核心功能和服务
已对 IIS 进行了重新设计以便利用基本 Windows 内核 HTTPsys这使其具有内置的响应和请求缓存和队列功能并能够将应用程序进程请求直接路由到工作进程从而改善可靠性和性能
IIS 引入了两种用于配置应用程序环境的操作模式工作进程隔离模式和 IIS 隔离模式在安装 IIS 时默认的隔离模式取决于您执行的是全新安装还是升级
在全新安装 IIS 之后IIS 以工作进程隔离模式运行
在从较低版本的 IIS 升级之后隔离模式与以前安装的 IIS 版本所配置的相同
在从 IIS 或 IIS 升级之后在默认情况下IIS 以 IIS 隔离模式运行这样可保持与现有应用程序的兼容性
有关从一种隔离模式切换到另一种隔离模式的信息请参阅配置隔离模式
IIS IIS IIS
平台 Windows Windows XP Professional Windows Server 家族
体系结构 位 位和 位 位和 位
应用程序进程模型 TCP/IP 内核
DLLhostexe(处于中等或高应用程序隔离模式下的多个 DLL 主机)
TCP/IP 内核
DLLhostexe(处于中等或高应用程序隔离模式下的多个 DLL 主机)
HTTPsys 内核
当 IIS 以 IIS 隔离模式运行时Inetinfoexe(对于进程内应用程序)或 DLLhostexe(对于进程外应用程序)
当 IIS 以工作进程隔离模式运行时Wwpexe(多工作进程)
配置数据库配置 二进制 二进制 XML
安全性 Windows 身份验证
SSL
Kerberos
Windows 身份验证
SSL
Kerberos
安全向导
Windows 身份验证
SSL
Kerberos
安全向导
Passport 支持
远程管理
HTMLA 无 HTMLA
终端服务
远程管理工具 (HTML)
终端服务
群集支持
IIS 群集 Windows 支持 Windows 支持
WWW 服务
Windows x 上的个人 Web 管理器
Windows 上的 IIS
(可选)Windows XP Professional 上的 IIS Windows
IIS 隔离模式
IIS 隔离模式按照与 IIS 中的进程管理相似的方式管理应用程序进程所有的进程内应用程序都在 Inetinfoexe 内运行进程外应用程序在单独的 DLL 宿主中运行一些现有应用程序可能无法并发运行或将会话状态与应用程序分开存储因此在 IIS 隔离模式中运行进程可以确保与大多数现有应用程序的兼容性下图显示如何在 IIS 隔离模式中处理应用程序进程
配置数据库配置
IIS 的配置数据库以 XML 文件形式存储而不是以早期版本中的二进制格式存储位置仍在原处但是操作方式(更新回滚还原和扩展)已发生了变化有两个重要文件并非一个MetaBasexml 和 MBSchemaxml
有关 IIS 配置数据库的详细信息请参阅关于配置数据库
管理
在 IIS 中应用程序既可以在与 Internet 服务相同的进程中运行也可以在单独的进程中运行在 IIS 和 中应用程序现在可以分为若干汇集的进程以增强性能并提高可伸缩性 详细信息请参阅关于应用程序在 IIS 工作进程隔离模式中可将应用程序组合到任意数量的应用程序池中
应用程序映射属性页包含一个超文本传输协议 (HTTP) 动作列表它们可由映射到特定文件类型的应用程序进行处理该动作列表与 IIS 有一处不同在 IIS 中列表中包含已排除或未被处理的动作这个改变是为了适应新的 HTTP 动作以便将其添加到协议中 有关应用程序映射的详细信息请参阅设置应用程序映射
群集不是 IIS 的功能(不支持 IISsyncheexe)群集是 Windows Server 家族的功能有关 Windows 群集 (MSCS) 的信息请参阅 Windows Server 家族的帮助
与 IIS 相比IIS 中自定义错误文件的位置已经改变 详细信息请参阅启用详细的自定义错误消息
已经添加了新的自定义错误文件以便报告更详细的错误信息以及与新功能有关的错误 有关可用的自定义错误消息的完整列表请参阅关于自定义错误消息
基于 Web 的 Internet 服务管理器 (HTML) 已经由 Web 工具应用要使用 Internet 服务管理器 (HTML) 远程管理 IIS 请参阅如何远程管理服务器
以编程方式管理
在早期版本的 IIS 中可以从编译的 C++ 应用程序使用管理基本对象 (ABO) 或者从 C++ 或脚本文件使用 Active Directory 服务界面 (ADSI) 以编程方式管理 IISIIS 包括了 Windows 管理规范 (WMI) 提供程序WMI 这一技术允许管理员以编程方式控制所有服务和应用程序详细信息请参阅使用 IIS WMI 提供程序有关新的 ADSI 方法的信息请参阅 IIS 中的配置数据库更改
Active Server Pages
从 IIS 开始Microsoft Active Server Pages (ASP) 可以与 Microsoft ASPNET 一起使用有关配置 IIS 以运行 ASPNET 应用程序的信息请参阅 ASPNET有关 IIS 中 ASP 功能更改的信息请参阅 ASP 中的重要更改
ASP 挂起检测
当 IIS 网站繁忙时可能会出现这种情况已经产生了最大数量的 ASP 线程而一些 ASP 线程却挂起这会导致性能降低IIS 能够通过回收作为 ASP ISAPI 扩展 (ASPdll) 的特定实例宿主的工作进程来解决线程挂起问题当 ASP 线程在 IIS 中挂起时ASPdll 调用 ISAPI 服务器支持函数 HSE_REQ_REPORT_UNHEALTHYWWW 服务回收作为 ASPdll 宿主的工作进程并在事件日志中创建一个项目
有关 ISAPI 服务器支持函数的详细信息请参阅 MSDN? Online 上 ISAPI 扩展参考中的 ServerSupportFunction
安全性
IIS 中的一个最重要的变动涉及 Web 服务器安全性为了更好地预防恶意用户和攻击者的攻击在默认情况下没有将 IIS 安装在 Microsoft Windows Server 家族的成员上
要点 为了更好地预防恶意用户和攻击者的攻击没有将 IIS 默认安装到 Microsoft? Windows? Server 家族的成员上而且当您最初安装 IIS 时该服务在高度安全和锁定的模式下安装在默认情况下IIS 只为静态内容提供服务 - 即ASPASPNET服务器端包含WebDAV 发布和 FrontPage? Server Extensions 等功能只有在启用时才工作如果安装 IIS 之后未启用该功能则 IIS 返回一个 错误您可以为动态内容提供服务并通过 IIS 管理器中的 Web 服务扩展节点启用这些功能同样如果应用程序扩展未在 IIS 中进行映射则 IIS 返回一个 错误要映射扩展请参阅设置应用程序映射有关如何排解 错误(包括 和 )与 IIS 的新安装相关的问题或从低版本的 IIS 进行升级的详细信息请参阅疑难解答
通过 Web 服务器证书向导和 CTL 向导您可以同步 Web 和 NTFS 的安全设置获得并安装服务器证书以及创建和修改证书信任列表还可以选择一个加密服务提供程序 (CSP) 以使用证书加密数据 详细信息请参阅使用证书向导
IIS 中的其他安全性变动包括下列内容
在升级版本上禁用除非满足下列条件之一否则在 Windows Server 家族的升级版本上禁用万维网发布服务(WWW 服务)
在开始升级过程之前您已在 Windows Server 上运行了 IIS 锁定向导IIS 锁定向导通过禁用不必要的功能来减少攻击面并且它允许您确定为站点启用哪些功能IIS Lockdown Tool 中提供了 IIS 锁定向导
要点 如果使用 WWW 服务则强烈建议您在升级到 Windows Server 家族中的产品之前在 Windows Server 上运行 IIS 锁定向导IIS 锁定向导通过禁用或删除 Windows Server 安装中不需要的功能来保护计算机的安全否则升级后计算机上仍保留这些功能这会使您的服务器易受攻击
注册表项 RetainWSVCStatus 已添加到注册表中 HKEY_LOCAL_MacHINE\SYSTEM\CurrentControlSet\Services\WSVC 的下面在 RetainWSVCStatus 下您可以添加任何值然后给它赋予一个 Dword 值例如您可以创建注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WSVC\RetainWSVCStatus\do_not_disable并且 DWORD 值为
对于无人参与的安装DisableWebServiceOnUpgrade = false项存在于无人参与的安装脚本中
通过组策略禁用 IIS通过使用 Windows Server 家族成员域管理员可以禁止用户在其计算机上安装 IIS
以具有低级访问权限的帐户运行IIS 工作进程在访问权限极少的用户上下文中运行这大大减少了潜在攻击的影响
提高 ASP 的安全性所有的 ASP 内置功能总是以具有极少访问权限的帐户 IUSR_computername 运行
运行可执行文件的限制为了运行系统文件夹中的大多数可执行文件(如 cmdexe)您必须是 Administrators 组LocalSystemInteractive 或 Service 帐户的成员该限制限制了对 Administrators 的远程访问因此匿名用户无法运行可执行文件
修补程序管理对于修补程序管理管理员可在不中断服务的情况下安装最新的安全修补程序
已知的扩展IIS 只为对具有已知文件扩展名的文件的请求提供服务如果请求内容的文件扩展名未映射到已知的扩展则服务器拒绝请求
内容的写保护在默认情况下拒绝匿名用户(以 IUSR_computername 帐户运行)对 Web 内容进行写入访问
超时和限制在 IIS 中默认设置是安全而主动的这样可最大限度地减少因以前太宽松的超时和限制而造成的攻击
上载数据限制管理员可以限制能上载到服务器的数据
缓沖区溢出保护工作进程会检测缓沖区溢出并在检测到时退出程序
文件验证IIS 在将请求发送到请求处理程序(ISAPI 扩展)之前会验证请求的内容是否存在
索引资源该权限现在会在默认情况下启用
脚本资源访问该权限允许访问 ASP 页脚本和其他脚本的源代码它是新增功能且在默认情况下被禁用它可在选择了读取或写入权限时可用
子验证在新安装的 IIS 中在默认情况下不再启用有关详细信息请参阅 匿名身份验证中的使用子验证部分
UNC 身份验证在此版本的 IIS 中UNC 身份验证方法检查是否有用户凭据详细信息请参阅 UNC 身份验证
新策略禁止安装 IIS策略已经添加到 Windows Server 产品家族中该策略允许域管理员控制可以在域中哪些计算机上安装 IIS详细信息 请参阅 Windows 帮助中的组策略
Fortezza已取消了对该功能的支持
性能
为了限制分配给 ASP 页的内存量IIS 已经将 AspScriptFileCacheSize 的默认值设置为 个 ASP 页并将 AspScriptEngineCacheMax 的默认值设置为 个脚本引擎在具有一组大量经常请求的 ASP 页的站点上可以将 ASPScriptFileCacheSize 设置得更高一些因为 ASP 页的编译比从缓存中检索页要慢很多所以这会改善性能在只具有少量经常请求的 ASP 页的站点上可通过将该数字设置得小一些来节省内存
IIS 工具组件
Windows NT Server 的协作数据对象 (CDONTS)CDONTS 已从 Windows Server 家族中删除如果 Web 应用程序使用 CDONTS则可以将它们转换为 Microsoft 协作数据对象 (CDO)CDONTS 中的大多数方法在 CDO 中都有相匹配的方法但是名称可能不同有关平台软件开发工具包 (PSDK) 中 CDO 的参考资料请参阅 MSDN Online 上的 Overview of CDO
未安装 IIS 工具组件Ad RotatorBrowser CapabilitiesContent LinkerContent RotatorCountersLogging UtilityMy InfoPage CounterStatus 和工具不随 IIS 一起安装但是如果您的 Web 服务器是从低版本的 IIS 升级的则这些工具组件不会被删除您可以从 IIS 资源工具包中获取工具组件 DLL 文件的副本
位 Windows Server 家族上的 IIS
在 位 Windows Server 家族的操作系统上IIS 作为 位应用程序运行这意味着不能从 位 Windows Server 家族的操作系统上的 IIS 调用 位应用程序例如Jet 数据库引擎将不能转换为 位应用程序因此不能使用 ActiveX? 数据对象 (ADO) 从 ASP 页打开 Microsoft Access 数据库但是仍可以使用 ADO 访问其他驱动程序如 SQL 和 Exchange
