Vous êtes sur la page 1sur 23

Administration des

serveurs Web avec IIS

Administration des serveurs Web avec IIS


Table des matires
1.

COMPRENDRE LES SERVEURS WEB


1.1.
1.2.
1.3.
1.4.
1.5.

2.

UNE ARCHITECTURE CLIENT/SERVEUR VOLUTIVE


INTERACTION ENTRE CLIENT ET SERVEUR
L'IDENTIFICATION DES SERVEURS WEB PAR LE MCANISME DNS
LA STRUCTURE D'UNE URL
HTTP : INTRODUCTION

ORGANISER LES CONTENUS


2.1.
2.2.
2.3.

3.

3
3
4
5
6
7
8

LES RPERTOIRES DE BASE


LES RPERTOIRES VIRTUELS
IDENTIFICATION DES CONTENUS

8
8
8

ADMINISTRER LE SERVEUR WEB

10

3.1. HRITAGE DES PROPRITS


3.2. NOMMER DES OPRATEURS DE SITES WEB
3.3. ADMINISTRER LES SITES DISTANCE
3.4. AFFECTER UN NOM AU SITE
3.4.1. SYSTME DE RSOLUTION SUR UN INTRANET
3.4.2. SYSTME DE RSOLUTION DE NOM SUR INTERNET
3.4.3. ATTRIBUTION DE NOMS D'EN-TTE D'HTE
3.5. AUTHENTIFICATION DES UTILISATEURS
3.5.1. AUTHENTIFICATION DE BASE
3.5.2. AUTHENTIFICATION PAR STIMULATION RPONSE DE NT
3.5.3. AUTHENTIFICATION DE CERTIFICATS CLIENTS SSL
3.6. CONTRLE D'ACCS
3.6.1. RESTRICTIONS D'ACCS DES ORDINATEURS
3.6.2. AUTORISATIONS DU SERVEUR W EB
3.6.3. AUTORISATIONS NTFS
3.6.4. AUTORISATION DES CONNEXIONS ANONYMES
3.7. ANALYSER L'ACTIVIT DU SITE
3.7.1. FORMAT DES FICHIERS JOURNAUX
3.7.2. MODE D'ENREGISTREMENT DES FICHIERS JOURNAUX
3.7.3. CONVERSION DES FICHIERS JOURNAUX
3.8. RGLAGE DES PERFORMANCES
3.8.1. LIMITATION DE LA BANDE PASSANTE
3.8.2. LIMITATION DES CONNEXIONS
3.8.3. CONNEXIONS HTTP PERSISTANTES

Page 2

10
11
11
12
12
12
12
12
13
13
13
14
14
15
15
16
17
17
18
18
19
19
19
19

Administration des serveurs Web avec IIS


1. COMPRENDRE LES SERVEURS WEB
1.1.

UNE ARCHITECTURE CLIENT/SERVEUR VOLUTIVE

Le Web constitue l'application client serveur la plus rpandue dans le monde. Ce nouveau
modle client/serveur est constitu de clients lgers universels, les navigateurs ou
browsers, qui communiquent avec des serveurs Web de plus en plus sophistiqus.
Les applications Web de la premire gnration sont trs simples et se contentent dans
leur version initiale de servir des pages HTML statiques et en lecture seule. Les documents
situs sur les serveurs sont accessibles au moyen des liens hypertexte qui mettent en
uvre des mcanismes de nommages universels au travers des URL (Uniform Resource
Locator). La localisation des documents s'effectue en 2 temps : une premire tape
consacre la recherche du serveur par le mcanisme DNS, puis une recherche du
document sur le serveur.
Le web que nous connaissons aujourd'hui ne se contente plus de diffuser de l'information
lectronique caractre statique. Il constitue une plate-forme applicative client/serveur
rellement interactive. Sa dernire volution intgre, notamment dans le domaine de
l'Intranet et du commerce lectronique, des technologies de composants rpartis.

Web Interactif

Web Hypertexte

Web orient objet

Serveurs
Applicatifs
ORB

Fonctionnalits

Technologies
COM DCOM
Activex
Applets java

Transactions
scurises
SSL S-HTTP

Technologies
CORBA Java

Composants
Activex

API natives
(ISAPI,NSAPI,ASP)
Scripts CGI

Pages statiques
Hypertexte

Formulaires

Temps
< 1994

1996

1995

Page 3

1997

Administration des serveurs Web avec IIS


1.2.

INTERACTION ENTRE CLIENT ET SERVEUR

La base de cette architecture reste le protocole HTTP (Hypertext Transfer Protocol) qui
assure les fonctions de base. Il est trs rudimentaire et semblable au RPC. Il s'agit d'un
protocole sans tat (Stateless) qui :

Etablit la connexion.

Assure la rception ou la transmission de paramtres, dont le document


demand.

Met fin la connexion.

L'interaction entre le client et le serveur se droule ainsi :


1.

Vous choisissez une URL cible


En cliquant sur un lien hypertexte ou en saisissant l'adresse dans la barre
de contrle de votre navigateur.
2. Le navigateur envoie votre requte au serveur
L'URL est insre dans une requte HTTP qui est transmise au serveur.
3. Le serveur traite la requte
La demande du client provoque l'tablissement d'une connexion de type
socket (sur le port virtuel TCP 80 par dfaut pour le service HTTP) entre
celui-ci et le serveur HTTP qui tourne en tche de fond dans l'attente des
requtes.
Le serveur interprte la demande du client, recherche le fichier HTML
demand, expdie celui-ci et ferme la connexion.
4.
Le navigateur interprte les commandes HTML
Le contenu de la page est affich dans la fentre du navigateur.

Client
Navigateur

HTTP

Serveur
Web

1 Attente d'une requte


2 Emission d'une requte par
le client
3 Analyse de la requte
4 Excution de la mthode
demande
5 Envoi de la rponse

Page 4

Processus
(dmon)
A l'coute

Administration des serveurs Web avec IIS


1.3.

L'IDENTIFICATION DES SERVEURS WEB

PAR LE MCANISME

DNS

afpalim.tm.fr ?

Processus itratif

194.1.25.130

DNS 1

...

DNS 2

DNS x

Base de
donnes
rpartie

Zone 2

Zone 1
Dlgation
Officielle

Cache

Zone X

Cache

Cache

Le systme DNS permet didentifier une machine par un nom reprsentatif de la


machine et du rseau sur lequel elle se trouve ; exemple :
www.afpalim.tm.fr identifie la machine www sur le rseau afpalim.tm.fr

Le systme est mis en uvre par une base de donnes distribue au niveau mondial

Les noms sont grs par un organisme mondial : linterNIC et les organismes
dlgus : RIPE, NIC France, NIC Angleterre, etc.

Page 5

Administration des serveurs Web avec IIS


1.4.

LA STRUCTURE D'UNE URL

Nom du protocole :
Il indique quel est le service utiliser pour atteindre la ressource spcifie. Outre le
protocole HTTP, les URL sont aussi utilisables pour les autres protocoles applicatifs de
l'Internet tels que FTP pour le transfert de fichier, News pour les forum ou mailto pour
envoyer un courrier lectronique.

Nom du serveur :
Identifie le site publi sur le serveur : indique en gnral le nom de domaine de l'hte, mais
on peut ventuellement lui substituer l'adresse IP du serveur. Toutefois, un serveur identifi
par une adresse IP peut publier plusieurs sites.

Numro de port :
S'il est omis, c'est le port standard par dfaut qui est utilis.
L'adresse IP associe au port TCP constitue le socket TCP qui identifie un point terminal
(machine et processus) cible.
Dfinition conventionnelle des ports TCP standards
Numro de port
Processus
20
FTP Transfert de donnes
21
FTP contrle
23
Emulation de terminal Telnet
25
Envoi de courrier lectronique SMTP
80
HTTP

Chemin et nom du document :


Indique l'arborescence des rpertoires qui mne au document spcifi dans la dernire
partie.
Ce nom peut tre suivi du caractre ? et d'une chane de caractres qui permet de passer
des paramtres complmentaires au serveur afin qu'il excute une opration particulire.
exemple :
http://www.afpalim.tm.fr/scripts/recherche.asp?nomformateur="bidule"
Le script recherche.asp sera excut sur le serveur et la valeur "bidule" rcupr dans la
chane de connexion au serveur.

Protocole
applicatif

Nom du
serveur

http

Port virtuel TCP


(80 par dfaut pour HTTP)

://www.afpalim.tm.fr

:6850

Page 6

Chemin
Nom du document

/chemin/document.ext

Administration des serveurs Web avec IIS


1.5.

HTTP : INTRODUCTION

HTTP (Hyper Text Transfer Protocol) est utilis depuis 1990 sur Internet.
HTTP, de part sa simplicit, est extrmement robuste. Il est toutefois peu performant Ainsi il
doit tablir une connexion TCP pour chaque requte (pas de session stateless) et il induit
donc une charge inutile importante. Par exemple, si une page comporte 3 images, la
demande de celle-ci demandera 4 connexions distinctes.
Une pour la page, et une pour chaque image insre dans celle-ci.
La simplicit, et donc la fiabilit de HTTP, se paie au prix d'une consommation excessive de
ressources. HTTP admet 2 mthodes trs courantes et d'autres moins usites. Les plus
frquemment utilises sont de trs loin :
GET

Retourne lobjet demand

POST

Demande de stocker linformation (autorise au sein dun script)

La commande GET peut tre aussi utilise pour passer des paramtres au serveur.
Contrairement la mthode POST o les paramtres sont passs dans l'en-tte de la
page, la mthode GET passe ces derniers dans l'URL derrire le point d'interrogation. Ainsi
la requte suivante passe au script ASP Client_INS.asp les valeurs des champs de
formulaire Nom et Adresse :
HTTP://www.Monsite.fr/Client_INS.asp?nom=dutilleul&adresse=brive
Parmi les autres on peut citer :
HEAD
PUT
DELETE

Retourne des informations sur lobjet


Stocker une copie de lobjet (en HTTP 1.1 seulement)
Supprimer l objet (en HTTP 1.1 seulement)

Les informations adresses au serveur dans une requte HTTP comporte en autres :
User-Agent
If-Modified-Since
Authorization

Type de navigateur
Rcupre lobjet s il est plus rcent que la date mentionne
Informations dauthentification

Une requte HTTP comprend :


une ligne de requte (request line), facultative, qui comporte 3 champs : la
mthode, l'URL et la version HTTP utilise par le client.
un ou plusieurs champs d'en-tte (request header fields), facultatifs, se
structurent de la manire suivante : nom du champ et valeur. Exemple :
Date + valeur : Contient la date et l'heure d'envoi du message
et un corps de texte (entity body), facultatif : parfois utilis pour utiliser des
informations en vrac
La rponse du serveur contient :

une ligne dtat : elle comporte un code + une description :

une description de linformation dans l'entte :


Code + Server
Type de logiciel serveur, Date
Date et heure de la
rponse, Content-Type Type MIME de lobjet retourn,

l'information attendue

Page 7

Administration des serveurs Web avec IIS


2. ORGANISER LES CONTENUS
Lors de la cration d'un site Web, vous devez crer des rpertoires de publication o seront
stocks vos pages HTML, vos scripts ASP et vos programmes CGI. Un serveur Web ne
peut pas publier de documents qui ne se trouvent pas dans les rpertoires spcifis. La
premire tape lors de la mise en place d'un site Web est donc l'organisation des
rpertoires de publication.
Les rpertoires de publication existent sous deux formes, les rpertoires de base et les
rpertoires virtuels.

2.1.

LES RPERTOIRES DE BASE

Chaque site Web dispose d'un rpertoire de base qui reprsente l'emplacement central des
publications. Le rpertoire de base est mapp sur le nom de domaine du site ou
ventuellement sur le nom de l'ordinateur dans le cas d'un Intranet. Il peut disposer d'une
page d'accueil, qui peut tre dfinit comme tant une page par dfaut. Ainsi L'URL
WWW.mondomaine.fr affichera la page accueil.htm situe dans le rpertoire de base
C:\InetPub\wwwroot. Il est possible de modifier le rpertoire de base d'un site Internet dans
la console de gestion des services Internet (onglet rpertoire de base des proprits du
site). Vous pouvez indiquer :
Un rpertoire physique de votre machine
Le partage d'un rpertoire distant
Une redirection vers une autre URL

2.2.

LES RPERTOIRES VIRTUELS

Si vous souhaitez publier des pages depuis tout rpertoire n'appartenant pas au rpertoire
de base, il vous faudra crer des rpertoires virtuels. Un rpertoire virtuel possde un alias
qu'utiliseront les navigateurs pour accder aux pages publies dans le rpertoire virtuel. Le
recours au rpertoire virtuel est intressant plus d'un titre :
Un alias tant plus cours que le chemin d'accs un rpertoire est de ce fait
plus pratique utiliser.
Un alias vite de communiquer aux utilisateurs l'endroit o se trouvent
physiquement vos documents et apporte donc un plus au niveau de la scurit
de votre site.
Un alias vite de modifier les URL de vos liens lorsque vous dplacer
physiquement l'ensemble des documents d'un rpertoire virtuel. Il suffit de
modifier le mappage entre le nouvel emplacement physique et l'alias.
Pour utiliser un rpertoire qui se trouve sur un ordinateur distant vous devez indiquer le
nom UNC (Universal Naming Convention) du rpertoire et donnez le nom et le mot de
passe de l'utilisateur qui seront utiliss pour dfinir les permissions d'accs.
Il est possible de modifier ou de crer un rpertoire virtuel depuis la console de gestion des
services Internet (onglet rpertoire virtuel des proprits du site).

2.3.

IDENTIFICATION DES CONTENUS

Vous avez la possibilit d'associer un entte HTTP qui dcrit le contenu de vos publications
au format PICS (PlatForm for Internet Content Selection) et qui utilise un systme mis au
point par le RSAC (Recreational Software Advisory Council) , permettant au navigateur de
filtrer les contenus qui seront affichs dans sa fentre.

Page 8

Administration des serveurs Web avec IIS


Il s'agit essentiellement de protger le public de publications trop violentes, traitant de
sujets caractre sexuel, Afin d'obtenir un certificat d'accs de votre contenu, il vous
faut tablir une demande au RSAC par le biais d'un questionnaire envoyer
lectroniquement.
Pour obtenir un contrle d'accs sur les contenus choisir l'onglet En-ttes HTTP puis sous
contrle d'accs, modifier le contrle d'accs.
Vous pouvez obtenir auprs du RSAC un label pour une page, une branche ou pour un site
entier comme le montre la figure suivante :

Page 9

Administration des serveurs Web avec IIS


3. ADMINISTRER LE SERVEUR WEB
Vous avez aujourd'hui la possibilit sur un serveur NT dot de IIS de publier plusieurs sites
Web ou FTP simultanment sur la mme machine. Il y a donc souvent une certaine
confusion entre la notion de serveur et de sites. On utilisera en gnral le terme de site,
plutt que celui de serveur, car l'administration porte en gnral spcifiquement sur les
paramtres d'un site et non sur le serveur Web lui-mme. Vous pouvez administrer
localement ces sites partir de la console MMC de Windows NT ou distance par le biais
du gestionnaire de services HTML.

Pour pouvoir publier plusieurs sites sur une mme machine, plusieurs solutions s'offrent
vous. Vous pouvez :
Spcifier plusieurs adresses IP sur votre carte rseau et associer chacune de ces
adresses au nom de domaine d'un site.
Mapper plusieurs noms de domaine sur la mme adresse IP en ayant recours la
technique des noms d'entte d'hte.
Associer un autre port IP que le port 80 votre adresse IP pour publier un site sur un
port nomm. Cette technique ne doit tre utilise que dans des cas trs restreints, car
elle ncessite d'accoler le N de port l'URL dans la requte HTTP, ce qui, pour le
nophyte, prsente une certaine complexit.

3.1.

HRITAGE DES PROPRITS

Chaque site possde sa propre feuille de proprits modifiable dans la fentre proprits
du site. IIS propose un mcanisme d'hritage qui font que les proprits dfinies un
niveau suprieur (serveur HTTP, site) seront automatiquement adoptes au niveau infrieur
(site, rpertoires, ). Des modifications spcifiques peuvent ensuite tre manuellement
apportes ces dernires.

3.2.

NOMMER DES OPRATEURS DE SITES WEB


Page 10

Administration des serveurs Web avec IIS


Vous pouvez dfinir des comptes utilisateurs NT qui possdent des droits d'administration
limits un site Web. Ces oprateurs de sites n'ont pas accs aux paramtres du systme
d'exploitation ou aux proprits gnrales concernant IIS. Le recours ces profils est
particulirement intressant si vous hbergez sur une mme machine les sites de plusieurs
socits. Ainsi, vous avez la possibilit de nommer un responsable par entreprise charg de
l'administration du site de celle-ci.
L'oprateur de site peut :
Dfinir les paramtres d'enregistrement dans le fichier historique
Dfinir les permissions d'accs
Modifier les paramtres du contrle d'accs
L'oprateur de site ne peut pas :
Modifier les paramtres relatifs la limitation de bande passante
Crer des rpertoires virtuels ou modifier leur chemin
Modifier les paramtres d'excution des processus des applications

3.3.

ADMINISTRER LES SITES DISTANCE

IIS offre la possibilit d'administrer les sites distance par le biais d'un gestionnaire de
services HTML accessible depuis un simple Browser. L'administration distante se fait via un
port d'administration dfinit alatoirement lors de l'installation de IIS, via le navigateur. Il
convient donc d'associer l'URL le N de port IP virtuel dans la requte HTTP.
L'administrateur doit dans un deuxime temps fournir un profil utilisateur et un mot de
passe.
Seuls les membres du groupe Administrateurs peuvent administrer un site distance.
Il convient au pralable d'installer le gestionnaire de services HTML et de modifier les
restrictions d'usage qui, par dfaut, ne sont accords qu' l'ordinateur local.

Vue de la console d'administration distante

Page 11

Administration des serveurs Web avec IIS


3.4.

AFFECTER UN NOM AU SITE

Plusieurs possibilits vous sont offertes pour traduire les noms de vos sites en adresses IP
correctes par un systme de rsolution de nom.
Systme de rsolution de nom sur un Intranet
Systme de rsolution de nom sur Internet
Affectation de noms d'en-tte d'hte
3.4.1. SYSTME DE RSOLUTION SUR UN INTRANET
Le choix est fonction de la taille de votre rseau, de la frquence des volutions et de
l'homognit ou non du parc.
Mappage statique (fixe) des adresses IP sur des rseaux de petite taille et dont la
stabilit importante ne demande pas de frquentes mises jour. L'administrateur cr
un fichier HOSTS (pour les noms DNS) ou LMHOSTS (pour les noms Netbios) puis
entre le nom et l'adresse IP de chaque ordinateur.
Mappage dynamique : lorsque le client ouvre une session ou lorsque son bail arrive
chance, l'ordinateur DHCP lui alloue une adresse IP et envoie celle-ci au serveur
WINS (Windows Internet Name Service) qui enregistrera son nom et son adresse.
Un mlange des deux : l'inscription dans les bases Wins peut se faire aussi
manuellement pour les serveurs qui disposeraient d'adresses fixes et par un service
DHCP pour les clients.
Si votre rseau est htrogne il est aussi possible d'associer un serveur DNS, qui
contient une base de donnes statique, un serveur Wins.
3.4.2. SYSTME DE RSOLUTION DE NOM SUR INTERNET
Sur le rseau Internet, la rsolution des noms sera prise en charge par les serveurs DNS
(Domain Name System) qui permettront de traduire les noms de domaine en adresses IP
pour les sites. Les noms de domaine auront du tre au pralable dposs auprs de
l'InterNIC ou l'un de ses reprsentants.
3.4.3. ATTRIBUTION DE NOMS D'EN-TTE D'HTE
Chaque site Web est identifi au moyen d'une adresse IP, d'un N de port et d'un nom d'entte d'hte. Ainsi, un site peut partager la mme adresse IP et le mme port mais tre
diffrenci par le seul nom d'en-tte d'hte. Cette technique n'est pas compatible avec les
anciens navigateurs qui ne peuvent pas ajouter l'en-tte d'hte dans leur requte. Ils
arriveront donc sur le site Web par dfaut correspondant cette adresse et ce port IP.

3.5.

AUTHENTIFICATION DES UTILISATEURS

Par dfaut, les utilisateurs ouvrent sur un site Web des sessions en tant qu'utilisateur
anonyme du site. Il n'y a donc pas authentification des utilisateurs. L'utilisateur se trouve
connect l'aide d'un compte utilisateur Windows NT invit internet IUSRNomOrdinateur
dont les accs sont restreints aux rpertoires publis sous IIS. Pour obliger les utilisateurs
s'authentifier au moment de leur connexion, il faudra donc interdire les accs anonymes.
Les utilisateurs doivent s'authentifier dans deux cas de figure :
Lorsque l'accs anonyme est dsactiv
Lorsque l'accs anonyme n'a pas les droits suffisants pour accder la
ressource demande.

Page 12

Administration des serveurs Web avec IIS

Le serveur

Web IIS prend en charge trois formes d'authentification :


Authentification de base
Authentification Stimulation / rponse de Windows NT
Authentification des clients porteurs de certificat SSL

3.5.1. AUTHENTIFICATION DE BASE


C'est la mthode standard pour recueillir les informations relatives au compte utilisateur et
son mot de passe associ. Lorsque l'authentification de base est active, l'utilisateur reoit
une boite de dialogue dans laquelle il doit prciser son nom d'utilisateur et son mot de
passe. Le serveur Web vrifie les informations transmises et autorise ou non les
connections. L'intrt de cette mthode est quelle fonctionne avec tous les navigateurs
Web. Son principal inconvnient rside dans le fait que le mot de passe est transmis en
clair sur le rseau et qu'il peut ds lors tre intercept et utilis frauduleusement.
3.5.2. AUTHENTIFICATION PAR STIMULATION RPONSE DE NT
Les changes entre le serveur et le client sont encrypts et les risques de voir les pirates se
procurer frauduleusement des accs votre site sont donc fortement limits. Toutefois,
cette fonctionnalit n'est ce jour prise en charge que par les navigateurs IE au-del de la
version 2. C'est donc une technique plutt rserve un usage en Intranet o le type de
navigateur peut tre impos. Lorsque les 2 techniques, authentification de base et
authentification stimulation rponse NT sont mises en uvre, c'est l'authentification de
base qui est prioritaire si le navigateur client la prend en charge.
3.5.3. AUTHENTIFICATION DE CERTIFICATS CLIENTS SSL
Le serveur Web de IIS supporte les fonctionnalits du protocole SSL (Secure Socket
Layout) et le protocole PCT (Private Communication Technology). Ainsi, vous pouvez mettre
en uvre ces protocoles et exigs que vos clients soient porteurs d'un certificat SSL valide
pour valider leur connexion. Ils devront alors utiliser le protocole HTTPS au lieu du
protocole HTTP pour accder votre site Web scuris.
Pour pouvoir prendre en charge les certificats de vos clients, le serveur doit lui-mme tre
en possession d'un certificat SSL Serveur valide. Ce certificat s'acquire auprs d'une
socit tierce de certification (par courrier lectronique et versement d'une redevance) et
doit dans un deuxime temps tre install sur votre machine.
Ensuite, le fait que le client soit porteur de certificat ne suffit pas valider sa demande de
connexion. Il faut vrifier qu'il dispose bien d'un compte Windows NT correspondant. Il
convient au pralable de mapper le certificat client avec les informations du compte
utilisateur.

Page 13

Administration des serveurs Web avec IIS


3.6.

CONTRLE D'ACCS

Il est possible de contrler l'accs votre serveur Web en combinant les fonctionnalits de
scurit de Windows NT et les fonctionnalits de contrle d'accs dfinies au sein de IIS.
Lorsqu'une requte HTTP est reue sur votre serveur Web, ce dernier excute une srie de
procdures de contrle d'accs qui vous sont prsentes synthtiquement dans le schma
suivant :

R CEPTION

A DRESSE
AUTORISE

REQUTE

IP
?

Oui

Non

U TILISATEUR
?

AUTORIS

Non
Oui

P ERMISSIONS
IIS

Non

Oui

A CCS

AUTORIS

Oui

P ERMISSIONS
NTFS

Non

A CCS

REFUS

Schma gnral du contrle d'accs


3.6.1. RESTRICTIONS D'ACCS DES ORDINATEURS
Vous pouvez dfinir des restrictions des ordinateurs, des groupes d'ordinateurs ou des
rseaux entiers en prcisant des rgles d'exclusion d'adresses IP. Ainsi, il est possible de
s'assurer que seuls les membres d'un domaine de l'Intranet pourront accder au serveur.
A partir de la feuille de proprits d'un site ou d'un rpertoire, choisissez l'onglet Scurit
de rpertoire puis en regard de Restrictions par adresse IP et nom de domaine cliquez
sur modifier. Vous pouvez ds lors refuser ou autoriser l'accs un ordinateur, un
groupe ou un domaine.
(Voir fentre Autorisation des connexions anonymes plus loin dans ce chapitre)

Page 14

Administration des serveurs Web avec IIS


3.6.2. AUTORISATIONS DU SERVEUR WEB
Les autorisations d'accs votre serveur Web que vous avez dfinies s'appliquent tous
les utilisateurs du site. Elles peuvent tre appliques un site, un rpertoire ou des
fichiers particuliers. Elles dterminent 3 types d'autorisation :
Lecture
Ecriture
Excution : limite aux scripts ou tendue aussi aux programmes exe

Dfinir les autorisations Web au niveau Rpertoire


3.6.3. AUTORISATIONS NTFS
Pour protger les fichiers et rpertoires de tout accs non autoris, les autorisations NTFS
permettent de dfinir, pour des utilisateurs particuliers, et non pour tous les utilisateurs
comme dans le cas d'autorisations Web, des restrictions d'accs. NTFS permet 5 types
d'autorisations :
Contrle total : modification, suppression et changement des autorisations.
Lecture seule : accs en lecture seulement
Modification : modification des donnes, suppression et ajout de fichiers autoriss.
Accs spcial : dfinition de critres spcifiques.
Aucun accs : rejet de l'utilisateur

Page 15

Administration des serveurs Web avec IIS


3.6.4. AUTORISATION DES CONNEXIONS ANONYMES
Tout serveur Web possde un compte d'utilisateur anonyme par dfaut
IUSR_NomOrdinateur, ou NomOrdinateur correspond au nom du serveur Web. Vous
pouvez conserver ce profil, ou crer un nouveau compte d'accs anonyme. Attention : il
est impratif que le compte cr appartienne au groupe invit. Dans le menu stratgies il
faudra ensuite attribuer le droit ouvrir une session localement cet utilisateur.
Pour activer un accs anonyme au serveur Web, slectionnez un site, un rpertoire ou un
fichier Web puis slectionnez sa feuille de proprits. Puis sous connexions anonymes
et contrle d'authentification, cliquez sur modifier. Cochez la case autoriser les
connexions anonymes. Pour modifier le compte de l'utilisateur anonyme, cliquez sur
modifier

Dfinir et Activer les connexions anonymes

Page 16

Administration des serveurs Web avec IIS


3.7.

ANALYSER L'ACTIVIT DU SITE

Vous disposez, avec les options d'enregistrement dans le journal de IIS, d'outils de suivi de
l'activit des utilisateurs de votre serveur Web. Ces informations peuvent tre stockes
dans deux formats, fichiers ASCII (pour tre compatibles avec d'autres systmes) ou dans
des bases de donnes compatibles ODBC. Vous pouvez ainsi connatre :

L'identit des visiteurs


Les pages consultes
Les priodes de consultation
Les checs de connexion

L'ensemble de ces donnes vous permettra :


D'valuer la popularit de votre site
De rsoudre les problmes ventuels rencontrs par vos clients
D'organiser au mieux les ressources de votre serveur en fonction des
informations recueillies.
Les journaux crs par IIS peuvent tre lus l'aide d'un simple diteur de texte pour les
formats ASCII ou avec des outils d'accs aux bases de donnes pour les formats ODBC.
Pour que les transactions sur le site soient enregistres, il faut choisir l'option activer
l'enregistrement dans le journal partir de la feuille de proprits de site Web.
3.7.1. FORMAT DES FICHIERS JOURNAUX
Il existe 3 formats de fichiers ASCII.

Le format Microsoft IIS : il est non personnalisable et enregistre des


informations spcifiques telles que le temps de chargement d'un lment, le
nombre d'octets envoys, Il s'agit d'un format ASCII avec sparateur.
Le format NSCA est un format fixe, non personnalisable. Son intrt rside
dans son standard et sa compatibilit avec d'autres logiciels serveurs Web.
Le format tendu W3C. Il s'agit d'un format personnalisable et donc d'un emploi
plus souple que les 2 prcdents. Pour personnaliser celui-ci il convient
d'accder la boite de dialogue Proprits du journal tendu de la feuille de
proprits du site Web. Il est ds lors possible de slectionner les champs qui
apparatront ou non dans le journal.

Un format pour les bases de donnes ODBC :


Il convient de crer une table en respectant le modle retenu par IIS. Pour se faire vous
avez votre disposition un script SQL dont l'excution cre une table au format des
entres de IIS. Ce fichier s'appelle LogTemp.sql et est disponible dans le rpertoire
IISRoot, qui par dfaut se trouve dans \WindowsRoot\System32.
Il faut ensuite crer une source de donnes (DSN) ODBC sur le serveur relative la base
de donnes contenant cette table. Il convient ensuite d'indiquer le nom de cette source de
donnes au niveau des proprits ODBC de l'option de format Journal ODBC.

Page 17

Administration des serveurs Web avec IIS


3.7.2. MODE D'ENREGISTREMENT DES FICHIERS JOURNAUX
Il est possible de prciser IIS la faon dont il doit crer de nouveaux journaux plutt que
d'ajouter des enregistrements ceux existants. Il existe 3 critres principaux :
La priode : tous les jours, toutes les semaines ou tous les mois.
La taille : une fois la taille atteinte, un nouveau journal est cr.
L'unicit : 1 seul journal est cr, les donnes sont alors toujours ajoutes ce
dernier. Ce fichier n'est accessible qu'aprs arrt du site.
Le nom du journal a trait son type et au mode d'enregistrement choisit, ainsi :
Un fichier Microsoft IIS a pour prfixe in pour un enregistrement sur une
priode ou inetsv pour un enregistrement selon la taille.
Un fichier NCSA a pour prfixe nc pour un enregistrement sur une priode ou
ncsa pour un enregistrement selon la taille.
Un fichier W3C tendu a pour prfixe ex pour un enregistrement sur une
priode ou extend pour un enregistrement selon la taille.
Un fichier dont l'enregistrement porte sur la journe aura un suffixe de type
aammjj.
Un fichier dont l'enregistrement porte sur la semaine aura un suffixe de type
aammss ou ss est le N de la semaine.
Un fichier dont l'enregistrement porte sur le mois aura un suffixe de type
aamm.
Un fichier dont l'enregistrement est fonction de la taille aura comme suffixe un
N d'ordre nn squentiel.
Ce qui donne en final des exemples de ce type :
inetsv03.log
IIS / mode fonction de la taille.
NC991231
NCSA / mode enregistrement quotidien.
3.7.3. CONVERSION DES FICHIERS JOURNAUX
Un utilitaire convlog est disponible pour convertir les fichiers journaux de votre serveur
Web en format NCSA standard. Le convertisseur permet de plus de remplacer les
adresses IP par les noms DNS correspondants. Le logiciel convlog est accessible depuis
une fentre de commandes DOS et admet les paramtres suivants :
- -i
qualifie le format d'entre (i IIS, n NCSA, e W3C)
- nomfichier.log
nom du fichier en entre
- -t
type de sortie (par dfaut NCSA) suivi du dcalage
horaire par rapport GMT ncsa:GMToffset
- -I
format de date ((0 US, 1 Japonais, 2 Europen)
- -o
rpertoire de sortie
- -x
place les entres non HTTP dans un fichier .dmp
- -d
remplacement des adresses IP par le nom DNS
Exemple : convlog i i inetsv10.log d t ncsa:-0500 convertit un fichier IIS au format
NCSA avec 5 heures de dcalage par rapport GMT et remplace les adresses IP par les
noms de domaine.

Page 18

Administration des serveurs Web avec IIS

3.8.

RGLAGE DES PERFORMANCES

IIS permet un certain nombre de rglages afin d'amliorer les performances de votre
serveur. Les performances de vos services peuvent tre observes l'aide de l'analyseur
de performances de NT et d'aprs la lecture des enregistrements des journaux d'activit.
3.8.1. LIMITATION DE LA BANDE PASSANTE
Si vous publiez plusieurs sites sur votre serveur et qu'ils partagent la mme carte rseau, il
peut s'avrer intressant de limiter la bande passante consacre chacun d'entre eux en
fonction du trafic qu'ils gnrent.
De mme, il peut s'avrer utile de limiter la bande passante de IIS pour permettre d'autres
services, une messagerie lectronique par exemple, de pouvoir s'excuter dans de bonnes
conditions.
Afin de modifier les valeurs de bande passante affectes IIS, affichez la fentre de
proprits de l'ordinateur partir de Proprits de site Web, puis slectionnez activer la
limitation de bande passante. Saisissez le nombre de ko/s maximal qui pourra tre utilis
par IIS dans la boite de texte utilisation maximale du rseau.
Afin de modifier les valeurs de bande passante affectes un site Web, affichez la fentre
de proprits de ce dernier puis dans la fentre performances, slectionnez activer la
limitation de bande passante. Tapez comme prcdemment la quantit maximale
affecter ce site.
3.8.2. LIMITATION DES CONNEXIONS
Pour limiter l'usage des ressources de votre serveur, et librer ainsi celles-ci pour d'autres
services (ou d'autres sites), vous avez la possibilit de limiter le nombre de requtes HTTP
simultanes par site. Il faut toutefois garder l'esprit qu'une page compose de texte et de
4 graphismes utilisera 5 connexions pour tre charge dans le navigateur.
En limitant le nombre de connexions simultanes, IIS ajuste la quantit de mmoire
ncessaire aux traitements des nouvelles requtes.
Vous pouvez de mme limiter le dlai d'attente de connexion accord aux utilisateurs en
faisant la demande. Par dfaut, il n'est pas limit et est donc uniquement fonction du
nombre de connexions autorises, de la bande passante et des ressources processeur.
Pour limiter le nombre de connexions, activez la case cocher Limit dans la feuille de
proprits Site Web et saisissez le nombre total de connexions simultanes.
Vous pouvez de plus prciser le dlai de connexion en secondes dans la boite de texte
dlai de connexion.
3.8.3. CONNEXIONS HTTP PERSISTANTES
Les connexions persistantes sont une spcification HTTP qui permet de maintenir la
connexion ouverte pour excuter plusieurs requtes HTTP, par exemple lorsqu'un
navigateur charge dans sa fentre une page qui comporte plusieurs lments graphiques.
Les connexions persistantes sont actives par dfaut et il n'est, sauf de trs rares
exceptions, pas judicieux de dsactiver celles-ci.

Installation et paramtrage IIS


Page 19

Administration des serveurs Web avec IIS

Pour ASP
1) Vrifier si IIS est install
- IIS local en allant voir dans le panneau de config outils dadministration
- IIS Server en allant voir dans programme outils dadministration
2) Installer IIS local
Panneau de config ajouter programme composant windows
le fichier admxprox.dll est demand : inserer le CD et trouver le fichier dans :/I386
3) Crer les repertoires
Crer le rpertoire sous inetpubwwwroot
(Si on est en IIS Server, crer un rpertoire par stagiaire web1, web2.)

4) Configurer IIS
On accede IIS par
Panneau de config outils daministration gestionnaire de service Internet
On obtient lcran :

Si on narrive pas ouvrir le poste, cest peut tre parce que lon nest pas administrateur
Crer un nouveau rpertoire virtuel :

Page 20

Administration des serveurs Web avec IIS

Garder les options par


dfaut
Aller voir les proprits
rpertoire virtuel cr :

du

Page 21

Administration des serveurs Web avec IIS

Attention : cocher exploration de rpertoire !! (et mme tous les accs)

Si le site web par dfaut est arrt : le dmarrer !!!


( ! si erreur adresse dj utilise, cest que apache tourne il faut arrter le service)

Aller aussi dans les proprits du site web par dfaut et cocher aussi tous les accs dans
longlet rpertoire de base.

Page 22

Administration des serveurs Web avec IIS

5) Lancer le site
Accder au site ainsi cr avec http://localhost/nomrep

6) Accder laide en ligne


On accde laide en ligne de IIS et de ASP par http://localhost

7) Installer le fichier global.asa


Sous la racine du site

8) Crer la base sous SQL-SERVER


A laide du script de cration de la base, en crant un user stage, stage avec les
droits
de dbadmin. (IUSR doit avoir un droit de connexion sur le serveur SQL ??)

9) Crer la base de donnes .mdb (si ACCESS)


Copier la base dans le rpertoire choisi (et donner des droits daccs pour IUSR ?? pour
tout le monde ??)

10) Crer le lien ODBC (sous SQL-SERVER ou sous Acces)


Base de donne sebo, dsn : SeboMf, user : stage stage (attention aux
majuscules !!)
Attention : il faut crer une source de donnes systme.

11) Annexe : pour rcuprer ladresse IP


Dans dmarrer excuter taper cmd
on arrive sous un cran dos. On tape :
-

ipconfig / all : nous donne toutes les infos sur le poste, et notament son adresse IP
ping 172.16.152.26 : nous rpond si le poste arrive accder la machine vise
tracert www.voila.fr : nous indique quel est le chemin parcouru pour accder au site

Page 23