44

Microsoft IIS betreiben

Überblick

Mit Einführung des Internet Information Server (IIS) hat Microsoft Anfang 1996 als Teil von Windows NT Server eine neue Umgebung für Web-Server geschaffen. IIS ist Bestandteil der Internet-Produkte von Microsoft, die in diesem Jahr eine lange Reihe von ausgeklügelten Kommunikationsmöglichkeiten eingeläutet haben.

IIS wurde schnell von Version 1.0 auf 2.0 weiterentwickelt und ist heute ein starkes Produkt für das Internet und Intranets. Die Welle der Einführung von Add-Ons durch Drittanbieter für diese Plattform hat bereits eingesetzt.

Microsoft IIS ist eigentlich eine Zusammenstellung von drei Web-Servern in einem:

• World Wide Web (WWW)
• File Transfer Protocol (FTP)
• Gopher

In diesem Kapitel wird beschrieben, wie Sie Windows NT für IIS konfigurieren, wie Sie mit IIS arbeiten, wie Sie virtuelle Server einrichten und welche Zugriffsrechte Sie für Clients definieren können.

Windows NT für IIS konfigurieren

Die Web-Server für Windows NT hängen von der Konfiguration des zugrundeliegenden Betriebssystems ab. In der folgenden Beschreibung wird davon ausgegangen, daß Sie Windows NT auf Ihrem System bereits installiert haben.

Sie können sich über Windows NT Server bei http://www.microsoft.com/NTServer/ auf dem laufenden halten. Die Home-Page für Windows Workstation finden Sie unter http://www.microsoft.com/NTWorkstation/ .

NT-Versionen

Windows NT ist in den Versionen NT Server und NT Workstation erhältlich. Der wesentliche Unterschied zwischen den zwei Versionen liegt in den Netzwerkoptionen. Beide Versionen basieren auf dem gleichen NT-Kernel und beide unterstützen C2-Sicherheit. NT Workstation ist für die Nutzung als einzelne Rechnerumgebung oder als kleiner Workgroup-Server ausgelegt. NT Server dient als unternehmensweite Serverplattform.

Der NT Server bietet eine höhere Fehlertoleranz und mehr Netzfähigkeiten. Die entfernte Verwaltung ist ein herausragender Vorteil für den Webmaster, der entfernte Standorte koordinieren muß.

NT Server und NT Workstation nutzen zwar den gleichen Kernel, jedoch ist NT Server als Datei- und Druckserver optimiert, während die Optimierung von NT Workstation auf das Betriebssystem in Einplatzumgebungen abzielt.

Als professioneller Web-Publisher sollten Sie NT Server den Vorzug geben. Außerdem laufen einige Web-Server, darunter Microsoft IIS, nur unter NT Server.

In letzter Zeit gab es einige Diskussionen dahingehend, ob die Benutzer von Internet-Diensten als Clients zu betrachten sind und als solche Lizenzen benötigen. Microsoft hat kürzlich bekanntgegeben, daß solche Lizenzen nicht notwendig sind.

Die grundlegenden Elemente der Konfiguration und Verwaltung von Windows NT als Web-Server sind umfassende Optionen für Netzwerk, Sicherheit, Verwaltung und Fehlerbehebung.

Netz und TCP/IP einrichten

Die Internet-Dienste laufen mit dem TCP/IP-Protokoll. Jeder Computer im Internet hat eine eindeutige IP-Adresse. Die Daten werden im Internet in Form von Datenpaketen übertragen. Jedes Paket wird an eine spezifische IP-Adresse gerichtet, z. B. 10.212.57.189.

Da man sich IP-Adressen schlecht merken kann, gibt es das Domain Name System (DNS), das dafür zuständig ist, daß IP-Adressen in Hostnamen übersetzt werden. Surft ein Benutzer im Internet und greift er auf eine Adresse zu, muß zuerst ein DNS-Server kontaktiert werden, damit die Adresse übersetzt wird. Diese Vorgehensweise hat für Sie als Betreiber eines Web-Servers folgende Wirkungen:

• Sie müssen TCP/IP auf Ihrem Server installieren.
• Sie brauchen eine ständige IP-Adresse für Ihren Server im Internet.
• Sie sollten im DNS einen Domänennamen für Ihre IP-Adresse registrieren lassen. Ohne diese Registrierung können die Benutzer nur mit der IP-Adresse auf Ihren Server zugreifen.

Normalerweise führt der Internet-Provider bei Domaenennamen in IISder Zuweisung der IP-Adresse auch die Registrierung des Hostnamens für Sie durch. Klären Sie das mit Ihrem Internet-Provider vorher ab. Informationen hierzu können Sie sich auch von http://rs.internic.net besorgen.

Da im Internet nur TCP/IP gesprochen wird, richten Sie für Ihren Netzadapter eine Bindung zum TCP/IP-Protokoll ein. Wie bei anderen Netzpaketen für Windows NT wird TCP/IP über die Netzwerkoption in der Systemsteuerung installiert. Für die Installation brauchen Sie folgende Angaben:

• Die Ihrer Netzkarte zugewiesene IP-Adresse
• Die IP-Adresse Ihres Gateways
• Die IP-Adresse des zu benutzenden DNS-Servers
• Ihren Domänennamen

Für ein Intranet brauchen Sie außerdem:

• Die IP-Adressen Ihres primären und sekundären WINS-Servers (falls zutreffend)
• Die LMHOST-Datei für Ihr Netzwerk (falls zutreffend)

So installieren Sie TCP/IP:

• Öffnen Sie die Option Netzwerk in der Systemsteuerung und klicken Sie auf das Register Protokolle.

  Abbildung 44.1: TCP/IP in NT Server 4.0 einrichten

• Klicken Sie auf die Schaltfläche Hinzufügen, dann erscheint das Dialogfenster von Abbildung 44.2. Wählen Sie TCP/IP und klicken Sie auf Diskette. Suchen Sie das TCP/IP-Protokoll auf der NT-CD und klicken Sie auf OK.

Abbildung 44.2: TCP/IP-Protokoll in Windows NT Server wählen

• Klicken Sie auf OK, dann beginnt NT mit der Analyse der Bindung Ihrer Netzadapter.
• Anschließend werden Sie gefragt, ob Sie DHCP benutzen möchten, um sich Ihre TCP/IP-Konfiguration automatisch einrichten zu lassen. Hat Ihr Netzverwalter einen DHCP-Server für diese Zwecke eingerichtet, antworten Sie mit Ja.

DHCP wird in firmeneigenen Intranets benutzt, um TCP/IP-Adressen dynamisch bestimmten Rechnern zuzuordnen. Dadurch verringert sich der Verwaltungsaufwand. Fragen Sie Ihren Netzverwalter, ob in Ihrem Intranet ein DHCP-Server benutzt wird.

• Ist in Ihrem Netz kein DHCP-Server eingerichtet, müssen Sie das TCP/IP-Protokoll manuell konfigurieren. Hierfür wählen Sie TCP/IP im Dialogfenster Netzwerk und klicken Sie auf Eigenschaften. Im Dialogfenster Eigenschaften von Microsoft TCP/IP wählen Sie die entsprechenden Parameter in den verschiedenen Registern.

Abbildung 44.3: Das Dialogfenster Eigenschaften von NT Server

Beachten Sie, daß spezifische Werte, die Sie in den Dialogfenstern der TCP/IP-Konfiguration eingegeben haben, durch die vom DHCP-Server gelieferten Werte überschrieben werden. Haben Sie bereits eine funktionierende TCP/IP-Konfiguration und wird DHCP später von Ihrem LAN-Verwalter implementiert, müssen Sie die Einstellungen, die vom DHCP-Server zugewiesen werden, im Dialogfenster Eigenschaften entfernen.

Ist das LAN sehr groß (oder in mehrere Netzsegmente unterteilt), kann der Netzverwalter Ihres Unternehmens die vom InterNIC zugewiesene Netzadresse in Teilnetze gliedern. Ein Teilnetz ist eine logische Unterteilung von IP-Adressen, die nur innerhalb des Unternehmensnetzes benutzt werden. Das heißt, daß über Teilnetze keine Daten an das Internet übertragen werden.

Ein Teilnetz wird dadurch erzeugt, daß einige Bits der IP-Adresse, die den Host identifizieren, hergenommen und statt dessen als Bezeichnung einer Netzadresse benutzt werden. Der als Teil jeder TCP/IP-Konfiguration erforderliche Wert für die Teilnetzmaske dient zum Identifizieren, welche Bits der IP-Adresse das Netz und welche den Host darstellen. Als Binärwert ausgedrückt, bezeichnen die Einser der Adresse das Netz und die Nullen den Host.

Geben Sie die Werte für Ihre IP-Adresse und Teilnetzmaske ein.

Abbildung 44.4: Geben Sie hier die richtigen Netzadressen ein

• Sie können auf Andere klicken, um zusätzliche Gateway-Adressen zu spezifizieren. Zweitens können Sie in den Registern IP-Adresse und WINS-Adresse unter Windows NT für jeden im System installierten Netzadapter einen anderen Wert angeben. Das müssen Sie sogar, wenn Ihr Rechner an zwei verschiedenen lokalen Netzwerken angeschlossen ist (und folglich potentiell als Gateway fungieren könnte) oder wenn Sie gleichzeitig eine Netzschnittstellenkarte benutzen, um Ihr lokales TCP/IP-Netz und eine DFÜ-Verbindung zu einem Internet-Provider benutzen. Achten Sie darauf, daß der richtige Adapter angezeigt wird, wenn Sie die IP-Adressen eingeben.

Falls Sie beabsichtigen, mehrere Web-Sites auf diesem Host unterzubringen, auf die über separate Domänennamen zugegriffen wird, müssen Sie mehrere IP-Adressen mit dem Netzadapter binden. Jede IP-Adresse wird mit einem Domänennamen abgestimmt.

Sie können pro Netzadapter bis zu 256 IP-Adressen anhängen, aber im Dialogfenster TCP/IP werden nur 5 pro Adapter konfiguriert. Was darüber hinausgeht, muß direkt in der Windows-NT-Registrierung bearbeitet werden. Das empfiehlt sich aber nur, wenn die entsprechenden Erfahrungen vorhanden sind. Durch falsche Eingaben kann das System abstürzen. Von einigen Betreibern war zu erfahren, daß die Verwendung von mehr als 15 IP-Adressen pro Netzadapter zu instabilem Systemverhalten führt.

• Wenn Sie über Ihren Internet-Anschluß Zugang zu einem DNS-Server haben, klicken Sie auf das Register DNS (siehe Abbildung 44.5) und geben Sie die DNS-Adressen ein.

Abbildung 44.5: Wählen Sie die am nächsten liegenden DNS-Server

Wählen Sie grundsätzlich DNS-Server, die über die kürzeste Strecke zu erreichen sind. Im Zweifelsfall fragen Sie Ihren Internet-Provider.

Sicherheitsoptionen einrichten

Wie bereits mehrfach in diesem Buch erwähnt, ist das Internet voller Sicherheitslücken. Sie können in Ihrem NT Server verschiedene Optionen einrichten, um die Sicherheit zu verbessern. Die wichtigsten Optionen werden in den folgenden Abschnitten beschrieben.

Eindringlinge durch Benutzerkonten abwehren

Jede Operation auf einem Rechner, der unter Windows NT läuft, wird mit dem Benutzer identifiziert, der sie ausführt. So wird beispielsweise mit dem Benutzernamen und dem Paßwort identifiziert, wer mit welchen Rechten auf dem Server surft.

Welche Rechte einem Benutzer eingeräumt werden, wird im User Manager mit der Option User Rights im Menü Policies festgelegt. Die Anmeldung an Ihre Web-Dienste sollte lokal mit einem Benutzernamen erfolgen, der nur auf bestimmte Operationen eingeschränkt ist. Erstellen Sie eigens für diesen Zweck ein Account (z. B. WEBLOGON).

Schwierige Paßwörter wählen

Die einfachste Art für Eindringlinge, sich Passwoerterunberechtigten Zugang zu Servern zu verschaffen, sind gestohlene oder erratene Paßwörter. Stellen Sie sicher, daß alle auf dem System benutzten Paßwörter so komplex sind, daß sie nicht leicht zu erraten sind.

Das Paßwort für den Administrator muß besonders sorgfältig gewählt werden (relativ lang mit Buchstaben und Zahlen). Sie können Paßwörter im User Manager oder bei der Anmeldung am System einrichten.

Strikte Kontenpolitik einhalten

Im User Manager können Sie die Gültigkeit von Paßwörtern festlegen. Außerdem können verschiedene Maßnahmen getroffen werden, z. B. die automatische Abmeldung eines Benutzers, der mit verschiedenen Kombinationen von Benutzername und Paßwort mehrmals versucht hat, sich am System anzumelden.

Mitgliedschaft der Verwaltergruppe einschränken

Durch Einschränken der Administrator-Gruppe auf eine kleine Zahl von Mitgliedern scheidet das potentielle Risiko vieler schlecht gewählter Paßwörter aus. Ihr System ist allgemein weniger Risiken ausgesetzt.

NTFS-Dateisicherheit

Sie sollten Ihre Datendateien auf einer NTFS-Partition abspeichern. NTFS bietet Sicherheit und Zugriffskontrolle. Sie können den Zugriff auf Teile des Dateisystems bzw. auf bestimmte Benutzer oder Dienste beschränken. Insbesondere sollten Sie auf Ihre Datendateien für jeden Internet-Publikationsdienst Access Control Lists (ACLs) anwenden.

Mit dem NTFS-Dateisystem können Sie den Zugriff auf Dateien genau nach Bedarf einstellen und die entsprechenden Lese- und Schreibrechte vergeben bzw. verwehren.

Die Gruppe Everyone enthält alle Benutzer und Gruppen. Der Vorgabe entsprechend kann diese Gruppe auf alle Dateien des NTFS-Laufwerks zugreifen. Sie müssen dies sicherlich entsprechend den Anforderungen ändern.

Prüfen Sie insbesondere auch die Sicherheitseinstellungen für die Page- und CGI-Verzeichnisse und berichtigen Sie die Werte entsprechend.

Prüfung ermöglichen

Im File Manager können Sie das Auditing von NTFS-Dateien und -Verzeichnissen einschalten. Sie können die Prüfberichte periodisch durchsehen, um sicherzustellen, daß sich niemand unberechtigten Zugriff auf empfindliche Dateien verschafft hat.

NT-Verwaltungswerkzeuge

NT wird mit zwei Verwaltungswerkzeugen ausgeliefert, die für die täglichen Verwaltungsaufgaben von Web-Servern sehr nützlich sind. Die Rede ist von Event Log und Performance Monitor. Befassen Sie sich mit diesen Werkzeugen eingehend und nehmen Sie sich genügend Zeit, die Dokumentation zu lesen.

Probleme mit Event-Viewer verfolgen

Der Event Viewer befindet sich in der Programmgruppe Administrative Tools. Er macht den Systemverwalter auf kritische Ereignisse aufmerksam. Das kann in Form von Meldungen am Bildschirm oder durch Einfügen von Informationen in Logdateien erfolgen. Anhand dieser Informationen können Sie den Ablauf von Ereignissen besser verfolgen.

Sie können mit dem Event Viewer drei verschiedene Logarten erfassen: System, Sicherheit und Applikation. In Abbildung 44.6 sehen Sie ein Beispiel des Systemlogs.

Abbildung 44.6: Im Systemlog werden Informationen über Ereignisse wie Systemstart und -abschaltung ausgegeben

Mit dem Sicherheitslog (siehe Abbildung 44.7) können Sie alle auf Ihrem Server erfolgten Anmeldungen verfolgen.

Abbildung 44.7: Das Sicherheitslog ist wichtig zur Überwachung, ob der Server am Internet hängt

Abbildung 44.8: Im Applikationslog werden Informationen über Programme ausgegeben

Das Applikationslog (siehe Abbildung 44.8) wird von Programmen, die auf dem Server laufen, zum Ausgeben von Informationen benutzt. Normalerweise werden in den Berichten das Ein- und Ausschalten sowie Statistiken und Fehler erfaßt.

Server mit dem Performance Monitor überwachen

Mit dem Performance Monitor, der sich ebenfalls in der Programmgruppe Administrative Tools befindet, können Sie die Systemleistung überwachen. Für viele auf NT basierte Server und Dienste sind im Performance Monitor bereits die entsprechenden Zähler enthalten. Mit diesen Zählern können Sie Messungen der Nutzung Ihres Internet-Dienstes in Echtzeit durchführen.

Sie sollten für die verschiedenen Zähler Schwellenwerte eingeben. Treten Abweichungen von den festgesetzten Schwellenwerten auf, können Sie entsprechende Maßnahmen ergreifen.

Leistung von Windows NT optimieren

Einer der großen Vorteile von Windows NT ist der, daß ein Großteil der Optimierung bereits automatisch vom System durchgeführt wird. Im folgenden werden die allgemeinen Methoden zur Leistungsoptimierung kurz angeschnitten.

RAM

Die meisten Fachleute sind sich darüber einig, daß die Systemleistung am besten durch Erweiterung des RAM erreicht wird. Sie sollten einen Arbeitsspeicher von mindestens 16 Mbyte haben, 32 Mbyte sind für NT Server noch besser. Betreiben Sie einen besonders aktiven Server, auf dem auch CGI-Skripte und Datenbanken benutzt werden, können Sie die Aufrüstung des Speichers auf 64 Mbyte ins Auge fassen. Viele beliebte Web-Sites, die mit NT Server laufen, haben Arbeitsspeicher von mindestens 128 Mbyte.

Festplatte

Die Existenz einer Web-Site hängt von der Festplatte ab. Ist kein Platz vorhanden, gibt's auch keine Web-Inhalte. Als allgemeine Faustregel gilt eine Festplatte mit sehr schnellem Zugriff, z. B. 5 bis 9 Millisekunden. Eine weitere Faustregel besagt, daß die Festplatte mit dem System über eine 32-Bit-Schnittstelle verbunden sein soll. Ihr Server sollte mindestens einen 32-Bit Disk-Controller (eingebaut oder als Slot) haben.

Eine weitere Regel besagt, daß Defragmentierung der Festplatte wichtig ist. Sie können den Dateizugriff damit beträchtlich beschleunigen. Leider gibt es für Windows NT derzeit nur wenige Defragmenter, und alle sind ziemlich teuer.

Denken Sie daran, daß die RAM-Erweiterung die beste Methode ist, um die Systemleistung zu verbessern.

CPU

Die Bereitstellung von Web-Inhalten ist im Grunde keine große Belastung des Mikroprozessors. Die CPU wird erst ein kritischer Faktor, wenn Sie anfangen, ausgeklügelte CGI-Anwendungen in Ihre Site einzubinden. Haben Sie das für die nächste Zukunft vor, geht unter einem Pentium nichts mehr. Vorzugsweise schaffen Sie sich einen Pentium Pro an.

Virtueller Speicher

Windows NT nutzt das virtuelle Speichersystem. Das bedeutet, daß NT bei Bedarf einen Bereich auf der Festplatte als RAM benutzt, damit mehr und/oder größere Anwendungen ausgeführt werden können.

Größe und Partition des virtuellen Speichers können über System in der Systemsteuerung konfiguriert werden. Vergessen Sie aber nicht zu prüfen, ob ausreichend Kapazität auf der Festplatte vorhanden ist. Stellen Sie fest, daß NT ständig während normaler Aktivitäten auf die Festplatte zugreift, ist das ein Anzeichen dafür, daß der RAM nicht ausreicht.

Benutzen Sie nur 32-Bit-Anwendungen. NT ist ein reines 32-Bit-Betriebssystem, das zwar abwärts mit der 16-Bit-Welt kompatibel ist, aber mit 16-Bit-Programmen verlangsamt sich die Ausführung aller momentan laufenden Anwendungen.

Arbeiten mit Microsoft IIS

Alle Anzeichen stehen dafür, daß sich Microsoft IIS zum beliebtesten Web-Server für das Internet und Intranets entwickelt. Die Gründe dafür sind einfach: IIS ist leistungsstark, schnell und läuft unter dem Betriebssystem, das heute für die meisten Web-Server benutzt wird – Windows NT Server. Außerdem ist es kostenlos.

IIS 2.0 ist in Windows NT 4.0 enthalten. Wenn Sie Windows NT Server 3.51 benutzen, können Sie sich ein IIS-Upgrade besorgen. Alternativ können Sie sich als Mitglied am Microsoft Developer Network (MSDN) anmelden. Schließlich können Sie IIS kostenlos von Microsofts WWW-Site herunterladen.

Sehen Sie sich auch an den Web-Sites http://www.informatik.uni-stuttgart.de/misc/nt/nt.html und http://ms-kinternet.teco.uni-karlsruhe.de um.

Anforderungen

Der IIS-Server 2.0 ist nur für Windows NT Server 4.0 verfügbar. IIS 1.0 läuft unter NT Server 3.51 und 4.0. Der Rechner sollte die für Windows NT Server geforderte Mindestkonfiguration aufweisen.

Sie können IIS entfernt von einer Windows NT Workstation aus verwalten. Arbeiten Sie mit Version 3.51, brauchen Sie Service Pack 3, das sich auf der IIS-CD befindet.

IIS installieren

Um die IIS-Dienste zu installieren, müssen Sie sich mit den Verwalterrechten einloggen. Zum Konfigurieren der IIS-Dienste im Internet Service Manager muß Ihr User-Account zur Administrator-Gruppe des Zielrechners gehören.

Schließen Sie alle Anwendungen, bevor Sie mit der Installation beginnen.

• Doppelklicken Sie auf die Datei SETUP.EXE im Stammverzeichnis auf der CD oder im Verzeichnis, in das Sie das Produkt nach dem Herunterladen abgestellt haben.
• Der Begrüßungsbildschirm des Setup-Programms wird angezeigt (siehe Abbildung 44.9). Klicken Sie auf OK.

Abbildung 44.9: Das erste Fenster des IIS-Installationsprogramms

• Im nächsten Dialogfenster werden die verfügbaren Installationsoptionen angezeigt (siehe Abbildung 44.10). Wählen Sie die gewünschte Option.

Abbildung 44.10: Das Dialogfenster mit den Installationsoptionen

Haben Sie IIS bereits installiert, möchten das Paket aber in einem anderen Verzeichnis er- neut installieren, müssen Sie folgenden Code aus dem Registry entfernen: \hkey_local_machine\software\Microsoft\INetStp. Wird dieser Code nicht entfernt, ist der Button Change Directory grau, was bedeutet, daß Sie das Vorgabeverzeichnis nicht ändern können.

• Anschließend erscheint das Dialogfenster Publishing Directories, in dem Sie die Vorgabeverzeichnisse für Ihre Site wählen (siehe Abbildung 44.11).

Abbildung 44.11: Vorgabeverzeichnis für die einzelnen Dienste wählen

• Verfügen Sie bereits über Dateien, die Sie in die Site stellen möchten, geben Sie den vollen Pfad ein. Befinden sich die Dateien auf einem Netzlaufwerk, sollten Sie das Vorgabeverzeichnis akzeptieren.
• Nach beendetem Setup ändern Sie Ihr Home-Verzeichnis im Internet Service Manager auf den Pfad ab, in dem sich die Dateien befinden, z. B. \\Servername\Sharename\ WWWfiles. Berücksichtigen Sie die Zugriffsrechte, die auf dem Netzlaufwerk gelten.
• Klicken Sie auf Ja, wenn Sie zum Erstellen der Dienstverzeichnisse (WWWROOT, GOPHROOT und FTPROOT) aufgefordert werden.
• Das Dialogfenster Create Internet Account wird angezeigt. Dieses Account wird für alle anonymen Zugriffe auf IIS verwendet. Die Zugriffsrechte für dieses Account sollten Sie gut überwachen. Geben Sie ein Paßwort ein und klicken Sie auf OK, dann werden die restlichen IIS-Dateien kopiert.
• Haben Sie die Optionen ODBC Drivers und Administration gewählt, erscheint das Dialogfenster Install Drivers.
• Wählen Sie die gewünschten Treiber, z. B. SQL Server, im Listenfeld ODBC Drivers und klicken Sie auf OK.

Damit haben Sie die Installation von IIS beendet. Sie können nun Ihre Inhalte im Internet oder Intranet publizieren. Der Server läuft bereits. Sie können in der Systemsteuerung die Option Dienste (Services) wählen, um die erfolgreiche Installation des WWW-Dienstes zu bestätigen.

Abbildung 44.12: Der IIS Manager wird über das Startmenü geöffnet

Sie brauchen IIS nur zu starten, wenn Sie die Konfiguration oder Sicherheitsoptionen ändern müssen.

IIS-Server konfigurieren

IIS wird im Internet Service Manager konfiguriert. Dieses leistungsstarke Werkzeug zeichnet sich dadurch aus, daß es als lokale und entfernte Verwaltungsoberfläche dient.

Der Internet Service Manager

Sie benutzen den Internet Service Manager, um IIS zu konfigurieren und zu überwachen (siehe Abbildung 44.13). Sie können im Internet Service Manager lokale und entfernte Serverdienste einsehen und verwalten.

Abbildung 44.13: Der Status der verfügbaren Dienste wird im Internet Service Manager angezeigt

Der Internet Service Manager kann in drei Ansichten angezeigt werden: Reports, Servers und Services.

Der Vorgabe zufolge wird der Internet Service Manager in der Ansicht Reports angezeigt. In dieser Ansicht werden die ausgewählten Rechner mit den darauf installierten Diensten alphabetisch aufgeführt. Klicken Sie auf die Spaltenüberschriften, um die Liste zu sortieren. Sie sehen diese Ansicht in Abbildung 44.14.

Abbildung 44.14: Anzeige des Internet Service Manager in der Ansicht Reports

In der Ansicht Servers (siehe Abbildung 44.15) werden die Dienste nach Servern angezeigt. Klikken Sie auf das Pluszeichen neben einem Servernamen, um den Status der Dienste dieses Servers einzusehen. Wenn Sie auf einen Dienstnamen doppelklicken, wird das Dialogfenster mit den Eigenschaften geöffnet. Diese Ansicht eignet sich für Sites mit zahlreichen Servern, deren Status sporadisch eingesehen werden muß.

Abbildung 44.15: Anzeige des Internet Service Manager in der Ansicht Servers

In dieser Ansicht (siehe Abbildung 44.16) werden die Dienste der betreffenden Rechner nach Dienstnamen aufgeführt. Klicken Sie auf das Pluszeichen neben einem Dienstnamen, um die Server anzuzeigen, auf denen der betreffende Dienst läuft. Um die Eigenschaften anzuzeigen, doppelklicken Sie auf den Dienstnamen. Diese Ansicht ist nützlich, um nachzusehen, auf welchen Servern ein bestimmter Dienst läuft.

Abbildung 44.16: Anzeige des Internet Service Manager in der Ansicht Services

Eigenschaften einsehen und ändern

Doppelklicken Sie auf die Dienstsymbole, um die Eigenschaften anzuzeigen. Die Eigenschaften von Diensten dienen zum Konfigurieren und Verwalten von WWW- und anderen Diensten. Für den WWW-Server sind vier Fenster für Eigenschaften vorhanden:

• Service
• Directories
• Logging
• Advanced

Service

Im Register mit den Eigenschaften von Diensten (siehe Abbildung 44.17) wird der Zugriff auf den Server gesteuert.

Abbildung 44.17: Die Eigenschaften für den WWW-Dienst

Sie können mit diesen Optionen festlegen, wer Ihren Server benutzen darf und für anonyme Client-Zugriffe ein Account einrichten. Auf den meisten Sites sind anonyme Anmeldungen vorhanden.

Für anonyme Anmeldungen benutzen Sie das Account UISR_computername. Dieses Account wird während der IIS-Installation erstellt. Hat der Server beispielsweise den Namen marketing1, würde das anonyme Account dafür mit dem Namen IUSR_marketing1 angelegt werden. Dieses Account gilt nur für lokale Anmeldungen. Netzwerkrechte werden damit nicht vergeben.

Dieses Account wird auch in die Gästeliste (Gruppe Guests) eingefügt. Haben Sie die Einstellungen für diese Gruppe geändert, wirken sich die neuen Einstellungen auch auf das Account IUSR_computername aus.

Unter Password Authentication können Sie festlegen, daß sich Benutzer beim Anmelden an Ihrem Server mit einem Benutzernamen und einem Paßwort ausweisen. Wählen Sie die Option Allow Anonymous, um Benutzern anonymen Zugriff auf Ihre Web-Site zu gewähren. Wenn Sie Basic Authentication wählen, muß sich der Benutzer anmelden, falls er auf Dateien oder Verzeichnisse zugreift, die nicht anonym zugänglich sind.

Die Verwendung der Option Basic Authentication bedeutet, daß Sie Ihren Windows NT Benutzernamen und das Paßwort unverschlüsselt über öffentliche Netzwerke senden. Eindringlinge könnten sich das zunutze machen.

Die Option Windows NT Challenge/Response kann für einen WWW-Dienst benutzt werden, um verschlüsselte Paßwörter zu übertragen. In Kapitel 40 über Sicherheit im Internet finden Sie Informationen zu diesem Punkt.

Directories

Im Register mit den Eigenschaften von Verzeichnissen (siehe Abbildung 44.18) wird der Zugriff auf die Verzeichnisse gesteuert.

Abbildung 44.18: Die Eigenschaften für Verzeichnisse

Sie können mit diesen Optionen festlegen, wer Ihren Server benutzen darf und für anonyme Client-Zugriffe ein Account einrichten. Auf den meisten Sites sind anonyme Anmeldungen vorhanden.

Sie können Ihre Site-Hierarchie so aufbauen, daß Sie mit einem Web-Verzeichnis beginnen und alle weiteren Verzeichnisse darunter anordnen. Um externe Verzeichnisse in diesen Verzeichnisbaum zu stellen, klicken Sie auf die Schaltfläche Hinzufügen.

Im Feld Verzeichnis (Directory) wählen Sie das gewünschte Verzeichnis, das Sie hinzufügen möchten. Denken Sie an die jeweils geltenden Zugriffsrechte.

Jedes Verzeichnis muß als Alias angegeben werden. Dadurch können lange Verzeichnisnamen verborgen werden. Der Aliasname wird vom Browser des Benutzers hinter dem Domänennamen des Computers benutzt. Im Feld Account Information können Sie einen gültigen Benutzernamen und ein Paßwort eingeben, falls sich das Verzeichnis auf einem Netzlaufwerk befindet.

In der unteren Hälfte dieses Registers können Sie den Namen des Vorgabedokuments eingeben. Das ist das Dokument, nach dem der Server sucht, wenn ein Zugriff mit einem URL ohne spezifischen Dokumentnamen eingeht. Geben Sie kein Vorgabedokument an, stellt der Server fest, ob Sie Browsing zugelassen haben. In diesem Fall wird im Browser eine Hypertext-Liste mit den verfügbaren Verzeichnissen und Dateien angezeigt.

Sie können Browsing nur für alle Verzeichnisse und Sites auf dem Server gewähren oder verwehren. Das heißt, daß Sie keine bestimmten Stellen zulassen und andere ausschließen können. Deshalb müssen Sie sicherstellen, daß sich auf dem Server keine Verzeichnisse und Dateien befinden, auf die Benutzer nicht zugreifen dürfen.

Logging

Im Register mit den Eigenschaften von Logging (siehe Abbildung 44.19) werden die Optionen in bezug auf das Protokollieren der Ereignisse auf dem Server festgelegt.

Abbildung 44.19: Die Eigenschaften für den WWW-Dienst

Sie können die Ereignisse in einer Textdatei oder in einer ODBC-Datenbank protokollieren. Angenehm fällt bei IIS auf, daß die Ereignisse von mehreren Servern gleichzeitig in einer Datei oder Datenbank erfaßt werden können, wobei es keine Rolle spielt, an welchem Netzwerk diese Server hängen.

Wenn Sie sich für das Protokollieren in einer Textdatei entscheiden, müssen Sie einen Logbereich eingeben. Sie können täglich, wöchentlich oder monatlich protokollieren. Außerdem können Sie festlegen, daß das Log bei Erreichen einer bestimmten Größe automatisch geleert wird.

Achten Sie darauf, daß die Logdatei regelmäßig geleert wird. Manche vergessen das und vergeuden durch riesige Logdateien unnötig Systemressourcen.

Alternativ können Sie die Serverereignisse in einer ODBC-Datenbank erfassen. Sie können dabei die Ereignisse aller Site-Server an einer Quelle protokollieren. Das bedeutet auch, daß Sie die erfaßten Daten in einer ODBC-Anwendung zur Verfügung haben. Außerdem können Sie den Internet Database Connector verwenden, um die Logdatei in einem Browser anzusehen.

Mit dem Internet Log Converter können Sie Logdateien in das EMWAC-Format (European Microsoft Windows NT Academic Centre) oder in das CLF-Format (Common Log File) konvertieren. Die Programmdatei CONVLOG.EXE befindet sich im Verzeichnis \INETSRV\ADMIN. Um die Syntax und Beispiele oder Hilfe darüber einzusehen, geben Sie im Befehlsprompt CONVLOG ein.

Advanced

Im Register Advanced (siehe Abbildung 44.20) werden verschiedene Optionen angeboten, um den Zugriff auf den Server durch bestimmte IP-Adressen und Übertragungsraten zu steuern.

Abbildung 44.20: Weitere Eigenschaften für den WWW-Dienst

Sie können den Zugriff auf Ihre Rechner durch Angabe der IP-Adressen gewähren oder sperren. Falls Sie sich dafür entscheiden, allen Benutzern den Zugriff zu gewähren, können Sie hier die Computer angeben, auf die der Zugriff verwehrt wird. Haben Sie beispielsweise auf Ihrem WWW-Server ein Formular und gibt ein bestimmter Benutzer über das Internet in mehrere Formulare fiktive Informationen ein, können Sie diesem Computer mit der betreffenden IP-Adresse den Anschluß an Ihre Site verwehren. Falls Sie andererseits allen Benutzern den Zugang verwehren, können Sie hier die IP-Adressen der Computer eingeben, die ausschließlich Zugang haben sollen.

Mit der Option Limiting Network Use können Sie die Auslastung Ihres Netzwerks und der Bandbreite einschränken.

Virtuelle Server einrichten

Virtuelle Server werden über die gleiche Hinzufügen-Schaltfläche eingerichtet wie zusätzliche Verzeichnisse für die Web-Site. Das Einrichten eines virtuellen Servers ist ähnlich, weist aber ein paar Unterschiede auf.

Geben Sie den Namen des Verzeichnisses ein, das als Home- bzw. Vorgabeverzeichnis benutzt werden soll. Befindet sich das Verzeichnis auf einem externen Server, müssen Sie für die Anmeldung einen gültigen Benutzernamen und ein Paßwort eingeben.

Klicken Sie auf die Schaltfläche Home Directory. Das Feld Alias ist grau dargestellt, weil für das Vorgabeverzeichnis kein Aliasname benötigt wird.

Wählen Sie das Optionsfeld Virtual Server, um festzulegen, daß es sich hier nicht um ein weiteres Verzeichnis, sondern um eine eigenständige Web-Site handelt. Das Feld IP Address wird wählbar.

Haben Sie Ihrer Netzschnittstellenkarte mehrere IP-Adressen zugeordnet, sollten Sie festlegen, über welche IP-Adressen die einzelnen Verzeichnisse zugänglich sind. Falls Sie keine IP-Adresse angeben, wird das Verzeichnis für alle virtuellen Server verfügbar, was in manchen Fällen nützlich ist. Für die Vorgabe-Site sind alle auf der Netzschnittstellenkarte definierten TCP/IP-Adressen gültig, sofern Sie nicht virtuelle Sites definieren.

FTP einrichten

Mit der Einrichtung eines FTP-Dienstes bieten Sie den Benutzern eine angenehme Art, durch Ihre Site und Pages zu browsen und auf Wunsch Dateien herunterzuladen. Dafür müssen Sie keine spezielle Konfiguration auf der Serverseite vornehmen. Der FTP-Dienst wird ausführlich in Kapitel 31 behandelt. Möchten Sie speziell einen FTP-Server einrichten und betreiben, lesen Sie Kapitel 46.

Gopher einrichten

Gopher wird von manchen als der Vorläufer des Web betrachtet. Gopher basiert zwar ausschließlich auf Text, ist aber auch heute noch ein starker Dienst zur Bereitstellung von Informationen im Internet. Wie FTP bedient Gopher den anfragenden Benutzer mit Dateien aus Verzeichnissen. Der Gopher-Dienst wird ausführlich in Kapitel 32 behandelt.