Administration des serveurs Web avec IIS

Administration des serveurs Web avec IIS

Table des matires 1. COMPRENDRE LES SERVEURS WEB 4

1.1. UNE ARCHITECTURE CLIENT/SERVEUR EVOLUTIVE 4 1.2. INTERACTION ENTRE CLIENT ET SERVEUR 6 1.3. L'IDENTIFICATION DES SERVEURS WEB PAR LE MECANISME DNS 8 1.4. LA STRUCTURE D'UNE URL 9 1.5. HTTP : INTRODUCTION 11 2. ORGANISER LES CONTENUS 2.1. LES REPERTOIRES DE BASE 2.2. LES REPERTOIRES VIRTUELS 2.3. IDENTIFICATION DES CONTENUS 3. ADMINISTRER LE SERVEUR WEB 13 13 13 14 16

3.1. HERITAGE DES PROPRIETES 17 3.2. NOMMER DES OPERATEURS DE SITES WEB 17 3.3. ADMINISTRER LES SITES A DISTANCE 18 3.4. AFFECTER UN NOM AU SITE 19 3.4.1. SYSTEME DE RESOLUTION SUR UN INTRANET 3.4.2. SYSTEME DE RESOLUTION DE NOM SUR INTERNET 3.4.3. ATTRIBUTION DE NOMS D'EN-TETE D'HOTE 3.5. AUTHENTIFICATION DES UTILISATEURS 20 3.5.1. AUTHENTIFICATION DE BASE 3.5.2. AUTHENTIFICATION PAR STIMULATION REPONSE DE NT 3.5.3. AUTHENTIFICATION DE CERTIFICATS CLIENTS SSL 3.6. CONTROLE D'ACCES 23 3.6.1. RESTRICTIONS D'ACCES DES ORDINATEURS 3.6.2. AUTORISATIONS DU SERVEUR WEB 3.6.3. AUTORISATIONS NTFS 3.6.4. AUTORISATION DES CONNEXIONS ANONYMES 3.7. ANALYSER L'ACTIVITE DU SITE 28 3.7.1. FORMAT DES FICHIERS JOURNAUX 3.7.2. MODE D'ENREGISTREMENT DES FICHIERS JOURNAUX 3.7.3. CONVERSION DES FICHIERS JOURNAUX

19 19 20 21 21 21 23 25 25 27 28 30 31

www.espaceista.sup.fr

Page 2 sur 33

Administration des serveurs Web avec IIS

3.8. REGLAGE 3.8.1. 3.8.2. 3.8.3.
DES PERFORMANCES

32 LIMITATION DE LA BANDE PASSANTE 32 LIMITATION DES CONNEXIONS 32 CONNEXIONS HTTP PERSISTANTES 33

www.espaceista.sup.fr

Page 3 sur 33

Administration des serveurs Web avec IIS

1. COMPRENDRE LES SERVEURS WEB 1.1. UNE
ARCHITECTURE CLIENT/SERVEUR EVOLUTIVE

Le Web constitue l'application client serveur la plus rpandue dans le monde. Ce nouveau modle client/serveur est constitu de clients lgers universels, les navigateurs ou browsers, qui communiquent avec des serveurs Web de plus en plus sophistiqus. Les applications Web de la premire gnration sont trs simples et se contentent dans leur version initiale de servir des pages HTML statiques et en lecture seule. Les documents situs sur les serveurs sont accessibles au moyen des liens hypertexte qui mettent en uvre des mcanismes de nommages universels au travers des URL (Uniform Resource Locator). La localisation des documents s'effectue en 2 temps : une premire tape consacre la recherche du serveur par le mcanisme DNS, puis une recherche du document sur le serveur. Le web que nous connaissons aujourd'hui ne se contente plus de diffuser de l'information lectronique caractre statique. Il constitue une plate-forme applicative client/serveur rellement interactive. Sa dernire volution intgre, notamment dans le domaine de l'Intranet et du commerce lectronique, des technologies de composants rpartis.

www.espaceista.sup.fr

Page 4 sur 33

Administration des serveurs Web avec IIS

Web Hypertexte

Web Interactif

Web orient objet

Serveurs Applicatifs ORB Technologies COM DCOM Activex

F onctionna l s it

Transactions scurises SSL S-HTTP API natives (ISAPI,NSAPI,ASP)

Applets java Technologies CORBA Java Composants Activex

Scripts CGI

Pages statiques Hypertexte

Formulaires

Temps
< 1994 1995 1996 1997

www.espaceista.sup.fr

Page 5 sur 33

Administration des serveurs Web avec IIS

1.2. INTERACTION
ENTRE

CLIENT

ET SERVEUR

La base de cette architecture reste le protocole HTTP (Hypertext Transfer Protocol) qui assure les fonctions de base. Il est trs rudimentaire et semblable au RPC. Il s'agit d'un protocole sans tat (Stateless) qui : Etablit la connexion. Assure la rception ou la transmission de paramtres, dont le document demand. Met fin la connexion. L'interaction entre le client et le serveur se droule ainsi : 1. Vous choisissez une URL cible En cliquant sur un lien hypertexte ou en saisissant l'adresse dans la barre de contrle de votre navigateur. Le navigateur envoie votre requte au serveur L'URL est insre dans une requte HTTP qui est transmise au serveur. Le serveur traite la requte La demande du client provoque l'tablissement d'une connexion de type socket (sur le port virtuel TCP 80 par dfaut pour le service HTTP) entre celui-ci et le serveur HTTP qui tourne en tche de fond dans l'attente des requtes. Le serveur interprte la demande du client, recherche le fichier HTML demand, expdie celui-ci et ferme la connexion. Le navigateur interprte les commandes HTML Le contenu de la page est affich dans la fentre du navigateur.

2.

3.

4.

www.espaceista.sup.fr

Page 6 sur 33

Administration des serveurs Web avec IIS

Processus (dmon) A l'coute

Client Navigateur

HTTP

Serveur Web

1 Attente d'une requte 2 Emission d'une requte par le client 3 Analyse de la requte 4 Excution de la mthode demande 5 Envoi de la rponse

www.espaceista.sup.fr

Page 7 sur 33

Administration des serveurs Web avec IIS

1.3. L'IDENTIFICATION DNS
DES SERVEURS WEB PAR LE MECANISME

afpalim.tm.fr ?

Processus itratif
194.1.25.130

DNS 1
Base de donnes rpartie

DNS 2

...

DNS x

Zone 2

Cache

Zone X

Cache

Zone 1 Dlgation Officielle

Cache

Le systme DNS permet didentifier une machine par un nom reprsentatif de la machine et du rseau sur lequel elle se trouve ; exemple : www.afpalim.tm.fr identifie la machine www sur le rseau afpalim.tm.fr

Le systme est mis en uvre par une base de donnes distribue au niveau mondial Les noms sont grs par un organisme mondial : linterNIC et les organismes dlgus : RIPE, NIC France, NIC Angleterre, etc.

www.espaceista.sup.fr

Page 8 sur 33

Administration des serveurs Web avec IIS

1.4. LA
STRUCTURE D'UNE

URL

Nom du protocole : Il indique quel est le service utiliser pour atteindre la ressource spcifie. Outre le protocole HTTP, les URL sont aussi utilisables pour les autres protocoles applicatifs de l'Internet tels que FTP pour le transfert de fichier, News pour les forum ou mailto pour envoyer un courrier lectronique. Nom du serveur : Identifie le site publi sur le serveur : indique en gnral le nom de domaine de l'hte, mais on peut ventuellement lui substituer l'adresse IP du serveur. Toutefois, un serveur identifi par une adresse IP peut publier plusieurs sites. Numro de port : S'il est omis, c'est le port standard par dfaut qui est utilis. L'adresse IP associe au port TCP constitue le socket TCP qui identifie un point terminal (machine et processus) cible. Dfinition conventionnelle des ports TCP standards Numro de port Processus 20 FTP Transfert de donnes 21 FTP contrle 23 Emulation de terminal Telnet 25 Envoi de courrier lectronique SMTP 80 HTTP

Chemin et nom du document : Indique l'arborescence des rpertoires qui mne au document spcifi dans la dernire partie. Ce nom peut tre suivi du caractre ? et d'une chane de caractres qui permet de passer des paramtres

www.espaceista.sup.fr

Page 9 sur 33

Administration des serveurs Web avec IIS

complmentaires au serveur afin qu'il excute une opration particulire. exemple : http://www.afpalim.tm.fr/scripts/recherche.asp?nomformateur= "bidule" Le script recherche.asp sera excut sur le serveur et la valeur "bidule" rcupr dans la chane de connexion au serveur.

Protocole applicatif

Nom du serveur

Port virtuel TCP (80 par dfaut pour HTTP)

Chemin Nom du document

http

://www.afpalim.tm.fr

:6850

/chemin/document.ext

www.espaceista.sup.fr

Page 10 sur 33

Administration des serveurs Web avec IIS

1.5. HTTP :
INTRODUCTION

HTTP (Hyper Text Transfer Protocol) est utilis depuis 1990 sur Internet. HTTP, de part sa simplicit, est extrmement robuste. Il est toutefois peu performant Ainsi il doit tablir une connexion TCP pour chaque requte (pas de session stateless) et il induit donc une charge inutile importante. Par exemple, si une page comporte 3 images, la demande de celle-ci demandera 4 connexions distinctes. Une pour la page, et une pour chaque image insre dans celle-ci. La simplicit, et donc la fiabilit de HTTP, se paie au prix d'une consommation excessive de ressources. HTTP admet 2 mthodes trs courantes et d'autres moins usites. Les plus frquemment utilises sont de trs loin : GET Retourne lobjet demand

POST Demande de stocker linformation (autorise au sein dun script) La commande GET peut tre aussi utilise pour passer des paramtres au serveur. Contrairement la mthode POST o les paramtres sont passs dans l'en-tte de la page, la mthode GET passe ces derniers dans l'URL derrire le point d'interrogation. Ainsi la requte suivante passe au script ASP Client_INS.asp les valeurs des champs de formulaire Nom et Adresse : HTTP://www.Monsite.fr/Client_INS.asp?nom=dutilleul&adresse= brive Parmi les autres on peut citer : HEAD PUT DELETE Retourne des informations sur lobjet Stocker une copie de lobjet (en HTTP 1.1 seulement) Supprimer l objet (en HTTP 1.1 seulement)
Page 11 sur 33

www.espaceista.sup.fr

Administration des serveurs Web avec IIS

Les informations adresses au serveur dans une requte HTTP comporte en autres : User-Agent Type de navigateur If-Modified-Since Rcupre lobjet s il est plus rcent que la date mentionne Authorization Informations dauthentification Une requte HTTP comprend : une ligne de requte (request line), facultative, qui comporte 3 champs : la mthode, l'URL et la version HTTP utilise par le client. un ou plusieurs champs d'en-tte (request header fields), facultatifs, se structurent de la manire suivante : nom du champ et valeur. Exemple : Date + valeur : Contient la date et l'heure d'envoi du message et un corps de texte (entity body), facultatif : parfois utilis pour utiliser des informations en vrac La rponse du serveur contient : une ligne dtat : elle comporte un code + une description : une description de linformation dans l'entte : Code + Server Type de logiciel serveur, Date Date et heure de la rponse, Content-Type Type MIME de lobjet retourn, l'information attendue

www.espaceista.sup.fr

Page 12 sur 33

Administration des serveurs Web avec IIS

2. ORGANISER LES CONTENUS Lors de la cration d'un site Web, vous devez crer des rpertoires de publication o seront stocks vos pages HTML, vos scripts ASP et vos programmes CGI. Un serveur Web ne peut pas publier de documents qui ne se trouvent pas dans les rpertoires spcifis. La premire tape lors de la mise en place d'un site Web est donc l'organisation des rpertoires de publication. Les rpertoires de publication existent sous deux formes, les rpertoires de base et les rpertoires virtuels.

2.1. LES

REPERTOIRES DE BASE

Chaque site Web dispose d'un rpertoire de base qui reprsente l'emplacement central des publications. Le rpertoire de base est mapp sur le nom de domaine du site ou ventuellement sur le nom de l'ordinateur dans le cas d'un Intranet. Il peut disposer d'une page d'accueil, qui peut tre dfinit comme tant une page par dfaut. Ainsi L'URL WWW.mondomaine.fr affichera la page accueil.htm situe dans le rpertoire de base C:\InetPub\wwwroot. Il est possible de modifier le rpertoire de base d'un site Internet dans la console de gestion des services Internet (onglet rpertoire de base des proprits du site). Vous pouvez indiquer : Un rpertoire physique de votre machine Le partage d'un rpertoire distant Une redirection vers une autre URL

2.2. LES

REPERTOIRES VIRTUELS

Si vous souhaitez publier des pages depuis tout rpertoire n'appartenant pas au rpertoire de base, il vous faudra crer des rpertoires virtuels. Un rpertoire virtuel possde un alias qu'utiliseront les navigateurs pour accder aux pages publies

www.espaceista.sup.fr

Page 13 sur 33

Administration des serveurs Web avec IIS

dans le rpertoire virtuel. Le recours au rpertoire virtuel est intressant plus d'un titre : Un alias tant plus cours que le chemin d'accs un rpertoire est de ce fait plus pratique utiliser. Un alias vite de communiquer aux utilisateurs l'endroit o se trouvent physiquement vos documents et apporte donc un plus au niveau de la scurit de votre site. Un alias vite de modifier les URL de vos liens lorsque vous dplacer physiquement l'ensemble des documents d'un rpertoire virtuel. Il suffit de modifier le mappage entre le nouvel emplacement physique et l'alias. Pour utiliser un rpertoire qui se trouve sur un ordinateur distant vous devez indiquer le nom UNC (Universal Naming Convention) du rpertoire et donnez le nom et le mot de passe de l'utilisateur qui seront utiliss pour dfinir les permissions d'accs. Il est possible de modifier ou de crer un rpertoire virtuel depuis la console de gestion des services Internet (onglet rpertoire virtuel des proprits du site).

2.3. IDENTIFICATION

DES CONTENUS

Vous avez la possibilit d'associer un entte HTTP qui dcrit le contenu de vos publications au format PICS (PlatForm for Internet Content Selection) et qui utilise un systme mis au point par le RSAC (Recreational Software Advisory Council) , permettant au navigateur de filtrer les contenus qui seront affichs dans sa fentre. Il s'agit essentiellement de protger le public de publications trop violentes, traitant de sujets caractre sexuel, Afin d'obtenir un certificat d'accs de votre contenu, il vous faut tablir une demande au RSAC par le biais d'un questionnaire envoyer lectroniquement. Pour obtenir un contrle d'accs sur les contenus choisir l'onglet En-ttes HTTP puis sous contrle d'accs, modifier le contrle d'accs.

www.espaceista.sup.fr

Page 14 sur 33

Administration des serveurs Web avec IIS

Vous pouvez obtenir auprs du RSAC un label pour une page, une branche ou pour un site entier comme le montre la figure suivante :

www.espaceista.sup.fr

Page 15 sur 33

Administration des serveurs Web avec IIS

3. ADMINISTRER LE SERVEUR WEB Vous avez aujourd'hui la possibilit sur un serveur NT dot de IIS de publier plusieurs sites Web ou FTP simultanment sur la mme machine. Il y a donc souvent une certaine confusion entre la notion de serveur et de sites. On utilisera en gnral le terme de site, plutt que celui de serveur, car l'administration porte en gnral spcifiquement sur les paramtres d'un site et non sur le serveur Web lui-mme. Vous pouvez administrer localement ces sites partir de la console MMC de Windows NT ou distance par le biais du gestionnaire de services HTML.

Pour pouvoir publier plusieurs sites sur une mme machine, plusieurs solutions s'offrent vous. Vous pouvez : Spcifier plusieurs adresses IP sur votre carte rseau et associer chacune de ces adresses au nom de domaine d'un site. Mapper plusieurs noms de domaine sur la mme adresse IP en ayant recours la technique des noms d'entte d'hte.

www.espaceista.sup.fr

Page 16 sur 33

Administration des serveurs Web avec IIS

Associer un autre port IP que le port 80 votre adresse IP pour publier un site sur un port nomm. Cette technique ne doit tre utilise que dans des cas trs restreints, car elle ncessite d'accoler le N de port l'URL dans la requte HTTP, ce qui, pour le nophyte, prsente une certaine complexit. 3.1. HERITAGE
DES PROPRIETES

Chaque site possde sa propre feuille de proprits modifiable dans la fentre proprits du site. IIS propose un mcanisme d'hritage qui font que les proprits dfinies un niveau suprieur (serveur HTTP, site) seront automatiquement adoptes au niveau infrieur (site, rpertoires, ). Des modifications spcifiques peuvent ensuite tre manuellement apportes ces dernires. 3.2. NOMMER
DES OPERATEURS DE SITES

WEB

Vous pouvez dfinir des comptes utilisateurs NT qui possdent des droits d'administration limits un site Web. Ces oprateurs de sites n'ont pas accs aux paramtres du systme d'exploitation ou aux proprits gnrales concernant IIS. Le recours ces profils est particulirement intressant si vous hbergez sur une mme machine les sites de plusieurs socits. Ainsi, vous avez la possibilit de nommer un responsable par entreprise charg de l'administration du site de celle-ci. L'oprateur de site peut : Dfinir les paramtres d'enregistrement dans le fichier historique Dfinir les permissions d'accs Modifier les paramtres du contrle d'accs L'oprateur de site ne peut pas : Modifier les paramtres relatifs la limitation de bande passante Crer des rpertoires virtuels ou modifier leur chemin

www.espaceista.sup.fr

Page 17 sur 33

Administration des serveurs Web avec IIS

Modifier les paramtres d'excution des processus des applications 3.3. ADMINISTRER
LES SITES A DISTANCE

IIS offre la possibilit d'administrer les sites distance par le biais d'un gestionnaire de services HTML accessible depuis un simple Browser. L'administration distante se fait via un port d'administration dfinit alatoirement lors de l'installation de IIS, via le navigateur. Il convient donc d'associer l'URL le N de port IP virtuel dans la requte HTTP. L'administrateur doit dans un deuxime temps fournir un profil utilisateur et un mot de passe. Seuls les membres du groupe Administrateurs peuvent administrer un site distance. Il convient au pralable d'installer le gestionnaire de services HTML et de modifier les restrictions d'usage qui, par dfaut, ne sont accords qu' l'ordinateur local.

Vue de la console d'administration distante

www.espaceista.sup.fr

Page 18 sur 33

Administration des serveurs Web avec IIS

3.4. AFFECTER
UN NOM AU SITE

Plusieurs possibilits vous sont offertes pour traduire les noms de vos sites en adresses IP correctes par un systme de rsolution de nom. Systme de rsolution de nom sur un Intranet Systme de rsolution de nom sur Internet Affectation de noms d'en-tte d'hte 3.4.1.SYSTEME DE RESOLUTION SUR UN INTRANET Le choix est fonction de la taille de votre rseau, de la frquence des volutions et de l'homognit ou non du parc. Mappage statique (fixe) des adresses IP sur des rseaux de petite taille et dont la stabilit importante ne demande pas de frquentes mises jour. L'administrateur cr un fichier HOSTS (pour les noms DNS) ou LMHOSTS (pour les noms Netbios) puis entre le nom et l'adresse IP de chaque ordinateur. Mappage dynamique : lorsque le client ouvre une session ou lorsque son bail arrive chance, l'ordinateur DHCP lui alloue une adresse IP et envoie celle-ci au serveur WINS (Windows Internet Name Service) qui enregistrera son nom et son adresse. Un mlange des deux : l'inscription dans les bases Wins peut se faire aussi manuellement pour les serveurs qui disposeraient d'adresses fixes et par un service DHCP pour les clients. Si votre rseau est htrogne il est aussi possible d'associer un serveur DNS, qui contient une base de donnes statique, un serveur Wins. 3.4.2.SYSTEME INTERNET DE RESOLUTION DE NOM SUR

Sur le rseau Internet, la rsolution des noms sera prise en charge par les serveurs DNS (Domain Name System) qui

www.espaceista.sup.fr

Page 19 sur 33

Administration des serveurs Web avec IIS

permettront de traduire les noms de domaine en adresses IP pour les sites. Les noms de domaine auront du tre au pralable dposs auprs de l'InterNIC ou l'un de ses reprsentants. 3.4.3.ATTRIBUTION DE NOMS D'EN-TETE D'HOTE Chaque site Web est identifi au moyen d'une adresse IP, d'un N de port et d'un nom d'en-tte d'hte. Ainsi, un site peut partager la mme adresse IP et le mme port mais tre diffrenci par le seul nom d'en-tte d'hte. Cette technique n'est pas compatible avec les anciens navigateurs qui ne peuvent pas ajouter l'en-tte d'hte dans leur requte. Ils arriveront donc sur le site Web par dfaut correspondant cette adresse et ce port IP. 3.5. AUTHENTIFICATION
DES UTILISATEURS

Par dfaut, les utilisateurs ouvrent sur un site Web des sessions en tant qu'utilisateur anonyme du site. Il n'y a donc pas authentification des utilisateurs. L'utilisateur se trouve connect l'aide d'un compte utilisateur Windows NT invit internet IUSRNomOrdinateur dont les accs sont restreints aux rpertoires publis sous IIS. Pour obliger les utilisateurs s'authentifier au moment de leur connexion, il faudra donc interdire les accs anonymes. Les utilisateurs doivent s'authentifier dans deux cas de figure : Lorsque l'accs anonyme est dsactiv Lorsque l'accs anonyme n'a pas les droits suffisants pour accder la ressource demande.

www.espaceista.sup.fr

Page 20 sur 33

Administration des serveurs Web avec IIS

Le serveur Web IIS prend en charge trois formes d'authentification : Authentification de base Authentification Stimulation / rponse de Windows NT Authentification des clients porteurs de certificat SSL 3.5.1.AUTHENTIFICATION DE BASE C'est la mthode standard pour recueillir les informations relatives au compte utilisateur et son mot de passe associ. Lorsque l'authentification de base est active, l'utilisateur reoit une boite de dialogue dans laquelle il doit prciser son nom d'utilisateur et son mot de passe. Le serveur Web vrifie les informations transmises et autorise ou non les connections. L'intrt de cette mthode est quelle fonctionne avec tous les navigateurs Web. Son principal inconvnient rside dans le fait que le mot de passe est transmis en clair sur le rseau et qu'il peut ds lors tre intercept et utilis frauduleusement. 3.5.2.AUTHENTIFICATION REPONSE DE NT PAR STIMULATION

Les changes entre le serveur et le client sont encrypts et les risques de voir les pirates se procurer frauduleusement des accs votre site sont donc fortement limits. Toutefois, cette fonctionnalit n'est ce jour prise en charge que par les navigateurs IE au-del de la version 2. C'est donc une technique plutt rserve un usage en Intranet o le type de navigateur peut tre impos. Lorsque les 2 techniques, authentification de base et authentification stimulation rponse NT sont mises en uvre, c'est l'authentification de base qui est prioritaire si le navigateur client la prend en charge. 3.5.3.AUTHENTIFICATION DE CERTIFICATS CLIENTS SSL Le serveur Web de IIS supporte les fonctionnalits du protocole SSL (Secure Socket Layout) et le protocole PCT (Private www.espaceista.sup.fr

Page 21 sur 33

Administration des serveurs Web avec IIS

Communication Technology). Ainsi, vous pouvez mettre en uvre ces protocoles et exigs que vos clients soient porteurs d'un certificat SSL valide pour valider leur connexion. Ils devront alors utiliser le protocole HTTPS au lieu du protocole HTTP pour accder votre site Web scuris. Pour pouvoir prendre en charge les certificats de vos clients, le serveur doit lui-mme tre en possession d'un certificat SSL Serveur valide. Ce certificat s'acquire auprs d'une socit tierce de certification (par courrier lectronique et versement d'une redevance) et doit dans un deuxime temps tre install sur votre machine. Ensuite, le fait que le client soit porteur de certificat ne suffit pas valider sa demande de connexion. Il faut vrifier qu'il dispose bien d'un compte Windows NT correspondant. Il convient au pralable de mapper le certificat client avec les informations du compte utilisateur.

www.espaceista.sup.fr

Page 22 sur 33

Administration des serveurs Web avec IIS

3.6. CONTROLE D'ACCES Il est possible de contrler l'accs votre serveur Web en combinant les fonctionnalits de scurit de Windows NT et les fonctionnalits de contrle d'accs dfinies au sein de IIS. Lorsqu'une requte HTTP est reue sur votre serveur Web, ce dernier excute une srie de procdures de contrle d'accs qui vous sont prsentes synthtiquement dans le schma suivant :

RCEPTION

REQUTE

ADRESSE IP AUTORISE ?

Oui

Non

UTILISATEUR AUTORIS ?
Non Oui

PERMISSIONS IIS
Oui

Non

ACCS

AUTORIS

Oui

PERMISSIONS NTFS

Non

ACCS

REFUS

Schma gnral du contrle d'accs 3.6.1.RESTRICTIONS D'ACCES DES ORDINATEURS Vous pouvez dfinir des restrictions des ordinateurs, des groupes d'ordinateurs ou des rseaux entiers en prcisant des rgles d'exclusion d'adresses IP. Ainsi, il est possible de s'assurer que seuls les membres d'un domaine de l'Intranet

www.espaceista.sup.fr

Page 23 sur 33

Administration des serveurs Web avec IIS

pourront accder au serveur. A partir de la feuille de proprits d'un site ou d'un rpertoire, choisissez l'onglet Scurit de rpertoire puis en regard de Restrictions par adresse IP et nom de domaine cliquez sur modifier. Vous pouvez ds lors refuser ou autoriser l'accs un ordinateur, un groupe ou un domaine. (Voir fentre Autorisation des connexions anonymes plus loin dans ce chapitre)

www.espaceista.sup.fr

Page 24 sur 33

Administration des serveurs Web avec IIS

3.6.2.AUTORISATIONS DU SERVEUR WEB Les autorisations d'accs votre serveur Web que vous avez dfinies s'appliquent tous les utilisateurs du site. Elles peuvent tre appliques un site, un rpertoire ou des fichiers particuliers. Elles dterminent 3 types d'autorisation : Lecture Ecriture Excution : limite aux scripts ou tendue aussi aux programmes exe

Dfinir les autorisations Web au niveau Rpertoire 3.6.3.AUTORISATIONS NTFS Pour protger les fichiers et rpertoires de tout accs non autoris, les autorisations NTFS permettent de dfinir, pour des utilisateurs particuliers, et non pour tous les utilisateurs www.espaceista.sup.fr
Page 25 sur 33

Administration des serveurs Web avec IIS

comme dans le cas d'autorisations Web, des restrictions d'accs. NTFS permet 5 types d'autorisations : Contrle total : modification, suppression et changement des autorisations. Lecture seule : accs en lecture seulement Modification : modification des donnes, suppression et ajout de fichiers autoriss. Accs spcial : dfinition de critres spcifiques. Aucun accs : rejet de l'utilisateur

www.espaceista.sup.fr

Page 26 sur 33

Administration des serveurs Web avec IIS

3.6.4.AUTORISATION ANONYMES DES CONNEXIONS

Tout serveur Web possde un compte d'utilisateur anonyme par dfaut IUSR_NomOrdinateur, ou NomOrdinateur correspond au nom du serveur Web. Vous pouvez conserver ce profil, ou crer un nouveau compte d'accs anonyme. Attention : il est impratif que le compte cr appartienne au groupe invit. Dans le menu stratgies il faudra ensuite attribuer le droit ouvrir une session localement cet utilisateur. Pour activer un accs anonyme au serveur Web, slectionnez un site, un rpertoire ou un fichier Web puis slectionnez sa feuille de proprits. Puis sous connexions anonymes et contrle d'authentification, cliquez sur modifier. Cochez la case autoriser les connexions anonymes. Pour modifier le compte de l'utilisateur anonyme, cliquez sur modifier

Dfinir et Activer les connexions anonymes

www.espaceista.sup.fr

Page 27 sur 33

Administration des serveurs Web avec IIS

3.7. ANALYSER L'ACTIVITE
DU SITE

Vous disposez, avec les options d'enregistrement dans le journal de IIS, d'outils de suivi de l'activit des utilisateurs de votre serveur Web. Ces informations peuvent tre stockes dans deux formats, fichiers ASCII (pour tre compatibles avec d'autres systmes) ou dans des bases de donnes compatibles ODBC. Vous pouvez ainsi connatre : L'identit des visiteurs Les pages consultes Les priodes de consultation Les checs de connexion

L'ensemble de ces donnes vous permettra : D'valuer la popularit de votre site De rsoudre les problmes ventuels rencontrs par vos clients D'organiser au mieux les ressources de votre serveur en fonction des informations recueillies. Les journaux crs par IIS peuvent tre lus l'aide d'un simple diteur de texte pour les formats ASCII ou avec des outils d'accs aux bases de donnes pour les formats ODBC. Pour que les transactions sur le site soient enregistres, il faut choisir l'option activer l'enregistrement dans le journal partir de la feuille de proprits de site Web. 3.7.1.FORMAT DES FICHIERS JOURNAUX Il existe 3 formats de fichiers ASCII. Le format Microsoft IIS : il est non personnalisable et enregistre des informations spcifiques telles que le temps de chargement d'un lment, le nombre d'octets envoys, Il s'agit d'un format ASCII avec sparateur.

www.espaceista.sup.fr

Page 28 sur 33

Administration des serveurs Web avec IIS

Le format NSCA est un format fixe, non personnalisable. Son intrt rside dans son standard et sa compatibilit avec d'autres logiciels serveurs Web. Le format tendu W3C. Il s'agit d'un format personnalisable et donc d'un emploi plus souple que les 2 prcdents. Pour personnaliser celui-ci il convient d'accder la boite de dialogue Proprits du journal tendu de la feuille de proprits du site Web. Il est ds lors possible de slectionner les champs qui apparatront ou non dans le journal. Un format pour les bases de donnes ODBC : Il convient de crer une table en respectant le modle retenu par IIS. Pour se faire vous avez votre disposition un script SQL dont l'excution cre une table au format des entres de IIS. Ce fichier s'appelle LogTemp.sql et est disponible dans le rpertoire IISRoot, qui par dfaut se trouve dans \WindowsRoot\System32. Il faut ensuite crer une source de donnes (DSN) ODBC sur le serveur relative la base de donnes contenant cette table. Il convient ensuite d'indiquer le nom de cette source de donnes au niveau des proprits ODBC de l'option de format Journal ODBC.

www.espaceista.sup.fr

Page 29 sur 33

Administration des serveurs Web avec IIS

3.7.2.MODE D'ENREGISTREMENT JOURNAUX DES FICHIERS

Il est possible de prciser IIS la faon dont il doit crer de nouveaux journaux plutt que d'ajouter des enregistrements ceux existants. Il existe 3 critres principaux : La priode : tous les jours, toutes les semaines ou tous les mois. La taille : une fois la taille atteinte, un nouveau journal est cr. L'unicit : 1 seul journal est cr, les donnes sont alors toujours ajoutes ce dernier. Ce fichier n'est accessible qu'aprs arrt du site. Le nom du journal a trait son type et au mode d'enregistrement choisit, ainsi : Un fichier Microsoft IIS a pour prfixe in pour un enregistrement sur une priode ou inetsv pour un enregistrement selon la taille. Un fichier NCSA a pour prfixe nc pour un enregistrement sur une priode ou ncsa pour un enregistrement selon la taille. Un fichier W3C tendu a pour prfixe ex pour un enregistrement sur une priode ou extend pour un enregistrement selon la taille. Un fichier dont l'enregistrement porte sur la journe aura un suffixe de type aammjj. Un fichier dont l'enregistrement porte sur la semaine aura un suffixe de type aammss ou ss est le N de la semaine. Un fichier dont l'enregistrement porte sur le mois aura un suffixe de type aamm. Un fichier dont l'enregistrement est fonction de la taille aura comme suffixe un N d'ordre nn squentiel. Ce qui donne en final des exemples de ce type : inetsv03.log IIS / mode fonction de la taille. www.espaceista.sup.fr
Page 30 sur 33

Administration des serveurs Web avec IIS

NC991231 NCSA / mode enregistrement quotidien.

3.7.3.CONVERSION DES FICHIERS JOURNAUX Un utilitaire convlog est disponible pour convertir les fichiers journaux de votre serveur Web en format NCSA standard. Le convertisseur permet de plus de remplacer les adresses IP par les noms DNS correspondants. Le logiciel convlog est accessible depuis une fentre de commandes DOS et admet les paramtres suivants : - -i qualifie le format d'entre (i IIS, n NCSA, e W3C) - nomfichier.log nom du fichier en entre - -t type de sortie (par dfaut NCSA) suivi du dcalage horaire par rapport GMT ncsa:GMToffset - -I format de date ((0 US, 1 Japonais, 2 Europen) - -o rpertoire de sortie - -x place les entres non HTTP dans un fichier .dmp - -d remplacement des adresses IP par le nom DNS Exemple : convlog i i inetsv10.log d t ncsa:-0500 convertit un fichier IIS au format NCSA avec 5 heures de dcalage par rapport GMT et remplace les adresses IP par les noms de domaine.

www.espaceista.sup.fr

Page 31 sur 33

Administration des serveurs Web avec IIS

3.8.

REGLAGE DES PERFORMANCES

IIS permet un certain nombre de rglages afin d'amliorer les performances de votre serveur. Les performances de vos services peuvent tre observes l'aide de l'analyseur de performances de NT et d'aprs la lecture des enregistrements des journaux d'activit. 3.8.1.LIMITATION DE LA BANDE PASSANTE Si vous publiez plusieurs sites sur votre serveur et qu'ils partagent la mme carte rseau, il peut s'avrer intressant de limiter la bande passante consacre chacun d'entre eux en fonction du trafic qu'ils gnrent. De mme, il peut s'avrer utile de limiter la bande passante de IIS pour permettre d'autres services, une messagerie lectronique par exemple, de pouvoir s'excuter dans de bonnes conditions. Afin de modifier les valeurs de bande passante affectes IIS, affichez la fentre de proprits de l'ordinateur partir de Proprits de site Web, puis slectionnez activer la limitation de bande passante. Saisissez le nombre de ko/s maximal qui pourra tre utilis par IIS dans la boite de texte utilisation maximale du rseau. Afin de modifier les valeurs de bande passante affectes un site Web, affichez la fentre de proprits de ce dernier puis dans la fentre performances, slectionnez activer la limitation de bande passante. Tapez comme prcdemment la quantit maximale affecter ce site. 3.8.2.LIMITATION DES CONNEXIONS Pour limiter l'usage des ressources de votre serveur, et librer ainsi celles-ci pour d'autres services (ou d'autres sites), vous avez la possibilit de limiter le nombre de requtes HTTP

www.espaceista.sup.fr

Page 32 sur 33

Administration des serveurs Web avec IIS

simultanes par site. Il faut toutefois garder l'esprit qu'une page compose de texte et de 4 graphismes utilisera 5 connexions pour tre charge dans le navigateur. En limitant le nombre de connexions simultanes, IIS ajuste la quantit de mmoire ncessaire aux traitements des nouvelles requtes. Vous pouvez de mme limiter le dlai d'attente de connexion accord aux utilisateurs en faisant la demande. Par dfaut, il n'est pas limit et est donc uniquement fonction du nombre de connexions autorises, de la bande passante et des ressources processeur. Pour limiter le nombre de connexions, activez la case cocher Limit dans la feuille de proprits Site Web et saisissez le nombre total de connexions simultanes. Vous pouvez de plus prciser le dlai de connexion en secondes dans la boite de texte dlai de connexion. 3.8.3.CONNEXIONS HTTP PERSISTANTES Les connexions persistantes sont une spcification HTTP qui permet de maintenir la connexion ouverte pour excuter plusieurs requtes HTTP, par exemple lorsqu'un navigateur charge dans sa fentre une page qui comporte plusieurs lments graphiques. Les connexions persistantes sont actives par dfaut et il n'est, sauf de trs rares exceptions, pas judicieux de dsactiver celles-ci.

www.espaceista.sup.fr

Page 33 sur 33