Создание веб-сайта при помощи IIS
Настройка DNS
После регистрации доменного имени необходимо создать зону и настроить записи DNS для сервера. Мы будем использовать сервер Microsoft DNS, входящий в комплект WS03. (Для получения инструкций по установке сервера DNS обратитесь к лекции 8 курса "Администрирование web-серверов в IIS".)
Для создания зоны прямого поиска выполните следующие шаги.
- Откройте консоль MMC DNS с помощью команды Start\Administrative Tools\DNS.
- Щелкните правой кнопкой мыши на записи Forward Lookup Zones (Зоны прямого поиска) и выберите Select New Zone (Выбрать новую зону).
- Откроется мастер новой зоны (New Zone Wizard). Нажмите на кнопку Next (Далее).
- В нашем случае создается главная зона, поэтому выберите соответствующую опцию и нажмите на кнопку Next (Далее).
- Введите имя зоны ( beer-brewers.com ). Наш сервер DNS не является контроллером домена, и мы не будет хранить его в Active Directory.
- Имя файла зоны по умолчанию нам подходит, поэтому нажмите на кнопку Next (Далее).
- Укажите, следует ли разрешить динамические обновления. Не обязательно обеспечивать динамическое обновление записей, так как изменяться они будут нечасто. Выберите опцию запрета динамических обновлений, после чего нажмите на кнопку Next (Далее).
- Нажмите на кнопку Finish (Готово).
Теперь давайте создадим записи DNS. Мы видим? что уже имеются записи Start of Authority (SOA) и Name Server (NS) (см. рис. 7.1). Следует добавить две записи типа "А", чтобы пользователи осуществляли доступ к сайтам http://www.beer-brewers.com и http://test.beer-brewers.com.
- Щелкните правой кнопкой мыши на зоне beer-brewers.com в области слева и выберите команду New Host (A) (Создать узел А).
- Именем нашего узла является "www", так как оно используется всеми пользователями сети интернет. Введите в поле имени www (см. рис. 7.2).
- Введите IP-адрес рассматриваемого сайта (это IP-адрес, присвоенный серверу с IIS, выбранный ранее). Данный IP-адрес будет присвоен веб-сайту. Для записи WWW следует использовать IP-адрес сайта функционирования.
- Для этой записи не будет создаваться Pointer Resource Record (PTR) (запись ресурса указателя), поскольку для блока IP не реализуется зона обратного поиска. Позже для добавления записи обратной зоны можно будет отправить IP-адрес и имя записи PTR поставщику услуг интернета.
- Нажмите на кнопку Add Host (Добавить узел).
- Нажмите на кнопку Done (Готово).
- Повторите эти шаги для создания еще одной записи "А" для тестового сайта. Имя записи Host Record тестового сайта – test.
Мы создали в нашей зоне запись "А", позволяющую клиентам использовать www в имени хоста. Теперь при вводе пользователем вводить в адресной строке браузера адреса http://www.beer-brewers.com произойдет подключение к DNS-серверу, использующему IP-адрес, связанный с данным URL.
Подготовка сервера
Данный процесс включает в себя:
- проверку устойчивости сервера;
- создание каталога для веб-сайта;
- обеспечение безопасности разрешений файловой системы NTFS для сайта.
Проверка устойчивости сервера
Если сервер находится в среде интернета, важно обеспечить его безопасность. В лекции 6 подробно описан процесс разработки методологии безопасности. В нашем случае используется базовый контрольный перечень мероприятий по обеспечению безопасности.
- Установлены все необходимые надстройки операционной системы и приложений, особенно надстройки безопасности?
- Включен на рассматриваемом сервере аудит в локальной политике безопасности?
- Все учетные записи данного сервера имеют сложный пароль?
- Включены в IIS только необходимые опции?
- Используется файловая система NTFS, и являются разрешения безопасными?
- Используются для каких-либо компонентов повышенные привилегии?
- Существует постоянная оценка и обновление безопасности на данном сервере?
Создание каталога для веб-сайта
По умолчанию IIS устанавливается в каталог C:\Inetpub. Вероятно, потребуется отделить файлы операционной системы от файлов приложений, установленных на рассматриваемом компьютере. Веб-сайта можно записать на другое устройство (например, на D:) либо создать папку Web Site на диске E: и записать в нее файлы веб-сайта. Так обеспечивается безопасность с наследованием разрешений. Кроме того, обновление, форматирование или повреждение устройства C: не влияет на данные, хранящиеся на диске D: или E:.
Обеспечение безопасности разрешений NTFS сайта
При создании и форматировании нового устройства с использованием файловой системы NTFS ему присваиваются следующие разрешения.
Учетная запись безопасности | Разрешения |
---|---|
Группа локального администрирования | Полный контроль. |
SYSTEM | Полный контроль. |
CREATOR OWNER (Создатель-владелец) | Полный контроль. |
Users (Пользователи) | Чтение и выполнение, создание папок/присоединение данных, создание файлов/запись данных. |
Everyone (Все) | Чтение и выполнение. |
Эти разрешения позволяют выполнять действия, выходящие за рамки того, что требуется для рассматриваемого сайта. Кроме того, Internet Guest Account (гостевая учетная запись интернета) не содержит легко контролируемых прав для данной папки, а только разрешения групп Everyone (Все) и Users (Пользователи). Не рекомендуется напрямую присваивать ресурсы определенной учетной записи, может потребоваться более высокий уровень контроля над тем, что доступно учетной записи анонимного пользователя. Выходом из данной ситуации является создание локальной группы, присвоение этой группе прав NTFS и включение в нее анонимного пользователя. Таким образом, для предоставления разрешения другой учетной записи пользователя ее нужно лишь добавить в эту группу.
Разрешения папки настраиваются следующим образом.
- Откройте консоль MMC Computer Management (Управление компьютером) с помощью команды Star\Administrative Tools\Computer Management (Пуск\Администрирование\Управление компьютером).
- Разверните пункт Local Users and Groups (Локальные пользователи и группы).
- Щелкните на контейнере Groups (Группы).
- Создайте новую группу, выбрав команду Action\New Group (Действие\Создать группу). Отобразится окно New Group (Новая группа).
- Укажите имя группы Anonymous Access for BeerBrewers Site. Это имя подходит также и для описания (см. рис. 7.3).
- Присвойте рассматриваемому сайту учетную запись Internet Guest Account (Гостевая учетная запись интернета), нажав на кнопку Add (Добавить) и введя имя учетной записи Internet Guest Account в окне Select Users. Как было сказано в лекцию 2 курса "Администрирование web-серверов в IIS", эта учетная запись создается при установке IIS, и ей присваивается имя IUSR_имя-компьютера. В нашем примере учетной записи присваивается имя IUSR_MYCOMPUTER.
- Нажмите на кнопку OK, чтобы добавить учетную запись в область Members (Члены) группы.
- Нажмите на кнопку Create (Создать) для завершения создания группы, затем нажмите на кнопку Close (Закрыть) для закрытия окна New group (Новая группа).
После создания группы ее можно включить в разрешения безопасности папки, в которой располагается веб-сайт. Создаваемый сайт является совершенно новым, поэтому сначала необходимо создать папку.
- Создайте соответствующую папку на диске E: с помощью Проводника Windows (Windows Explorer) и назовите ее BeerBrewers Site.
- Откройте окно свойств этой папки, щелкнув на ней правой кнопкой мыши и выбрав команду Properties (Свойства).
- Откройте вкладку Security (Безопасность) папки (см. рис. 7.4). Первое, что необходимо сделать – отключить наследование разрешений. Нажмите на кнопку Advanced (Дополнительно) и отключите опцию Allow Inheritable Permissions From The Parent To Propogate To This Object And All Child Objects (Разрешить распространение наследуемых разрешений родительского объекта на данный объект и все дочерние объекты).
- При отключении опции откроется диалоговое окно Security (Безопасность), предлагающее скопировать или удалить разрешения. Нажмите на кнопку Copy (Копировать), чтобы скопировать разрешения.
- Нажмите на кнопку OK для выхода из окна Advanced Security Settings (Дополнительные настройки безопасности).
- Удалите объекты Creator Owner (Создатель-владелец) и Users (Пользователи) из списка Group Or User Names (Группы или имена пользователей), щелкая на имени и нажимая на кнопку Remove (Удалить).
- Рассматриваемая группа Anonymous (Анонимные пользователи) будет по умолчанию иметь разрешения Read & Execute (Чтение и выполнение), List Folder Contents (Просмотр содержимого папки) и Read (Чтение) (см. рис. 7.4). Эти параметры приемлемы для рассматриваемого сайта.
Мы создали папку, управление которой осуществляют группы Administrators (Администраторы) и Operating System (Операционная система), а чтение и выполнение – все остальные лица. Повторите шаги 1-7 для создания среды разработки для разрабатываемого веб-сайта BeerBrewers Test Site. Для разрешений используйте одну и ту же группу (на самом деле такой подход даже лучше).