Введение В комплекте с операционной системой Windows 2000 Server поставляется последняя версия Microsoft Internet Information Service. Как и следовало ожидать от пятой версии продукта, все внесенные в него изменения носят явно эволюционный, аддитивный, характер. И все же IIS 5.0 отличается и новыми возможностями и опциями, которые заметно облегчают администрирование и разработку веб-сайтов. Те, кто решит обновить предыдущие версии продукта, не должны почувствовать никаких или почти никаких трудностей.

В IIS 5.0 применяется интерфейс администрирования, впервые появившийся в предыдущей версии: оболочка Microsoft Management Console (MMC), отображающая все службы и сайты в виде дерева. Просмотр и выбор конфигурации всех опций осуществляется посредством расширенного диалога Properties. В контекстных меню для сайтов появилось несколько новых позиций, включая инструмент настройки защиты Permissions Wizard (рис. 1) и возможность устанавливать, удалять и проверять расширения для сервера. Permissions Wizard помогает управлять доступом к веб-сайту, позволяя задавать правила доступа — включая выбор метода аутентификации и разрешения доступа, ограничение по IP-адресам, а также специальные списки управления доступом (access control lists, ACL) для виртуальных каталогов и файлов.

Рис. 1. Новый мастер Permissions Wizard упрощает процесс управления доступом к файлам

IIS 5.0 использует новые возможности восстановления работы служб, появившиеся в Windows 2000. Теперь в случае отказа той или иной службы Windows 2000 может: 1) перезапустить эту службу, 2) запустить некоторую программу или 3) перезагрузить компьютер в случае первого, второго и последующих сбоев. В сочетании со счетчиком сбоев эта возможность позволяет IIS исполнять сценарии, состоящие, например, в вызове администраторов в случае сбоя определенной службы. Кроме того, по умолчанию IIS исполняет все приложения в общем, или объединенном, процессе, отдельном от внутренних процессов IIS.

Расширены и возможности регистрации событий: в дополнение к новой опции создания журналов почасовых записей — нужная вещь для веб-сайтов с большим трафиком — IIS теперь можно настроить на регистрацию данных о ходе процессов (Process Accounting), включая такие параметры, как время пользователя и ядра, неудачные загрузки страниц и прерванные процессы. Это позволяет администраторам выявлять сайты, использующие слишком много ресурсов или функционирующие неправильно; на основании этих данных можно ограничить ресурсы ЦП, выделяемые отдельным веб-сайтам для выполнения внешних приложений.

Усовершенствована и поддержка HTTP. Кроме настраиваемых сообщений об ошибках, IIS 5.0 включает поддержку компрессии HTTP, причем компрессируются как статические, так и динамические веб-страницы, что ускоряет их загрузку в браузеры, поддерживающие эту функцию. Динамические страницы должны каждый раз компрессироваться заново, зато сжатые статические веб-страницы сохраняются в настраиваемом буфере, что еще больше повышает производительность при повторных запросах. Кроме того, IIS 5.0 обеспечивает поддержку на сервере нового расширения HTTP 1.1 Microsoft Web Distributed Authoring and Versioning (WebDAV), которое позволяет удаленным авторам управлять файлами и каталогами на сервере (создавать, перемещать или удалять) по каналу связи HTTP.

Защита

IIS 5.0 содержит несколько новых средств защиты. Этот продукт всегда поддерживал ряд механизмов аутентификации: Anonymous, Basic, NT LAN Manager и запрос/ответ Windows NT. Новый метод аутентификации Digest заключается в том, что передаются не сами пароли, а их хешированные значения. Это значительно более надежный метод по сравнению с аутентификацией Basic, где пароли передаются открытым текстом, так как восстановить хешированные пароли практически невозможно.

Механизм запроса/ответа Windows NT теперь называется интегрированной аутентификацией Windows и усилен поддержкой протокола аутентификации Kerberos V5, реализованного в Windows 2000. У Kerberos несколько преимуществ, наиболее важное из которых, вероятно, это возможность перепоручать аутентификацию другим компьютерам, также поддерживающим Kerberos, даже тем, которые работают под управлением других операционных систем. Это облегчает наращивание веб-сайта с использованием разных машин веб-серверов и серверов базы данных. Предыдущие решения, такие как реализация всех служб на одной машине, выполнение всех клиентских запросов в едином контексте защиты или жесткое программирование передачи функций защиты в файлах скриптов, не способствовали усилению архитектуры защиты.

IIS 5.0 поддерживает средства шифрования Server-Gated Cryptography (SGC) и Fortezza.sgc (RFC 2069), которые требуют специальных сертификатов, что позволяет финансовым учреждениям с экспортными версиями IIS использовать сильные 128-битные алгоритмы шифрования. Fortezza — это зарегистрированная торговая марка Агентства национальной безопасности, государственный стандарт защиты сообщений, созданный для архитектуры защиты системы оборонных сообщений США (более подробную информацию можно получить здесь).

Windows 2000 включает Certificate Server 2.0, который обеспечивает существенно улучшенную поддержку цифровых сертификатов по сравнению с весьма ограниченной версией, вошедшей в Windows NT Option Pack. Кроме того, поддержка сертификатов теперь лучше интегрирована с IIS: новый мастер Web Server Certificate Wizard (рис. 2) упрощает создание запроса на сертификат, обеспечивающий защищенную SSL-связь. Еще один мастер помогает администраторам настраивать доверительные списки сертификатов (certificate trust lists, CTL). CTL — это утвержденный список основных сертификационных служб (certification authorities, CA) для данного сайта. Их можно вести для каждого сайта отдельно, что особенно полезно для интернет-сервис-провайдеров, которым приходится поддерживать разные веб-сайты.

Рис. 2. Certificate Wizard облегчает создание сертификатов для организации защищенной SSL-связи

Программирование

Улучшились и возможности прикладного программирования IIS 5.0. Как у Active Server Pages (ASP) — главного механизма запуска динамического контента в IIS, так и у самих объектов программирования повысилась производительность и появились новые функции.

В ASP появился новый объект asperror с возможностями управления ошибками, так что разработчики получили возможность обработки ошибок посредством скрипт-файлов. Кроме того, ASP-страницы стали поддерживать новые возможности ветвления, которые позволяют серверу выполнять другие страницы, не испытывая перегрузки из-за переключения туда-сюда, характерного для традиционных способов переадресации со стороны сервера.

Заметно повысилась производительность бесскриптовых страниц ASP. Многие сайты используют расширение asp для всех страниц, чтобы не менять ссылки и указатели, если впоследствии придется добавить скрипт к странице, первоначально содержащей только команды HTML. К сожалению, в предыдущих версиях за это упрощение приходилось платить —по умолчанию ASP загружал механизм обработки скриптов даже в том случае, если он не требовался. Новая проверка на стадии синтаксического анализа программы снимает эту проблему. Теперь ASP обнаруживает запросы на исполнение, заблокированные внешними (ожидающими) компонентами, и автоматически создает дополнительные потоки, позволяющие продолжать обработку других запросов.

Компоненты

Одна из наиболее интересных новых особенностей IIS — кодирование (или сокрытие) скриптов (script encoding, или script obfuscation). IIS 5.0 содержит новейшие механизмы скриптов Microsoft — VBscript 5.0 и Jscript 5.0, которые поддерживают эту функцию. Шрифты, которые прежде хранились в обычном текстовом формате, подвергаются простому преобразованию (подобно кодированию в формате uuencode), что делает их нечитабельными для случайных пользователей. Во время выполнения такие шрифты декодируются механизмом обработки скриптов. Хотя это и не настоящее решение защиты, оно может помешать прочесть скрипты большинству случайных пользователей.

Теперь ASP поддерживает формат Windows Script Components, который можно использовать для превращения скриптов в компоненты многократного применения Component Object Model (COM), доступные для ASP и других COM-совместимых программ. К ASP прилагаются более дюжины готовых компонентов для таких операций, как регистрация, подсчет событий и обращение к файлам и данным. Все эти компоненты отличаются повышенным быстродействием и масштабированием, а инструмент Browser Capabilities дополнен поддержкой возможностей, описанных в файлах cookies, передаваемых браузером. Это повышает гибкость при выполнении на сервере кода, основанного на функциях, поддерживаемых клиентом.

IIS 5.0 дает несколько прямых преимуществ, таких как новые средства защиты и администрирования, только потому, что этот продукт интегрирован с Windows 2000. Однако он целиком переработан с целью повышения производительности и введения новых возможностей, отвечающих последним интернет-стандартам и составляющих прочную платформу для веб-приложений.