IIS 的身份验证简要说明 - 摘录
•
匿名访问:如果启用了匿名访问,访问站点时,不要求提供经过身份验证的用户凭据。当需要让大家公开访问那些没有安全要求的信息时,使用此选项最合适。用户尝试连接您的网站时,IIS 会将该连接分配给 IUSER_ComputerName 帐户,其中 ComputerName 是运行 IIS 的服务器的名称。默认情况下,IUSER_ComputerName 帐户为 Guests 组的成员。此组具有 NTFS 文件系统权限所规定的安全限制,这些限制指定访问级别以及可提供给公共用户的内容的类型。要编辑用于匿名访问的 Windows 帐户,请在“匿名访问”框中单击浏览。
重要说明:如果启用匿名访问,IIS 会始终先使用匿名身份验证来尝试验证用户身份,即使您启用其他身份验证方法也是如此。
•
集成 Windows 身份验证:以前称为 NTLM 或 Windows NT 质询/响应身份验证,此方法以 Kerberos 票证的形式通过网络向用户发送身份验证信息,并提供较高的安全级别。Windows 集成身份验证使用 Kerberos 版本 5 和 NTLM 身份验证。要使用此方法,客户端必须使用 Microsoft Internet Explorer 2.0 或更高版本。另外,不支持通过 HTTP 代理连接进行 Windows 集成身份验证。如果某个 Intranet 中的用户和 Web 服务器计算机在同一个域中,并且管理员可以确保每个用户都使用 Internet Explorer 2.0 或更高版本,那么对于这个 Intranet,使用此选项是最合适的。
注意:如果选择了多个身份验证选项,IIS 会首先尝试协商最安全的方法,然后它按可用身份验证协议的列表向下逐个试用其他协议,直到找到客户端和服务器都支持的某种共有的身份验证协议。
•
Windows 域服务器的摘要式身份验证:摘要式身份验证需要用户 ID 和密码,可提供中等的安全级别,如果您要允许从公共网络访问安全信息,则可以使用这种方法。这种方法与基本身份验证提供的功能相同。但是,此方法会将用户凭据作为 MD5 哈希或消息摘要在网络中进行传输,这样就无法根据哈希对原始用户名和密码进行解码。要使用此方法,客户端必须使用 Microsoft Internet Explorer 5.0 或更高版本,Web 客户端和 Web 服务器必须是相同域的成员或者被相同域信任。
如果启用摘要式身份验证,请在领域框中键入领域名称。
•
基本身份验证(以明文形式发送密码):基本身份验证需要用户 ID 和密码,提供的安全级别较低。用户凭据以明文形式在网络中发送。这种形式提供的安全级别很低,因为几乎所有协议分析程序都能读取密码。但是,它与大多数 Web 客户端兼容。如果允许用户访问的信息没有什么隐私性或不需要保护,使用此选项最为合适。
如果启用基本身份验证,请在“默认域”框中键入要使用的域名。您还可以选择在领域框中输入一个值。
•
Microsoft .NET Passport 身份验证:.NET Passport 身份验证提供了单一登录安全性,为用户提供对 Internet 上各种服务的访问权限。如果选择此选项,对 IIS 的请求必须在查询字符串或 Cookie 中包含有效的 .NET Passport 凭据。如果 IIS 不检测 .NET Passport 凭据,请求就会被重定向到 .NET Passport 登录页。
注意:如果选择此选项,所有其他身份验证方法都将不可用(显示为灰色)。
经验技巧:维护主、辅 DNS 服务器
两台运营着近4000个区域的 DNS Server 最近特别不正常,经常出现 DNS ID3000、ID9999的警告,并且辅助 DNS Server 上的 DNS 进程经常 Crash,确实令人感到头疼,决心对 DNS Server 进行维护,由于存在的区域实在海量,之前辅助 DNS 进行过迁移和修复,数据应该会存在错误,毕竟是通过导出的主 DNS 数据,重新导入到辅助 DNS 上并通过命令行批量修改为辅助区域,当时考虑可能欠妥,这次维护决定彻底干掉辅助 DNS 上的所有区域通过命令行直接创建辅助区域而不是通过之前的修改区域类型,此外主 DNS 上的区域也要做相应的调整,指定区域复制范围为指定的辅助DNS地址,调整SOA中的区域刷新间隔、重试间隔及过期间隔,其中最重要的就是过期间隔,因为这个值过小导致辅助DNS彻底瘫痪(超出间隔时间,辅助DNS便无法正常解析域名),手工进行区域恢复相当麻烦,这次配置过期间隔为4天(345600秒)。
OK,具体操作流程如下:
在主DNS上导出列表为csv格式,并下载到本地工作站上用 execl 进行修改,并创建名为ctdns.bat(修改区域复制范围)、edsoadns.bat(修改soa相关项)及addsdns.bat(创建辅助区域)三个批处理文件。
在主 DNS 上执行ctdns.bat,其内容大致如下:
注意:其中“.”代表本地主机,zonename则为区域名称(域名),ip_address为辅助DNS的IP地址
接下来再执行 edsoadns.bat,其内容大致如下:
注意:nodename 是 dns 命名空间中节点的 FQDN,可以使用对应的 zonename 或 @;PrimSvr 为指定服务器的 FQDN 名称,如:ns1.maytide.net.(建议:结尾处加上“.”);Master_Mail_Address为管理员的邮件地址;1 为区域版本信息;3600为刷新间隔;600为重试间隔;345600为过期间隔;3600为最小生存时间(TTL)。此外还应该注意的是当修改SOA中的某个资源值时,必须指定所有的SOA项值!
最后删除辅助 DNS 上所有的辅助区域,并执行 addscndns 重新添加,其大致内容如下:
注意:“/secondary”即指定添加的区域类型为辅助类型;Master_DNS_IP_Address 为主 DNS 的 IP 地址;“/File” 指定该辅助区域的文件名,为可选项,为了便于管理我在此使用了这个参数,filename的命名规则为zonename.dns使用.dns扩展名可以方便的识别和使用,否则有些区域为.com那可就会出现一些意外的小惊喜了。
到这里这次 DNS 的维护就算是结束了,辅助 DNS 上的区域完全对应主 DNS上的,近期作一下重点观察,看看还会不会出现一些警告事件!
要了解更多的相关命令参数可以参考微软官方的技术资源库:
3、修改区域的起始授权机构(SOA)记录:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/e1f77652-7e1f-4902-9107-6b863ccb4350.mspx
