在图一中，注意“所有未知ISAPI扩展”和“所有未知CGI扩展”这两种Web服务扩展。默认情况下，这两种扩展是禁用的，意味着除非明确地允许一个应用在IIS6.0上运行，否则它就不能运行。如果一个用户请求了某个没有启用的文件，IIS6.0将向用户返回404错误——文件或目录没有找到，同时在W3SVC日志中记录“404.2文件或目录无法找到:锁定策略禁止该请求”。在IIS6.0中，404.2和其他子状态代码是W3SVC日志文件的一项可选功能，用来帮助排解故障、疑难(IIS5.0和IIS4.0中也有子状态代码，不过不会在日志文件中记录，但可以将它们转到定制的错误页面，便于根据子状态代码执行特殊的处理)。IIS6.0的子状态代码很有用，它们提供了描述问题的详细信息，例如:403.20，禁止访问:Passport登录失败;403.18，禁止访问:无法在当前应用程序池中执行请求的URL;404.3，文件或目录无法找到:MIME映射策略禁止该请求;500.19，服务器错误:该文件的数据在配置数据库中配置不正确。所有这些错误和其他错误都映射到定制的错误页面，错误页面不会把子状态代码发送给用户，攻击者无法获知具体的错误信息。

　　另一个安全方面的改进之处是IIS 6.0允许指派一个加密服务提供者(CryptographicServiceProvider，CSP)，能够将基于硬件的安全套接字层(SSL)加速器集成到IIS6.0，从而把加密任务从服务器的通用CPU转移到了专门为加密操作而优化的专用设备，有利于提高性能和可靠性。

　　　　
图2

　　如果右击一个应用程序池、Web网站组或单个网站，然后选择“新建”→“应用程序池(来自文件)”，或者“新建”→“网站”→“来自文件”，或者“新建”→“虚拟目录(来自文件)”，就可以从保存的配置文件创建新的应用程序池、Web网站或虚拟目录。因此，必要的时候，我们可以只创建和配置一个对象，利用“将配置保存到一个文件”功能导出对象的配置信息，然后利用“新建”→“虚拟目录(来自文件)”等功能将配置信息导入到多个Web网站。这就是说，我们可以先精心配置一个模板，然后用它来创建和配置新的网站。当然，出现问题时，配置信息副本还可以用来恢复网站的设置。

　　由于IIS 6.0配置信息是可移植的，它还有另外一个好处，这就是方便了升级。假设我们升级时不能直接在Win2K/IIS5.0上安装Windows 2003/IIS6.0，必须换一台机器，这时就要解决如何将IIS5.0不可移植的配置数据转移到新的IIS6.0服务器的问题。利用IIS6.0配置数据的可移植性，解决办法是:首先安装好新的Windows2003服务器，为原来的Win2K服务器做一个完整的备份，然后在Win 2K服务器上安装第二个Windows2003服务器将它升级，导出第二个Windows2003服务器的配置数据(用密码加密)，然后将配置数据导入到新的Windows2003服务器。新安装的Windows2003服务器必须作一些调整，例如允许IUSR帐户等，但至少现在不必重新执行全部配置操作了。

　　IIS6.0的配置数据是标准的文本文件(XML文件)，所以可以用记事本之类的文本编辑器打开和编辑。如果修改了IIS5.0或IIS4.0的配置数据，有时必须重新启动IIS，如果系统上网站的数量很多，可能需要不少时间，例如ISP的服务器就属于这类情况。为了解决这个问题，IIS6.0支持一种“运行时允许编辑”功能。“运行时允许编辑”功能按照如下方式启用:在IIS管理器中，右击服务器，选择菜单“属性”，然后选中“允许直接编辑配置数据库”选项，如图三所示。启用了这个功能之后，如果我们用记事本打开配置数据文件，插入一个虚拟目录的配置，然后保存并关闭配置文件，IIS6.0几乎立即就能根据配置文件的设置作相应的修改，根本无需重新启动。

　　
图3

　　既然允许直接编辑配置文件，因配置文件不合法造成的服务器、应用程序故障也必然增多。为此，IIS6.0提供了配置文件历史版本目录，即\system32\inetsrv\history，每次修改配置数据或重新启动IIS6.0IIS 6.0都会在该目录中保存一份原有的配置数据。

　　三、IIS管理器

　　每次产品重大升级，人们都会试图从用户界面寻找令人激动的新功能。IIS6.0的管理器确实有了变化，不过改动之处出乎意料地少。

　　其中一个改动之处虽小，但很实用。如果在IIS管理器中右击一个文件夹，现在可以选择“权限”菜单打开文件夹的“安全”对话框。在这个对话框中可以设置文件夹的NTFS授权，不必再离开IIS管理器。虽然这是一个小小的改动，也许它今年会为全世界所有的IIS管理员总共节省数千小时的工作时间。

　　右击一个Web网站，选择“属性”，转到“目录安全性”页，点击“安全通信”下面的“编辑”按钮，在这里可以找到另一个重要的改动之处——安全通信属性页允许配置SSL、证书信任列表(CTL)、客户证书。在IIS5.0和IIS4.0中，除非在Web网站上安装一个证书，否则不能访问该属性页，这一限制令人不快，因为从技术上看，配置CTL、客户证书并不要求服务器上安装了证书，换句话说，在IIS5.0中我们安装证书的唯一用途可能就是因为用户界面需要它。IIS6.0改正了这一多余的要求，现在我们不必在Web服务器上安装证书也可以访问和使用该属性页了。

　　四、通配符应用程序

　　如果你熟悉IIS5.0和IIS4.0的ISAPI筛选器，可能也熟悉它们的缺点。ISAPI筛选器不仅编写困难，而且由于它们在Inetinfo进程内运行，如果编写时不小心留下了一点错误，很容易导致灾难性的后果，出错的代码可

无忧站长学院，建站自然无忧www.5ucms.org