名访问，访问站点时，不要求提供经过身份验证的用户凭据。当需要让大家公开访问那些没有安全要求的信息时，使用此选项最合适。用户尝试连接您的网站时，IIS 会将该连接分配给 IUSER_ComputerName 帐户，其中 ComputerName 是运行 IIS 的服务器的名称。默认情况下，IUSER_ComputerName 帐户为 Guests 组的成员。此组具有 NTFS 文件系统权限所规定的安全限制，这些限制指定访问级别以及可提供给公共用户的内容的类型。要编辑用于匿名访问的 Windows 帐户，请在“匿名访问”框中单击浏览。
重要说明：如果启用匿名访问，IIS 会始终先使用匿名身份验证来尝试验证用户身份，即使您启用其他身份验证方法也是如此。
集成 Windows 身份验证：以前称为 NTLM 或 Windows NT 质询/响应身份验证，此方法以 Kerberos 票证的形式通过网络向用户发送身份验证信息，并提供较高的安全级别。Windows 集成身份验证使用 Kerberos 版本 5 和 NTLM 身份验证。要使用此方法，客户端必须使用 Microsoft Internet Explorer 20 或更高版本。另外，不支持通过 >win2003下asp、iis配置技术windows2003粉墨登场，很多赶时髦滴用户曾经早就试用了，但纵然2003号称安栓性有很大打破，但其默认支持net架构，而扬弃运用了很久滴大众化滴asp滴轨道缺饱尝质疑，需要咱们手动去{go}配置很多东东。在iis60中，默认设置系特殊严峻和按栓滴，这么可以{can}最大限度地减轻茵从前太宽松滴超时和局限而造成滴攻击。比方说默认配置数据库属性实行滴最大asp张贴大小为204,800个字节，并将各个字段局限为100kb。在iis60之前滴版本中，没有张贴局限。导致我们的运用体格往2003移植经常会出错。现汇总解决规划如下。
1、启用asp支持
windowsserver2003默认装置，系不装置iis6滴，需要此外装置。装置完iis6，还需要独自开启关于asp滴支持。
第一步，启用asp，步入：控制面板->倌理工具->iis(internet服务器)-web服务扩充->activeserverpages->准许控制面板->倌理工具->iis(internet服务器)-web服务扩充->在服务端滴包括文档->准许
第二步,启用父路径支持。
iis-网站－主目录－配置－选项－启用父路径
第三步，权限分配
iis-网站－（具体站点）－（右键）权限－users完整节制
两、解决windows2003最大只能上载200k滴局限。
先在服务里闭合iisadminservice服务找到windows\system32\inesrv\下滴metabasexml,
打开，找到aspmaxrequestentityallowed把他修正为需要滴值，然后重启iisadminservice服务
1、在web服务扩充准许activeserverpages和在服务器端滴包括文档
2、修正各站点滴属性主目录－配置－选项－启用父路径
3、使之可以{can}上传大于200k滴文档(修改成你要滴大小就可以了，如在背后补两个0，就准许20m了)
c:\windows\system32\inetsrv\metabasexml
（企业版滴windows2003在第592行，默以为aspmaxrequestentityallowed="204800"即200k
将其加两个0，即改为，如今最大就可以{can}上载20m了。aspmaxrequestentityallowed="20480000"
在win2003上配置iis注意{lookout}几点{whattime}配置windowsserver2003--iis6
microsoftknowledgebasearticle-324742这篇文章中滴信息适用于:
microsoftwindowsserver2003,datacenteredition
microsoftwindowsserver2003,enterpriseedition
microsoftwindowsserver2003,standardedition
microsoftwindowsserver2003,webedition
microsoftwindowsserver2003,64-bitdatacenteredition
microsoftwindowsserver2003,64-bitenterpriseedition
microsoftinternetinformationservicesversion60
本分步指南引见了如何在windowsserver2003环境中设置1个用于匿名造访滴>第一步，启用Asp，进入：控制面板->管理工具->IIS(Internet服务器)-Web服务扩展->ActiveServerPages->允许
控制面板->管理工具->IIS(Internet服务器)-Web服务扩展->在服务端的包含文件->允许
第二步,启用父路径支持。
IIS-网站－主目录－配置－选项－启用父路径
第三步，权限分配
IIS-网站－（具体站点）－（右键）权限－Users完全控制
二、解决windows2003最大只能上载200K的限制。
先在服务里关闭iisadminservice服务
找到windows\system32\inesrv\下的metabasexml,
打开，找到ASPMaxRequestEntityAllowed把他修改为需要的值，
然后重启iisadminservice服务
1、在web服务扩展允许activeserverpages和在服务器端的包含文件
2、修改各站点的属性
主目录－配置－选项－启用父路径
3、使之可以上传大于200k的文件(修改成您要的大小就可以了，如在后面补两个0，就允许20m了)
c:\WINDOWS\system32\inetsrv\MetaBasexml

xml:namespace prefix = st1 />这篇文章可以说是众多的 IIS下配置php最实用最精简的一篇技术文章了，对于那些使用一键安装php+mysql+iis和用installer版本安装包的拖鞋可以忽略本文，并且对于网上最经典的“Windows配置Apache+MySQL+Php+phpMyAdmin"等文章，我觉得对于刚学会用电脑的朋友很适合看，要配置服务器的朋友看着就会觉得太简单和长篇了，本文用最精练的步骤进行安装。以PHP为标准因为PHP5 PHP4 有文件夹命名的差异，不过触类旁通，请根据实际版本进行变化（文章虽然说的是PHP5214,我实践主要是PHP4,只是文件夹的名字或许有点出入。）==================================================================================1下载php-win32压缩包，解压之后重新命名为php放至D:php 。2进去D:php，找到phpini-dist 和 phpini-recommended 这两个都是PHP的配置文件，phpini-dist是默认的配置文件, phpini-recommended是推荐使用的配置文件，后者在PHP手册中有讲，是优化了性能和安全的。这里我们相信群众，把phpini-recommended重新命名为phpini。 3 设置环境变量。为了以后升级方便，我们这里摒弃传统的复制DLL和phpini到C盘系统文件夹下的方法，用添加系统环境变量path：在桌面“我的电脑”--右键--属性---高级---环境变量，在最下面的列表中的path中添加php的路径和dll等的路径d:php；d:phpextensions；d:phpdlls（php5是没有这个文件夹的，请灵活变化）；接着新建一个环境变量，变量名为PHPRC,变量值为：D:phpphpini也就是phpini配置文件所在的路径。添加完后需要重启服务器才能生效，你可以等下面的 *** 作完成以后再重启服务器。4 打开PHPini我们搜索extension,找到extension_dir = "/" ，把它修改为实际路径extension_dir = "d:phpext" ，这个是PHP要调用的一些DLL（其中php4环境下则是d:phpextensions）。5打开phpini，搜索doc_root,修改为你的web存放的路径如d:，重启>1、启用网站日志记录
Internet 信息服务 (IIS) 日志记录可以提供比 Windows Server 2003 的事件日志记录或性能监视功能更详细的信息。IIS 日志包括以下信息：访问网站的用户、他们查看的内容以及最后一次查看信息的时间。您可以监视他人对您的网站、虚拟文件夹或文件所进行的访问尝试，不论访问成功与否。这包括读、写文件等事件。可以单独记录针对任何站点、虚拟文件夹或文件的事件。通过定期审阅这些日志文件，您可以检测到您的服务器或站点的哪些方面易受攻击或存在其他安全隐患。
要在启用网站日志记录，请按照下列步骤 *** 作：
启动 Internet 信息服务管理器。为此，请单击“开始”，指向“管理工具”，然后单击“Internet 信息服务”。
双击“server_name”，其中 server_name 是服务器的名称。
展开“网站”文件夹。
右键单击要对其启用日志记录的网站，然后单击“属性”。
在“网站”选项卡上，选择“启用日志记录”。
注意：必须同时选中“网站”选项卡上的“启用日志记录和“主目录”选项卡上的“记录访问”才能启用日志记录。
在“活动日志格式”列表中选择一个格式。
依次单击“属性”、“高级”选项卡，然后选择要在日志中监视的项目。
注意：如果选择了“ODBC 日志记录”，请单击“属性”，并提供 ODBC 数据源名称 (DSN)、表、用户名和密码，然后单击“确定”
在“常规”选项卡上，选择要安排日志记录或更改“日志文件”文件夹的方式。有关更多信息，请参见本文的“保存 IIS 日志文件的配置选项”部分。
单击“确定”。
针对特定文件夹启用或禁用日志记录
启动 Internet 信息服务管理器。为此，请单击“开始”，指向“管理工具”，然后单击“Internet 信息服务”。
双击“server_name”，其中 server_name 是服务器的名称。
展开“网站”文件夹。
右键单击“网站”或找到要配置的文件夹，然后单击“属性”。
在“目录”选项卡上，单击“记录访问”。
注意：要禁用日志记录，请单击“记录访问”。
单击“确定”。
2、保存 IIS 日志文件的配置选项
要设置保存日志文件的选项，请按照下列步骤 *** 作：
打开 Internet 信息服务管理器。为此，请单击“开始”，指向“管理工具”，然后单击“Internet 信息服务”。
展开您的服务器节点。
展开“网站”文件夹。
右键单击“网站”，然后单击“属性”。
在“网站”选项卡上，单击“属性”。
在“常规属性”选项卡上，选择启动新的日志文件时要使用的选项。选项如下所示：
“每小时”：每小时创建一次日志文件，从每小时发生的第一项开始。该功能通常用于大容量的网站。
“每天”：每天创建一次日志文件，从午夜后发生的第一项开始。
“每周”：每周创建一次日志文件，从星期六午夜后发生的第一项开始。
“每月”：每月创建一次日志文件，从该月最后一天午夜后发生的第一项开始。注意：对于除“万维网联合会 (W3C) 扩展日志文件格式”之外的所有日志文件格式，“午夜”都指当地时间的午夜。对于此文件格式，“午夜”默认为格林威治标准时间 (GMT) 的午夜，但是您可以将它更改为当地时间的午夜。要打开新的采用 W3C 扩展日志文件格式并使用当地时间的日志，请选择“文件命名和创建使用当地时间”。新的日志在当地时间的午夜启动，但日志文件中记录的时间仍为 GMT 时间。
“不限制文件大小”：数据总是附加到同一日志文件。只有停止站点后，您才可以访问该日志文件。
“当文件大小达到”：当目前的日志文件达到特定大小时，创建新的日志文件。您必须指定希望的大小。
在“日志文件目录”下，键入要保存日志文件的目标文件夹。
注意：必须使用完整路径列出本地文件夹。当指定日志文件的文件夹时，不能使用映射的驱动器或 UNC 路径（如 \\server1\share1\），也不能使用句点或者反斜杠字符。
单击“应用”，然后单击“确定”。
3、使用记事本审阅 IIS 日志记录：
要打开记事本，请单击“开始”，依次指向“所有程序”、“附件”，然后单击“记事本”。
在“文件”菜单上，单击“打开”并键入日志文件的保存位置。
检查日志中是否有可疑的安全事件，其中包括：
企图运行可执行文件或脚本的多个失败的命令。（在此种情况下，密切监视“脚本”文件夹。）
来自一个 IP 地址的过多失败的登录尝试，这可能是企图增加网络流量或拒绝其他用户访问。
访问和修改 bat 或 cmd 文件的失败尝试。
在未经授权的情况下，企图将文件上载到包含可执行文件的文件夹。
安全性
Web 服务器上正确的安全防护可减少或阻止各种恶意和意外的安全威胁。
对于生产服务器，从允许用户浏览文件（包含如何创建证书的信息）的 Web 服务器中，删除 Active Server Pages (ASP) 注册页。如果不希望删除 ASP 页，则可以限制文件的查看权限。这些页通常位于网站的根目录中。

---