服务器托管常见问题处理方法(上)
站长空间
当网站发展到一定的规模,站长就应该开始考虑要为网站托管服务器。对于个人站点来说,网站每日的点击量上万,托管服务器则会让网站保持稳定;对于公司网站来说,一般一开始就办理了托管服务。托管服务器,即购买一台服务器放到当地电信、网通的机房,使用这种业务时,托管的服务器可以实现不间断、高速接入Internet的需求,并且可以获取一个固定的IP地址,用于开展互联网业务或者其他业务。
在网站服务器进行托管时,站长本人也应该具备一些专业技术,才能处理常碰到的一些紧急问题。因此,我们特别推出两期文章,让站长们学习到托管服务器容易碰到的问题解决方法。
作为托管的主机提供的最基本的服务就是网站Web服务和FTP服务。在通过ISA Server发布这些服务之前,需要进行一下配置,具体的配置就是把IIS服务和FTP服务工作的TCP/IP地址修改为“内部网卡”绑定的地址,在本章中的IP地址为“192.168.220.1”。操作步骤如下:
一、发布基本的Web服务
首先从“管理工具”中运行“Internet信息服务管理器”,单击“网站”展开当前主机提供的站点服务,用鼠标右键单击每一个Web站点,从弹出的菜单中选择“属性”,在“网站”选项卡中的“网络标识”中,在“IP地址”字段后面选择“内部网卡”的地址(本章举例为192.168.220.1),然后单击“确定”按钮返回(图1)。修改每一个站点的IP地址,关闭“Internet信息服务管理器”,然后从“管理工具”中打开“服务”,从服务中重新启动“IIS Admin Service”服务,以让绑定的地址生效(图2)。
然后运行“Serv-U管理员”工具(通常都是使用这个软件提供FTP服务,Windows中自带的FTP服务器软件很少有人用),修改FTP服务器的地址为”“内部网卡”地址(图3)。
然后从“服务”中重新启动“Serv-U FTP服务器”。完成这两步工作后,此时,通过Internet使用原来的方式就不能访问你的网站和FTP服务了,因为在服务器上,这些服务器只能为”“内部网络”提供服务。这样就做到内、外隔离的目的。为了继续提供Web和FTP服务,并且”安全”地提供服务,需要使用ISA Server 2004中的“发布服务器”功能,把这些为“内部网络”提供的服务“发布”到Internet上。现在我们来介绍使用ISA Server 2004发布Web服务的方法和步骤。
步骤1:从“Microsoft ISA Server”组中运行“ISA 服务器管理”,进入“Microsoft Internet Security and Acceleration Server 2004”管理界面,依次单击“ISA Server计算机名→防火墙策略”,用鼠标右键单击“防火墙策略”,从弹出的菜单中选择“新建→服务器发布规则”,在弹出的“新建服务器发布规则向导”页中键入规则的名称“发布Web服务器”(图4)。
步骤2: 在“选择服务器”页中,在“服务器IP地址”字段下面键入“内部网卡”的IP地址“192.168.220.1”,然后单击“下一步”按钮继续。在“选择协议”页中,从“选择的协议”中选择将要提供的服务所使用的协议,因为发布的Web服务协议在列表中不存在(在本节最后介绍为什么不使用发布Web服务器的方法),需要新建一个。单击“新建”按钮,在弹出的“欢迎使用新建协议定义向导”页中,在“协议定义名称”字段下面键入“Web Server”,然后单击“下一步”按钮继续。
步骤3:在“首要连接信息”页中,单击“新建”按钮,在弹出的“新建/编辑协议连接”对话框中,在“协议类型”后面选择“TCP”,在“方向”后面选择“入站”,在“端口范围”后面都输入“80”,然后单击“确定”按钮返回(图5)。
步骤4:在“辅助连接”页中,选择“否”,然后单击“下一步”按钮继续,在“正在完成新建协议定义向导”对话框中,单击“完成”。返回到“选择协议”页,从“选择的协议”中选择新建的协议“Web Server”,然后单击“下一步”按钮继续。在“IP地址”页中,选中“外部 <所有IP地址>”,然后单击“下一步”按钮,服务器发布规则完成,单击“完成”按钮完成。
二、发布基本的FTP服务
发布FTP服务器的方法与发布Web服务器类似,在发布FTP服务器时,不需要新建协议,因为ISA Server 2004中内置了FTP服务器协议。下面我们介绍发布FTP服务器的方法和步骤。
步骤1:与发布Web服务器相似,用鼠标右键单击“防火墙策略”,从弹出的菜单中选择“新建→服务器发布规则”,在弹出的“新建服务器发布规则向导”页中键入规则的名称“发布FTP服务器”。
步骤2: 在“选择服务器”页中,在“服务器IP地址”字段下面键入“内部网卡”的IP地址“192.168.220.1”,然后单击“下一步”按钮继续。在“选择协议”页中,从“选择的协议”字段下面选择“FTP服务器”,然后单击“下一步”按钮类似。
步骤3:在“IP地址”页中,选中“外部 <所有IP地址>“,然后单击“下一步”按钮,服务器发布规则完成,单击“完成”按钮完成。对于ISA Server 2004来说,发布FTP后,默认情况下是不能向FTP服务器“上传”文件的,因为默认发布的FTP服务器是“只读”的。下面我们来修改这项设置,以满足各种需要(上传、下载需求)。
步骤4:在ISA Server 2004管理控制台中,用鼠标右键单击新发布的“发布FTP服务器”规则,从弹出的菜单中选择“配置FTP”,在弹出的“配置FTP协议策略”的对话框中,取消“只读”的选择,然后单击“确定”按钮完成配置。经过这样发布的FTP服务器,就可以满足各种需要了。
三、增强Web和FTP的安全性
在网络安全日益提倡的今天,有一种安全的Web通讯方式,就是使用SSL的安全Web站点。使用ISA Server 2004也可以很容易地发布安全Web站点。
安全Web站点是使用起始头为https://进行访问的,而不是通常的http://方式。安全Web站点默认使用TCP的443端口,普通Web站点使用TCP的80端口。在一个Web服务器上,可以有多个使用TCP的80端口的普通Web站点,但只能有一个使用TCP的443端口的安全Web站点,如果想在一个Web服务器上提供多个安全Web站点,只能使用其他的端口,如Windows Server 2003中提供的“远程管理(HTML)”服务(即通过IE远程管理Windows Server 2003的服务器),即使用TCP的8098端口提供安全的Web服务。
发布“安全Web站点”与发布“普通Web站点”的方法类似,而且在ISA Server 2004中没有提供TCP的443的入站协议,需要新建此协议。实际上,ISA Server 2004另外提供了一种方法,可以使用我们上次创建的“web server”协议来发布安全的Web站点。本节以发布Windows Server 2003提供的“远程管理(HTML)”安全Web站点为例介绍。
步骤1:在Windows Server 2003中,安装“远程管理(HTML)”服务。打开“Internet信息服务管理器”,打开“Administrator”站点属性,修改“IP地址”为“192.168.220.1”,从“SSL端口”可以看到,此“安全Web站点”使用的是TCP的8098端口。
步骤2:在ISA Server 200管理控制台中,新建服务器发布规则,规则名称为“发布远程管理HTML服务”,然后单击“下一步”按钮继续。在“选择服务器”页中,键入服务器内网网卡的IP地址“192.168.220.1”,然后单击“下一步”按钮继续。
步骤3:在“选择协议”页中,首先选择“Web Server”,然后单击“端口”按钮,在弹出的“端口”对话框中,在“防火墙端口”选择“在此端口而不是默认端口上发布”,在后面键入“8098”,在“发布的服务器端口”选择“将讲求发送到发布的服务器上的此端口”,然后在后面键入“8098”,然后单击“确定”按钮返回,单击“下一步”按钮继续。
步骤4:在“IP地址”页中选择“外部 <所有IP地址>”,单击“下一步”按钮,服务器发部完成,单击“完成”按钮结束。以上操作完成后,还需要创建一条“访问规则”以允许“本地主机”可以访问“外部网络”,这条规则与上面发布的服务器规则组成完成后规则。
步骤5: 在ISA Server 2004管理控制台上,用鼠标右键单击“防火墙策略”,从弹出的菜单中选择“新建→访问规则”,在弹出的“欢迎使用新建访问规则向导”页中,命名规则名称为“允许本地主机访问外部网络”,然后单击“下一步”按钮继续。
步骤6:在“规则操作”页中选择“允许”,然后单击“下一步”按钮。在“协议”页中选择“所有出站通讯”,单击“下一步”按钮。在“访问规则源”页中,单击“添加”按钮,在弹出的“添加网络实体”对话框中,从“网络”中双击“本地主机”添加到列表中,然后单击“关闭”按钮返回“访问规则源”,最后单击“下一步”按钮继续。
步骤7:在“访问规则目标”页中,单击“添加”按钮,在弹出的“添加网络实体”对话框中,从“网络”中双击“外部”添加到列表中,然后单击“关闭”按钮返回“访问规则目录”,最后单击“下一步”按钮继续。在“用户集”页中,选择默认值,直接单击“下一步”按钮继续。在“正在完成新建访问规则向导”页中,单击“完成”按钮,设置完成。设置完成后,在ISA Server 2004访问控制台中,单击“应用”按钮,让设置生效。
关于安全性的注意事项:
1.在一些ISA Server 2004的资料中,介绍使用“防火墙策略”中的“Web服务器发布规则”发布Web站点和安全Web站点,但使用这种方式发布“安全Web站点”时,需要在ISA Server 2004上安装发布的“安全Web站点”的“证书”,并且使用这种方式时,发布多个“安全Web站点”时比较困难。这就是本节使用“发布服务器”而不是使用“Web服务器发布规则”的原因。
2.如果想使用ISA Server 2004中的“Web服务器发布规则”中的“Web代理筛选器”来提高发布Web站点的安全性,可以按照如下方法配置:在ISA Server 2004控制台中,双击“发布Web服务器 属性”,单击“通讯”选项卡,单击“属性”按钮,单击“参数”选项卡,在“应用程序筛选器”列表中选择“Web代理筛选器”,单击“确定”、“确定”按钮返回并单击“应用”按钮应用设置即可。
3.在本小节中,发布“安全Web站点”时,并没有创建新的协议,而是使用了原来创建的“Web Server”协议。实际上,在ISA Server 2004中,可以使用任意一种“协议”来发布其他的服务器,关键就是可以在ISA Server 2004中的发布协议的“端口”设置页进行修改。在“发布的服务器端口”处,设置ISA Server“转发”的端口,即“转发到的”服务器的端口,而在“防火墙端口”设置ISA Server“对外发布”的端口。这是一个非常灵活的设置。例如,在一台服务器上,安全Web服务(当然也可以是其他服务)使用TCP的8125,如果想将这台服务器发布为“默认的”安全Web服务(即通过https://IP地址的方式访问,不需要加端口值如8125),则可以在“防火墙端口”处修改为“443”(默认的安全Web端口),在“发布的服务器端口”处修改为8125即可。
使用本文方法应注意的问题:
最后使用相同的协议发布相同的服务,而只是修改端口号,如使用ISA Server 2004发布三台FTP服务器,一台服务器使用默认端口TCP的20,第二台使用TCP的2001端口,第三台使用TCP的2005端口,则可以使用这种方式发布三台FTP服务器,而只是在发布第二台、第三台服务器时,修改“发布的服务器端口”号分别为2001、2005即可,同时,还要修改“防火墙端口”以分辨发布到外网的FTP服务。
“防火墙端口”指ISA Server 2004对外“公布”的端口,除了TCP的80端口可以多次发布外,其他的端口都不能重复。“发布的服务器端口”指ISA Server 2004“对内转发”的端口,在“转发到同一个内部服务器”时,除了80端口可以相同,其他端口不能重复。如果是转发到不同的服务器,则转发端口可以相同。