Книги, научные публикации
Pages: | 1 | 2 | 3 | 4 | 5 | Уильям Р. Станек Internet Information Services 5.0 Справочник администратора Подробный справочник по ежедневной работе с Microsoft Internet Information Services и Microsoft Indexing Services Таблицы, ...
-- [ Страница 3 ] --обычное выражение Set reg = New RegExp 178 Часть II Администрирование Web-сервера наличие символов, отличных от 0-9, a-z, A-Z и '_' = из строки ввода недопустимые символы = Если вы хотите разрешить пользователям ввод знаков ктуации и одновременно исключить злонамеренный ввод, выявляйте и удаляйте символ конвейеризации ( ). Он объе команды, предоставляя тем самым возможность выполнять команды на сервере. Следующий код удаляет из строки ввода символ конвейера и весь сто ящий за ним текст;
обычное выражение Set = New RegExp наличие символа конвейеризации = конвейеризации и все прочие следующие за ним goodString = Существует масса других методов проверки ввода пользова теля. Подробнее Ч на по адре су Удаление неиспользуемых сопоставлений приложений Сопоставления указать доступные приложениям и расширения ISAPI. Службы IIS сконфи гурированы для поддержки многих при ложений включая ASP, Internet Database Connector и Index Server. Если какие-то из этих приложений на Web сервере не для безопасности мож но удалить соответствующие сопоставления, включая тс, что используются:
Х.htr Ч для сброса через Web;
Х.idq Ч Index Server;
Х Ч Database Connector;
Х Ч Internet Printing;
Х.stm, Ч для стороне сервера.
Управление безопасностью Web-сервера Глава 5 Чтобы полностью удалить для всех Web-узлов сервера со поставления так.
1. В оснастке Internet Information Services кнопкой значок нужного и выберите кон текстном меню команду (Свойства).
ся диалоговое окно.
2. В раскрывающемся Master Properties свойства) выберите WWW Service (WWW-служба) и щелкните Edit диалоговое окно WWW Service Properties (Основные свойства WWW-службы) данного компьютера.
3. на вкладку Home Directory (Домашний ката лог) и и Application (Параметры прило жения) щелкните Configuration (Настройка). Откроется окно Configuration (Настройка приложения).
4. На вкладке Арр Mappings приложений) выберите сопоставление и щелкните Remove (Удалить).
(Да), чтобы 5. Щелкните Apply (Применить). Прежде чем применить значения IIS проверит текущие парамет ры всех и их папок. Если на Web-узле зуются другие параметры, откроется окно Overrides в узлы и папки, которые будут вать новые сопоставления, и ОК.
Глава б Управление службой Microsoft Certificate Services и протоколом SSL В главе мы рассмотрели Web-сер вера, а обсудим службу Microsoft Certificate (Службы сертификации) и протокол SSL, допол нительный уровень Certificate Services и SSL защищают информацию, например пароли, номера карт и сведения об оплате, шифруя данные, пересылаемые между клиентом и сервером. Ч это процесс кодирования инфор мации по алгоритму, затрудняющему счи тывание исходных сторонними лицами.
Службы Internet Information Services ные данные клиентскому браузеру по протоколу при этом серверы и/или клиенты ют свою подлинность, сертификаты, а ус тановки соединения информацией по защи Информация шифруется позволяющим и серверу получить данные.
Протокол SSL IIS поддерживают протокол SSL версии 3.0, обеспечиваю щий обмен между Web-сервера ми и браузерами. Рассмотрим архитектуру и использование SSL.
службой Services и протоколом SSL Глава 6 SSL-шифрование В алгоритме для математическое ключом, которого прочесть исход ные данные Существует множество методов шифрования для применяют открытый вания) и (секретный) другие Ч секретные ключи общего пользования, распространяемые между шедшими проверку подлинности системами. В протоколе SSL реализовано шифрование открытого ключа, ющее ключи:
Х открытый, доступный любому его лицу;
Х закрытый, известный Х секретный общего пользования (ключ емый на основе данных открытого и закрытого ключей.
Для соединения между и сервером IIS применяют компонент открытого ключа, имеющийся в протоколе SSL. Используйте этот протокол всегда, когда хотите обеспечить дополнительную защиту клиент-серверного обмена информацией. Службу и протокол SSL использовать:
Х для Web-сервера с помо щью Web-узла Administration Web узла) или страниц администратора;
Х при наличии на защищенных областей с ными документами;
Х при наличии на Web-узле собирающих или о посетителях;
Х если на заказы на и услу ги и собираются сведения о картах клиентов.
протоколу SSL клиент подключается к используя начинающийся с https что браузер пытается установить со единение с IIS. По умолчанию назначен порт 443, но это изменить. Настроившись на работу с SSL, помните, что невозможно использовать за головки узлов. SSL шифрует HTTP-запросы и поэтому не Часть II Администрирование определить нужный клиенту узел на основе име ни заголовка узла из запроса.
После того как клиентский браузер к серверу с помощью безопасного сервер переласт свой от крытый ключ и сертификат. Затем клиент и сервер согла суют уровень шифрования для безопасной связи. Сервер всегда задействовать наивысший поддерживаемый им уровень шифрования. После согласования уровня клиентский браузер создаст ключ сеанса и с помо щью открытого ключа шифрует для передачи. Прочитать перехваченное в этот момент сообщение нельзя Ч извлечь исходные позволяет закрытый ключ сервера.
расшифровывает клиентское своим закрытым ключом, и в результате SSL-сосдинсние между клиентом и сервером. для шифрования пере между клиентом и сервером будет исполь ключ сеанса.
Итак, SSL-подключение устанавливается в такой тельности.
1. Клиентский браузер обращается к с помощью безопасного 2. передает браузеру свой открытый ключ и сер тификат.
3. Клиент и сервер согласуют уровень шифрования для обмена информацией.
4. Клиентский браузер ключ сеанса открытым клю чом сервера и передает данные серверу.
5. расшифровывает сообщение сво им ключом. В итоге создастся между клиентом и сервером.
6. Для шифрования пересылаемых между клиентом и вером данных применяется ключ сеанса.
SSL-сертификаты Сертификат можно рассматривать как удостоверение с ин для идентификации приложения в сети. Серти фикаты позволяют пользователям и Web-серверам подтвер ждать свою подлинность перед установлением Управление службой Services и SSL Глава Кроме того, сертификаты ключи, SSL-сеансов между сервером и клиентом.
Сертификаты, IIS, Web-браузерами и служба ми Component Services, обычно стандарту и потому сертификатами Суще ствует несколько версий стандарта Х.509, время от и совершенствуемых. При соедине ния используется два типа сертификатов Х.509: клиентские (с информацией клиента) и серверные (с идентификационной информацией сервера).
Центр сертификации (Certificate Authority, CA) уполномо чен выдавать сертификаты обоих типов и представляет со бой орган, проверяющий личности пользовате лей, организаций и их и выдающий которые удостоверяют их личность. Перед выдачей клиент ского сертификата СА требует иден организацию и Для выдачи серверного сертификата СА тре предоставить идентифицирующие организа цию и сервер.
В этом разделе основное внимание уделено серверным сер тификатам. Их можно получить у одного нескольких СА.
Если вы используете Certificate впра ве сама выступать в качестве СА. Поддержка SSL на Web сервере в этом случае включается так.
Установите службу Certificate Services на одном из сер веров домена и корневого СА.
2. запроса сертификата для всех мещенных на ваших серверах Web-узлов с уникальными именами. Затем с помощью этих файлов создайте для Web-узлов серверные сертификаты.
3. Установите сертификаты и включите SSL на всех требу ющих этого Web-узлах.
Чтобы клиентские браузеры опознавали сертификат корне вого СА и доверяли ему, должны установить этот сертификат хранилище сертификатов браузера.
5. Для установки SSL-соединения используйте URL, начи нающиеся с 184 Часть II Администрирование Web-сервера Кроме того, можно обратиться к сторонним СА. Они под твердят вашу подлинность, и в браузерах уже предустанов лены сертификаты доверенных СА.
список доверенных к Microsoft Internet Explorer 5. можно так, 1. В Tools выберите команду Internet Op tions Откроется одноименное окно.
2. Перейдите на вкладку Content и щелкни Certificates Откроется окно (Сертификаты).
3. Перейдите на вкладку Trusted Root Certification Autho rities центры сертификации), где список доверенных корневых СА.
Поддержка на Web-узле при работе со сторонним СА включается так.
1. Сгенерируйте файлы запроса сертификата для всех раз мещенных на ваших серверах Web-узлов с уникальным именем.
2. Передайте эти файлы в доверенный сторонний СА, на пример Entrust, Valicert или Verisign. СА обра ботает запросы и вернет вам сертификаты.
3. Установите и SSL на всех требу Web-узлах.
4. Теперь для установки клиенты смогут задействовать URL, начинающиеся с от типа используемого СА серверными серти фикатами с помощью Ser vices. Срок действия серверного сертификата закон читься, того, сертификат могут Например, Ч поставщик услуг выдающая соб ственные сертификаты, выдавать клиентам сертифи каты, действительные в течение года. Это заставит тов хотя бы раз в год сертификата. Кро ме того, когда клиент отказывается от услуг, его сертифи кат отзывается.
Управление службой Certificate Services и протоколом SSL Глава 6 Стойкость шифра в протоколе SSL Стойкость SSL-сеанса прямо пропорциональна чис разрядов в ключе сеанса. Иначе говоря, считается, что ключи с большим числом разрядов безопаснее Ч их труд нее взломать.
Для SSL-сеансов обычно применяются 40- и 128-разрядный уровни шифрования. Первый подходит для боль ситуаций, включая электронную коммерцию, а рой Ч дополнительную защиту личных и финансовых сведений клиента. В версиях Microsoft Win dows США реализовано 128-, а в экспортных версиях Ч 40-разрядное Чтобы обновить сервер для 128 разрядного шифрования, специальный пакет об распространяемый Microsoft.
Не путайте уровень шифрования SSL-сеансов (стойкость ключа сеанса, выраженная в разрядах) и уровень шифрова ния SSL-сертификатов (стойкость открытого и закрытого ключей сертификата, выраженная в Обычно дли на ключа шифрования, открытого или закрытого, составля ет 512 или 1 024 разряда. Внутренние американские и экс портные версии большинства приложений и ОС поддержи вают ключи шифрования длиной 512 разрядов. Ключи дли ной 1 024 и более разрядов во многих случаях не поддер живаются.
Когда пользователь пытается установить SSL-соединение с Web-сервером, клиентский браузер и сервер на сво их шифрования определяют возмож ный уровень шифрования. Если ключей шифрования 512 разрядов, используется 40-разрядное, если 1 024 Ч разрядное шифрование. Также доступны другие длины клю чей и уровни шифрования.
Служба Microsoft Certificate Services Служба Microsoft Certificate позволяет предостав лять и отзывать цифровые с кото рых можно создавать SSL-сеансы и подтверждать подлин ность узла внешней сети, а также Интернета.
186 Часть II Администрирование Web-сервера Общий обзор Certificate Services Ч это служба Windows, выполняющаяся на выделенном сертификатов. Вот список возмож ных серверов:
Х корневой СА предприятия находится в корне иерархии домена Windows, этот наиболее доверенный СА в преде лах предприятия должен обладать доступом к службе Ac tive Directory;
Х дочерний СА предприятия состоит в иерархии гося СА, может сертификаты, но должен полу чить собственный сертификат СА у корневого СА пред приятия;
Х автономный корневой СА находится в корне иерархии, не связанной с предприятием;
наиболее иерархии и не требует доступа к Active Directory;
Х дочерний СА состоит не связанной с приятием иерархии, может выдавать сертификаты, но должен получить собственный сертификат СЛ у автоном ного корневого СА своей иерархии.
На сервере не должна выполнять ся только Certificate Services, на вполне можно публи ковать Однако в домене рекомендуется выделить специальные серверы сертификатов, не используемые для на котором лена служба Certificate Services, нельзя. Нельзя изменить и его членство в домене.
Для управления служат Certifi cation Authority (Центр сертификации) и на основе ASP-страниц, которое открыть в обычном браузере. Оснастка полностью управлять службой Certificate Services, a Web-приложение Ч списки сертификатов (certificate lists, отправлять и наличие поступивших зап росов иа сертификаты.
Рассмотрим главное окно оснастки Certification (Центр сертификации) (рис. Узел корневого СА содер жит 4 вложенных узла, в которых Управление службой Certificate Services и протоколом SSL Глава 6 Revoked Certificates (Отозванные сертификаты) Ч отозванные сертификаты;
Issued Certificates (Выданные сертификаты) Ч сер тификаты, утвержденные и выданные службы Certificate Services;
Pending Requests (Запросы в Ч ожидающие своей очереди на сертификаты, поступившие данный СА;
чтобы удовлетворить его правой кнопкой и выберите в контекстном меню команду (Выдать);
Failed Requests (Неудачные запросы) Ч отклоненные запросы на сертификаты, поступившие в данный СА;
что бы отклонить запрос, щелкните его значок правой кноп кой и выберите контекстном меню команду Deny (Зап ретить).
Примечание Метка корневого узла в оснастке соответ ствует имени СА. В нашем примере это Corporate Root CA.
сертификаты в Запросы в - Неудачные запросы Рис. 6-1. Оснастка Certification Authority (Центр сертификации) Установка службы Certificate Services включает несколько этапов. Прежде всего нужно создать папку для и конфигураци онных файлов. Она должна располагаться на том же компь ютере, что и Certificate Services. Ей следует раз решение Read (Чтение) для группы Everyone 188 Часть II Администрирование Web-сервера (Все), чтобы пользователи обращаться к папке и устанавливать сертификаты из нее. Если на сервере вы полняется IIS и вам требуется получать CRL для запраши вания сертификатов или наличия ожидающих росов на сертификаты с помощью установите па сервере сертификатов службы IIS.
Создав папку и установив Cer Services.
1. Зарегистрируйтесь на сервере сертификатов, учетную запись с привилегиями администратора (при СА предприятия Ч запись с гиями администратора домена).
2. Раскройте меню и вы Control (Панель 3. Дважды щелкните значок Add/Remove Programs (Уста новка и удаление программ).
диалоговое окно.
4. Щелкнув Windows Components, запустите мастер Windows Components (Мастер компонен тов Windows).
5. флажок Certificate Services (Службы сертифи кации). При необходимости подтвердите свои действия, щелкнув Yes (Да). Затем щелкните Next (Далее).
6. Выберите тип СА (рис.
Х Enterprise Root СА (корневой ЦС предприятия) корневой СА домена Directory, доступен, только если сервер состоит в домене;
Х Enterprise Subordinate СА ЦС пред приятия) Ч дочерний СА, который членом су ществующей иерархии;
переключатель также требует наличия службы Active Directory;
Х Stand-Alone Root CA (изолированный ЦС предпри ятия) Ч автономный СЛ, наличие Active Directory не требуется;
Х Stand-Alone Subordinate СА подчи ненный ЦС) Ч СА, который станет членом существующей иерархии;
наличие Active Directory не требуется.
Управление службой Certificate Services и протоколом SSL Глава Примечание Для выбора поставщика услуг шифрования и алгоритмов хеширования, используемых при создании ключей, пометьте флажок Options (Дополнитель ные возможности). В большинстве ситуаций будут прием лемы значения по умолчанию.
BOB Рис. 6-2. Выбор типа СА 7. предложат идентифицирующие СА, и указать окончания сертификата (рис. 6-3).
В поле введите:
Х СА Name (Имя ЦС) Ч имя СА: Microsoft Corporation Root Х Organization Ч нование организации: например, Microsoft Х Organizational Unit (Подразделение) Ч отвечающее за СА: Technology Department;
Х City (Город) Ч город или в которой рас положена организация;
Х State or Province (Область) Ч штат или область, в которой расположена организация;
Часть Администрирование Web-сервера /Region (Страна/регион) Ч страна или реги он, в котором расположена E-Mail (Электронная почта) Ч адрес электронной почты администратора сервера сертификатов;
СА Description (Описание ЦС) Ч описание Valid For (Срок действия) Ч и время окончания сертификата корневого СА (этот сертификат генери руется при СА).
ения а для С Имя Рис. 6-3. Идентификационная и дата окончания сертификата СА 8. Укажите папку для сведе I. и I и Ж) катов в папку Также в тюле Shared Folder (Сетевая папка) укажите расположение ранее созданной папки сертифи Можете щелкнуть Browse (Обзор) и выбрать пап ку в открывшемся диалоговом окне.
Щелкните. Next (Далее). Если на сервере сертификатов IIS, Windows потребует их ра боту. Щелкните ОК в ответ на запрос системы. Мастер Все поля, кроме рекомендуется на английском языке. Ч Прим.
Управление службой Certificate Services и протоколом SSL Глава S Windows Components Wizard установку и конфи гурирование Certificate Services.
10. Щелкните Finish (Готово). Если установили службу Certificate Services на компьютер с IIS, то сможе те сконфигурировать ее для доступа через Web.
Доступ к службе Services через Web-браузер После па компьютер с IIS службы Certificate Ser vices ОС обновляет Web-узел по умолчанию Web узел), позволяя получать CRL, запрашивать сертификаты и проверять наличие па сертификаты через Web-браузер.
Управление на основе Web-браузера реализовано с помощью файлов из трех папок.
Х служит для Web-доступа к Certificate Services.
Расположение по умолчанию Ч tem32\CertSrv. По умолчанию эта папка сконфигури рована в качестве с CertSrv, в процессе.
Х предназначена для управления службой Cer Services. Расположение по Ч Х CertEnroll служит для управления службой Services. Расположение по умолчанию - Если эти папки почему-либо недоступны, можно создать каталоги, которые свяжут псевдонимы с их физическим Для так.
1. Запустите оснастку Internet Information Services и ле вой панели раскройте узел нужного Если компьютер отображается, подсоединитесь к в соответствии с инструкциями раздела к другим серверам главы 2.
2. Щелкните правой Web-узел, к которому требу ется подключить системный каталог, и выберите в кон текстном команду Directory (Создать\ Виртуальный каталог). Запустится мастер Virtual Direc tory Creation Wizard (Мастер создания виртуальных ка талогов). Щелкните Next (Далее).
Администрирование Web-сервера 192 Часть 3. В поле Alias введите имя для доступа к сис темной папке, например 4. В следующем диалоговом окне вам предложат указать путь к физической с содержимым. Щелкните Browse (Обзор) и выберите в открывшемся окне систем ную папку.
5. Щелкните Next (Далее) и задайте разрешения на доступ и выполнение. Папкам CertSrv, и задайте разрешения Read (чтение) и Scripts Only (запуск сценариев).
6. Щелкните Next (Далее), затем Ч Finish (Готово), Будет создан виртуальный каталог, связанный с указанной вами физической Сконфигурируйте каталог CertSrv как начальная точка которого указывает на его папку. CertControl и CertEnroll будут частью делать их отдельными ями не требуется.
Теперь для Web-доступа к службе Certificate Services мож но использовать Здесь hostname Ч DNS- или NetBIOS-имя обслуживающего например ca.microsoft.com или Ниже показана основная стра ница Certificate (рис. 6-4).
для для веба, клиента безопасность и подлинности сертификат, вы сможете себя других веб, подписывать свои сообщения, свои по почте и выполнять другие в от сертификата сертификат ЦС или список отзыва сертификатов Запросить выполнения на Рис. 6-4. Web-интерфейс управления службой Certificate Services (Службы сертификатов) Управление службой Certificate и протоколом SSL Глава Запуск и остановка службы Certificate Services на как служба Windows. ее можно так.
1. оснастку (Центр серти СА (Root СА) и выберите в меню (Все 2. Для остановки выберите Stop (Оста службу), а для - Start службы).
На компьютере Certificate останавлива ют/запускают так.
1. Запустите оснастку Certification и корневой СА (Root СА) правой и меню Certifi cation Authority диалоговое окно Certification Authority (Центр сертификации).
3. Поставьте переключатель в положение (Другим (рис. 6-5), введите имя компью тера и щелкните Finish (Готово). Можно ввести IP адрес или полное доменное имя сервера.
Рис. 6-5. Диалоговое окно Certification Authority (Центр сертификации) 194 Часть II Администрирование Web-сервера 4. В оснастке Certification Authority щелкните правой кноп кой корневой узел (Root CA) и выберите в стном меню All Tasks 5. Для остановки Certificate Services выберите Stop (Оста службу), а Ч Start (Запуск службы).
Архивирование и восстановление информации СА При наличии в СА следует пери одически архивировать его информацию. Это гарантирует восстановление важных данных СА, включая закрытый ключ и конфигурационные сведения, журнал и оче редь ожидающих Возможно архивирование двух видов:
Х обычное Ч создание копии журналов сертифи катов и запросов;
Х добавочное Ч создание копии журналов сер тификатов и очередей ожидающих запросов, содержа щей с последнего архи вирования.
Если СА очень большой, можно также добавоч ное архивирование журналов и очередей командой Perform Incremental Backups добавочную архивацию).
1. Произведите обычное информации СА.
2. Затем добавочном архивирование.
При добавочном архивировании восстанавливать информа цию следует также по частям.
1. службу Certificate Services.
2. Восстановите обычную резервную копию.
3. Поочередно восстановите все добавочные копии.
Запустите Certificate Services.
Архивирование информации СА Информация СА на сертификатов так.
1. Создайте папку, где служба Certificate Services будет хра нить резервные копии. Эта папка должна быть пустой и находиться на одном с Certificate (Службы сертификации).
Управление службой Certificate Services и протоколом SSL Глава 2. Запустите оснастку Certification Authority (Центр серти фикации), кнопкой (Root CA) и выберите в контекстном меню All CA (Все задачи\Архивация ЦС).
ся мастер Certification Backup (Мастер архивации центра Примечание При резервном копировании информации СА должна быть запущена Certificate Services. Если служба ос тановлена, вам будет предложено ее запустить Ч щелкни те ОК.
3. Щелкните Next (Далее) и выберите объекты для архиви рования (рис. 6-6):
для отдельные компоненты данный Рис. 6-6. Мастер Certification Authority Backup Wizard (Мастер архивации центра сертификации) Х Private CA (Закрытый ключ и сертификат ЦС);
Х Configuration Information о конфигурации);
Х Issued Certificate Log And Pending Certificate Request (Журнал выданных сертификатов и на сертификаты), 196 Часть II Администрирование Web-сервера 4. Если это добавочное архивирование, флажок Perform Incremental Backup (Выполнить ар хивирование).
5. Б ноле Back Up To This (Архивировать в сле дующее место) к папке для ко пирования или щелкните Browse (Обзор) и в диалоговом окне. Если вами папки нет, система предложит создать ее.
6. Щелкните Next и подтвердите пароль для защиты файлов ключа и сертификата СА.
7. Щелкните Next (Далее), затем Finish (Готово).
создаст резервную копию указанных Восстановление информации СА Данные СА так.
1. Certificate Services (Службы сертификатов) должна быть остановлена: в оснастке Certification Authority (Центр правой корневой СА (Root СА) и выберите в контекстном меню команду All Tasks\Stop Service (Все службу).
2. Снова щелкните корневой узел СА (Root СА) правой кнопкой и в меню команду All СА (Все ЦС). За пустится мастер Certification Authority Restore (Мастер восстановления центра сертификации).
3. Щелкните Next (Далее) и выберите объекты для восста новления (рис. 6-7):
Х Private Key And CA Certificate (Закрытый ключ и сертификат ЦС);
Х Configuration Information (Сведения о конфигурации);
Х Issued Certificate And Pending Certificate Request Queue (Журнал выданных и очередь запросов на сертификаты).
В поле Back Up This Location (Восстанавливать из следующего места) путь к папке с копиями или щелкните Browse (Обзор) и выберите пап ку в открывшемся диалоговом окне. Перед Управление службой Certificate Services и протоколом SSL Глава добавочных копий восстанавливайте самую новую обычную копию.
в < Г ХХ. Х сначала Файл этого Рис. 6-7. Мастер Certification Authority Restore Wizard (Мастер восстановления центра 5. Щелкните (Далее). Введите пароль, защищающий файлы закрытого и сертификата СА.
6. (Готово). Мастер восстановит выбран ные данные. После этого вам будет запустить Certificate Services. Если добавочные копии не надо, щелкните Yes (Да). В противном случае No (Нет) и добавочные копии, Удовлетворение и отклонение ожидающих запросов на сертификаты Просмотреть ожидающие запросов на сертификаты Pending Requests (Запросы в оснастки Certification (Центр Чтобы ожидающий запрос на сертификат, сделайте так.
1. Запустите оснастку Authority (Центр фикации) и раскройте узел Pending Requests (Запросы в ожидании). Появится список ожидающих 198 Часть II Администрирование Web-сервера 2. Щелкните нужный правой и выберите в контекстном меню (Все задачи\ Выдать).
3. Certificate Services сгенерирует на запросе сертификат и поместит к очередь Issued Certificates (Выданные сертификаты). Срок действия Ч один год, после этого его нужно обновить.
Отклонить ожидающий запрос на сертификат можно так.
1. оснастку Certification Authority (Центр серти и раскройте узел Pending Requests (Запросы в Появится список ожидающих запросов.
2. Щелкнув нужный запрос выберите в All (Все задачи\ Запретить).
3. При запросе системы подтвердите свои действия, щелк нув Yes (Да), 4. Отклоненные запросы помещаются в очередь Failed Requ ests (Неудачные и их восстановить.
потребуется отправить новый запрос.
Генерирование сертификатов вручную с помощью оснастки Certification Authority Выдав сертификат, вручную создать файл сертифи ката для установки на Web-узле.
Запустите оснастку Certificate Authority (Центр сертифи кации) и выделите узел Issued Certificates (Выданные сертификатов, выданных этим корневым СА, 2. нужный сертификат правой кнопкой и выбе рите в меню команду Open (Открыть). От кроется диалоговое окно Certificates (Сертификат).
3. Перейдите на вкладку Details (Состав) и щелкните Сору То File (Копировать в файл). Запустится мастер ficate Export Wizard (Мастер сертификатов).
Щелкните Next (Далее).
4. Щелкните переключатель Encoded (Фай в и затем Ч Next.
службой Certificate Services и протоколом SSL Глава 5. Укажите имя экспортируемого файла. Не забудьте ввес ти.сег в расширения. Чтобы для указания име ни и места сохранения файла диалоговое окно Save As (Сохранить как), щелкните Browse (Обзор).
6. Щелкните Next и затем Ч Finish (Готово). Пос ле того как мастер Certificate Export Wizard успешное сертификата, щелкните ОК.
Теперь файл сертификата можно на Web-узле (подробнее см. Обработка ожидающих и сертификатов этой главы).
Отзыв сертификатов Если состояние узла или клиент отказывается от ваших услуг, можно отозвать.
1. Запустите оснастку Authority сертифи кации) и узел Issued Certificates сертификаты). Появится список выданных корневым СА.
2. Щелкните сертификат правой кнопкой и выберите в кон текстном команду All Certificate Откроется окно Certificate (Отзыв сертификатов) (рис. 6-8).
Рис. 6-8. Диалоговое окно Certificate Revocation (Отзыв сертификатов) 3. В списке Reason code (Код причины) причину отзыва сертификата и щелкните Yes (Да).
4. СА пометит сертификат как отозванный и переместит его в очередь Revoked Certificates сертификаты).
200 Часть II Администрирование Web-сервера По умолчанию публикуют еженедельно, но это мож но в диалоговом окне Certificates Proper ties (Свойства: сертификаты).
1. Запустите оснастку Certificate Authority (Центр сертифи кации), узел Revoked Certificates правой кноп кой и выберите в меню команду Properties (Свойства).
2. С помощью полей Interval (Интервал публика ции) задайте новый интервал публикации CRL (рис. 6-9).
Рис. 6-9. Диалоговое окно Revoked Certificates Properties (Свойства: Отозванные сертификаты) 3. ОК.
Просмотр и обновление сертификата корневого СА Сертификат СЛ в периода, при его создании. Просмотреть дату окончания или другие свойства сертификата 1. В оснастке Certification корневой СА (Root CA) кнопкой и в контекстном команду Properties (Свой ства). Откроется окно Root CA (Свойства: Root CA).
2. На вкладке General (Общие) щелкните View (Просмотр сертификата).
3. Диалоговое окно Certificate (Сертификат) позволяет про смотреть свойства сертификата, включая дату начала и дату окончания срока действия (рис. 6-10).
Управление службой Certificate Services и SSL Глава 6 О Этот сертификат:
вашего что обеспечение от издателя выдан: Cor ate Кем Corporate с по Рис. 6-10. Диалоговое окно Certificate (Сертификат) Обычно срок сертификата корневого СА Ч два года.
Если он кончается, сертификат надо обновить. Кроме обновить сертификат корневого СА рекомендуется, если:
Х скомпрометирован ключ, которым сертификат;
Х программа требует использовать с сертификатом новый ключ подписания;
Х текущий слишком велик и требуется перенести часть информации в Вот как обновить сертификат СА, 1. Служба Certificate Services должна быть В оснастке Authority (Центр сертификации) сертификации) правой кнопкой вой СА (Root СА) и в контекстном меню команду Tasks\Stop Service (Все службу).
2. Щелкните корневой СА (Root СА) правой кнопкой и выберите контекстном All СА Certificate (Все задачи\Обновить сертификат 202 Часть II Администрирование Web-сервера Откроется диалоговое окно Renew CA Certificate (Обнов сертификата (рис. 6-11).
и ХХ отэь'еа и s и РИС. Диалоговое окно Renew CA Certificate сертификата 3. Если создать новую пару - закрытый ключ, щелкните Yes если Ч No (Нет).
4. Щелкните ОК. Certificate Services переза пустится, и будет сертификат.
Создание и установка сертификатов Создавать и устанавливать можно с помощью или сторонней организации. В первом случае созданием, сроком действия и отзывом сертификатов управляете непосредственно вы, а во втором Ч доверенная В любом случае для создания и установки сертификата сделайте так.
1. Создайте запрос на сертификат.
2. Передайте его выбранному вами или вашему му корневому СА.
3. ответ от СА, обработайте ожидающий запрос и установите сертификат.
Управление службой Certificate Services и протоколом SSL Глава 6 4. что и сконфигури рованы безопасные коммуникации.
Создание запросов на сертификаты Для корректной работы каждому размещенному на сер вере Web-узлу отдельный сертификат.
этап его создания Ч запроса на сертификат.
1. В оснастке Internet Services щелкните правой значок и выберите в контекстном меню Properties 2. На вкладке Directory Security (Безопасность каталога) щелкните Server Certificate (Сертификат).
мастер Web Server Certificate Wizard (Мастер сертифи катов Щелкните Next (Далее).
Примечание Если для узла уже создавался запрос на сер тификат, откроется диалоговое окно Pending Certificate Re quest (Отложенный запрос сертификата) 6-17). Для продолжения работы вам придется обработать или удалить имеющийся запрос. Подробнее об этом см. разделы Об работка ожидающих и установка сертификатов узлов и Удовлетворение и отклонение ожидающих за просов на сертификаты данной главы.
3. Щелкните A New Certificate (Создание нового сертификата) (рис. 6-12) и затем Ч Next (Далее).
4. Prepare The Request Now (Подготовить запрос сейчас), чтобы подготовить и вручную передать СА. После этого щелкните (Далее).
5. Вам указать имя сертификата и ключа (рис. 6-13). Имя должно быть и легко за поминающимся, Ч определяет уровень шифрова открытого и закрытого ключей. Обычно рекоменду ется выбирать максимально возможную длину ключа.
Совет Если вы захотите создать SGC-сертификат (Server Gated Cryptography), пометьте флажок Server Gated Cryp tography (SGC) Certificate (Серверный сертификат SGC). Это не означает, что вы автоматически получите SGC-сертифи кат, Ч придется предварительно пройти проверку SGC в доверенной организации.
Администрирование Web-сервера 204 Часть способе Импорт Рис. 6-12. Создание нового сертификата Настройка и Для и для И ' стой>.лсть ключа Рис. 6-13. Ввод имени сертификата и длины ключа | Внимание! При использовании SSL-соединений высокий уровень шифрования может снизить производительность приложения, требовательного к ресурсам процессора. Если ASP-приложения широко используют SSL и счетчики пока зывают высокую загруженность процессора Web-сервера, Управление службой Certificate Services и протоколом SSL Глава 6 поэкспериментируйте с уровнями шифрования и найдите компромисс между защитой и производительностью.
Щелкните Next (Далее). Вы создали открытый и закры тый ключи, которые хранятся па Web-сервере.
Теперь нужно создать подписание сертифика та (certificate-signing request, CSR). Представленные в нем идентифицируют владельца ключа и ото бражаются в сертификате. CSR лишь для запроса сертификата. Во избежание проблем с работос сертификата исключите из полей CSR сим волы:
Предоставьте о своей организации. Введите в поля:
Х Organization (Организация) Ч официальное наимено вание организации: например, Microsoft Х Organizational Unit (Подразделение) Ч под разделения организации, отвечающего за СА: напри Technology Department.
Примечание Сторонние СА используют указанное вами имя организации, имя узла и информацию о географичес ком расположении для проверки запроса на сертификат.
Если информация неверна, сертификата вы не получите.
Щелкните Next (Далее) и введите имя Web-узла. Если сертификат будет использоваться в именем может быть одно слово, а также NetBIOS-имя сервера, например Если сертификат для именем быть действительное DNS например Щелкните Next (Далее).
| Совет Обычно имя узла состоит из имени обслуживающего компьютера и доменного имени, например, или products.microsoft.com. Сертификат может использовать ся только для доступа к тому узлу, на имя которого был вы дан. Имя должно быть таким же, как и Web-адрес, зуемый для подключения к защищенным узлам. Например, при доступе к узлу www.domain.com или services.domain.com с использованием сертификата домена domain.com будет сгенерировано сообщение об ошибке, поскольку адреса 206 Часть II Администрирование Web-сервера www.domain.com и services.domain.com отличаются от domain.com. Вам потребуется создать сертификат для со ответствующего имени узла.
9. информацию о географическом расположе нии своей (рис. 6-14), В поле укажите:
Х Country/Region (Страна) или регион;
Х State/Province край, республика) Ч штат или область;
Х City/Locality Ч город или местность.
Next о.
| Рис. 6-14. Ввод информации о географическом расположении организации Внимание! Не аббревиатуры географических названий. Некоторые СА не приемлют этого, и вам потре буется повторно отсылать запрос.
10. Укажите имя и путь к файлу запроса сертификата. По умолчанию они заданы как Введите новый путь или щелкните Browse и выберите путь и имя файла в диалоговом окне Save As (Сохранить как).
Дважды щелкните Next (Далее) и Finish (Готово), чтобы завершить создание запроса.
Управление службой Certificate Services и протоколом SSL Глава 6 Передача запросов на сертификаты сторонним СА Созданный CSR можно передать стороннему например Entrust, Equifax, или Verisign. Запрос на сертифи кат хранится как ASCII-текст в вами файле (см, Создание запросов на Этот файл содержит открытый ключ и идентификационные сведения вашего узла. Открыв файл, увидите зашифрованное со держимое запроса:
NEW CERTIFICATE NOSThxf73VkfbsE NEW CERTIFICATE REQUESTЧ Многие СА предлагают передать на сертификат как часть формального процесса узла по электрон ной или через форму. В первом слу чае файл следует просто в почты и отослать его. Во втором Ч скопировать текст включая операторы BEGIN и END, в буфер на и вставить его в соответствующее ноле формы. Это мож сделать посредством Microsoft (Блокнот).
Изучив запрос на сертификат, СА удовлетворит или его. Если будет вы получите сообщение с сертификатом или с указанием адреса, по которому можно получить этот серти фикат. Сертификат представляет собой текстовый ASCII файл. Его можно просмотреть в Notepad, но расшифровать Ч 208 Часть II Администрирование Web-сервера лишь созданным закрытым ключом. Как и ранее, со держимое файла и включает операторы BEGIN и CERTIFICATEЧ CERTIFICATEЧ файл сертификата в папку, оснастке Internet Information He забудьте, что расширением файла должно быть Обработайте и сертификат, следуя раздела Обработка ожи дающих и установка сертификатов узлов этой главы.
Передача запросов на сертификаты службе Certificate Services Созданный CSR можно через Web-интерфейс передать служ бе Certificate Services.
1. Откройте файл с ASCII-текстом сертификата в Notepad и скопируйте весь текст запроса, включая операторы BEGIN и END, буфер обмена (воспользуйтесь комби клавиш и затем Ч 2. Теперь запрос можно передать Certificate Services.
Запустите и введите службы, напри мер, Откроется страница Certificate Services (рис.
3. Поставьте переключатель в Request A Certi ficate (Запросить сертификат) и щелкните Next.
Управление службой Certificate Services и протоколом SSL 6 4. На странице Choose Request Type (Выбор типа запроса) щелкните Advanced Request (Расширенный запрос) и затем Ч идентифицировать других свои по и в от типа сертификата С или список на Рис. 6-15. Web-интерфейс управления службой Certificate Services сертификации) 5. На странице Advanced Requests (Расширенные запросы на сертификаты) щелкните тель (рис. 6-16) и затем Ч Next. Тем самым вы сообщите Certificate Services, что передать запрос в кодировке base-64.
6. Вставьте текст запроса в иоле Saved Request (Сохранен ный и Submit (Выдать запрос).
7. вы все сделали правильно, откроется итоговая стра ница с сообщением, что и ожидает смотрения СА. В случае проблем откроется страница с обратиться к администратору. Для смотра дополнительной информации об ошибке те (Подробности). Возможно, вам повторно создать запрос на сертификат или и убедиться, что в запроса случайно пробелов и символов, 8. Если у вас собственный СА, запрос можно обработать оснастке Authority (Центр сертификации).
Подробнее см. раздел Удовлетворение и отклонение ожидающих запросов на этой главы.
210 Часть II Администрирование Web-сервера Расширенные Вы другого ниже что центра ограничивать сертификатов г Выдать на сертификат и этому * на сертификат с Е на файл #7 в на смарт-карты от имени другого Рис. 6-16. Страница Advanced Certificate Requests (Расширенные запросы на сертификаты) Если запрос вы получите подписанный сер тификат с помощью сделав следующее.
1. Запустите Web-браузер и введите URL службы, мер, 2. В группе Select a task (Выберите действие) щелкните Check Certificate (Проверить ожи дающий выполнения запрос на сертификат) и затем Next (Далее).
3. Полнится список ожидающих которые ют описание и метку Выберите требуемый зап рос и щелкните Примечание Если файл сертификата через Web-интер фейс недоступен, попросите администратора СА сгенери ровать сертификат вручную. Подробнее см. раздел Созда ние сертификатов вручную с помощью оснастки Certification Authority этой главы.
Если на запрос выдан сертификат, откроется страница с соответствующим сообщением. На щелкните Base Encoded (в и затем Ч Download CA Certificate (Загрузить сертификат ЦС).
Управление службой Services и протоколом SSL Глава 5. Откроется диалоговое окно File (Загрузка фай ла). Поставьте переключатель в положение Save This То Disk этот файл на диске) и щелкните ОК.
6. В диалоговом окне As (Сохранить как) укажите пап ку, куда следует поместить файл сертификата, и щелкните Save (Сохранить). расширение.сег. Обрабо тайте и установите сертификат, следуя раз дела Обработка ожидающих и установка сер тификатов этой Совет поместить все файлы сертификатов в одну папку локального диска Web-сервера. Предоставьте к ней доступ только администраторам.
Обработка ожидающих запросов и установка сертификатов узлов Чтобы установить от СЛ сертификат, сделай те так.
1. В оснастке Internet Services щелкните значок узла правой кнопкой и выберите в контекстном меню команду Properties 2. На вкладке Directory Security (Безопасность каталога) щелкните Server (Сертификат). Запустится мастер Certificate Wizard (Мастер сертифи катов веб-сервера). Щелкните (Далее).
3. Поставьте в Process The Pen ding Request Install (Обработать от ложенный запрос и установить сертификат) (рис. 6-17) и щелкните Next.
4. имя и путь к файлу сертификата или Browse (Обзор) и файл в открывшемся диало говом окне. (Далее).
5. Откроется страница с информацией о сертификате. Если тот сертификат, щелкните Next и затем Ч Finish (Го тово), чтобы завершить установку. В случае щелкните Back (Назад) и повторите пи. 4-5.
6. Сконфигурируйте SSL и управляйте сертификатом, сле дуя инструкциям разделов Использование протокола и Управление сертификатами узлов с помощью Internet Information этой главы.
Администрирование Web-сервера 212 Часть запрос собой на еще не сертификации.
Рис. 6-17. Обработка ожидающего запроса и установка файла сертификата Удаление ожидающих запросов на сертификаты Если в уже на вы ука зали неверные способ исправить это Ч удалить запрос и создать новый. Ожидающий запрос на сертификат удаляется так.
1. В оснастке Internet Information Services щелкните значок узла правой кнопкой и выберите в контекстном меню команду Properties (Свойства).
2. На вкладке Directory Security (Безопасность каталога) щелкните Server Certificate (Сертификат). Запустится мастер Web Server Wizard (Мастер сертифи катов веб-сервера). Next 3. переключатель в положение Delete The Pen Request (Удалить отложенный запрос) (рис. 6-18), и щелкните Next.
4. Щелкните Next и затем Ч Finish (Готово). При этом бу дет удалена только запроса в IIS;
сам файл проса нетронутым. Он содержит открытый ключ узла и его обязательно удалить.
службой Certificate Services и протоколом SSL Глава запрос запрос еще не служба Рис. 6-18. Удаление ожидающего запроса на сертификат Использование протокола SSL При установке сертификата узла автоматически включает ся поддержка протокола SSL;
и все же вам может понадо биться изменить параметры по умолчанию.
те SSL и устраняйте проблемы по мере их возникновения.
Настройка SSL-портов Установив сертификат на Web-узел, можно изменить SSL порт последнего. SSL-порт для коммуникаций с клиентскими браузерами. Чтобы просмот реть изменить SSL-порт, сделайте так.
1. В оснастке Internet Information щелкните значок правой и выберите в контекстном команду (Свойства).
2. В поле SSL Port (Порт SSL) вкладки Web (Веб-узел) отображается текущий номер SSL-порта (если таковой имеется).
3. При необходимости введите в этом поле повое ние (рис. 6-19). узлов могут использовать один порт SSL, при что им IP-адреса.
214 Часть II Администрирование Web-сервера Рис. 6-19. Изменение номера SSL-порта 4. Щелкните ОК.
Узел также может обладать несколькими SSL-удостоверени ями (использовать разных SSL-порт, указанный на вкладке Web Site (Веб-узел), задействован по умолчанию. Все прочие порты следует указывать в запросе браузера. если определить для протокола порты 443, 444 и 445, запрос будет автома тически обработан 443, но прочие порты следует указывать например Вы можете сконфигурировать несколько SSL-удостоверений для Web-узла.
1. В оснастке Internet Information Services щелкните значок узла правой кнопкой и выберите в меню команду Properties 2. На вкладке Web Site (Веб-узел) щелкните Advanced (До Откроется диалоговое окно Advanced Mul tiple Site (Дополнительная настройка службой Certificate Services и протоколом SSL Глава 3. Для управления удостоверениями SSL служат кнопки (рис. 6-20):
(Значения Рис. 6-20. Диалоговое окно Advanced Multiple Web Site Configuration настройка веб-узлов) Х Add (Добавить) Ч удостоверения SSL;
щелкнув эту выберите нужный IP-адрес, све дите номер SSL-порта, и затем Ч ОК;
Х Remove (Удалить) Ч удостоверения Х Edit (Изменить) Ч изменение удостоверения 4. Дважды щелкните ОК, чтобы сохранить изменения.
Установка сертификата корневого СА в хранилище клиентского браузера Большинство сертификатов корневых СА, выдаваемые сто ронними СА, конфигурируются Web-браузерах как дове ренные СА. Однако, если вы сами себе СА, браузеры не бу дут опознавать сертификат вашего корневого СА и доверять ему. Чтобы добиться опознания сертификата клиентскими браузерами, пользователям следует его в храни лище сертификатов браузера, выполнив следующие действия.
1. Подключитесь к вашему узлу с помощью безопасного URL, с 216 Часть II Администрирование Web-сервера 2. Появится о проблемах с сертификатом безо пасности узла (рис.
Х : ;
.
в ив с Рис. 6-21. Сообщение о проблемах с сертификатом безопасности узла вызвано тем, что пользователь не доверяет ва шему корневому СА. Сейчас может продолжить под ключение, щелкнув (Да), прервать его, щелкнув No (Нет), или просмотреть сертификат корневого СА, щел кнув View (Просмотр сертификата).
3. Щелкните View Certificate (Просмотр сертификата).
Откроется диалоговое окно Certificate (Сертификат).
4. На вкладке General (Общие) указано, что данный сертификат ненадежен. Чтобы установить доверие, щел кните Install (Установить сертификат).
5. Запустится мастер Certificate Import Wizard (Мастер им порта сертификатов). Щелкните Next.
6. Поставьте переключатель в положение Automatically Se lect Certificate Based On The Type Of Certificate (Автоматически на основе типа сер тификата) (рис. 6-22) и щелкните Next.
Щелкните Finish (Готово). по умолчанию позволяют выбрать хранилище для сертифика та, на типе последнего.
8. Щелкните ОК и затем Ч Yes (Да), чтобы продолжить работу. Предупреждение о проблемах безопасности боль ше выводиться будет.
Управление службой Certificate Services и протоколом SSL Глава 6 Рис. 6-22. Мастер Certificate Import Wizard (Мастер импорта сертификатов) Проверка работоспособности SSL Соединения безопасны, только если браузер подключается к при помощи начинающегося с Если какое-либо содержимое (например, изображения) загружается с защищенной Web-страницы по обычному соединению, сообщает что часть содержимого и спрашивает, продолжить ли Включив SSL на убедитесь, что протокол работает и шифрования задан правильно.
1. Обратитесь к своему Web-узлу по безопасному URL, чинающемуся с Значок замка на панели в ниж ней части окна Internet Explorer указывает, что создан SSL-сеанс. Если значка нет Ч SSL-сеанс создан.
2. Щелкните в любом месте страницы правой кнопкой и в меню команду Properties (Свой ства). Откроется одноименное окно с инфор мацией о Web-странице.
3. Щелкните Certificates (Сертификаты), перейдите на вклад ку Details (Состав) и просмотрите сведения о кате и уровне шифрования.
218 Часть II Администрирование Web-сервера Проверить, работает ли SSL в Navigator, можно так.
1. Обратитесь к Web-узлу по безопасному URL, на чинающемуся с На панели в части Netscape Navigator должен отображаться значок закрыто го замка, указывая, что создан SSL-сеанс.
2. значок замка. Netscape Personal Sec urity Manager, отображающий используемый уровень шифрования.
Устранение проблем с SSL Если протокол SSL не работает, убедитесь, что сервер сер тификатов установлен на Web-узле и что на этом узле включена поддержка SSL. Это поможет вам уст проблемы SSL, с сервером.
В случае проблем с уровнем шифрования убедитесь, что бра узер поддерживает вами уровень. Если брау зер поддерживает шифрование, а в его диа логовом окне свойств нуж но обновить сертификат для 128-разрядного шиф шифрования в Internet Explorer проверяется так.
1. В меню Help (Справка) команду About Internet Explorer (О программе).
2. В поле Cipher Strength (Стойкость шифра) отображает ся поддерживаемый уровень шифрования. Для создания 128-разрядного сеанса браузер должен поддерживать 128 разрядное Щелкните ОК.
3. В меню Tools выберите команду Internet Op tions (Свойства и перейдите на вкладку (Дополнительно).
4. Прокрутите содержимое окна до заголовка Security что помечены флажки Use SSL 2.0 (SSL 2.0) и Use SSL 3.0 (SSL 3.0). Щелкните ОК.
Поддерживаемый уровень шифрования в Netscape Navigator проверяется так.
1. Щелкните значок замка на панели в нижней части окна Netscape Navigator. Откроется Netscape Personal Security Управление службой Certificate Services и протоколом SSL Глава 6 Manager, отображающий используемый уровень 2. Перейдите на вкладку и щелкните Options. Вы увидите три которые но умолчанию должны быть помечены SSL Version 2, Enable SSL Version 3 и Enable TLS. Убедитесь, что выбраны минимум два пер вых флажка.
3. Щелкните Close, чтобы сохранить изменения.
Управление сертификатами узлов с помощью оснастки Internet Information Services Рассмотрим управление установленным сертификатом Web узла из Information Services.
Просмотр и внесение изменений в выданные сертификаты Сертификат содержит идентификационные и географичес кие сведения, передававшиеся в оригинальном на него. У также имеется ряд свойств, СА. Они описывают сертификат, область допустимого использо вания, а также для которого сертификат действителен.
Вы также можете дружественное имя, заданное при создании сертификата, ввести сертифи ката и изменить область Просмотреть или изменить сертификат узла можно так.
1. Б Internet Information Services щелкните правой кнопкой значок узла и выберите в контекстном меню команду Properties (Свойства).
2. На вкладке Directory Security каталога) щелкните View Certificate (Просмотр). Откроется диало говое окно Certificate (Сертификат) (рис. 6-23).
3. Для просмотра при выдаче серти перейдите на Details (Состав). В поле отображается:
Х Version (Версия) Ч версия при создании сертификата;
Х Serial Number (Серийный Ч уникальный се рийный помер 220 Часть II Администрирование Web-сервера о сертификате Этот ХОбеспечивает получение идентификации от Кому выдан:
Corporate Root с по Есть ключ, Рис. 6-23. Диалоговое окно Certificate (Сертификат) Х Signature Algorithm (Алгоритм подписи) Ч алгоритм шифрования, для подпи си сертификата;
Х Issuer (Поставщик) Ч организация, выдавшая серти фикат;
Х Valid From с) Ч срок начала действия сертификата;
Х Valid To по) Ч срок окончания дей ствия сертификата;
Х Subject (Субъект) - сертификата (обычно Ч идентификационные и географические Х Public Key (Открытый Ч от крытый ключ сертификата;
Х Thumbprint Algorithm (Алгоритм печати) Ч шифрования, использовавшийся образ ца сертификата;
Х Thumbprint (Печать) - образец подписи;
Управление службой Services и SSL Глава 6 Х Name имя) Ч описательное имя сертификата, 4. Чтобы просмотреть или список применений сер тификата, па вкладке Details щелкните Edit Pro (Свойства). Откроется диалоговое окно Certificate Properties сертификата) (рис.
I ь все в Рис. 6-24. Диалоговое окно Certificate Properties (Свойства сертификата) Обновление, удаление и замена сертификатов Как вы помните, сертификаты надо обновлять.
Кроме при необходимости сертификаты можно нять и удалять. Чтобы обновить/удалить/заменить кат, сделайте так.
1. В оснастке Information Services щелкните значок узла правой кнопкой и выберите в контекстном меню команду (Свойства).
2. Перейдите на вкладку Directory Security (Безопасность каталога) и в группе Secure Communications Администрирование Web-сервера 222 Часть II подключения) щелкните Server Certificate (Сертификат).
Запустится мастер Server Certificate (Мастер сертификатов веб-сервера). Щелкните Next.
3. Вам будет обновить, удалить или заменить имеющийся сертификат (рис. 6-25). переклю чатель в нужное положение и работу с мас В данное время на Рис. 6-25. Обновление, удаление или замена сертификата с помощью мастера Web Server Certificate Wizard (Мастер сертификатов веб-сервера) Экспорт сертификатов узла Сертификаты можно в файл.
1. В оснастке Information Services щелкните значок узла правой и в меню команду Properties 2. На вкладке Directory Security каталога) щелкните View Certificate (Просмотр). Откроется диало говое окно Certificate (Сертификат) (рис. 6-23).
3. Перейдите па (Состав) и щелкните Сору То File (Копировать файл). Запустится мастер Certi ficate Export Wizard экспорта сертификатов).
Щелкните Next.
службой Certificate Services и протоколом SSL Глава 4. Вам будет предложено файл сертифика та вместе с соответствующим закрытым ключом или без него (рис. 6-26). Чтобы экспортировать закрытый щелкните Yes (Да);
в противном случае Ч No (Нет).
Щелкните Next.
вы сертификатом, с с Рис. 6-26. Мастер Certificate Export Wizard экспорта сертификатов) 5. В следующем будет предложено выбрать формат экспортируемого файла. Формат по умолчанию подойдет;
запомните и Next.
6. При закрытого ключа вам задать пароль для файла сертификата. Введите в соответ ствующие поля пароль и его подтверждение, затем щел кните (Далее).
7. Укажите имя экспортируемого файла. Кроме того, мож но Browse (Обзор) и задать путь и имя файла R диалоговом окне Save As как).
8. Щелкните Next и затем Ч Finish (Готово). Щелкните ОК.
чтобы подтвердить сертифи ката. Дважды ОК, чтобы к оснастке Information Services.
224 Часть II Администрирование Web-сервера Игнорирование, принятие и требование клиентских сертификатов Клиентские сертификаты подтвер ждать свою с помощью Web-браузера. Такие сертификаты можно при за щищенного Web-узла, например случае со Если Web-узел или требует клиентские сертифи каты, можно сконфигурировать сопоставления, ющие управление доступом к ресурсам на основе клиентс ких сертификатов. Клиентский сертификат может сопостав ляться конкретной учетной записи Windows методом лодин к одному или в соответствии с заданными ром правилами.
По умолчанию IIS принимает и требует клиентских сертификатов, но это можно изменить. Помните: принятие клиентских сертификатов не то же самое, что требование их предоставления. Если узел требует предоставлять клиентс кие сертификаты, к нему обращаться только по щищенным обычный HTTP-доступ не возможен. Если же узел лишь принимает, но не требует кли ентские сертификаты, к нему можно обращаться как по про токолу HTTP, так и по Политика узла в отношении клиентских сертификатов оп так.
1. В оснастке Internet Information Services щелкните значок Web-узла правой кнопкой и выберите в меню команду Properties (Свойства).
2. Перейдите на вкладку Directory Security (Безопасность каталога) и в группе Communications (Безопасные подключения) щелкните Edit (Изменить). ди алоговое окно Secure Communications (Безопасные под ключения) (рис. 6-27).
3. Чтобы применение SSL (и исключить ис пользование подключений), пометьте флажок Secure Channel (Требуется безопасный канал). Если на сервере установлена и включена поддер жка 128-разрядного можно также пометить флажок Require 128-bit Encryption (Требуется 128-и раз шифрование).
Управление службой Certificate Services и протоколом SSL Глава Х клиентео к вдет с Рис. 6-27. Диалоговое окно Secure Communications подключения) 4. В группе Client Certificates (Сертификаты клиентов) по ставьте переключатель в нужное Ч Ignore client certificates (игнорировать сертификаты клиентов), Accept client certificates (принимать сертификаты) client certificates сертификаты клиентов).
Примечание Требовать клиентские сертификаты можно, только если сервер также требует использования безопас ных SSL-подключений. В связи с этим следует пометить и флажок Require Secure Channel (Требуется безопасный канал).
5. Для сертификатов учетным записям пользователей Windows пометьте флажок Enable Mapping (Разрешить сопоставление сер и щелкните Edit (Изменить).
В открывшемся диалоговом окне Account Mappings (Со поставление с учетными записями) сконфигурируйте со сертификатов.
6. Чтобы лишь сертификаты, определенными СА, пометьте флажок Enable Certi ficate Trust List (Включить список сертифи катов) и щелкните (Создать). Запустится мастер 226 Часть II Администрирование Web-сервера Certificate Trust List Wizard (Мастер списков доверия сертификатов), позволяющий задать доверенные серти фикаты корневых Узел будет принимать ты, корневыми СА;
прочие сер тификаты приниматься будут.
7. Дважды щелкните Требование SSL для всех подключений Иногда необходимо лишь защищенные Для этого использо вания и исключите 1. В оснастке Internet Information Services щелкните значок Web-узла правой и выберите в команду Properties (Свойства).
2. Перейдите на вкладку Directory Security (Безопасность каталога) и в Secure Communications (Безопасные подключения) (Изменить). Откроется ди алоговое окно Secure Communications ключения) (рис. 6-27).
3. Чтобы использования SSL и исключить не защищенные пометьте флажок Sec ure Channel (Требуется безопасный канал).
4. Если на сервере установлена и включена поддержка 128 разрядного шифрования, пометьте флажок Require 128-bit Encryption (Требуется 128-и разрядное шифро вание).
5. Дважды щелкните ОК.
Часть III Управление основными службами В этой части обсуждается администрирование ключевых служб IIS, постоянно развертываемых на Web-узлах. Глава 7 посвяще на управлению службой File Transfer Protocol: конфигурированию FTP-серверов, управлению доступом к каталогам и пользователь скими сеансами, обеспечению безопасности FTP-серверов.
В главе 8 рассматриваются конфигурирование и поддержка про токола Simple Mail Transfer Protocol. Я расскажу, как конфигури ровать SMTP-серверы, организовать и маршрутизировать сооб щения для доставки, задавать параметры доставки и вать безопасность SMTP-серверов. В 9 мы обсудим исполь зование службы Indexing Service индексирования), вклю чая создание и управление каталогами, оптимизацию произво дительности и проверку параметров индексирования.
Глава Управление FTP-серверами Протокол FTP для передачи файлов между компьютерами. Управление FTP-серверами аналогично уп равлению WWW-узлами и серверами. FTP-узльт могут ис как в так и в корпоративных для обычно назначают доменные имена и IP-адреса, а лам для интрасетсй Ч частные IP-адреса и шаемые имена.
Как и в случае с Web-узлами, свойства цируют задают конфигурационные параметры и опре порядок доступа к документам. Свойства по умол чанию Web-узла можно задать на разных уровнях: глобаль ном, на уровне узла или папки.
Глобальные свойства по умолчанию задаются в окне ных свойств и наследуются всеми новыми FTP На уровне узла они задаются в диалоговом окне свойств и только на данный FTP-узел. Свойства папок по умолчанию задаются в диало говом окне свойств папки и распространяются только на конкретную папку.
Обзор протокола FTP В этом разделе обсуждается использование протокола FTP, включая передачу файлов, доступ к и созда FTP-сеансов.
Основы протокола FTP FTP Ч это протокол для передачи фай лов. Он позволяет к найти нужный файл в структуре папок и загрузить Кроме того, по FTP можно закачивать файлы на FTP-сервер. Разница между Управление Глава 7 и закачкой файла При файла сервер передает а при закачке Ч на оборот.
Из-за возрастающей популярности HTTP протокол FTP используют все Между тем, хотя HTTP и позаимство вал FTP, последний остается лучшим создания удобного в применении и поддержке ресурса для обмена файлами. Как и HTTP, FTP использует в качестве протокола Protocol (TCP), FTP в отличие от HTTP ориентирован па сеансы, т. е. являются постоянными. Со единение с остается открытым даже после за вершения передачи файлов.
На поддержку постоянных подключений нужны ресурсы, и производительность сервера с большим числом клиентов может снизиться. В связи с число и па многих FTP-сервсрах огра ничены. По время сеанса для FTP 900 секунд (15 минут).
Поскольку FTP Ч протокол, передача файлов зависит от нескольких факторов. На ком пьютере-сервере должно выполняться серверное ПО FTP, например Internet Information Services. На енте Ч клиентское ПО FTP, например, Microsoft 5.0 или командной строки, имеющая ся в Windows 2000.
Передача файлов может осуществляться в ASCII- или дво ичном Используйте когда работа ете с и хотите сохранить указате ли строки, а передачу в двоичном формате Ч при операциях с исполнимыми файлами. Передача в двоичном формате целесообразна и для других типов файлов.
Управление доступом к Большинство и допускают ную передачу файлов, т. е. подключение та к серверу и последующий обмен файлами. Как следует из названия, цель анонимной передачи позволить всем к серверам и обмениваться файлами. Обыч но при работе с Internet Explorer или другим 230 Часть III Управление службами том анонимная файлов может начинаться тически.
Так, для к Microsoft введите в поле Address (Адрес) браузера URL Здесь Ч обозначение протокола FTP, Ч к которому и public Ч имя папки на сервере. FTP автоматически имя и пароль. При анонимном ими имя anonymous и пароль в виде вашего адреса элект ронной почты или пустой строки. Если клиент не может нужные поля, как имя пользователя и адрес почты Ч в каче стве пароля.
Доступ к может быть и тогда к нему будут обращаться пользователи, прошедшие проверку подлинности. При подключении к клиенту будет предложено ввести имя и пароль. Это должны быть имя и пароль учетной имеющейся на локальном компью тере или в домене, где состоит данная система.
Имя и пароль можно указывать к для доступа к серве ру в формате:
Здесь Ч протокола FTP, теля Ч имя учетной записи, и пароль Ч соответствующий пароль. Если имя Ч wrstanek, а пароль надо ввести:
Получив доступ к серверу, или посредством про верки пользователь не обязательно загружать или закачивать файлы. Диапазон допустимости его действий зависит от параметров Как го ворилось в главе 5 Управление безопасностью ра, параметры задаются на двух уровнях: Win dows и IIS. На уровне Windows создаются учетные записи пользователей и групп, определяются на к файлам и папкам, а также конфигурируется Управление Глава 7 политика. На уровне IIS определяются сервера, система проверки и доступа.
Использование После того как клиент доступ к (ано нимно или пройдя проверку подлинности), создастся TCP подключение, остающееся открытым даже по пользовательского сеанса или срока ожидания на стороне и сервер устанавливают соеди подтверждающими сигна лами. В этом участвуют два выделенных TCP-порта и два динамически TCP-порта клиентской системы, выделенным портам сервера.
Примечание тоже создаются на сете вом уровне модели OSI путем трехэтапного обмена подтвер ждающими сигналами. создаются на при кладном уровне этой модели.
По умолчанию FTP-сервср порты 20 и 21. Порт 20 и открыт лишь при информации. Порт 21 служит для обмена управляющей информацией FTP, на нем ведется прослуши вание клиентов, пытающихся установить соединение. Пос создания подключение к порту 21 остается открытым, пока не будет завершен пользовательский сеанс.
Два порта клиентской системы динамически назначаются диапазона 1024-5000. создании клиент от крывает управляющий порт соединение с портом сервера, применяемое для Под ключение к порту сервера осуществляется авто а лишь когда клиент-серверный об мен Для передачи данных клиент открывает но вый порт и подключается к порту данных сервера (по умолчанию Ч порт 20). Завершив передачу, клиент ос вобождает порт. В следующий раз для передачи информа ции клиент откроет новый порт, номер которого обычно отличается от ранее 232 Часть III Управление основными службами Примечание Номера динамически назначаемых портов находятся вне диапазонов, для прочих TCP- и Поскольку порты 0-1023 зарезервиро ваны для TCP- и протокол FTP использует пор ты 1024-5000 (этот диапазон задается в реестре Windows и теоретически его верхний Ч 65 535). Полный пе речень используемых TCP- и UDP-портов см. в реестра.
Как и используются при передаче сеансы?
1. FTP-сервер прослушивает запросы клиентов на выделен ном порте. Номер этого порта по умолча нию Ч 21.
2. При запросе ресурсов FTP-сервера FTP клиент динамически назначает управляющий порт и свя зывает его с управляющим портом сервера. Например, 1025, связанный с портом 3. установления соединения клиент и сервер могут взаимодействовать управляющий порт.
4. Перед передачей данных клиент назначает порт данных и связывает его с портом данных сервера.
При каждой передаче файла клиент открывает и затем закрывает новый порт Например, передает пер вый файл через порт 1057, второй Ч через порт 1058 и т. д.
5. остается открытым, пока не будет завершен или пока не истечет время ожидания на стороне Для мониторинга на и компьютерах можно утилитой строки Netstat, состояние сетевых подключе ний, При вызове Netstat укажите, что просматри вать список с информации через определенный времени. В следующем при мере будет обновлять статистику каж 15 секунд:
netstat -p tcp Netstat на клиентской системе, вы сможете наблю дать за FTP-активностью компьютера. после ус Управление Глава 7 связи с наподобие этого:
Активные Локальный адрес Внешний адрес Состояние TCP ESTABLISHED TCP Здесь установлено порт 1043, связан ный с управляющим портом FTP. При получении данных с сервера клиент и сопоставляет порт данных. По завершении передачи этот порт переходит в состояние WAIT и в нем, срок ожидания и он не будет закрыт. Управляющий порт находится в состоя нии ESTABLISHED все пока открыто соединение.
Состояния портов так:
Активные подключения Имя Локальный адрес Внешний адрес Состояние TCP TCP ESTABLISHED TCP ESTABLISHED После закрытия с FTP-сервером лишь о управляющих портов клиента и сер вера. переходит в состояние и остается в нем до истечения срока ожидания Активные Имя Локальный адрес Внешний адрес Состояние TCP Примечание Помните: клиент может открыть несколько соединений с сервером. При этом на наблюдаемой клиент ской системе будет отображаться несколько записей о со задействованных управляющих портов и портов данных.
Именование и идентификация Все в организации, уни кальными идентификаторами, позволяющими запросы и реагировать на них. Идентификатор включает имя компьютера или и номер порта.
234 Часть III Управление основными службами зависит от того, где находится сер вер, на котором размещен Ч в или обще доступной сети. Например, в частной компьютер с име нем CorpFTP имеет IP-адрес 10.0.0.25. Для доступа к FTP узлу на нем можно Х (Uniform Naming Convention, универсальные Ч или \\10.0.0.25;
Х URL (Uniform Resource Locator, универсальный ресурса) или Х URL и номер порта Ч или 10.0.0.25:21/.
Другой в сети с име нем MoonShot имеет ftp.microsoft.com и IP-ад рес 207.46.230.210. Для к на нем можно Х - ftp://ftp.microsoft.com/ или Х и номер порта Ч или Используя комбинации IP-адресов, номеров пор тов и имен на одном компьютере можно размещать несколько Это дает некоторые преимуще ства. Например, вместо настройки трех разных компьютеров размещения FTP-узлов ftp.microsoft.com, и ftp.adatum.com вы размещаете их на одном компьютере.
Примечание На компьютерах с Windows 2000 Professional можно разместить лишь один Web-узел и один Чтобы разместить несколько Web- или FTP-узлов, обнови те ОС до Windows 2000 Server.
Управление основными свойствами Основные свойства значения по умолчанию FTP-узлов, на сервере.
глобальных свойств наследуются существующи ми На основе наследуются изменения па доступ Ч вам будет указагь, какие узлы и папки лолжны наследовать их.
Глава 7 свойства так.
1. В оснастке Internet Information Services щелкните правой кнопкой значок компьютера и в контекстном меню команду Properties (Свойства). Если компьютер к нему в соответствии с инструкциями раздела Подключение к другим серве рам главы 2.
2. В группе Master Properties (Основные те из списка пункт FTP Service служба) и щелкните Edit (Изменить). диало говое окно FTP Service Master Properties FTP-службы) для данного компьютера.
3. Внесите изменения и дважды щелкните ОК.
Создание При установке в составе IIS службы FTP Publishing Service (Служба FTP-публикаций) автоматически создается FTP узсл по Его по умолчанию Ч Вложенные панки этого каталога составляют структуру FTP-узла, а файлы Ч содержимое. Для до ступа к может имя ра или ввести в поле Address (Адрес) соответству ющий URL.
Дополнительные создаются так.
1. Убедитесь в наличии на FTP-узле службы FTP Publishing Service (Служба FTP-публикаций).
2. Если будет использовать новый IP-адрес, его нужно настроить. Подробнее см. главу книги Microsoft Windows 2000. Справочник админист ратора.
3. В оснастке Internet Information щелкните компьютера правой и выберите в контекстном команду (Создать\Узсл FTP). Если компьютер отображается, подключитесь к нему в со ответствии с инструкциями раздела Подключение к другим серверам 2.
4. Запустится FTP Site Creation Wizard (Мастер со здания FTP-узла). Щелкните Next (Далее). В поле Name Управление основными службами 236 Часть III (Описание) имя напри мер Corporate FTP Server. Снова 5. В списке IP Address selection (IP-адрес) можно доступный (рис. 7-1). Щелкните (All не чтобы узел мог исполь все неназначенные IP-адреса сервера. Один адрес может использоваться несколькими при условии, что им назначены номера портов.
Настройка и порта и данного в (по Рис. 7-1. Мастер FTP Site Creation (Мастер создания FTP-узла) Примечание В FTP нет аналога заголовков узлов, исполь зуемых протоколом HTTP, т. е. для нельзя ис пользовать имена заголовков узлов.
Номер TCP-порта FTP-узла задается как При в поле TCP Port (TCP-порт) мож но ввести новый номер порта. Один номер порта может несколькими при условии, что им IP-адреса.
7. В следующем диалоговом задают каталог FTP-узла. Для поиска уже папки Browse (Обзор). Панку можно создать с помощью Win dows Explorer Щелкните Next.
Управление Глава 7 Теперь можно задать доступа к (рис. 7-2). разрешения Х (чтение) Ч загружать документы с узла;
Х Write (запись) Ч закачивать файлы на узел.
Обычно рекомендуется назначить узлу только разреше ние Read (чтение).
на к на к Для завершения мастера нажмите Рис. 7-2. Задание разрешений доступа к FTP-узлу 9. Щелкните Next, затем Ч Finish (Готово). Мастер создаст но не запустит Прежде чем запустить узел и к нему доступ, нужно завершить настрой ку его свойств.
Управление Большинством свойств Web-узла можно управлять из стки Internet Information Services.
Задание домашнего Любой развернутый на сервере FTP-узел имеет домашний каталог Ч основную папку для файлами. Домашний каталог с именем узла или именем серве ра. По умолчанию клиенты подключаются к узлу и попада ют в этот каталог.
Домашний каталог узла можно Управление основными службами Часть 1. Запустите Internet Information Services и в ле вой панели раскройте узел нужного компьютера. Если не отображается, подключитесь к нему в со ответствии с инструкциями раздела Подключение к другим главы 2.
2. Щелкните значок кнопкой и выберите в контекстном команду Properties (Свойства).
3. Перейдите на вклалку Ноте Directory (Домашний ката лог) (рис.
Рис. 7-3. Задание домашнего каталога узла Если каталог находится на локальном компьютере, по ставьте переключатель и положение A Directory Located On This Computer (каталог данного компьютера), и за тем в поле Local Path (Локальный путь) путь к каталогу, например Для поиска ката лога (Обзор).
Если нужный находится на другом и является ресурсом, поставьте переключатель в A Located On Another (общая папка другого компьютера) и введите а поле Network Управление Глава 7 Directory (Сетевой путь) к ресурсу. Путь дол жен иметь вид например, Затем Connect (Подключить как), введите имя и пароль для подключения к сетевому Примечание Если имя и пароль опущены, пользователь Everyone должен обладать доступом к указанному сетевому ресурсу. Иначе подключиться к нему будет невозможно.
6. ОК.
Изменение портов и узла Каждый обладает уникальным состоящим из номера TCP-порта, номера реса и заголовка узла. Номер TCP-порта по умолчанию Ч 80, SSL-порта Ч 443. В качестве IP-адреса по умолчанию используется любой доступный Идентификатор Web-узла можно изменить.
1. FTP-узел будет использовать новый IP-адрес, нужно предварительно настроить. Подробнее см. главу Windows 2000. Справочник 2. Запустите оснастку Internet Information и в ле вой раскройте узел нужного компьютера. Если компьютер не отображается, подключитесь к нему в с инструкциями к другим главы 2.
3. Щелкните правой кнопкой значок и в контекстном меню Properties (Свойства). От кроется одноименное диалоговое окно (рие. 7-4).
4. Поле Description (Описание) содержит имя которое отображается в Internet Infor mation Services и для других целей не используется. Что бы изменить его, в ноле Description новое имя.
5. В списке IP Address (IP-адрес) можно выбрать доступный IP-адрес. Щелкните ния не чтобы узел мог задействовать все неназначенные IP-адреса сервера. Один IP-адрес могут Управление основными службами 240 Часть ill несколько Web-узлов, при условии, что им назначены разные портов.
F по | не Рис. 7-4. Диалоговое свойств Номер TCP-порта автоматически задается как 21. В поле TCP Port (TCP-порт) можно ввести и новый номер порта. номер порта могут задействовать не сколько при условии, что им назначены раз IP-адреса.
7. Щелкните ОК.
Ограничение числа подключений и изменение времени ожидания соединения Для управления входящими подключениями мож но ограничить число параллельных подключений и время ожидания соединения. Обычно FTP-узел 100 000 и имеет срок ожидания 900 секунд ( минут). не хватает, можно ограничить число входящих подключений. Помните: если узел просмат ривает максимально допустимое число клиентов, новым по сетителям придется пока не отключится кто-нибудь.
Управление Глава 7 Когда время ожидания истечет, сервер простаивающий пользовательский сеанс. Время, определен ное для FTP-узла по умолчанию (900 секунд) оптимально для Если пользователи жалуются на слишком быстрое отключение простаивающих сеансов, срок ожидания.
Чтобы изменить число подклю чений или задать время ожидания соединения, сделайте так.
1. Б оснастке Internet Information Services щелкните правой кнопкой значок и выберите в контекстном меню команду Properties (Свойства). Если компьютер не подключитесь к в с ин струкциями раздела к другим главы 2. Затем правой же кнопкой щелкните нужный FTP узел и выберите в контекстном меню команду (Свойства).
2. Чтобы снять ограничения на число подключений, по ставьте переключатель в группе (Подключе ния) в Unlimited (Неограниченное число).
учтите: делать это не рекомендуется. Чтобы ограничить число к узлу, поставьте переключатель в положение Limit To Number Of (Предель ное число) и введите в соответствующее ноле нужное значение.
3. В поле Connection Timeout (Время ожидания) задается время ожидания Если нужно, введите новое значение.
4. Щелкните ОК.
Примечание На подключений FTP-серверу тре буются системные ресурсы. Чтобы снизить утечку ресурсов, ограничьте число подключений к серверу. Допустимое чис ло подключений по умолчанию Ч 100 000 Ч оптимально для сервера среднего размера. Если же ресурсы сервера ограничены или он используется для других целей (скажем, на нем опубликован Web-узел), это число лучше уменьшить.
Для выделенного FTP-сервера или сервера организации допустимое число подключений можно увеличить.
242 Часть III Управление основными службами Создание физических каталогов для Для загрузки и закачки файлов на FTP-узлах отдельные каталоги. Такая структура четко отли чать файлы, опубликованные организацией, от файлов, за качанных Вот типичное дерево каталогов Х Ч базовый каталог узла;
Х Ч базовый каталог для за грузки файлов;
Х Ч базовый каталог для закачки файлов.
Имеющуюся структуру базовых каталогов можно дополнять вложенными папками. Например, компания-разработчик ПО может создать в каталоге ки для;
Х Documentation Ч документации;
Х Patches Ч программных заплат;
Х Service_Packs Ч пакетов обновлений.
Совет Чтобы упростить посетителям понимание структу ры папок узла, создайте приветственное сообщение, содер жащее рекомендации по работе с узлом и карту папок Ч текстовый файл с подробным описанием имеющихся папок и их назначения. Сохраните карту папок в виде в базовом каталоге узла.
Для загрузки и закачки файлов можно сконфигурировать отдельные Папкам узла для загрузки следует на значить разрешения только на доступ, а папкам узла для закачки Ч только на запись. Таким образом, посетители смогут выполнять на конкретном узле лишь одно действие, и работа администратора упростится.
Физические каталоги создаются в Windows Exp lorer (Проводник). папки в домашнем РТР-узла создаются так.
Раскройте меню и выберите Windows Explorer.
2. В левой части окна каталог Управление Глава 7 3. В правой части окна правой кнопкой этот ка талог и выберите в der Система создаст новую папку и предложит имя по Ч New Folder (Новая папка).
4. Введите новое имя и нажмите клавишу Enter. Каталогам рекомендуется краткие и информативные на, например, Service_Packs или 5. папка наследует разрешения по умолчанию домаш него каталога и Совет Оснастка Internet Information Services не отобража ет новые папки автоматически. Возможно, потребуется щелкнуть кнопку Refresh (Обновить) на панели инструментов.
Создание виртуальных каталогов каталоги создаются в два этапа. Сначала надо создать а затем Ч с ней вир туальный каталог. Виртуальные каталоги FTP-узлов могут допускать загрузку файлов, закачку файлов или и то, и дру гое. Управлять передачей файлов просто. Папкам на разрешения:
Х для загрузки Ч Read (чтение);
Х для закачки файлов - Write (запись);
Х для загрузки и закачки файлов Ч Read и Write (запись).
Круг допустимых действий пользователя также определяется разрешениями, заданными на уровне файлов и папок. При анонимном учетная запись Internet Guest (го стевая запись должна обладать необхо димыми разрешениями уровня папки. При с проверкой подлинности такими разрешениями об ладать или группа, к которой он относится.
каталог создается так.
1. Запустите оснастку Internet Information Services и в ле вой панели раскройте узел компьютера.
2. Правой щелкните нужный FTP-узел и выбери те в контекстном меню команду Directory каталог). Запустится мастер Vir 244 Часть III Управление основными службами Directory Creation Wizard (Мастер создания вирту альных каталогов). Щелкните Next (Далее).
3. В поле Alias введите имя для доступа к виртуальному каталогу. Рекомендуется сделать его крат ким и как и имя обычной папки.
4. В следующем диалоговом окне задайте домашний ката лог Для поиска уже созданной папки щелкни те Browse (Обзор). При создайте папку с помощью Windows Explorer (Проводник).
5. Задайте разрешения на доступ к виртуальному каталогу.
Разрешение Read позволяет загружать, а раз решение Write Ч закачивать файлы.
6. Next и затем Ч Finish (Готово). Система со здаст виртуальный каталог.
Перенаправление запросов к сетевым папкам Если у вас имеются подсоединяемые к сети накопители или выделенный сервер для обмена данными, вы можете пере направлять запросы к узла на сетевые нанки.
1. В оснастке Internet Information Services правой кнопкой нужный FTP-узел и выберите в контекстном меню команду Properties (Свойства).
2. Перейдите на вкладку Home Directory (Домашний ката лог) и поставьте в положение A Share Located On Another Computer (общая папка другого ком пьютера).
3. В поле Network Directory (Сетевой каталог) введите путь к папке. Он должен иметь вид например, Затем щелкните Connect As (Подключить как) и в крывшемся диалоговом окне введите имя пользователя и пароль для к сетевой папке.
4. ОК. все файловые запросы к FTP узлу будут на файлы указанного сете вого ресурса.
Выбор отображения каталога При обращении к FTP-серверу автоматически получает список содержимого каталога, который может ото бражаться в MS-DOS или UNIX.
Управление Глава 7 Отображение в стиле MS-DOS более удобно и перемещение по каталогам. Отображение в стиле UNIX со вместимо со старыми версиями браузеров, могут не поддерживать в MS-DOS. Способ ото бражения каталогов задается на уровне узла.
1. В оснастке Information щелкните правой нужный и в контекстном меню команду 2. на вкладку Directory (Домашний ката лог) и в группе Directory Listing Style (Стиль вывода каталогов) щелкните UNIX или 3. Щелкните ОК.
Создание информационных сообщений под IIS могут выводить приветствен ное и а также сообщение о макси мальном числе подключений. Эти сообщения называются и создаются на уровне узла. Для всех размещенных на сервере можно определить раз ные наборы сообщений.
Х Приветственные сообщения отображаются при подклю чении клиента к FTP-серверу и содержат информацию о узла, правилах его располо жении зеркальных узлов, администраторе и т. д. Рекомен сделать приветственное сообщение максимально информативным Ч 8-10 строк текста. Чтобы выделить сообщение на экране, заключите его, например, в строки звездочек.
Х Завершающие сообщения выводятся клиенту при отклю чении от узла, но только если активный сеанс с QUIT. Если FTP-сеанс был завершен щелчком кноп ки Close в браузере, сообщение не выводится. Максималь ный размер сообщения Ч одна строка, Х Сообщения о максимальном числе подключений выво дятся при достижении максимально допустимого числа подключений к серверу. (Помните: максимально допус тимое число подключений можно изменять, подробнее см, раздел числа входящих подключений и ожидания этой главы.) 246 Часть III Управление основными службами создаются так.
1. В оснастке Internet Services щелкните правой нужный и выберите контекстном Properties (Свойства).
2. Перейдите на вкладку Messages (Сообщения).
3. В поле (Приветствие) сообщение.
Примечание Каждая строка текста должна заканчивать ся вводом (символами каретки и перевода стро ки). В противном случае сообщение может некорректно ото бражаться в браузера Internet Explorer.
В поле Exit (Выход) введите завершающее сообщение.
5. В иоле Maximum Connections (Предельное число подклю чений) введите о максимальном числе под ключений.
6. Щелкните ОК.
Управление пользовательскими Поддержка подключений к РТР-узлу требует ресурсов сервера. В целях упрощения ресурсов IIS зволяет просматривать статистику пользовательских сеансов отдельно для каждого FTP-узла.
Просмотр пользовательских Пользовательские сеансы FTP-узла можно просмотреть.
1. В оснастке Internet Information Services щелкните нуж ный кнопкой и в меню команду Properties (Свойства).
2. На вкладке FTP (FTP-узел) щелкните Ses sions (Текущие сеансы). Откроется диалоговое окно FTP User Sessions (рис. 7-5). Его поля содержат:
Х Connected Users пользователей) Ч име на учетных пользователей, про верку подлинности, и пароли анонимных пользова телей;
Управление Глава 7 Совет Помните: анонимному пользователю предлагается ввести в качестве пароля свой адрес электронной почты.
Отличить прошедшего проверку пользователя от го можно по значку. В первом случае отображается обыч ный значок пользователя, а во втором Ч с красным знаком вопроса.
From (От) Ч IP-адреса или Time (Время) Ч время, прошедшее с начала сеанса в формате ЧЧ:ММ:СС.
Рис. 7-5. Диалоговое окно FTP User Sessions 3. Щелкните Refresh (Обновить), чтобы обновить статисти ку сеансов, или Close (Закрыть), чтобы закрыть окно FTP User Sessions (FTP-сеансы), Просмотр общего числа подключенных пользователей I1S отображает общее число к FTP-узлу зователей в левом нижнем углу диалогового окна FTP User Sessions. Чтобы открыть его и просмотреть общее число пользователей, сделайте так, 1. В оснастке Internet Information щелкните нуж ный FTP-узел правой кнопкой и выберите в меню команду Properties (Свойства).
2. На вкладке FTP Site (FTP-узел) щелкните Current Ses sions сеансы). диалоговое окно FTP User Sessions (FTP-сеансы).
248 Часть III Управление службами 3. Общее число к пользователей отображается в левом нижнем углу этого окна. Щелкни те Refresh (Обновить), чтобы обновить статистику.
Завершение пользовательских сеансов На можно завершать или все активные пользовательские Обычно к этому прибегают, если продолжительность сеанса чересчур велика или возникли проблемы с сервера. Если в момент завершения сеанса пользователь закачивает или загружает файл, пере будет немедленно а пользователь увидит сообщение о соединения удаленным узлом.
Отдельный пользовательский сеанс так В Internet Information Services щелкните правой кнопкой нужный FTP-узел и выберите в контекстном Properties (Свойства).
2. На вкладке FTP Site щелкните Current Ses сеансы).
3. и щелкните Disconnect (Отключить).
4. При системы подтвердите свои действия, нув Yes (Да).
5. щелкните ОК, чтобы вернуться к оснастке Inter net Information Services.
Все пользовательские сеансы на FTP-узле завершаются так, 1. В Information Services щелкните нуж ный FTP-узел правой кнопкой и в контекстном меню команду (Свойства).
2. На вкладке FTP Site (FTP-узел) щелкните Current sions (Текущие сеансы).
3. Щелкните всех), и при за просе системы подтвердите 4. Дважды щелкните ОК, чтобы вернуться к оснастке Inter net Information Управление безопасностью FTP-сервера Управление безопасностью FTP-сервера во многом похоже на управление Web-сервера и ся на двух уровнях: Windows и IIS. На первом создают учет Управление записи пользователей и групп, определяют разрешения на доступ к файлам и папкам, а также конфигурируют по литики, на втором Ч на доступ к конфигурируют систему проверки и задают привилегии операторов.
Примечание Большинство задач управления безопаснос тью аналогичны соответствующим задачам Web сервера, и поэтому в данном разделе рассматриваются только специфические вопросы. Подробнее о безопасности IIS см. главу 5 этой книги.
анонимными подключениями Управлять анонимными подключениями позволяет поимено ванная учетная запись, обладающая нужными разрешения ми на доступ к папкам и файлам, доступным для закачки и загрузки. По умолчанию для применя ется учетная запись Интернета (см. главу 5).
Если разрешен анонимный доступ, клиентам нужно ука имя пользователя и пароль. IIS реги стрирует пользователя с применением сконфигурированной для ресурса учетной записи Если ано доступ клиенты должны предоставлять реквизиты своих учетных записей. В отличие от Web-узлов управлять доступом можно только на глобаль ном уровне или на уровне узла. Управлять анонимным до ступом на уровне пайки или файла невозможно.
Конфигурирование анонимного доступа на глобальном уровне Параметры анонимного доступа ко всем конфигурируются так.
В оснастке Internet Information Services правой значок нужного компьютера и выберите в кон текстном меню команду Properties (Свойства).
2. В списке Master свойства) пункт FTP (FTP-служба) и щелкните Edit (Изме нить). Откроется диалоговое FTP Service Master 250 Часть Управление основными службами Properties (Основные свойства для данно го компьютера.
3. Перейдите на вкладку Security Accounts (Безопасные учетные записи) (рис. 7-6).
pure.
| FT Рис. 7-6, Вкладка Accounts учетные записи) диалогового окна FTP Service Master Properties (Основные свойства FTP-службы) 4. Чтобы разрешить анонимный доступ, пометьте флажок Allow Anonymous подклю чения) и к 5. Для запрещения доступа снимите флажок Allow Anonymous Access и пе к п. 6. При к узлу смогут обращаться толь ко проверку подлинности 5. Сконфигурируйте локальные записи или учет ные записи домена для доступа к сервера:
Х поле (Пользователь) содержит имя учетной записи для анонимного доступа к ресурсу;
его можно изменить или, щелкнув Browse (Обзор), выбрать учет ную запись в диалоговом окне Find User (Выбор:
Пользователь);
Управление FTP-серверами Х флажок Allow Only Anonymous Connections шить только анонимные подключения) запрещает поль подключаться к узлу с указанием имени и пароля;
пометьте его, если нужен только доступ к узлу, если нет Ч снимите;
Х флажок Allow IIS To Control (Разрешить управление паролем из IIS) определяет, разрешено ли учетной записи дос тупа из 1IS;
обычно это то, что нужно, Ч пометьте флажок;
или снимите и введите пароль учетной записи для доступа.
6. Дважды щелкните ОК. изменения будут автоматически унаследованы всеми FTP-узлами сервера.
Конфигурирование анонимного доступа на уровне узла Параметры анонимного доступа к отдельному FTP-узлу кон фигурируются так.
1. В оснастке Internet Information Services щелкните значок правой кнопкой и выберите в контек стном команду 2. Перейдите на вкладку Security Accounts учетные записи).
3. Чтобы разрешить анонимный пометьте флажок Allow Anonymous Access (Разрешить анонимные подклю чения) и к п. 4, Для запрещения Ч снимите флажок Allow Anonymous Access и к п. 8. При этом к узлу смогут обращаться только прошедшие про верку подлинности пользователи.
4. Вам потребуется сконфигурировать локальные или учетные записи домена для доступа к FTP узлам Х поле содержит имя учетной записи для анонимного доступа к ресурсу;
его изменить или, щелкнув Browse (Обзор), учет ную запись в диалоговом окне Find User (Выбор: Поль зователь);
Х флажок Allow Only Anonymous Connections (Разре шить только подключения) запрещает поль подключаться к узлу с указанием имени и 252 Часть III Управление основными службами пароля;
пометьте его, если нужен только анонимный к узлу, если нет Ч снимите;
Х флажок Allow IIS To Control Password (Разрешить управление паролем из IIS) определяет, разрешено ли управление паролем учетной записи анонимного дос тупа из IIS;
обычно это что нужно, Ч пометьте флажок;
или снимите и введите пароль учетной записи для анонимного доступа.
5. Дважды ОК. Изменения будут автоматически унаследованы всеми FTP-узлами сервера.
Использование разрешений на Все папки и файлы IIS могут иметь разные разрешения на доступ, на безопасности Windows. По мните, что полным доступом к файлам и папкам (т. е. пра вом создавать, и удалять ресурсы) обла дают только администраторы.
Пользователям, прошедшим проверку на подлинность, сле дует назначать специфические в зависимости от выполняемых ими задач. Предоставьте пользователям, за файлы, разрешение Read (чтение), а пользова телям, закачивающим файлы, Ч Write (запись) для соответ ствующих ресурсов. Если пользователям второго типа нуж но просматривать содержимое каталогов, назначьте им и раз решение Read.
Специальная группа Everyone (Все) и гостевая учетная пись Интернета должны обладать неявными разрешениями.
но умолчанию наследует разрешения папки pub, к которой группа Everyone обладает доступом.
Это создает угрозу безопасности, которую нужно ратить: задайте и файлам для загрузки разрешение Read, а папкам для закачки Ч Write и (если чтобы пользователь просматривал их содержимое).
Совет Чтобы сконфигурировать разрешения на доступ к отдельной папке после изменения свойств базового ката лога FTP-узла по умолчанию, снимите в окне свойств пос леднего флажок Allow Inheritable Permissions (Переносить на следуемые от родительского объекта разрешения на этот Управление Глава Конфигурирование разрешений Помимо разрешений безопасности Windows, и пап ки обладают IIS, одинаковыми для всех зователей. Это означает, что задать права на доступ разным на уровне IIS нельзя. И все же вы можете создать специфические папки, допускающие только загрузку или только закачку файлов, или и то, и другое.
FTP можно задавать глобально или локально, на уровне узлов и папок. Глобальные задают в диалоговом окне FTP Service Master Properties свойства При настройке разрешений FTP нужно также указать, как они Если вы изме нили разрешения и возник конфликт с существующими па раметрами узла или папки, IIS предложит заменить разре (папки) глобальными разрешениями. Точно так же в случае конфликтов при изменении узла (папки) вам предложат заменить их локальными разреше ниями.
Конфигурирование глобальных разрешений FTP Для управления глобальными FTP сделайте так.
В оснастке Internet Information щелкните правой кнопкой значок компьютера и выберите в контекстном меню команду Properties (Свойства). Откроется диалого вое свойств.
2. Из списка Master Properties (Основные свойства) выбе FTP Service и щелкните Edit нить). Откроется диалоговое окно FTP Service Master Properties (Основные свойства FTP-службы) для данно го компьютера.
3. Перейдите на вкладку Home Directory (Домашний ката лог) и с помощью следующих флажков задайте ния которые будут наследоваться и папками (рис. 7-7):
Х Read Ч позволяет считывать и загружать файлы из каталога;
Х (Запись) Ч позволяет пользователю закачивать файлы в каталог;
254 Часть Управление основными службами Log Visits (Запись в Ч используется совмес тно с системой аудита сервера для регистрации обра щений к Рис. 7-7. Настройка глобальных разрешений FTP 4. Щелкните (Применить). Прежде чем применить IIS проверит текущие настройки всех FTP узлов и их панок. Если на FTP-узле дру разрешения, откроется диалоговое окно Inheritance (Изменение наследования). Отметьте узлы, к которым применить новые разрешения, и щелкните ОК.
Конфигурирование локальных разрешений FTP Разрешения FTP для отдельного узла или папки рируются так.
1. В оснастке Internet Information Services щелкните правой кнопкой значок узла или папки и выберите в контекст ном команду Properties 2. Перейдите на вкладку Home Directory (Домашний каталог), Directory (Каталог) или Virtual Di 7 rectory (Виртуальный каталог) (рис. 7-8) и с помощью следующих флажков задайте Web-сервера, которые будут узлами и папками:
Х Read Ч и загружать файлы из каталога;
Х Write (Запись) Ч файлы в каталог;
Х Log Visits (Запись в журнал) Ч используется совмес с системой аудита сервера для обра щений к ресурсу.
no j при Р обща Г Рис. 7-8. Настройка локальных разрешений FTP 3. Щелкните Apply (Применить). Прежде чем изменения, IIS проверит текущие узлов и их папок. Если на дру гие разрешения, откроется диалоговое окно Inheritance Overrides (Изменение наследования). Отметьте в узлы, к которым следует новые разрешения, и щелкните ОК.
256 Часть III Управление основными службами Настройка ограничений на доступ по IP-адресам и доменным именам По доступны всем компьютерам и доменам, а также с любого IP-адреса, что создает опасность сервера. Для ре сурсами можно предоставлять или блокировать доступ по сетевым идентификаторам и доменам. Как и любые другие параметры FTP-сервера, ограничения па дос туп можно задать на уровне сервера или отдельных узлов, папок и файлов.
доступа компьютеру запрашивать ресурсы, но не дает гарантии на работу с ними. Если проверка на пользова тели должны ее пройти, Отказ в доступе запрещает обращаться к ресур сам. Следовательно, пользователи данного не смогут работать с ресурсами, даже если бы у них была воз можность успешно пройти проверку на подлинность.
Ограничения на доступ на уровне сервера включаются/от ключаются так.
1. В оснастке Internet Information Services щелкните правой кнопкой значок компьютера и выберите в контекстном меню команду (Свойства). Откроется одно именное диалоговое окно.
2. Из раскрывающегося списка Master Properties (Основные свойства) выберите FTP Service и щелк ните Edit. Откроется диалоговое окно FTP Service Master Properties для данно го компьютера.
3. на вкладку Directory Security (Безопасность каталога) (рис. 7-9). Поставьте переключатель в положе ние Granted доступ), чтобы предоста вить доступ и запретить доступ остальным компьютерам, или в Access (Запрещен доступ), чтобы запретить доступ определенным и предо ставить доступ остальным компьютерам.
4. список Для этого щелкните Add (До бавить) и затем в диалоговом Computer (Запреще ние доступа к узлу) Ч Computer (Один Управление Глава 7 тер) или Group Of (Группа компьютеров). Для отдельного компьютера введите его IP-адрес, 192.168.5.50, для группы Ч адрес их подсе ти, например 192.168.0.0, или маску подсети, например 255.255.0.0.
| Сообщения Х Рис. 7-9. Вкладка Directory Security (Безопасность каталога) диалогового окна FTP Service Master Properties (Основные свойства 5. Чтобы удалить запись из списка выделите ее в Computers (Кроме следующих) и move 6. Щелкните Apply (Применить). Прежде чем применить IIS текущие параметры FTP и их Если на используются дру гие параметры, диалоговое окно Inheritance Overrides (Изменение наследования). в нем узлы, к которым следует применить и щелкните ОК.
Ограничения доступа на уровне узла, папки или файла включаются/отключаются так.
258 Часть III Управление основными службами 1. В оснастке Information Services щелкните правой значок узла или папки и выберите в контекст ном меню команду Properties (Свойства). Откроется од диалоговое 2. Перейдите на вкладку Directory Security (Безопасность каталога). Поставьте переключатель в положение Granted Access (Разрешен доступ), чтобы предоставить доступ и запретить доступ остальным компьюте рам, или в Denied Access (Запрещен доступ), чтобы за претить доступ и предоставить доступ ос тальным компьютерам.
3. Создайте список доступа. Для этого Add (До бавить) и затем в диалоговом окне Computer (Запреще ние доступа к узлу) Ч Single (Один компью тер) или Group Of (Группа компьютеров). Для отдельного компьютера введите IP-адрес, например 192.168.5.50, для группы компьютеров Ч адрес их подсе ти, например или маску подсети, например 255.255.0.0.
4. Чтобы удалить запись из списка доступа, выделите ее в списке Computers следующих) и щелкните Re (Удалить).
5. Щелкните Apply (Применить). Прежде чем применить изменения, 11S проверит текущие всех FTP узлов и их папок. Если на FTP-узле используются дру гие значения, откроется диалоговое окно Inheritance Overrides наследования). Отметьте в нем узлы, к которым следует применить новые параметры, и щелкните ОК.
Назначение операторов Web-узла Всем сервера операторов, ко будут управлять ими удаленно. Операторы FTP-узла Ч это специальная группа обладающих ограни ченными Всем FTP-узлам сервера операторы назначаются так.
1. В оснастке Internet Information Services щелкните правой кнопкой значок компьютера и в контекстном Управление FTP-серверами команду Properties (Свойства). Откроется одно именное диалоговое окно.
2. Из раскрывающегося списка Master Properties свойства) выберите FTP Service и щелк ните Edit (Изменить). Откроется окно FTP Service Master Properties свойства данного компьютера.
3. Перейдите на вкладку Security Accounts (Безопасные учетные записи), В списке Operators (Операторы) бражаются операторы. По умолчанию опе ратором является только группа Administra tors (Администраторы).
4. Чтобы добавить щелкните Add (Добавить).
диалоговое окно Select Users Or Groups (Вы бор: Пользователи или Группы), где можно выбрать поль и группы.
5. Чтобы удалить оператора, выберите его в списке Opera tors (Операторы) и щелкните Remove (Удалить).
6. Трижды щелкните чтобы завершить назначение раторов.
Отдельному так.
1. В оснастке Internet Information Services правой кнопкой значок узла и выберите в контекстном меню команду Properties (Свойства), Откроется одноименное окно.
2. Перейдите на вкладку Operators (Операторы). В Operators отображаются назначенные FTP-узлу операто ры. По умолчанию оператором является только глобаль ная группа Administrators (Администраторы).
3. Чтобы добавить оператора, щелкните Add (Добавить).
Откроется окно Select Users Or Groups (Вы бор: Пользователи или Группы), где можно выбрать поль зователей и 4. Чтобы удалить оператора, его в списке Opera tors (Операторы) и щелкните Remove (Удалить).
5. Щелкните ОК или Apply (Применить), чтобы завершить назначение операторов.
Глава Настройка и поддержка службы SMTP Протокол SMTP позволяет обмениваться сообщениями по Интернету. Он и разрабатывался для того, чтобы дать WWW серверам получать такие сообщения. Однако большинство организаций используют службу SMTP, входя щую в состав IIS, в основном для отправки сообщений элек тронной почты. почтовый Интернет-сервер общего назначения для корпоративной сети или поставщика услуг Интернета па службы STMP из состава нецеле Для этого лучше задействовать полнофункцио нальный сервер сообщений, например Microsoft Exchange При установке службы SMTP в установки IIS со здается виртуальный по Он на строен так, что обрабатывает и доставляет лишь локально созданные Отправка сообщений, созданных уда ленными включая гостевую учетную запись Интернета и других именованных пользователей Web-сер вера, запрещена. Кроме того, не разрешается ретрансляция почты через виртуальный SMTP-сервер. Такая конфигурация позволяет виртуальный сервер по умолчанию в большинстве сред без изменения каких-либо параметров. Но иногда вам же потребуется модифици ровать параметры, чтобы их в соответствие требованиям конкретной рабочей среды.
Управление службой SMTP довольно сильно отличается от других задач Web-администратора. Вы будете управлять не содержимым или файлов, а как обрабатыва ются и доставляются сообщения почты.
Настройка и поддержка службы SMTP Глава 8 Прежде чем перейти к задачам администрирова ния, рассмотрим основы SMTP.
Использование SMTP Служба SMTP предоставляет одному или нескольким доме нам службы обмена и имеет множе ство конфигурационных конфигу рацией SMTP осуществляется с помощью виртуальных сер веров. При этом надо понимать, как используются электронной почты и папка Mailroot, а как SMTP-сообщения.
Домены электронной почты Служба SMTP обрабатывает основываясь на адресах, указанных в полях То (Кому), Сс (Копия), (Скрытая копия) и From (От) письма. Первые три определяют последнее Ч отправителя сооб щения.
Электронные адреса, например состоят из трех частей:
Х имени учетной записи электронной почты (здесь Х символа @, отделяющего имя учетной записи от имени домена;
Х имени домена электронной почты (здесь Ч soft.com).
Порядок обработки сообщений SMTP-сервером определяет ся доменом почты или служебным доменом.
Последний может быть как локальным, так и удаленным.
Локальный служебный домен Ч (Domain Name система доменных обслуживаемый SMTP сервером Удаленный Ч это DNS-домсн, обслужи ваемый другим SMTP-сервером или почтовым шлюзом.
Любое сообщение с именем локального в полях То (Кому), Сс (Копия) или (Скрытая копия) доставляется локально. Локальный можно назначить по умолчанию или доменом-псевдонимом. Домен по умолчанию служит для сообщений, пересылаемых в домен или него. Сообщения, отправляемые в домен по умолчанию, по 262 Часть III Управление основными службами в Drop виртуального сервера. Для щих сообщений, в которых не задан домен в поле From (От), в качестве домена происхождения используется домен по умолчанию. У виртуального SMTP-сервера может быть толь ко один домен по умолчанию.
Любые другие создаваемые на сервере локальные домены будут доменами-псевдонимами. Домены-псевдо нимы позволяют создавать домены, указывающие на домен по умолчанию и использующие его параметры.
Помните, что любые передаваемые домену-псевдониму со общения помечаются домена по умолчанию. Это зна что домен-псевдоним использует те же ные параметры и ту же папку Drop, что и по умолча нию. Так, доменом по умолчанию виртуального SMTP-сер вера может быть а доменом-псевдони мом Ч dev.microsoft.com. Все сообщения, в которых указан любой из этих доменов, локально обрабатываются виртуаль ным SMTP-сервером, их именем домена по умолчанию и заполняющим служебные поля.
Все сообщения, в То, или которых указан до мен, не являющийся локальным, помещаются в очередь для отправки на удаленный сервер. Если для конкретного уда ленного домена предусмотрены особые требования достав ки, можно добавить этот домен к и настро ить его параметры для обработки сообще ний. Скажем, задать для удаленного домена индивидуальные параметры безопасности, требующие шифрования сообще ний. Кроме того, вы вправе переслать для уда ленного домена через конкретный почтовый сервер, являю щийся узлом.
Папка Mailroot При установке SMTP со параметрами авто матически создастся виртуальный сервер по умолчанию, управляющий и доставкой сообщений через пап ку Можно и дополнительные туальные у каждого из которых будет от дельная папка в указанной вами папке файловой системы.
В каждой Mailroot семь вложенных папок.
Настройка и поддержка службы SMTP Глава 8 Х хранит сообщения, которые невозможно и дос тавить, и вернуть Каждому их таких сооб сообщение об ошибке, позволяющее выявить источник проблемы. Чтобы гарантировать кор ректную обработку сообщений системой, периодически просматривайте содержимое папки.
Х Drop хранит все входящие сообщения, адресатам на данном сервере, например почтмейстеру виртуального сервера. Служба SMTP перемещает сюда из папки Queue все входящие сообщения, адресованные локальным получателям.
Х Mailbox хранит почтовые ящики.
Х Pickup любое в эту папку служба SMTP забирает и перемещает в папку Queue для дальнейшей обработки и доставки. SMTP постоянно про веряет в этой папке новых сообщений.
Х Queue хранит подготовленные к обработке и доставке сообщения: службой SMTP, а также из пап ки Pickup. Кроме того, папка содержит сообщения, дос тавка которых временно невозможна из-за отказов или большой загруженности конечных Если же SMTP сочтет, что эти сообщения не смогут быть доставлены, они будут в папку Badmail.
Х Route временные данные, для пересыл ки сообщений по конкретному папка используется при настройке маршрутного для SMTP-сервера.
Х SortTemp используется в папки для сортировки сообщений. Здесь создаются временные фай лы, удаляемые после сортировки и постановки сообще ний в очередь на отправку.
После установки службы SMTP иа сервере просматривайте содержимое Badmail и Queue Ч эти папки лучший индикатор сбоев SMTP.
Принципы обработки сообщений Служба STMP обрабатывает по схеме.
Источником сообщения может быть папка Pickup. Файлы помещаются в папку приложениями (напри 264 Часть III Управление основными службами мер, или (например, адми нистратором). Другой источник Ч служба SMTP, при файлы сообщений принимаются по протоколу SMTP.
Сообщение, скопированное в папку Pickup или поступившее по протоколу SMTP, помещается для обработки и доставки в нанку Queue. судьба сообщения зависит от типа адресата. Адресаты могут быть т. е. их домен электронной почты обслуживается SMTP-сервером локально. К ним относятся домен по умолчанию и все уста новленные на сервере домены-псевдонимы. Почтовые сооб щения для локальных адресатов обрабатываются локально.
Адресаты также могут быть их домен электрон ной почты обслуживается SMTP-сервером удаленно. Почто вые сообщения для удаленных адресатов пересылаются на прямую, с использованием DNS или отсылаются на указанный Примечание Имя домена в адресе электронной почты рас справа от знака @. Например, имя домена в ад ресе williams@tech.microsoft.com Ч tech.microsoft.com.
для локальных адресатов перемещаются из пап ки Queue в папку Drop, заданную для домена по умолчанию.
После этого обработка сообщения службой STMP считает ся Расположение панки по умолчанию Ч Этот путь можно изменить в диало говом окне свойств домена по Если предназначено удаленным адресатам, те сор тируются по именам Это позволяет службе SMTP доставлять сообщения удаленным адресатам как группе и передавать за один сеанс связи несколько сообщений. Пос ле сортировки сообщения в порядке очеред ности поступления. Чтобы отправить сообщение, SMTP тается подключиться к конечному почтовому серверу. Пос ле связи адресаты, отсылается сооб и конечный почтовый при необходимости под тверждает получение. Если конечный сервер не отвеча ет или не может принять сообщение, оно остается в и SMTP доставить его через задан ные интервалы времени, в которых обрабатывают ся сообщения с более низким Настройка и поддержка службы SMTP Глава 8 Если по истечении срока сообщение так и не удалось доставить, SMTP помечает и генерирует соот отчет. В нем почему возможной, и приводится его текст. Затем служба пытается доставить отчет отправителю исходного Процесс доставки отчета аналогичен процессу доставки лю бого другого сообщения Ч служба SMTP помещает его в папку Queue. Дальнейшая обработка зависит от того, явля ется ли отправитель исходного локальным или удаленным адресатом. Если же отчет невозмож но, в папку Badmail, и на этом обработка данного сообщения заканчивается.
Основы управления службой SMTP Управление SMTP-сервером создание виртуальных SMTP-серверов, порта и IP-адреса сер вера, а также мониторинг пользовательских сеансов и состо яния сервера.
Создание виртуальных SMTP-серверов При установке SMTP-сервера автоматически создается вир туальный SMTP-сервер по умолчанию, осуществляющий доставку сообщений для домена по и прочих сконфигурированных вами доменов. Если на вашем компь ютере несколько доменов или вам нужны два и более доме нов по умолчанию, создайте для их обслуживания дополни тельные виртуальные SMTP-серверы. Сделайте это если для всех размещаемых нужно настроить от дельные ограничения на обмен сообщениями.
Дополнительный виртуальный SMTP-сервер создается так.
1. При установке виртуального SMTP-сервера на новый сер вер убедитесь, что на нем уже установлена служба SMTP.
2. Если виртуальный сервер будет использовать IP его необходимо предварительно сконфигурировать.
Подробнее об этом см. главу 15 Microsoft Win dows 2000. Справочник 3. В оснастке Internet Services щелкните правой кнопкой значок нужного компьютера и выберите в кон текстном команду Virtual Server (Co Часть III Управление основными службами !6б SMTP-сервер). Если компьютер не к нему с инструкциями раздела к другим главы 2 этой книги.
Запустится мастер SMTP Virtual Server Wizard (Мастер виртуального (рис. 8-1). В поле Description (Описание виртуального SMTP-сервера) вве дите имя Web-узла, например SMTP Server, и щелкните Next (Далее).
Рис. 8-1. Мастер SMTP Virtual Server Wizard (Мастер создания виртуального SMTP-сервера) 5. В списке IP Address selection (Выбор IP-адреса) выберите доступный Щелкните (All 1(все не чтобы виртуальный SMTP-сервер исполь зовал все сервера. Номер пор та TCP задается как 25. Щел кните Next (Далее).
Примечание Каждый виртуальный сервер должен зовать уникальную комбинацию TCP-порт + IP-адрес. Не сколько виртуальных SMTP-серверов могут работать с од ним и тем же портом, при условии, что разные IP-адреса.
6. В диалоговом окне задайте пап ку сервера. поиска уже пан ки щелкните Browse При необходимости папку Настройка и поддержка службы SMTP Глава 8 можно с помощью Windows Explorer (Провод Щелкните Next.
Совет корректной работы службы SMTP предоставь те группе Everyone (Все) полный доступ к домашней папке и всем ее файлам и вложенным папкам.
7. Укажите домен по умолчанию для серве ра Ч это обслуживаемый SMTP-сервером ло кально. Обычно доменом по умолчанию является домен, указанный на вкладке DNS диалогового окна TCP/IP Properties [Свойства: Протокол Интернета сервера.
8. Щелкните Finish чтобы создать виртуальный сервер. Если служба SMTP по умолчанию настроена для автоматического запуска, новый виртуальный SMTP-сер вер также будет запускаться автоматически. Если же при создании сервера вы указали уже комбинацию TCP-порт + IP-адрес, новый сервер не запустится, и вам потребуется изменить его IP-адрес или TCP-порт.
9. Настройте виртуальный сервер в соответствии с инструк циями Управление входящими исходящими соединениями и Управление доставкой сообщений данной главы.
Настройка портов и IP-адресов SMTP-серверов Каждый SMTP-сервер обладает уникальным идентификатором, включающим его (по умолча нию Ч все неназначенные и номер TCP-порта (по умолчанию Ч 25). Идентификатор SMTP-сер вера можно Если виртуальный сервер будет использовать новый IP его необходимо предварительно сконфигурировать.
Подробнее об см. главу 15 книги Win dows 2000. Справочник 2. Запустите оснастку Internet Services и в левой части ее окна (Console Root) (корень консоли) узел нужного компьютера. Если компьютер не подключитесь к нему в соответствии с инструкциями раздела к другим серве главы 2 этой книги.
268 Часть Управление основными службами 3. Щелкните виртуальный SMTP-сервер правой кнопкой и в контекстном меню команду Properties (Свой ства). Откроется одноименное диалоговое окно (рис. 8-2).
по о Рис. 8-2. Окно свойств виртуального SMTP-сервера I В поле Name (Имя) содержится описательное имя вир SMTP-сервера, отображаемое в оснастке Inter Information Services. Для других целей оно не исполь зуется, и его можно 5. В IP Address selection (IP-адрес) отображается текущий IP-адрес Чтобы его, выберите любой другой доступный IP-ад рес или (все чтобы SMTP-сервер использовал все неназначенные ГР Несколько виртуальных SMTP-серверов могут работать с одним и тем же IP-адресом, при условии, что они используют порты.
6. Номер TCP-порта SMTP-сервера автомати чески задается как 25. Чтобы это, щелкните Advanced (Дополнительно). В открывшемся диалоговом окне выберите порт для которого нужно изме Настройка и поддержка службы SMTP Глава 8 нить, и Edit (Изменить). в поле TCP Port (Порт TCP) новый номер порта и щелкните ОК.
Еще раз щелкните ОК, чтобы сохранить изменения. Не сколько могут с одним и тем же портом, при условии, что у них 7. Щелкните ОК, чтобы закрыть диалоговое окно Properties Создание нескольких идентификаторов для виртуального SMTP-сервера Виртуальный может обрабатывать входящие по нескольким IP-адресам и портам, и поэтому ему нужно несколько идентификаторов.
можно сконфигурировать сервер для получения почты по нескольким Несколько виртуальному SMTP-серверу можно так.
1. В оснастке Internet Information Services щелкните правой кнопкой SMTP-сервер и выберите в контек стном команду Properties (Свойства).
2. На вкладке General (Общие) щелкните Advanced (Допол нительно) и в открывшемся диалоговом (рис. 8-3) задайте новый IP-адрес и TCP-порт сервера.
кнопки позволяют:
Рис. 8-3. Диалоговое окно Advanced (Дополнительная настройка) 270 Часть III Управление основными службами Х Add (Добавить) Ч новый идентификатор эту укажите нужный IP-адрес и введите номер TCP-порта, затем щелкните ОК);
Х Edit (Изменить) Ч редактировать запись, в списке (Адрес);
Х Remove (Удалить) Ч удалить запись, выбранную в списке Address 3. Дважды щелкните ОК, чтобы сохранить Мониторинг виртуального SMTP-сервера Как уже говорилось, после установки службы SMTP на сер следует периодически вло женных папок Ч в ка этой главы). Рекомендую вам наблюдать за пап ками и в случае проблем предпринять следующие действия.
Х Badmail Ч если число сообщений в этой папке увеличи вается, возможны проблемы с доступом почтового серве ра к сети или с доставкой почты. Попробуйте опросить узлы или серверы с помощью команды ping.
Х Drop Ч сообщения, ные адресатам на данном сервере, и при их сотрудникам.
Х Queue Ч если число сообщений в этой папке увеличива ется, возможны проблемы с доступом сервера к сети или с доставкой почты. Опросите узлы внешней сети или серверы с помощью команды ping.
Х Pickup Ч не должны задерживаться в этой папке. Если это не так, то, возможно, что они нечитаемы или возникли проблемы в работе SMTP. вы могли задать папке Pickup разрешения, позволяющие службе SMTP считывать ее содержимое. Проверьте раз и состояние службы SMTP Внимание! У каждого виртуального SMTP-сервера Ч от дельная папка расположение которой было указа но при его установке. Заметьте, что на вкладке Messages диалогового окна свойств виртуального SMTP-сервера мож но также настроить дополнительные папки Badmail.
Настройка и поддержка службы SMTP Глава 8 Управление пользовательскими сеансами После подключения к виртуальному создается сеанс, длительность которого равна продолжительности подключения. Все серверы отслеживают пользовательские сеансы Просматривая текущие сеансы, вы можете определить теку щую загрузку сервера, подключенных к пользовате лей и их подключения. Если к серверу подклю чен соответ ствующий сеанс, тем самым немедленно отключив его. Вы отключить от сервера и всех пользователей.
Просмотреть/завершить пользовательские сеансы так.
1. Запустите оснастку Information Services и дваж ды значок сервера.
2. В левой части окна появится Current Sessions кущие сеансы). его, вы увидите в правой части список текущих сеансов.
3. Чтобы отключить пользователя, щелкните в правой части окна его запись правой кнопкой и те в контекстном меню команду Terminate (Прервать).
4. Чтобы отключить пользователей, щелкните в правой части запись любого правой и выберите в контекстном команду Terminate Настройка служебных доменов Виртуальные SMTP-серверы сконфигурированы для поддер жки определенных служебных Вы можете создать только два типа служебных доменов: домены-псевдонимы и удаленные домены. При установке виртуального сервера автоматически создается домен по умолчанию. Вы вправе сделать доменом по умолчанию и Просмотр служебных доменов созданием дополнительных доменок надо проверить домены, уже па Web-сервере SMTP-серверами. У каждого есть собственные домены.
Чтобы просмотреть служебные домены, сделайте так.
10- 272 Часть III Управление основными службами Запустите оснастку Internet Information Services и значок виртуального сервера.
2. В части появится узел Domains (Домены).
Щелкнув его, в правой части вы увидите список имею щихся служебных доменов (рис. 8-4). Запись включает два поля:
Х Domain Name (Имя домена) Ч например Х Туре (Тип) Ч тип служебного домена: например Local (Default) [Локальный Local (Alias) Remote Рис. 8-4. Просмотр служебных доменов в оснастке Internet Information Services 3. просмотреть служебного щелк ните правой его значок и выберите в контекст ном меню команду Properties (Свойства).
Работа с локальными доменами служебные домены Ч это домены, обслуживае мые SMTP-сервером локально. Они могут быть двух домен но умолчанию и домен-псевдоним. Первый по умол чанию используется для обработки входящих и исходящих сообщений, второй позволяет создавать до мены, указывающие на домен умолчанию и использую щие его параметры. адресованные домену по умолчанию и всем с ним доменам-псевдонимам, хранятся в папке виртуального сервера. Исходящие со общения используют в качестве домена до по Настройка и поддержка службы SMTP Глава 8 При работе с доменами администратор может создавать домены-псевдонимы, делать существующий домен псевдоним по умолчанию, расположение и параметры квот.
Создание доменов-псевдонимов создавать вторичные доме ны, которые указывают на домен по умолчанию, и параметры и папку Drop. Домен-псевдоним созда ется так.
1. Запустите оснастку Internet Information и ды щелкните значок виртуального сервера.
2. узел Domains (Домены) правой кнопкой и вы в контекстном меню команду New\Domain (Co New SMTP Domain Wizard (Мастер SMTP).
3. Задайте тип домена как Alias (Псевдоним) и щелкните Next 4. Введите в поле Name (Имя) Использо вать символы подстановки в имени домена нельзя. Так, имя tech.microsofc.eom допустимо, а Ч нет.
5. Finish (Готово).
Назначение домена по умолчанию по умолчанию служит для обработки всех пересылаемых в домен или из него. ему со хранятся в папке Drop виртуального Для исходящих сообщений, в поле From (От) которых не задан домен, в качестве домена происхождения используется до мен по умолчанию. У виртуального может быть только один по умолчанию.
Имя по умолчанию задастся автоматически при ус Чтобы новый домен по создайте домен-псевдоним и назначьте его служебным доменом по умолчанию.
1. Запустите оснастку Information Services и дваж ды щелкните значок требуемого сервера.
2. В левой части окна щелкните узел Domains (Домены).
список сконфигурированных на сервере ХХХ Часть Управление основными службами 3. Щелкните правой домен-псевдоним и выберите в контекстном меню команду As (Использо вать по умолчанию).
Изменение конфигурационных параметров папки Drop домена по умолчанию Все входящие адресованные локальному доме и перемещаются из папки Queue в папку Drop. Расположение папки Drop по умолчанию Чтобы изменить его, сделайте так.
1. Запустите оснастку Internet Services и дваж ды значок виртуального сервера.
2. Укажите узел Domains (Домены) в левой части окна.
список служебных доменов, па сервере.
3. правой кнопкой домен по умолчанию и выбе рите в контекстном меню команду Properties (Свойства).
одноименное диалоговое окно (рис. 8-5).
....
Рис. 8-5. Изменение параметров папки Drop в окне свойств домена Настройка и поддержка службы SMTP Глава 8 4. Введите новый путь к Для поиска уже со зданной папки щелкните Browse (Обзор). Вы также мо жете создать папку с помощью Windows Explorer (Про водник).
5. Пометив флажок Enable Drop Quota (Включить квоту для каталога сбора), включите для папки Drop политику квот. Если этого не надо, сбросьте флажок, Совет Квоты позволяют ограничить общий размер сооб щений в папке Drop и реализуются в соответствии с поли тикой квот, заданной владельцем папки. Подробнее об этом см. книгу Microsoft Windows 2000. Справочник Админист ратора.
6. Щелкните ОК.
Работа с удаленными доменами сообщения, в полях То (Кому), Сс (Копия) или (Скрытая которых указан домен, не являющийся ло кальным, помещаются в очередь для отправки на удаленный сервер. По умолчанию служба SMTP сообщения напрямую серверам, как в таблицах DNS.
Если для удаленного домена имеются особые требования доставки, добавьте его к SMTP-серверу, настроив его па раметры для соответствующей обработки сообщений.
При работе с удаленными администратор может задать ограничения на настроить поддержку протоколов ESMTP (Extension to SMTP) или задать параметры подлинности и к внешним менам, поставить в для удаленно запус доставки, указать узлы для маршрут ных доменов.
Создание удаленных доменов Удаленные домены позволяют настраивать пути доставки и маршрутизации сообщений к другим SMTP-серверам и по шлюзам. Обычно их создают для доменов, с кото рыми часто обмен сообщениями. Каждому удаленному можно задать свои параметры доставки сообщений и требовать от него проверки под линности перед почты.
276 Часть III Управление основными службами Удаленный домен так.
1. Запустите оснастку Internet Information Services и дваж ды щелкните значок 2. правой узел и выберите к контекстном меню команду (Co Запустится мастер New SMTP Domain Wi zard (Мастер домена SMTP).
3. Задайте тип домена как (Удаленный) и щелкни те (Далее).
4. Задайте адресное Ч обычно это DNS домена.
Совет Чтобы задать однотипным доменам одинаковые па раметры, укажите имя домена так:
Например, Ч для всех доменов или - - для всех доменов, оканчивающихся на microsoft.com.
5. Щелкните Finish (Готово), чтобы создать удаленный до мен. В левой части окна оснастки Internet Information Services щелкните узел Domains (Домены). В правой ча сти окна щелкните правой кнопкой запись удаленного домена и в контекстном меню команду Proper ties (Свойства), В открывшемся диалоговом окне задай те параметры и со общений удаленному домену. Щелкните ОК.
Настройка ограничений на ретрансляцию для удаленных доменов внешним пользователям через вашу почтовую систему сообщения в другие органи зации. В стандартной конфигурации службы SMTP ретран сообщений чтобы рассыл ку нежелательной сервер. Если вы все же разрешить пользователям почты на опре деленные почтовые шлюзы, создайте домен, ставляющий конечный служебный домен и ретранслировать в него сообщения.
на задаются/удаляются так.
1. оснастку Internet Services и дваж ды щелкните значок сервера.
Настройка и поддержка службы SMTP Глава 3 левой части окна узел Domains (Домены).
Появится список имеющихся на сервере служебных до менов.
3. правой кнопкой удаленный и выбери те в контекстном меню команду Properties Откроется одноименное диалоговое окно 8-6).
Отмена Рис. 8-6. Диалоговое окне свойств удаленного 4. Чтобы ретрансляцию почты па до мен, пометьте флажок Allow Mail To Be Relayed To This Domain передачу почты данный домен).
5. Чтобы запретить почты на удаленный до мен, снимите флажок Allow Incoming Mail To Be To This Domain.
6. Щелкните ОК.
Переключение режима SMTP для удаленного домена Служба SMTP обычный протокол SMTP и его версию Ч ESMTP. ESMTP эффектив нее и SMTP, но иногда удаленные домены 278 Часть III Управление основными службами под SMTP. Например, если система почты удаленного не при по пытке установить ESMTP-сеанс связи вы получите сообще ние об ошибке.
По умолчанию виртуальный SMTP-сервер пытается устано вить ESMTP-сеанс с другим почтовым сервером при помощи команды Ее можно заменить распро страненной командой Режим SMTP так.
1. Запустите оснастку Internet Information и дваж ды щелкните значок сервера.
2. В части окна выберите узел Domains Появится список имеющихся на сервере служебных до 3. Щелкните правой кнопкой удаленный и выберите и контекстном меню команду Properties (Свой ства). Откроется диалоговое окно (рис. 8-6).
4. Чтобы SMTP-сервер протокол SMTP, по метьте флажок HELO Instead Of EHLO (Посылать HELO вместо EHLO). Для ESMTP (по умолчанию) снимите этот флажок.
5. ОК.
Постановка сообщений в очередь для удаленно запускаемой доставки Служба SMTP может хранить почту для клиентов и почто вых шлюзов, периодически подключающихся к виртуально му и загружающих ее. При этом запускает доставку команды ATRN, указывая SMTP начать передачу сообщений в На страивая доставку, назначьте конкрет ные учетные записи домена, для которых она для чего включите эти учетные записи в список оснастку Internet Services и дваж ды щелкните значок виртуального сервера.
2. В левой части окна выберите узел Domains Появится список имеющихся на служебных до Настройка и поддержка службы SMTP Глава 8 3. Щелкните правой и те в контекстном меню команду Properties (Свойства).
4. на (рис. 8-7).
ATRN Рис. 8-7. Вкладка Advanced (Дополнительно) диалогового окна свойств удаленного домена 5. Чтобы включить удаленно запускаемую доставку, пометь те флажок Queue Messages Triggered Delivery сообщения в на удаленную доставку).
6. Чтобы добавить авторизованную запись, ните Add (Добавить). В открывшемся диалоговом окне Select Users Or Groups (Выбор: Пользователи или Груп пы) выберите пользователей и группы из текущего дерева или леса 7. Чтобы удалить авторизованную учетную запись, те ее в списке Authorized (Учетные записи, ко торым разрешено ATRN) и щелкните Re move (Удалить).
8. ОК.
280 Часть III Управление основными службами Настройка параметров проверки подлинности для удаленного домена Служба SMTP по к удаленным доменам, т. может рас сылать через них сообщения. Однако виртуальный SMTP сервер можно настроить для удаленным Это понадобится для отсыл ки в домен, требующий проверки под линности, или если для доступа к удаленному домену нуж но пройти уровень подлинности.
Существует несколько режимов проверки подлинности.
Х Basic (Обычная проверка Ч обычная про верка подлинности с широкой Имя поль зователя и пароль передаются неза шифрованным текстом.
Х Windows Security Package (Пакет безопасности Win dows) Ч безопасная проверка подлинности для Windows совместимых доменов. Имя пользователя и пароль пере даются удаленному в виде с при менением системы безопасности Windows.
Х Transport Layer Security (TLS) Encryption вание) Ч с шифро для поддерживающих смарт-карты или сертификаты стандарта Исполь зуется с обычной подлинности или подлинности Windows.
доступа к настраиваются так.
1. Запустите оснастку Internet Services и дваж ды щелкните виртуального сервера.
2. В части окна выберите узел Domains Появится список имеющихся на сервере служебных до менов.
3. Щелкните правой кнопкой домен и выбери те в меню команду (Свойства).
Л. На вкладке General щелкните Outbound Security Откроется одноименное диалоговое окно (рис. 8-8).
Pages: | 1 | 2 | 3 | 4 | 5 | Книги, научные публикации