Internet Information Server 5.0 . Administration und Praxisbeispiele [1. Aufl.] 3-8272-6019-1 [PDF]


161 82 5MB

German Pages 567 Year 2001

Report DMCA / Copyright

DOWNLOAD PDF FILE

Table of contents :
Internet Information Server 5.0......Page 2
Kapitel 1 Merkmale von Internet Information Server 5.0......Page 4
Kapitel 3 Administration von Websites und FTP-Sites......Page 5
Kapitel 7 Anwendungen konfigurieren......Page 6
Kapitel 8 Sicherheit......Page 7
Kapitel 12 Replikation und Clusterunterstützung......Page 8
Kapitel 14 IIS programmgesteuert administrieren......Page 9
Kapitel 16 Active Server Pages......Page 10
Referenz für den Administrator......Page 11
Referenz für ADSI......Page 12
Stichwortverzeichnis......Page 13
Einleitung......Page 14
Teil I: Verwaltung......Page 16
Kapitel 1: Merkmale von Internet Information Server 5.0......Page 18
Die neuen Merkmale von IIS 5.0: Eine Einführung......Page 19
Digestauthentifizierung......Page 20
Sicherheitsassistenten......Page 21
Prozesskontenführung......Page 22
Programmierbarkeit......Page 23
ADSI 2.0......Page 24
SMTP- und NNTP-Dienste......Page 25
Fazit......Page 26
Kapitel 2: Verwaltung von Websites......Page 28
Funktionen zur Websiteverwaltung bei IIS 5.0......Page 29
Programme zur Erstellung von Websites......Page 30
ASP zur Websiteverwaltung nutzen......Page 31
Basisverzeichnisse......Page 35
Verknüpfungen umleiten......Page 37
Umleitung zu einem Verzeichnis......Page 38
Umleitung zu einem Programm......Page 39
Ablauf der Gültigkeit......Page 40
Klassifikation von Inhalten......Page 42
Fußzeilen......Page 43
Server-Side Includes (SSI)......Page 45
Includes aktivieren......Page 46
Referenz: Server-Side Includes......Page 48
Fazit......Page 52
Teil II: Administration......Page 54
Kapitel 3: Administration von Websites und FTP- Sites......Page 56
Einführung......Page 57
Sites starten und beenden......Page 59
Sites hinzufügen......Page 63
FTP-Verzeichnisse, Meldungen und Ausgabeformate......Page 68
Websites benennen......Page 71
IIS erneut starten......Page 73
Voreinstellungen ändern......Page 76
IIS-Einstellungen sichern und wiederherstellen......Page 78
Konten für Website-Operatoren......Page 81
Fazit......Page 82
Kapitel 4: Administration von SMTP- und NNTP-Diensten......Page 84
Eigenschaften des SMTP-Dienstes......Page 85
Verzeichnisse des SMTP-Dienstes......Page 86
Mailverarbeitung......Page 87
SMTP-Dienst verwalten......Page 88
Der NNTP-Dienst......Page 116
Konfiguration des NNTP-Dienstes......Page 118
NNTP warten und überwachen......Page 126
NNTP-Probleme beheben......Page 130
Fazit......Page 131
Kapitel 5: Publizieren mit WebDAV......Page 132
Was ist WebDAV?......Page 133
Erstellung eines WebDAV-Verzeichnisses......Page 134
Verwaltung der WebDAV-Sicherheit......Page 135
WebDAV-Verzeichnisse durchsuchen......Page 138
Publizieren mit Windows 2000......Page 142
Publizieren mit dem Internet Explorer 5.0......Page 143
Publizieren mit Office 2000......Page 144
Fazit......Page 145
Kapitel 6: Namensauflösung......Page 146
Namensauflösung bei IIS 5.0......Page 147
Registrierung eines Internetdomänennamens......Page 154
Netzwerkidentität eines Computers überprüfen......Page 155
Fazit......Page 159
Kapitel 7: Anwendungen konfigurieren......Page 160
Anwendungskonfiguration bei IIS......Page 161
Anwendungen erstellen......Page 164
Zuordnungen vornehmen......Page 166
Anwendungen zwischenspeichern......Page 171
Skript-Timeout in CGI......Page 172
ASP-Skriptdateien zwischenspeichern......Page 173
Isolierte Anwendungen entladen......Page 174
ASP-Anwendungen konfigurieren......Page 175
CGI-Anwendungen konfigurieren......Page 176
Fazit......Page 177
Kapitel 8: Sicherheit......Page 180
Den IIS-Server sichern......Page 181
Checkliste Sicherheit......Page 182
Authentifizierung......Page 184
Authentifizierung implementieren und konfigurieren......Page 185
Standarddomäne für die Anmeldung......Page 189
Zugriffssteuerung......Page 191
Dateien mit NTFS sichern......Page 193
NTFS-Berechtigungen für Dateien und Verzeichnisse......Page 195
Zugriff gewähren oder verweigern......Page 196
Webserverberechtigungen......Page 199
Datenbankzugriff steuern......Page 202
Verschlüsselung......Page 203
Verschlüsselung aktivieren......Page 205
SSL konfigurieren......Page 207
Die Sicherheits-Assistenten verwenden......Page 208
Serverzertifikate erwerben......Page 209
Zertifikatsvertrauenslisten......Page 214
Clientzertifikate......Page 215
Zertifikate Benutzerkonten zuordnen......Page 218
Überwachung......Page 223
Fazit......Page 229
Kapitel 9: Benutzerdefinierte Fehlermeldungen......Page 232
Fehlermeldungen erstellen und einsetzen......Page 234
Detaillierte Fehlermeldungen aktivieren......Page 238
Fazit......Page 239
Kapitel 10: Aktivitäten von Sites protokollieren......Page 242
Das Format »Microsoft IIS«......Page 243
Das Format »W3C-erweitert«......Page 244
Das Format »ODBC«......Page 245
Protokollierung aktivieren......Page 246
Überwachung der Prozessorauslastung......Page 248
Erweiterte Einstellungen für das Protokoll »W3C-erweitert«......Page 249
Protokolldateien speichern......Page 252
Fazit......Page 254
Kapitel 11: Leistungsoptimierung......Page 256
IIS-Leistung optimieren......Page 257
Speicherverwaltung......Page 262
Prozessorauslastung......Page 266
Netzwerkkapazität......Page 269
Verbindungen auswählen......Page 271
Berechnung der Verbindungsleistung......Page 272
Beschränkung der Bandbreite......Page 273
HTTP-Keep-Alives......Page 275
HTTP-Komprimierung......Page 276
Fazit......Page 279
Kapitel 12: Replikation und Clusterunterstützung......Page 280
Clustering einer Netzwerkanwendung......Page 281
Clustering – warum?......Page 283
Netzwerklastenausgleich installieren......Page 285
Netzwerklastenausgleich konfigurieren......Page 286
Problembehebung beim Netzwerklastenausgleich......Page 290
Replikation......Page 291
Replikationsprogramme......Page 292
Warum Daten replizieren?......Page 293
Eine DFS- Freigabe für die Replikation konfigurieren......Page 294
Fazit......Page 295
Kapitel 13: Administrationsskripts......Page 296
Arbeiten mit den IIS-Administrationsskripts......Page 297
adsutil - das Verwaltungs-Skriptprogramm......Page 298
disptree - Verwaltungsbaumstruktur anzeigen......Page 300
mkw3site - Website erstellen......Page 301
mkwebdir - virtuelles Webverzeichnis erstellen......Page 302
stopweb - Webserver beenden......Page 303
stopsrv - Server beenden......Page 304
startweb - Webserver starten......Page 305
pauseweb - Webserver anhalten......Page 306
pausesrv - Server anhalten......Page 307
contweb - Webserver fortsetzen......Page 308
contftp - FTP-Server neu starten......Page 309
chaccess - Zugriffsbeschränkungen ändern......Page 310
Fazit......Page 311
Kapitel 14: IIS programmgesteuert administrieren......Page 314
IIS mit Objekten und ADSI administrieren......Page 315
Die IIS-Metabasis......Page 316
Struktur......Page 317
Vererbung von Eigenschaften......Page 318
IIS Admin Objects......Page 319
ADSI......Page 320
Administrative Tasks......Page 322
Fazit......Page 325
Kapitel 15: Remoteadministration......Page 326
Remoteadministration über das Internet......Page 327
Eine neue Website erstellen......Page 335
Remoteadministration im Intranet......Page 336
Fazit......Page 339
Teil III: Anwendungsentwicklung......Page 342
Kapitel 16: Active Server Pages......Page 344
ASP-Seiten erstellen......Page 347
Skriptsprachen......Page 352
Variablen und Konstanten......Page 354
Clientseitige Skriptinteraktion......Page 356
Prozeduren......Page 358
Anzahl der Elemente in einer Auflistung bestimmen......Page 360
Verarbeitung von Benutzereingaben......Page 361
Komponenten und Objekte......Page 363
COM-Objekte in ASP benutzen......Page 364
Objektbereich Sitzung......Page 365
Inhalte senden......Page 366
Die Methode......Page 367
Dateien übermitteln......Page 368
Sitzungen verwalten......Page 369
Das Objekt......Page 370
Auf Datenquellen zugreifen......Page 371
ODBC-Datenquelle auswählen......Page 372
Über eine Webseite auf die Datenbank zugreifen......Page 374
Transaktionen......Page 377
Skriptdebugging......Page 378
Integrierte ASP-Objekte......Page 379
Fazit......Page 380
Kapitel 17: Installierbare ASP-Komponenten......Page 382
Übersicht......Page 383
Eigenschaften......Page 385
Die Komponente 'Browser Capabilities'......Page 386
Die Inhaltsplandatei......Page 393
Die Komponente 'Counters'......Page 394
Fazit......Page 412
Referenz für den Administrator......Page 414
Globale Einträge......Page 415
Dienstspezifische Einträge......Page 417
Einträge für den WWW-Dienst......Page 418
Einträge für den FTP-Dienst......Page 421
Metabasis......Page 422
Ereignisse in Bezug auf den WWW-Dienst......Page 423
Ereignisse in Bezug auf die FTP-Dienste......Page 430
Ereignisse in Bezug auf Active Server Pages......Page 431
Referenz zu Leistungsindikatoren......Page 439
Beschreibungen der Leistungsindikatoren......Page 442
Referenz zu Timeouts......Page 448
Referenz zu den Protokollierungseigenschaften......Page 449
Referenz zur Umleitung......Page 452
Referenz für IIS Admin Objects......Page 454
IIsCertMapper......Page 455
IIsCompressionSchemes......Page 459
IIsCompressionScheme......Page 460
IIsComputer......Page 461
IIsCustomLogModule......Page 466
IIsFilter......Page 467
IIsFilters......Page 468
IIsFtpInfo......Page 469
IIsFtpServer......Page 470
IIsFtpService......Page 473
IIsFtpVirtualDir......Page 475
IIsIPSecurity......Page 476
IIsLogModule......Page 481
IIsLogModules......Page 482
IIsMimeType......Page 483
IIsWebDirectory......Page 485
IIsWebFile......Page 494
IIsWebInfo......Page 495
IIsWebServer......Page 496
IIsWebService......Page 501
IIsWebVirtualDir......Page 505
Konstanten......Page 508
Referenz für ADSI......Page 510
ADSI-Methoden......Page 511
Eigenschaften von ADSI-Containerobjekten......Page 517
Methoden von ADSI-Containerobjekten......Page 518
Unter IIS 5.0 entfernte Eigenschaften......Page 521
Neue Eigenschaften unter IIS 5.0......Page 522
Änderungen bei den Eigenschaften unter IIS 5.0......Page 523
Skriptreferenz......Page 524
Referenz: @-Anweisungen......Page 525
Referenz für die Datei......Page 528
Anwendungsereignisse......Page 529
Sitzungsereignisse......Page 531
-Deklarationen......Page 533
'TypeLibrary'-Deklarationen......Page 534
Beispiele für die programmgesteuerte Administration......Page 536
Sicherung der Metabasis......Page 537
Wiederherstellen der Metabasis......Page 541
Fazit......Page 544
A......Page 546
C......Page 548
D......Page 549
F......Page 551
G......Page 552
I......Page 553
L......Page 555
N......Page 556
O......Page 557
P......Page 558
R......Page 559
S......Page 560
T......Page 562
V......Page 563
W......Page 564
Z......Page 565
Papiere empfehlen

Internet Information Server 5.0 . Administration und Praxisbeispiele [1. Aufl.]
 3-8272-6019-1 [PDF]

  • 0 0 0
  • Gefällt Ihnen dieses papier und der download? Sie können Ihre eigene PDF-Datei in wenigen Minuten kostenlos online veröffentlichen! Anmelden
Datei wird geladen, bitte warten...
Zitiervorschau

internet information server 5.0 gerry o’brien

übersetzt von christian alkemper

administration und praxisbeispiele new technology Markt+Technik Verlag

Die Deutsche Bibliothek – CIP-Einheitsaufnahme Ein Titeldatensatz für diese Publikation ist bei Der Deutschen Bibliothek erhältlich. Die Informationen in diesem Produkt werden ohne Rücksicht auf einen eventuellen Patentschutz veröffentlicht. Warennamen werden ohne Gewährleistung der freien Verwendbarkeit benutzt. Bei der Zusammenstellung von Texten und Abbildungen wurde mit größter Sorgfalt vorgegangen. Trotzdem können Fehler nicht vollständig ausgeschlossen werden. Verlag, Herausgeber und Autoren können für fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Für Verbesserungsvorschläge und Hinweise auf Fehler sind Verlag und Herausgeber dankbar. Autorisierte Übersetzung der amerikanischen Originalausgabe: Microsoft IIS 5 Administration, © 2000 by Sams Publishing Alle Rechte vorbehalten, auch die der fotomechanischen Wiedergabe und der Speicherung in elektronischen Medien. Die gewerbliche Nutzung der in diesem Produkt gezeigten Modelle und Arbeiten ist nicht zulässig. Fast alle Hardware- und Softwarebezeichnungen, die in diesem Buch erwähnt werden, sind gleichzeitig auch eingetragene Warenzeichen oder sollten als solche betrachtet werden. Umwelthinweis: Dieses Buch wurde auf chlorfrei gebleichtem Papier gedruckt. Die Einschrumpffolie – zum Schutz vor Verschmutzung – ist aus umweltverträglichem und recyclingfähigem PE-Material.

10 9 8 7 6 5 4 3 2 1 04 03 02 01

ISBN 3-8272-6019-1 © 2001 by Markt+Technik Verlag, ein Imprint der Pearson Education Deutschland GmbH, Martin-Kollar-Straße 10–12, D-81829 München/Germany Alle Rechte vorbehalten Lektorat: Angelika Ritthaler, [email protected] Deutsche Übersetzung: Christian Alkemper, Karlsruhe Herstellung: Ulrike Hempel, [email protected] Satz: reemers publishing services gmbh, Krefeld, www.reemers.de Druck und Verarbeitung: Freiburger Graphische Betriebe, Freiburg Printed in Germany

Inhaltsverzeichnis Einleitung

15

Teil I:

Verwaltung

17

Kapitel 1

Merkmale von Internet Information Server 5.0

19

1.1 1.2 1.2.1 1.2.2 1.2.3 1.2.4 1.2.5 1.2.6 1.2.7 1.3 1.3.1 1.3.2 1.3.3 1.3.4 1.3.5 1.3.6 1.3.7 1.3.8 1.4 1.4.1 1.4.2 1.4.3 1.5 1.5.1 1.5.2 1.5.3

20 21 21 21 21 22 22 22 22 23 23 23 23 23 24 24 24 24 24 25 25 25 26 26 26 26

Die neuen Merkmale von IIS 5.0: Eine Einführung Sicherheit Secure Sockets Layer (SSL) Server Gated Cryptography (SGC) Digestauthentifizierung Ausschluss von IP- und Domänennamen Kerberos Version 5 Zertifikatsspeicherung Sicherheitsassistenten Administration Zentralisierte Administration Neustart von IIS Sicherung und Wiederherstellung Prozesskontenführung Prozessbeschränkung Benutzerdefinierte Fehlermeldungen Remoteverwaltung Terminaldienste Programmierbarkeit ASP Anwendungsschutz ADSI 2.0 Unterstützung von Internetstandards Unterstützte Standards Mehrere Sites WebDAV

6

Inhaltsverzeichnis

1.5.4 1.5.5 1.5.6 1.5.7 1.6 Kapitel 2

SMTP- und NNTP-Dienste PICS FTP-Wiederaufnahme HTTP-Komprimierung Fazit

26 27 27 27 27

Verwaltung von Websites

29

2.1 2.2 2.3 2.4 2.4.1 2.4.2 2.5 2.5.1 2.5.2 2.6 2.6.1 2.6.2 2.7 2.8 2.8.1 2.8.2 2.8.3 2.9

30 31 32 36 36 38 38 39 40 41 41 43 44 46 47 49 49 53

Funktionen zur Websiteverwaltung bei IIS 5.0 Programme zur Erstellung von Websites ASP zur Websiteverwaltung nutzen Verzeichnisse Basisverzeichnisse Virtuelle Verzeichnisse Verknüpfungen umleiten Umleitung zu einem Verzeichnis Umleitung zu einem Programm Inhalte Ablauf der Gültigkeit Klassifikation von Inhalten Fußzeilen Server-Side Includes (SSI) Includes aktivieren #include-Anweisung verwenden Referenz: Server-Side Includes Fazit

Teil II:

Administration

55

Kapitel 3

Administration von Websites und FTP-Sites

57

3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8

58 60 64 69 72 74 77 77

Einführung Sites starten und beenden Sites hinzufügen FTP-Verzeichnisse, Meldungen und Ausgabeformate Websites benennen IIS erneut starten Unterstützung von Hostheadernamen Voreinstellungen ändern

Inhaltsverzeichnis

3.9 3.10 3.11 3.12 Kapitel 4

Kapitel 6

Kapitel 7

IIS-Einstellungen sichern und wiederherstellen Konten für Website-Operatoren Abwärtskompatible Siteadministrierung Fazit

Administration von SMTP- und NNTP-Diensten 4.1 4.1.1 4.1.2 4.1.3 4.1.4 4.2 4.2.1 4.2.2 4.2.3 4.3

Kapitel 5

7

Arbeiten mit dem virtuellen Server für SMTP Eigenschaften des SMTP-Dienstes Verzeichnisse des SMTP-Dienstes Mailverarbeitung SMTP-Dienst verwalten Der NNTP-Dienst Konfiguration des NNTP-Dienstes NNTP warten und überwachen NNTP-Probleme beheben Fazit

79 82 83 83 85 86 86 87 88 89 117 119 127 131 132

Publizieren mit WebDAV

133

5.1 5.2 5.3 5.4 5.5 5.5.1 5.5.2 5.5.3 5.6

134 135 136 139 143 143 144 145 146

Was ist WebDAV? Erstellung eines WebDAV-Verzeichnisses Verwaltung der WebDAV-Sicherheit WebDAV-Verzeichnisse durchsuchen Dateien publizieren und verwalten Publizieren mit Windows 2000 Publizieren mit dem Internet Explorer 5.0 Publizieren mit Office 2000 Fazit

Namensauflösung

147

6.1 6.2 6.3 6.4

148 155 156 160

Namensauflösung bei IIS 5.0 Registrierung eines Internetdomänennamens Netzwerkidentität eines Computers überprüfen Fazit

Anwendungen konfigurieren

161

7.1

162

Anwendungskonfiguration bei IIS

8

Inhaltsverzeichnis

7.2 7.3 7.4 7.5 7.5.1 7.5.2 7.5.3 7.6 7.7 7.8 7.9 7.10 7.11 Kapitel 8

Anwendungen erstellen Zuordnungen vornehmen Anwendungen isolieren Anwendungen zwischenspeichern Skript-Timeout in CGI ISAPI-Erweiterungen zwischenspeichern ASP-Skriptdateien zwischenspeichern Isolierte Anwendungen entladen ASP-Anwendungen konfigurieren ASP-Debugging CGI-Anwendungen konfigurieren ISAPI-Filter Fazit

165 167 172 172 173 174 174 175 176 177 177 178 178

Sicherheit

181

8.1 8.2 8.3 8.3.1 8.3.2 8.4 8.4.1 8.4.2 8.4.3 8.4.4 8.4.5 8.5 8.5.1 8.5.2 8.6 8.6.1 8.6.2 8.6.3 8.6.4 8.6.5 8.6.6 8.6.7 8.7 8.8

182 183 185 186 190 192 194 196 197 200 203 204 206 208 208 208 209 210 215 216 219 224 230 230

Den IIS-Server sichern Checkliste Sicherheit Authentifizierung Authentifizierung implementieren und konfigurieren Standarddomäne für die Anmeldung Zugriffssteuerung Dateien mit NTFS sichern NTFS-Berechtigungen für Dateien und Verzeichnisse Zugriff gewähren oder verweigern Webserverberechtigungen Datenbankzugriff steuern Verschlüsselung Verschlüsselung aktivieren Verschlüsselungsstärke Zertifikate SSL konfigurieren Die Sicherheits-Assistenten verwenden Serverzertifikate erwerben Zertifikatsvertrauenslisten Clientzertifikate Zertifikate Benutzerkonten zuordnen Überwachung IPSec Fazit

Inhaltsverzeichnis

Kapitel 9

Kapitel 10

Kapitel 11

Kapitel 12

9

Benutzerdefinierte Fehlermeldungen

233

9.1 9.2 9.3 9.4

235 239 240 240

Fehlermeldungen erstellen und einsetzen Detaillierte Fehlermeldungen aktivieren Verarbeitung von ASP-Fehlern Fazit

Aktivitäten von Sites protokollieren

243

10.1 10.1.1 10.1.2 10.1.3 10.1.4 10.2 10.3 10.4 10.5 10.6 10.7

244 244 245 245 246 247 249 250 253 255 255

Aktivitäten auf Ihrem IIS-Server protokollieren Das Format »Microsoft IIS« Das Format »NCSA allgemein« Das Format »W3C-erweitert« Das Format »ODBC« Protokollierung aktivieren Überwachung der Prozessorauslastung Erweiterte Einstellungen für das Protokoll »W3C-erweitert« Protokolldateien speichern Protokolldateien in das NCSA-Format konvertieren Fazit

Leistungsoptimierung

257

11.1 11.2 11.3 11.4 11.4.1 11.4.2 11.4.3 11.4.4 11.4.5 11.4.6 11.5

258 263 267 270 272 273 274 276 276 277 280

IIS-Leistung optimieren Speicherverwaltung Prozessorauslastung Netzwerkkapazität Verbindungen auswählen Berechnung der Verbindungsleistung Beschränkung der Bandbreite Beschränkungen und Timeouts von Verbindungen HTTP-Keep-Alives HTTP-Komprimierung Fazit

Replikation und Clusterunterstützung

281

12.1 12.1.1 12.1.2 12.1.3

282 284 286 287

Clustering einer Netzwerkanwendung Clustering – warum? Netzwerklastenausgleich installieren Netzwerklastenausgleich konfigurieren

10

Inhaltsverzeichnis

12.1.4 12.1.5 12.2 12.2.1 12.2.2 12.2.3 12.2.4 Kapitel 13

Kapitel 14

Problembehebung beim Netzwerklastenausgleich Fazit Replikation Replikationsprogramme Warum Daten replizieren? Eine DFS-Freigabe für die Replikation konfigurieren Fazit

291 292 292 293 294 295 296

Administrationsskripts

297

13.1 13.1.1 13.1.2 13.1.3 13.1.4 13.1.5 13.1.6 13.1.7 13.1.8 13.1.9 13.1.10 13.1.11 13.1.12 13.1.13 13.1.14 13.1.15 13.1.16 13.1.17 13.1.18 13.1.19 13.2

298 299 301 301 302 302 303 304 305 306 306 307 307 307 308 309 309 310 310 311 312

Arbeiten mit den IIS-Administrationsskripts adsutil – das Verwaltungs-Skriptprogramm dispnode -Verwaltungsknoten anzeigen disptree – Verwaltungsbaumstruktur anzeigen findweb – Website suchen mkw3site – Website erstellen mkwebdir – virtuelles Webverzeichnis erstellen stopweb – Webserver beenden stopsrv – Server beenden stopftp – FTP-Server beenden startweb – Webserver starten startsrv – Server starten startftp – FTP-Server starten pauseweb – Webserver anhalten pausesrv – Server anhalten pauseftp – FTP-Server anhalten contweb – Webserver fortsetzen contserv – Server neu starten contftp – FTP-Server neu starten chaccess – Zugriffsbeschränkungen ändern Fazit

IIS programmgesteuert administrieren

315

14.1 14.2 14.2.1 14.2.2

316 317 318 319

IIS mit Objekten und ADSI administrieren Die IIS-Metabasis Struktur Schlüsselnamen und Pfade

Inhaltsverzeichnis

14.2.3 14.2.4 14.3 14.3.1 14.3.2 14.3.3 14.4 Kapitel 15

11

Vererbung von Eigenschaften Sicherheit und Zuverlässigkeit IIS Admin Objects Übersicht ADSI Administrative Tasks Fazit

319 320 320 321 321 323 326

Remoteadministration

327

15.1 15.1.1 15.2 15.2.1 15.3

328 336 337 340 340

Remoteadministration über das Internet Eine neue Website erstellen Remoteadministration im Intranet Verzeichnissicherheit eines Remoteservers mit der MMC ändern Fazit

Teil III:

Anwendungsentwicklung

343

Kapitel 16

Active Server Pages

345

16.1 16.2 16.2.1 16.2.2 16.3 16.4 16.4.1 16.5 16.6 16.6.1 16.7 16.7.1 16.7.2 16.7.3 16.8 16.8.1 16.9 16.10 16.10.1

348 353 355 357 359 361 361 362 364 365 366 366 366 367 367 368 369 370 370

ASP-Seiten erstellen Skriptsprachen Variablen und Konstanten Clientseitige Skriptinteraktion Prozeduren Auflistungen Anzahl der Elemente in einer Auflistung bestimmen Verarbeitung von Benutzereingaben Komponenten und Objekte COM-Objekte in ASP benutzen Der Objektbereich Objektbereich Seite Objektbereich Sitzung Objektbereich Anwendung Inhalte senden Die Methode Redirect Dateien übermitteln Sitzungen verwalten Das Objekt Session

12

Inhaltsverzeichnis

16.11 16.11.1 16.11.2 16.12 16.13 16.14 16.15 Kapitel 17

Anhang A

Auf Datenquellen zugreifen ODBC-Datenquelle auswählen Über eine Webseite auf die Datenbank zugreifen Transaktionen Skriptdebugging Integrierte ASP-Objekte Fazit

372 373 375 378 378 380 380

Installierbare ASP-Komponenten

383

17.1 17.1.1 17.1.2 17.2 17.3 17.4 17.4.1 17.5 17.6 17.7 17.8 17.9 17.10 17.11 17.12 17.13 17.14

384 384 386 387 391 394 394 395 398 399 399 407 407 409 410 412 413

Die Komponente Ad Rotator Übersicht Eigenschaften Die Komponente Browser Capabilities Die Komponente Content Linking Die Komponente Content Rotator Die Inhaltsplandatei Die Komponente Counters Die Komponente Datenbankzugriff Die Komponente Dateizugriff Die Komponente IIS-Protokollierung Die Komponente MyInfo Die Komponente Page Counter Die Komponente Permission Checker Die Komponente Status Die Komponente Tools Fazit

Referenz für den Administrator

415

A.1 A.1.1 A.1.2 A.1.3 A.1.4 A.2 A.3 A.3.1 A.3.2 A.3.3

416 416 418 419 422 423 424 424 431 432

Registrierung Globale Einträge Dienstspezifische Einträge Einträge für den WWW-Dienst Einträge für den FTP-Dienst Metabasis Windowsereignisse für IIS Ereignisse in Bezug auf den WWW-Dienst Ereignisse in Bezug auf die FTP-Dienste Ereignisse in Bezug auf Active Server Pages

Inhaltsverzeichnis

A.4 A.4.1 A.5 A.6 A.7 Anhang B

Anhang C

13

Referenz zu Leistungsindikatoren Beschreibungen der Leistungsindikatoren Referenz zu Timeouts Referenz zu den Protokollierungseigenschaften Referenz zur Umleitung

440 443 449 450 453

Referenz für IIS Admin Objects

455

B.1 B.2 B.3 B.4 B.5 B.6 B.7 B.8 B.9 B.10 B.11 B.12 B.13 B.14 B.15 B.16 B.17 B.18 B.19 B.20 B.21 B.22 B.23

456 460 461 462 467 468 469 470 471 474 476 477 482 483 484 484 486 495 496 497 502 506 509

IIsCertMapper IIsCompressionSchemes IIsCompressionScheme IIsComputer IIsCustomLogModule IIsFilter IIsFilters IIsFtpInfo IIsFtpServer IIsFtpService IIsFtpVirtualDir IIsIPSecurity IIsLogModule IIsLogModules IIsMimeMap IIsMimeType IIsWebDirectory IIsWebFile IIsWebInfo IIsWebServer IIsWebService IIsWebVirtualDir Konstanten

Referenz für ADSI

511

C.1 C.2 C.3 C.4 C.5 C.5.1

512 512 518 519 522 522

ADSI-Objekteigenschaften ADSI-Methoden Eigenschaften von ADSI-Containerobjekten Methoden von ADSI-Containerobjekten Änderungen an ADSI unter IIS 5.0 Leistungsmerkmale von IIS 5.0

14

Inhaltsverzeichnis

C.5.2 C.5.3 C.5.4 C.5.5 Anhang D

Anhang E

Unter IIS 5.0 entfernte Eigenschaften Neue Eigenschaften unter IIS 5.0 Änderungen bei den Eigenschaftstypen Änderungen bei den Eigenschaften unter IIS 5.0

522 523 524 524

Skriptreferenz

525

D.1 D.2 D.2.1 D.2.2 D.2.3 D.2.4

526 529 530 532 534 535

Referenz: @-Anweisungen Referenz für die Datei global.asa Anwendungsereignisse Sitzungsereignisse -Deklarationen TypeLibrary-Deklarationen

Beispiele für die programmgesteuerte Administration

537

E.1 E.2 E.3

538 542 545

Sicherung der Metabasis Wiederherstellen der Metabasis Fazit

Stichwortverzeichnis

547

Einleitung

Willkommen zu unserem neuen Titel »Internet Information Server 5.0«. Dieses Buch richtet sich an Fortgeschrittene und Experten und soll das notwendige Hintergrundwissen vermitteln, um für Microsofts neueste Windows 2000-Webserversoftware eine optimale Leistung bei höchsten Sicherheitsstandards zu erzielen. Sie finden in diesem Buch Informationen über den Internet Information Server 5.0 (im folgenden kurz als »IIS 5.0« bezeichnet), der unter Windows 2000 Server ausgeführt wird. In der Version 4.0 war IIS dem Serverbetriebssystem vorbehalten, während Benutzer von Windows NT Workstation mit dem Personal Web Server (PWS) vorlieb nehmen mussten. Diese Trennung wurde mit IIS 5.0 aufgehoben, welcher nun auf beiden Plattformen läuft. Zwar ist die von NT Workstation her bekannte Begrenzung auf zehn Benutzer unter Windows 2000 Professional immer noch vorhanden, aber IIS 5.0 ist weitaus leistungsfähiger und sicherer als PWS. Auch wenn die Beschreibungen in diesem Buch in erster Linie auf Windows 2000 Server abzielen, so finden Sie hier doch eine Menge Ansätze, die Sie auch unter Windows 2000 Professional anwenden können. Wann immer im Verlauf dieses Buches Beispiele oder Beschreibungen gegeben werden, wird zusätzlich erwähnt, wo Eigenheiten von IIS-Installationen unter Windows 2000 Professional oder Unterschiede zur Serverinstallation vorliegen. Wenn Sie von diesem Buch profitieren wollen, dann sollten Sie – davon gehe ich aus – IIS 5.0 bereits installiert haben oder zumindest in der Lage sein, dies zu tun. Standardmäßig wird IIS bei der Installation von Windows 2000 Server ohnehin gleich mitinstalliert, bei Windows 2000 Professional ist dies jedoch nicht der Fall. Ich hoffe, dass die in diesem Buch vorgestellten Informationen bei Ihrer täglichen Arbeit als IIS 5.0-Administrator für Sie selbst und Ihre Organisation von großem Nutzen sind. Gerry O'Brien

Teil I

Verwaltung Kapitel 1 Kapitel 2

Merkmale von Internet Information Server 5.0 Verwaltung von Websites

Kapitel 1 Merkmale von Internet Information Server 5.0 1.1 1.2 1.3 1.4 1.5 1.6

Die neuen Merkmale von IIS 5.0: Eine Einführung Sicherheit Administration Programmierbarkeit Unterstützung von Internetstandards Fazit

20 21 23 24 26 27

20

Die neuen Merkmale von IIS 5.0: Eine Einführung

Im Internet Information Server 5.0 wurden nicht nur viele bereits in früheren Versionen vorhandene Funktionen verbessert und optimiert, sondern es wurden auch eine Reihe neuer Features implementiert. Dieses Kapitel stellt Ihnen die allgemeinen Merkmale von IIS 5.0 vor. Wir werden dann später in den jeweiligen Kapiteln genauer darauf eingehen.

1.1

Die neuen Merkmale von IIS 5.0: Eine Einführung Wie jede andere Softwarefirma versucht Microsoft seine Produkte ständig zu verbessern. Dies gilt natürlich auch für den Internet Information Server. Ob Verbesserungen aus Sicherheitsgründen, zur Leistungsverbesserung, oder als Reaktion auf Kundenwünsche vorgenommen werden – am Ende profitiert in jedem Fall der Benutzer. Änderungen, die an einem Softwareprodukt vorgenommen werden, reflektieren sowohl Kundenwünsche als auch Vorschläge, die bei Microsoft selbst aufkamen. Sie werden es nicht glauben, aber bei Microsoft werden tatsächlich die eigenen Produkte verwendet, und man hat dort umfassende Testlabors eingerichtet, um diese Produkte auf Herz und Nieren zu prüfen. Sie werden feststellen, dass IIS 5.0 die meisten, wenn nicht alle Merkmale beinhaltet, die bereits bei IIS 4.0 vorhanden waren. Aber Microsoft hat auch einiges an Neuheiten hinzugefügt, die hier vorgestellt und im Laufe dieses Buches näher erklärt werden. Vielleicht können Sie das eine oder andere neue Feature von IIS 5.0 gut gebrauchen, vielleicht auch nicht – Sie werden als IIS-Administrator allein schon dadurch profitieren, dass Sie wissen, was diese Funktionen können und wie sie benutzt werden. Dank der neuen Sicherheitsmerkmale können Sie von den modernsten Verschlüsselungstechnologien und Authentifizierungsmethoden profitieren, die mit clientund serverseitigen Zertifikaten arbeiten. Banken und Buchhalter werden SGC (Server Gated Cryptography, serverüberwachte Verschlüsselung) zu schätzen wissen, denn damit sind Transaktionen mit einer 128-Bit-Verschlüsselung auf der Exportseite möglich. Wie Sie im Laufe dieses Buches noch sehen werden, hat man sich bei Microsoft auch Gedanken zur Leistungsverbesserung und zur Vereinfachung der Administration gemacht. In diesem Kapitel werden wir einige neue Features von IIS 5.0 vorstellen und Ihnen zeigen, wie Sie als IIS-Administrator diese Features nutzen können.

Kapitel 1 • Merkmale von Internet Information Server 5.0

1.2

21

Sicherheit Wenn Computer mit dem Internet verbunden werden, haben Sicherheitsbedenken meist eine sehr hohe Priorität, ja vielleicht sogar die höchste. In letzter Zeit konzentrieren sich die Bemühungen der Hacker auf Microsofts Betriebssysteme und Softwareprodukte, die der Herstellung von Internetverbindungen dienen. Zu den bereits vorhandenen Sicherheitsfunktionen wurden beim IIS 5.0 noch einige neue hinzugefügt, die Ihnen dabei helfen sollen, die Angriffe von Hackern abzuwehren und die Datensicherheit zu gewährleisten.

1.2.1

Secure Sockets Layer (SSL) Eine der Möglichkeiten, die Ihnen bei der Sicherung Ihrer Daten hilft, ist die Verwendung der Protokolle SSL 3.0 und TLS (Transport Layer Security, Transportschichtsicherheit). Mit Hilfe dieser Protokolle sind eine sichere Datenübertragung zwischen Client und Server und eine Verifizierung des Clients durch den Server vor der Benutzeranmeldung möglich. Ein weiteres neues Merkmal ist die Verwendung von Clientzertifikaten. Diese können durch Programmierer von ASP-Anwendungen und ISAPIs zur Nachverfolgung von Benutzern verwendet werden, die die Website besuchen. Ferner lassen sich Clientzertifikate auch in Verbindung mit Benutzerkonten auf dem System verwenden, wodurch der Administrator die Benutzerkonten den Zertifikaten zuordnen kann. Hierdurch ist eine Kontrollmöglichkeit für den Zugriff auf Serverressourcen gegeben.

1.2.2

Server Gated Cryptography (SGC) Wenn man sich die Ausbreitung von E-Commerce und Finanztransaktionen über das Internet ansieht, dann muss SGC als großartige Neuerung für Ihren Webserver betrachtet werden. Als Erweiterung von SSL gestattet es die wahlweise Verwendung der 40-Bit-Standardverschlüsselung oder der 128-Bit-Verschlüsselung durch IIS-Versionen, die für den außeramerikanischen Markt hergestellt werden. Dadurch wird der Bedarf an mehreren IIS-Versionen verringert. Auch wenn SGC in IIS 5.0 integriert ist, müssen Sie trotzdem ein spezielles SGCZertifikat verwenden, um es benutzen zu können.

1.2.3

Digestauthentifizierung Ein weiteres neues Merkmal von IIS ist die Digestauthentifizierung. Durch Implementierung dieser Funktion können Administratoren ihre Benutzer sicher über Firewalls und Proxyserver hinweg authentifizieren. Um jene zu beruhigen, die mit anonymer Authentifizierung, HTTP-Basisauthentifizierung und der NT-Abfrage/Antwort-Authentifizierung vertraut sind: Die gibt's auch bei IIS 5.0.

22

1.2.4

Sicherheit

Ausschluss von IP- und Domänennamen Wenn Sie über einen Mailserver verfügt haben oder verfügen, der mit dem Internet verbunden ist, dann sind Sie mit Sicherheit schon einmal in die beschämende und frustrierende Situation geraten, dass Ihr Server als Verteiler für Spammer und Hacker benutzt wurde. IIS 5.0 kann jetzt verhindern, dass Benutzer mit bekannten IP-Adressen und/oder aus bekannten Internetdomänen unberechtigten Zugriff auf Ihren Server erhalten, denn diese Daten können Sie nun in eine Restriktionsliste eingeben. Beachten Sie dabei, dass Sie die IP-Adressen der auszuschließenden Domäne kennen müssen; ferner lässt sich die Funktion auch nicht automatisieren, d.h. Sie müssen die entsprechenden Einstellungen in jedem Fall vornehmen, damit alles klappt.

1.2.5

Kerberos Version 5 Windows 2000 implementiert dieses Authentifizierungsprotokoll, mit dem Sie Anmeldeinformationen über angeschlossene Windows-Computer weiterleiten können. In IIS 5.0 ist Kerberos 5 integriert.

1.2.6

Zertifikatsspeicherung Die Speicherung Ihrer IIS-Zertifikate ist nun in die CryptoAPI-Speicherung von Windows integriert. Sie können die Zertifikatverwaltung von Windows zur Sicherung, Speicherung und Konfiguration Ihrer Zertifikate verwenden.

1.2.7

Sicherheitsassistenten Wenn Ihnen die Sicherheitsadministration Ihres IIS-Servers abschreckend und schwierig erscheint, dann fassen Sie Mut, denn Microsoft hat den Zaghaften unter uns nun Sicherheitsassistenten an die Seite gestellt, die Ihnen den Job etwas einfacher gestalten. •

Eine Neuheit von IIS 5.0 ist die Möglichkeit, Zugriffsberechtigungen für virtuelle Verzeichnisse und sogar Dateien zu erstellen. Mit dem Assistenten für die Erstellung von Berechtigungen wird diese Aufgabe drastisch vereinfacht und der Assistent kann sogar Ihre NTFS-Berechtigungen aktualisieren, um diese Änderungen umzusetzen.



Mit dem Assistenten für Webserverzertifikate können Sie Zertifikatsanforderungen leichter erstellen und Zertifikate effektiver verwalten.



Wenn Sie mit Zertifizierungsstellen Arbeiten, können Sie Ihre CTLs (Certificate Trust Lists, Zertifikatsvertrauenslisten) mit dem Assistenten für Zertifikatsvertrauenslisten spielend einfach verwalten.

Kapitel 1 • Merkmale von Internet Information Server 5.0

1.3

23

Administration IIS 5.0 bietet auch eine ganze Reihe neuer Verwaltungsfunktionen. Nachfolgend werden diese aufgelistet und kurz beschrieben; im Verlauf dieses Buches soll dann näher auf die einzelnen Funktionen eingegangen werden.

1.3.1

Zentralisierte Administration Jene Leser, die von IIS 4.0 auf die neue Version umsteigen, werden die MMC (Microsoft Management Console) bereits kennen. Zur Erläuterung für alle anderen: Die MMC ist eine allgemeine Verwaltungskonsole, die so genannte Snap-Ins verwendet, um die verschiedenen Dienste und Komponenten administrieren zu können. Durch die Verwendung des IIS-Snap-Ins können Sie andere IIS-Server von Ihrer Windows 2000-Workstation (unter Professional oder Server) aus verwalten. Sie müssen sich also nicht zu jedem zu administrierenden Server begeben.

1.3.2

Neustart von IIS In der Vergangenheit war es so, dass bei tiefgreifenden Änderungen an der IISKonfiguration der Server neu gestartet werden musste. Unter IIS 5.0 ist es nun möglich, den Dienst einfach ohne Systemboot neu zu starten. Sie können den Server wahlweise über das MMC-Snap-In oder über eine Befehlszeileneingabe neu starten. Die Vorgehensweise wird an anderer Stelle näher erläutert.

1.3.3

Sicherung und Wiederherstellung Haben Sie jemals Änderungen an Ihrer IIS-Konfiguration vorgenommen, diese Änderungen überprüft und dabei den Dienst abgeschossen? Nun, unter IIS 5.0 können Sie Ihre Konfiguration jetzt sichern und später wiederherstellen, falls dies notwendig sein sollte.

1.3.4

Prozesskontenführung Angesichts der steigenden Verbreitung von CGI- und ASP-Skripts auf den Servern wäre es gut, wenn es eine Möglichkeit gäbe, die Auswirkungen solcher Skripte auf die Systemleistung zu verifizieren. Die Prozesskontenführung ist neu unter IIS 5.0 und bietet Ihnen genau diese Funktionalität, denn hiermit können Sie beobachten, welche Websites auf Ihrem Server wie viel CPU-Ressourcen für sich beanspruchen.

24

1.3.5

Programmierbarkeit

Prozessbeschränkung Nachdem Sie mit der Prozesskontenführung festgestellt haben, welche Website oder Skripte wie viel kostbare Rechnerleistung benötigen, können Sie die CPULeistung für bestimmte Prozessanwendungen beschränken. Diese Art der Prozessbeschleunigung limitiert die CPU-Zeit für eine Applikation, nicht jedoch die Netzwerkbandbreite. Die Beschränkung der Netzwerkbandbreite wird in Kapitel 11 beschrieben.

1.3.6

Benutzerdefinierte Fehlermeldungen IIS 5.0 bietet eine verbesserte Konfiguration benutzerdefinierter Fehlermeldungen, d.h. Sie können nun bei Fehlern noch aussagekräftigere Meldungen an Ihre Clients senden. Dank der Fähigkeit zur detaillierten Fehlerverarbeitung handelt es sich hierbei um eine großartige Funktion für ASP-Entwickler, die durch die Verwendung benutzerdefinierter 500-100.asp-Fehlermeldungen ermöglicht wird; auf der Grundlage dieser Meldungen können ASP-Entwickler eigene Fehlermeldungen erstellen.

1.3.7

Remoteverwaltung Da dieses Thema in letzter Zeit so heiß diskutiert wurde und noch wird, wurde der Remoteverwaltung in diesem Buch ein eigenes Kapitel gewidmet. Wir werden einen Blick auf die Möglichkeiten werfen, die IIS 5.0 beinhaltet, um Server von praktisch jedem beliebigen Webbrowser auf allen Plattformen administrieren zu können.

1.3.8

Terminaldienste Terminaldienste sind eigentlich ein Merkmal von Windows 2000 Server. Durch ihre Implementierung in das Betriebssystem können Sie nun 32-Bit-Anwendungen von jedem korrekt konfigurierten Client aus, der solche Anwendungen normalerweise nicht unterstützen würde, auf dem Server starten. Was das mit IIS zu tun hat? Nun, tatsächlich fällt diese Funktion in den Bereich »Remoteverwaltung«, denn sie gestattet Ihnen die Administrierung Ihres IISServers auf gleiche Weise, als würden Sie direkt davor sitzen.

1.4

Programmierbarkeit Dank des serverseitigen Skripting haben ASP und XML die Entwicklergemeinde im Sturm erobert, und deswegen ist es naheliegend, in Microsofts bedeutendste Internetplattform Programmierfunktionen zu integrieren.

Kapitel 1 • Merkmale von Internet Information Server 5.0

1.4.1

25

ASP Fast allen IIS-Administratoren ist der Begriff »ASP« (Active Server Pages) bereits geläufig. Hoffentlich trifft das auch auf Sie zu. ASP wurde bereits unter IIS 4.0 unterstützt und die Version 5.0 setzt diese Tradition fort. ASP ermöglicht Entwicklern und Webdesignern die Erstellung dynamischer, browserunabhängiger Websites, indem Anwendungen und Skripts auf dem Server anstatt auf dem Client ausgeführt werden. ASP-Entwickler müssen weder CGI noch ISAPI verwenden, sondern können einfach VBScript- oder JScript-Code in die HTML-Seite integrieren. Ferner haben sie auch vollständigen Zugriff auf die HTTP-Antwort- und Anforderungsdatenströme. Ein weiterer wesentlicher Vorteil von ASP ist die Möglichkeit der Datenbankanbindung. Neue ASP-Merkmale ASP hat unter IIS 5.0 ein paar Erweiterungen bekommen, darunter •

Flusskontrollfähigkeit bei der Weiterleitung von Anfragen,



leistungsoptimierte Objekte,



Fehlerbehandlung.

Weitere neue Merkmale sind in den Kapiteln 16 und 17 beschrieben, in denen es um ASP und seine installierbaren Komponenten geht.

1.4.2

Anwendungsschutz IIS ermöglicht es Ihnen, Anwendungen in verschiedenen Prozessen ausführen zu lassen. Standardmäßig führt IIS Anwendungen in einem Poolprozess aus, der vom IIS-Prozess getrennt ist. Dies ähnelt der Ausführung einer Out-of-ProcessAnwendung. Sie können auch lebenswichtige Anwendungen in einem eigenen Prozess ausführen, wo sie weder andere Anwendungen stören noch von anderen Anwendungen gestört werden.

1.4.3

ADSI 2.0 Entwickler können das ADSI (Active Directory Services Interface) nun dadurch erweitern, dass sie Providern benutzerdefinierte Objekte, Methoden und Eigenschaften zur Verfügung stellen. Dadurch haben Sie, falls Sie einen Bedarf an solchen Anpassungen haben, größere Flexibilität bei der Sitekonfiguration.

26

1.5

Unterstützung von Internetstandards

Unterstützung von Internetstandards Was bringt ein Internetserver, der die Standards des Internets nicht unterstützt? Nicht wirklich viel. Aus diesem Grund ist in IIS 5.0 die Unterstützung der gegenwärtigen Internetstandards implementiert.

1.5.1

Unterstützte Standards IIS ist kompatibel mit dem Standard HTTP 1.1, d.h. er unterstützt die Methoden put und delete, benutzerdefinierte Fehlermeldungen und benutzerdefinierte HTTP-Header.

1.5.2

Mehrere Sites Bei den Vorgängerversionen von IIS benötigten Sie für jede virtuelle Website, die auf Ihrem Server lag, eine eigene IP-Adresse. Unter IIS 5.0 hingegen können Sie mehrere Websites mit einer IP-Adresse erstellen und auf dem Server ablegen. (Diese nützliche Funktionalität reduziert Ihre Kosten, denn Sie müssen nun nicht mehrere IP-Adresse bei Ihrem Internetanbieter mieten.)

1.5.3

WebDAV WebDAV (Web Distributed Authoring and Versioning, über das Internet verteilte Erstellung und Versionsverwaltung) ermöglicht es Autoren, Dateien auf dem Webserver über eine HTTP-Verbindung zu manipulieren. Das bedeutet, Sie können Dateien in den WebDAV-Verzeichnissen auf dem Server über einen konventionellen Webbrowser, die Windows 2000-Netzwerkumgebung oder Microsoft Office 2000 kopieren, löschen oder bearbeiten. Ferner gestattet WebDAV Ihnen, eine Versionskontrolle von Dateien durchzuführen, indem Sperrmöglichkeiten bereitgestellt werden. Dadurch ist es möglich, dass mehrere Benutzer die gleiche Datei betrachten können, aber nur eine befugte Person diese Datei modifizieren kann. WebDAV verwendet dabei die Sicherheitsfunktionen von IIS und dem NTFSDateisystem von Windows 2000.

1.5.4

SMTP- und NNTP-Dienste IIS 5.0 kann mit diesen beiden Diensten im Internet oder in einem Intranet arbeiten. Dies ermöglicht es Ihnen, einen Newsgroupserver mit IIS unter Verwendung des NNTP-Protokolls zu hosten. Ein NNTP-Server erlaubt die Realisierung von Diskussionsgruppen sowohl in Ihrem internen Netzwerk oder WAN als auch über das Internet. Der SMTP-Dienst kann zum Senden und Empfangen von SMTP-Mails an Benutzer über das Internet oder Ihr Intranet verwendet werden. Diese Mails können in

Kapitel 1 • Merkmale von Internet Information Server 5.0

27

Form von Antworten an Clients gesendet werden, die mit Ihrer Website verbunden sind; die Funktion lässt sich aber auch zum Verschicken administrativer Warnmeldungen an Webadministratoren benutzen. Hinweis Der zu IIS 5.0 gehörende NNTP-Dienst ist nicht als Push- oder Pullserver für Nachrichten in Ihrer Organisation gedacht, sondern für Intranetdiskussionsforen.

1.5.5

PICS PICS (Platform for Internet Content Selection Ratings, Plattform zur Bewertung von Internetinhalten) ermöglicht Ihnen die Klassifizierung Ihrer Websites für den Fall, dass solche Klassifizierungen vom Client angefordert werden. Beispielsweise können über PICS Inhalte klassifiziert werden, die nicht für Minderjährige geeignet sind.

1.5.6

FTP-Wiederaufnahme Ein weiterer langersehnter Neuzugang bei IIS 5.0 ist die FTP-Wiederaufnahme, die die Fortsetzung eines unterbrochenen FTP-Downloads ermöglicht. Auf diese Weise müssen Client oder Benutzer den Download nicht von vorne beginnen, wenn dieser unterbrochen wurde.

1.5.7

HTTP-Komprimierung Wenn bei Ihren Servern und Clients die Komprimierung aktiviert ist, dann erzielen Sie dank dieser HTTP-Komprimierung kürzere Übertragungszeiten. Statische Dateien können zum schnelleren Zugriff komprimiert und zwischengespeichert werden und IIS kann auf Verlangen auch eine Komprimierung dynamisch generierter Seiten vornehmen.

1.6

Fazit In diesem Kapitel wurden Ihnen eine Menge neuer oder modifizierter Funktionen von IIS 5.0 vorgestellt. Diese neuen Merkmale und Erweiterungen verbessern die Leistung, erhöhen die Sicherheit und optimieren die Administrierbarkeit von IIS 5.0. Alle hier erwähnten Funktionen werden in den nun folgenden Kapiteln detailliert erläutert.

Kapitel 2 Verwaltung von Websites 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9

Funktionen zur Websiteverwaltung bei IIS 5.0 Programme zur Erstellung von Websites ASP zur Websiteverwaltung nutzen Verzeichnisse Verknüpfungen umleiten Inhalte Fußzeilen Server-Side Includes (SSI) Fazit

30 31 32 36 38 41 44 46 53

30

Funktionen zur Websiteverwaltung bei IIS 5.0

Sie werden mir vermutlich zustimmen, wenn ich behaupte, dass sich eine Menge getan hat, seit wir unsere ersten Websites ins Internet gestellt haben. Ich weiß noch, wie ich Design und Layout meiner ersten Homepage in aller Eile auf jenem Webserver zusammenpfuschte, damit die große weite Internetwelt sie sehen konnte. Eine Menge Leute hatten die gleiche Idee, und deswegen sah man überall kleine Bauarbeiter mit der Unterschrift »Under Construction«! Damals legte ich meine Webseiten auf dem Server meines Internetproviders ab. Das tue ich übrigens noch heute – sage und schreibe 5 Mbyte Festplattenspeicher stellt mir mein Provider für eine Visitenkarte im Netz zur Verfügung. Das meiste, was dort gespeichert ist, ist in Visual Basic geschrieben. Aber wenn man sich dieses Szenario betrachtet – eine Website, die auf dem Server eines Internetproviders liegt –, dann scheint das zwar auf den ersten Blick ausreichend. Und doch fehlt etwas in diesem Bild: Die Möglichkeit, die Site genauso zu verwalten, wie wir das wollen! Die meisten Provider verwenden UNIX-Server und auch eine Menge LinuxServer sind vorhanden. Ferner gibt es Webspaceprovider, die Festplattenspeicher und zugehörige Dienste zu durchaus angemessenen Preisen anbieten – diese basieren dann auf UNIX, NetWare oder Windows NT. Die Zahl der Anbieter, die mit FrontPage Server Extensions arbeiten, nimmt zu, und so können Sie Ihre Websites vom Arbeitszimmer oder Büro aus erstellen und administrieren. Aber immer noch auf den Servern eines Providers. Das mag für Einzelbenutzer, den Mittelstand und Selbstständige, die vielleicht nur ein oder zwei Seiten als »Visitenkarte« im Web benötigen, ausreichend sein, aber Sie lesen dieses Buch schließlich, weil Sie als IIS-Administrator für eine große Organisation arbeiten und für die Erstellung und Wartung vollständiger und oft sehr komplexer Websites verantwortlich sind, die häufig mehr Festplattenkapazität benötigen als die Anwendungen eines Durchschnittsbenutzers. Leistungsoptimierung, höchste Sicherheit und bestmögliche Nutzung des investierten Kapitals genießen bei IIS-Administratoren höchste Priorität. Dieses Kapitel befasst sich mit der Verwaltung Ihres IIS 5.0-Servers für Web-, FTP-, SMTP- und NNTP-Dienste. Sie finden hier Informationen, die Ihnen dabei helfen sollen, das Beste aus IIS 5.0 herauszuholen.

2.1

Funktionen zur Websiteverwaltung bei IIS 5.0 Wenn Sie bei der Verwaltung Ihrer Website erfolgreicher und effizienter arbeiten wollen (und wer will dies nicht), können Sie eine Reihe von Verwaltungsfunktionen von IIS 5.0 benutzen. Sie können nicht nur Ihr Basisverzeichnis administrieren, sondern auch relativ einfach virtuelle Verzeichnisse erstellen und verwalten. Virtuelle Verzeichnisse erlauben es Ihnen, Ihre Website aus einem beliebigen Verzeichnis auf dem Computer heraus zu veröffentlichen, auch wenn dieses nicht im Basisverzeichnis angegeben ist.

Kapitel 2 • Verwaltung von Websites

31

Die Verwaltung von IIS 5.0 beginnt immer mit dem Aufruf der MMC (Microsoft Management Console). Abbildung 2.1 zeigt das Snap-In INTERNET-INFORMATIONSDIENSTE, das zur Administrierung verwendet wird.

Abb. 2.1: Das Snap-In INTERNET-INFORMATIONSDIENSTE – der zentrale Anlaufpunkt bei der Verwaltung von IIS 5.0

2.2

Programme zur Erstellung von Websites Zwar enthält IIS 5.0 keinerlei Programme, mit denen Sie Websites gestalten können, aber er ermöglicht Ihnen trotzdem das Hosting von Seiten, die auf vielerlei Art und Weise erstellt wurden. Eine der am häufigsten verwendeten Methoden ist FrontPage. Microsoft FrontPage ist Bestandteil von Microsoft Office 2000 (zumindest in der Premium Edition). Dieses Webdesign-Programm mit WYSIWYG-Ansatz lässt sich hervorragend mit IIS 5.0 verknüpfen, was eigentlich nicht überraschend ist. Eine andere nette Funktion von FrontPage (und auch der Hauptgrund dafür, dass ich es verwende) ist die Möglichkeit, eine Website von einem entfernten Standort zu erstellen, sofern Sie die FrontPage Server Extensions installiert und die entsprechenden Berechtigungen gesetzt haben. FrontPage bietet verschiedene Ansichten für Struktur und Design einer Website an.

32

ASP zur Websiteverwaltung nutzen

Natürlich sind FrontPage und textbasierte Editoren nicht die einzigen Werkzeuge zur Erstellung von Websites. Und beim IIS ist es auch völlig unwesentlich, welches Programm Sie verwenden; dieser Webserver akzeptiert sie alle. Zu den Alternativen gehören andere Programme von Microsoft Office. Sie können Ihre Word-Dokumente ebenso veröffentlichen wie Excel-Tabellenblätter, Präsentationen aus dem Publisher und sogar Access-Datenbanken; verwenden Sie einfach die vielfältigen Konvertierungs- und Exportfunktionen dieser Anwendungen. Welches Programm Sie auch verwenden: Es tut gut zu wissen, dass IIS 5.0 sie alle mit offenen Armen empfangen wird.

2.3

ASP zur Websiteverwaltung nutzen Wenn Sie ASP hören, dann kommen Ihnen vielleicht zuerst dynamische Webseiten oder Datenbankanbindungen in den Sinn. Die Funktionalität von ASP wird durch die Verwendung von Skripts implementiert. Sie können VBScript (ein Abkömmling von Visual Basic) oder auch JScript verwenden, welches auf der Entwicklungssprache Java von Sun Microsystems basiert. (Wie immer an dieser Stelle: Verwechseln Sie JScript nicht mit JavaScript.) ASP verwendet zwei Arten von Skripts, nämlich serverseitige und clientseitige. Wie Sie zu Recht annehmen, werden serverseitige Skripts auf dem Server und clientseitige im Webbrowser des Clients ausgeführt. Hinweis Auch wenn nicht jeder Browser auf der Clientseite VBScript unterstützt: Befürchten Sie nicht, jetzt JScript erlernen zu müssen, wenn Sie alle Browsertypen abdecken wollen. Sie können VBScript auf der Serverseite verwenden und plattformunabhängige Skripts erzeugen, die nur HTMLCode an den Client schicken. Dadurch wird der Bedarf an mehreren Versionen einer Seite reduziert. Ich kann Ihnen sicher nicht in ein oder zwei Kapiteln dieses Buches alles beibringen, was Sie über ASP wissen müssen; das Thema füllt sicher allein ein Buch für sich. Ich kann Ihnen jedoch so viel zeigen, dass Sie für die Erfüllung der Verwaltungsaufgaben, von denen hier die Rede sein wird, ASP verwenden können. Skripts, die auf dem Server ausgeführt werden, werden im HTML-Code der Seite abgelegt und sind von den öffnenden und schließenden Tags und eingefasst. Ferner müssen Sie am Anfang der Seite – vor allen anderen Elementen – die Skriptsprache spezifizieren (siehe Listing 2.1).



Kapitel 2 • Verwaltung von Websites

33

Seitenname



Beispiel für die Schriftgröße

Listing 2.1: Einfache ASP-Seite (9640Font.asp)

Listing 2.1 zeigt einen kurzen Quellcode, bestehend aus dem HTML-Basiscode und ein wenig ASP-Code in VBScript, der die Schriftgröße von 1 bis 5 vergrößert. Auch wenn ASP ein großartiges Werkzeug für den Datenzugriff und andere bereits genannte Funktionen ist (wir werden uns damit noch umfassend in Kapitel 16 beschäftigen), können Sie es auch für triviale Aufgaben bei der Webserververwaltung einsetzen. Eines der schönsten Dinge, die ich immer wieder bei Websites sehe, sind Navigationsleisten, die eine seitenübergreifende Konsistenz aufweisen. Microsoft FrontPage ermöglicht so etwas mit Hilfe der Themen, die mit dem Programm ausgeliefert werden. Wenn Sie Ihre Seiten mit einem textbasierten Editor erstellen, können Sie den gleichen Effekt recht einfach mit ASP oder Frames erzielen. Ich werde Ihnen an dieser Stelle die ASP-Implementation erläutern. Der erste Schritt besteht darin, eine Seite zu erstellen, die den für die Navigationsleiste benötigten HTML-Code enthält. Als Nächstes erstellen Sie Ihre Hauptseiten in HTML und verwenden die ASP-Anweisung #include, um die Navigationsleiste in Ihre Seiten einzubinden. ASP kann das mit einer einzigen Zeile:

Dies ist die Homepage

Das ist der Hauptteil der Seite.



Hier befindet sich die Navigationsleiste.

Dies ist unsere Kontaktseite!

Gerry O'Brien – [email protected]

Markt und Technik – http://www.mut.de

 

 



Formatiert wird der Parameter parameter. Hier gibt es drei Möglichkeiten: •

ERRMSG. Hiermit können Sie die Fehlermeldungen steuern, die an den Client gesendet werden. Wenn bei der Verarbeitung einer Anweisung ein Fehler auftritt, dann enthält die Fehlermeldung je nach Fehler unterschiedliche Debuginformationen. Sie können aber auch eine benutzerdefinierte Meldung im Parameter zeichenkette festlegen, die statt dessen an den Client gesendet wird, so etwa:

50

Server-Side Includes (SSI)

Bei dieser Formatierung wird das Datum als MM/TT/JJ angezeigt. •

SIZEFMT. Ersetzen Sie den Parameter zeichenkette durch eine der beiden folgenden Optionen: ABBREV          BYTE        

variable bestimmt dabei die Variable, die Sie einfügen wollen. Die folgenden Werte sind hierfür gültig: •

ALL_HTTP. Beinhaltet HTTP-Header, die nicht bereits in andere Variablen eingelesen wurden. Diese bestehen aus Zeichenketten mit der Endung NULL. Einzelne Header sind durch Zeilenwechsel voneinander getrennt.



AUTH_PASSWORD. Diese Variable ist nur für die Standardauthentifizierung vor-

handen. Sie enthält den Wert, den der Client im Dialogfeld AUTHENTIFIZIEeingegeben hat.

RUNG



AUTH_TYPE. Diese Variable zeigt den verwendeten Authentifizierungstyp an –

etwa Standardauthentifizierung oder integrierte Authentifizierung. Wenn die Variable leer ist, wurde keine Authentifizierung verwendet. •

AUTH_USER. Der Wert Benutzer, der im Dialogfeld CLIENTAUTHENTIFIZIERUNG

eingegeben wurde. •

CONTENT_LENGTH. Anzahl der Bytes, die das Skript vom Client erwartet.



CONTENT_TYPE. Art der Daten, die über die Methode POST angefordert werden.

Kapitel 2 • Verwaltung von Websites

51



DOCUMENT_NAME. Name der aktuellen Datei.



DOCUMENT_URI. Der virtuelle Pfad der aktuellen Datei (falls vorhanden)



DATE_GMT. Leitet das aktuelle Datum mit Bezug auf die GMT-Zeit (Greenwich Mean Time) weiter.



DATE_LOCAL. Entspricht DATE_GMT, nur mit Bezug auf die lokale Zeit.



GATEWAY_INTERFACE. Die Revision der vom Server verwendeten CGI-Spezifika-

tion. •

HTTP_ACCEPT. Eine spezieller HTTP-Header. Wenn Sie mehrere accept-Fälle haben, dann werden diese durch Kommata getrennt.



LAST_MODIFIED. Gibt das Datum zurück, an dem das Dokument zum letzten Mal

geändert wurde. •

PATH_INFO. Beinhaltet alle zusätzlichen Pfaddaten, die der Client zurückgege-

ben hat. •

PATH_TRANSLATED. Erweitert unter Verwendung von PATH_INFO den virtuellen

Pfad (falls vorhanden) in eine vollständige Verzeichnisangabe. •

QUERY_STRING. Beinhaltet die Informationen, die dem ? im zurückgegebenen

URL folgten, z.B. Formularfelddaten, die an .asp-Skripts weitergegeben werden. •

QUERY_STRING_UNESCAPED. Eine Version der Zeichenkettenabfrage, die nicht

URL-kodiert ist. •

REMOTE_ADDR. IP-Adresse des Clients, der die Anfrage gesendet hat.



REMOTE_HOST. Hostname des Clients, der die Anfrage gesendet hat.



REMOTE_USER. Der vom Client gesendete und vom Server authentifizierte Be-

nutzername. Bei anonymen Anmeldungen bleibt diese Variable leer. •

REQUEST_METHOD. Die HTTP-Anforderungsmethode.



SCRIPT_NAME. Name des ausgeführten Skripts.



SERVER_NAME. Der Hostname oder die IP-Adresse des Servers .



SERVER_PORT. Der Anschluss, über den die Anforderung empfangen wurde.



SERVER_PORT_SECURE. Wenn die Anfrage an einem sicheren Anschluss empfan-

gen wird, gibt diese Variable den Wert 1 zurück, ansonsten 0. •

SERVER_PROTOCOL. Name und Version des bei der Anforderung verwendeten Protokolls, also in der Regel HTTP/1.0.

52

Server-Side Includes (SSI)



SERVER_SOFTWARE. Name und Version der Webserversoftware, die auf die Anforderung antwortet.



URL. Der reine URL ohne weitere Parameter.

#exec Diese Anweisung können Sie verwenden, um auf dem Webserver eine Anwendung oder einen Systembefehl ausführen zu lassen. Wie auch die Anweisung #config kann diese Anweisung nur in HTML-Dateien, nicht aber in .asp-Dateien benutzt werden. Syntax:

pfadtyp bestimmt, ob es sich hierbei um einen virtuellen oder einen realen Pfad handelt. Die Werte lauten: •

FILE. Pfad, der auf das Verzeichnis verweist, in dem die Datei gespeichert ist.



VIRTUAL. Pfad eines virtuellen Verzeichnisses auf dem Server.

Kapitel 2 • Verwaltung von Websites

53

Der Parameter dateiname bezeichnet den Namen der Datei, von der Sie wissen wollen, wann diese zum letzten Mal modifiziert wurde. #fsize Diese Anweisung bewirkt, dass der Server die Größe der angegebenen Datei in die HTML-Seite einfügt. Diese Anweisung kann nur in HTML-Dateien, nicht aber in .asp-Dateien benutzt werden. Syntax:

Auch hier weist pfadtyp wieder darauf hin, ob ein realer oder ein virtueller Pfad vorliegt. dateiname bezeichnet die einzufügende Datei. Hinweis Es soll auch an dieser Stelle noch einmal darauf hingewiesen werden, dass in jedem Fall eine der Dateierweiterungen .stm, shtm oder shtml zu verwenden ist. Dies gilt jedoch nicht für den Fall, dass Sie unter den ANWENDUNGSZUORDNUNGEN eine andere Erweiterung zugeordnet haben.

2.9

Fazit Zur Verwaltung einer Website gehört mehr als nur die Erstellung und Aktualisierung der HTML-Dateien, die auf dem Server vorhanden sind. Durch die Verwendung von ASP-Code in Form von VBScript oder JScript können Sie die Bearbeitung alltäglicher Aufgaben weitaus effizienter gestalten. Wichtig ist außerdem die Umleitung von Anfragen, falls Clients verschobene oder gelöschte Seiten auf dem Server anfordern. Durch Verwendung der Klassifizierungsmöglichkeiten von IIS 5.0 können Sie Ihren Besuchern die Möglichkeit bieten, bestimmte Seiten inhaltsbezogen auszufiltern.

54

Fazit

Ferner haben Sie gesehen, wie sich Server-Side Includes nutzen lassen, um Daten zu erhalten oder zurückzugeben, die sich auf bestimmte Dateien und Dokumente beziehen, mit denen Ihr Server arbeitet.

Teil II

Administration Kapitel Kapitel Kapitel Kapitel Kapitel Kapitel Kapitel Kapitel Kapitel Kapitel Kapitel Kapitel Kapitel

3 4 5 6 7 8 9 10 11 12 13 14 15

Administration von Websites und FTP-Sites Administration von SMTP- und NNTP-Diensten Publizieren mit WebDAV Namensauflösung Anwendungen konfigurieren Sicherheit Benutzerdefinierte Fehlermeldungen Aktivitäten von Sites protokollieren Leistungsoptimierung Replikation und Clusterunterstützung Administrationsskripts IIS programmgesteuert administrieren Remoteadministration

Kapitel 3 Administration von Websites und FTP-Sites 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 3.10 3.11 3.12

Einführung Sites starten und beenden Sites hinzufügen FTP-Verzeichnisse, Meldungen und Ausgabeformate Websites benennen IIS erneut starten Unterstützung von Hostheadernamen Voreinstellungen ändern IIS-Einstellungen sichern und wiederherstellen Konten für Website-Operatoren Abwärtskompatible Siteadministrierung Fazit

58 60 64 69 72 74 77 77 79 82 83 83

58

3.1

Einführung

Einführung In diesem Kapitel werden wir alle Aufgaben und Probleme besprechen, die bei der Administration von Websites und FTP-Sites auf Ihrem IIS-Servers auftreten können. Wenn Sie Ihre FTP- oder Website erstellt und auf den Server übertragen haben, werden Sie feststellen, dass die Administration der Site eine Menge Ressourcen verbraucht. Es wäre schön, wenn IIS die Verwaltungsaufgaben selbst ausführen könnte – man will ja nicht immer nur babysitten. Es ist aber ein weiter Weg, bis Ihre FTP- und Websites vollständig fehlerfrei arbeiten. Auch wenn sich nicht alle potentiellen Fehlschläge und Probleme voraussehen und verhindern lassen, so können Sie trotzdem dafür sorgen, dass Ihr Server und Ihre Sites mit allerhöchster Effizienz arbeiten, indem Sie die Administrationsaufgaben ausführen, die in diesem Kapitel beschrieben werden. Die Administration ist bei IIS 4.0 und 5.0 von noch größerer Wichtigkeit, denn diese Webplattformen können mehrere virtuelle FTP- und Websites hosten. Es ist vergleichsweise einfach, einen Server zu überwachen und zu betreiben, auf dem genau eine Website mit einer IP-Adresse und einem Domänennamen vorhanden ist. Diese Aufgabe wird jedoch sehr zeitaufwändig und kompliziert, sobald Sie anfangen, virtuelle Websites hinzuzufügen. Es sind beim Hosting mehrerer Sites auf einem IIS 5.0-Server drei Szenarios denkbar. Das erste ist die Verwendung mehrerer Anschlüsse. Mit dem Internetdienst-Manager können Sie einer zweiten Site einen anderen als den Standardanschluss 80 zuweisen, d.h. diese Site wird dann als von der ersten unterschiedliche Site betrieben. Beachten Sie jedoch, dass in diesem Zusammenhang alle Clients wissen müssen, dass die Alternativsite über diesen zweiten Anschluss zu erreichen ist, denn standardmäßig sind alle Browser auf den Anschluss 80 eingestellt. Die zweite Möglichkeit, mehrere Sites auf einen Server zu legen, besteht darin, mehreren Netzwerkkarten unterschiedliche IP-Adressen zuzuweisen. Bei dieser Methode geht dem Server aber ziemlich schnell die Luft aus, da für die Konfiguration eine Menge Ressourcen benötigt werden. Bleibt eine dritte Methode, die bei IIS 5.0 neu ist und tatsächlich die beste Lösung darstellt. Sie können nämlich jetzt mit mehreren IP-Adressen und Domänennamen eine einzige Netzwerkkarte ansprechen, indem Sie Hostheadernamen verwenden. Diese Methode fußt darauf, dass IIS die notwendige Auswahl unter den vorhandenen Websites basierend auf den Daten vornimmt, die ihm im Header übergeben wurden und den gewünschten Host anzeigen. Hinweis Wenn Sie diese letztgenannte Methode verwenden wollen, um mehrere Sites im Internet (statt in einem Intranet) zur Verfügung zu stellen, dann müssen Sie die entsprechenden Domänennamen in jedem Fall zuvor bei einer Registrierungsstelle (InterNIC für internationale Domänen, DeNIC für .de-Domänen) eintragen zu lassen.

Kapitel 3 • Administration von Websites und FTP-Sites

59

Nun könnten Sie fragen: »Wie kann das Hosting mehrerer Websites auf einem einzelnen Server die Administrierung denn erleichtern?« Die Antwort liegt in der wunderbaren Idee der Delegierung. Wenn Sie mehrere Sites in einem Intranet haben – etwa für jede Abteilung eines Unternehmens –, dann können Sie die Wartung einer Site einem Mitglied der jeweiligen Abteilung übertragen. Jede Website, die derart konfiguriert ist, verhält sich so, als wäre sie völlig allein auf dem Server. Warnung An dieser Stelle zwei Mahnungen: Erstens können Sie die Methode mit dem Hostheader nicht für mehrere Sites verwenden, die SSL nutzen, denn die Daten werden ja verschlüsselt. Zweitens müssen Sie bedenken, dass ältere Browser Hostheadernamen nicht auf diese Weise unterstützen; die Clients müssen den Internet Explorer 3.0 bzw. Netscape 2.0 oder höher verwenden. Wie bereits mehrfach erwähnt, bearbeiten Sie die Einstellungen von IIS 5.0 und der zugehörigen Komponenten bevorzugt mit dem Internetdienste-Manager. Abbildung 3.1 zeigt einen Screenshot dieses Snap-Ins, das in der MMC ausgeführt wird.

Abb. 3.1: Der Internetdienste-Manager wird nun als MMC-Snap-In ausgeführt und dient in erster Linie der IIS-Administration

60

3.2

Sites starten und beenden

Sites starten und beenden Eines der ersten Dinge, die wir näher betrachten wollen, ist das Starten und Beenden von Sites. Wenn Sie eine Standardinstallation von IIS vorgenommen haben, dann werden Sie feststellen, dass die Web- und FTP-Dienste beim Hochfahren von Windows 2000 automatisch gestartet werden. Dies ist die Standardkonfiguration; bald werden Sie sehen, wie diese geändert werden kann. Indem Sie den WWW-Publishingdienst beenden, halten Sie eigentlich den IISDienst davon ab, Webseiten im Internet oder Intranet bereitzustellen. Ferner werden diese Dienste aus dem Speicher entladen, wodurch Ressourcen für andere Anwendungen frei werden. Sie können die Dienste aber auch anhalten. Wenn Sie die Internetdienste anhalten, akzeptiert der IIS keine neuen Verbindungen mehr; dies wirkt sich aber nicht auf bereits bestehende Verbindungen aus. Bei einer Dienstunterbrechung wird auch kein Speicher freigegeben, d.h. Sie können die Systemleistung auf diese Weise nicht verbessern. Es gibt grundsätzlich drei verschiedene Möglichkeiten, die Internetdienste zu beenden, nämlich •

über den Internetdienste-Manager,



über die Liste der Dienste (wird über das Applet Dienste aufgerufen),



über die Befehlszeile.

Die erste Methode – die Verwendung des Internetdienste-Managers – ist die leichteste: Öffnen Sie, soweit noch nicht geschehen, das Snap-In INTERNETINFORMATIONSDIENSTE. Abbildung 3.2 zeigt das Snap-In, wie es sich auf meinem Server darstellt: Wenn Sie eine aktive Site beenden wollen, klicken Sie einfach im linken Fensterbereich auf den Namen der Site und dann auf die Stoppschaltfläche in der Werkzeugleiste (das ist die als schwarzes Quadrat dargestellte). Vielleicht bemerken Sie nicht sofort einen Unterschied, denn die Aktualisierungsrate für die MMC-Anzeige ist standardmäßig nicht besonders hoch eingestellt; Sie können aber entweder im Menü VORGANG den Eintrag AKTUALISIEREN wählen oder die Funktionstaste F5 auf Ihrer Tastatur betätigen. Nachdem die Anzeige aktualisiert wurde, sollte rechts neben dem angehaltenen Dienst das Wort Beendet angezeigt werden. Wenn Sie eine Site oder einen Dienst wieder starten wollen, wählen Sie das entsprechende Element in der Liste und klicken dann auf die Startschaltfläche mit dem schwarzen Dreieck. Das Anklicken dieser Schaltfläche aktiviert gleichzeitig die Veröffentlichung des Dienstes durch die Site im Internet oder einem Intranet.

Kapitel 3 • Administration von Websites und FTP-Sites

61

Abb. 3.2: Die von Kassetten- und Videorecordern her bekannten Schaltflächen oben rechts in der Werkzeugleiste erlauben Ihnen das Starten, Beenden und Anhalten von Diensten

Wenn Sie die Pausenschaltfläche anklicken (dies ist die Schaltfläche mit den beiden senkrechten Strichen), wird eine gestartete Site angehalten; in diesem Fall nimmt der IIS keine neuen Verbindungen zum Dienst mehr an, vorhandene Verbindungen werden jedoch aufrecht erhalten. Die zweite Möglichkeit, Sites zu starten, zu beenden oder anzuhalten, ist die Verwendung des Applets DIENSTE. Sie finden dieses Applet in der Systemsteuerung unter VERWALTUNG (siehe Abbildung 3.3). Wenn Sie das Applet ausführen, erscheint ein Fenster ähnlich dem in Abbildung 3.4 gezeigten. In diesem Fenster wurde der WWW-Publishingdienst selektiert. Im rechten Fensterbereich werden der STATUS des Dienstes und der AUTOSTARTTYP angezeigt. In der Spalte STATUS wird angezeigt, ob ein Dienst ausgeführt wird (Gestartet), oder ob er beendet oder angehalten ist. In der Spalte AUTOSTARTTYP finden Sie Informationen darüber, wie mit dem Dienst beim Start des Betriebssystems verfahren wird; hier gibt es drei Möglichkeiten, nämlich Automatisch, Manuell oder Deaktiviert.

62

Sites starten und beenden

Abb. 3.3: Sie finden das Applet DIENSTE in der Systemsteuerung unter VERWALTUNG. Mit diesem Applet können Sie die auf Ihrem Server installierten Dienste verwalten.



Automatisch. Der Dienst wird bei jedem Start des Betriebssystems ohne weiteres Zutun gestartet. Diese Einstellung ist ideal, wenn Sie auf Ihrem Server einen automatischen Neustart beim Auftreten von Kernelmodusunterbrechungen (alias »Blue Screen of Death«) konfiguriert haben. Wenn nun ein solcher Fehler auftritt und Ihr Server neu startet, dann wird auch Ihr WWW-Dienst neu gestartet, sofern für ihn die Einstellung Automatisch vorgenommen wurde. Ihre Webseiten stehen anschließend sofort wieder bereit, ohne dass Sie etwas dafür tun müssten.



Manuell. Der Dienst muss manuell gestartet werden – etwa über ein Skript oder durch den Administrator. Alle hier aufgezählten Methoden können dazu verwendet werden.



Deaktiviert. Der Dienst kann durch nichts und niemanden gestartet werden – weder durch ein Skript noch von einer Anwendung. Nun, das ist natürlich etwas irreführend, denn natürlich ist es nicht so, dass ein Dienst, wenn Sie ihn einmal deaktiviert haben, niemals mehr gestartet werden könnte; Sie müssen vielmehr nur einen der Autostarttypen Automatisch oder Manuell einstellen – das war's schon.

Kapitel 3 • Administration von Websites und FTP-Sites

63

Abb. 3.4: Das Applet DIENSTE wird in einer der MMC ähnlichen Konsole ausgeführt. Hier haben Sie weitergehende Kontrolle über die Dienste auf Ihrem Computer.

Sie werden bei genauem Hinsehen feststellen, dass in Abbildung 3.4 eine zusätzliche Schaltfläche abgebildet ist, die im Internetdienste-Manager nicht vorhanden war. Die ganz rechts in der Werkzeugleiste neben der Pausenschaltfläche angezeigte Schaltfläche ist die Neustartschaltfläche. Wenn Sie diese Schaltfläche anklicken, dann führen Sie einen Vorgang aus, bei dem der gewählte Dienst angehalten und sofort wieder gestartet wird. Dies ist ideal in Situationen, in denen Sie eine Änderung an einem Dienst vorgenommen haben, die einen Neustart erforderlich macht. Ein Beispiel hierfür wäre das Hinzufügen oder Entfernen eines Website-Operators. Der dritte Ansatz für die Ausführung von Diensten ist der Aufruf der Dienstliste über die Befehlszeile. IIS unterstützt hierzu insgesamt neun Befehle: •

stopsrv hält den Server oder die in einer Liste spezifizierten Server an.



stopftp hält den FTP-Server an.



stopweb hält den Webserver an.



startsrv startet den Server.



startftp startet den FTP-Server.



startweb startet den Webserver.

64

Sites hinzufügen



pausesrv unterbricht den Server oder die in einer Liste spezifizierten Server.



pauseftp unterbricht den FTP-Server.



pauseweb unterbricht den Webserver.

Jeder diese Befehle kann auch über einen Remotecomputer oder – mit Hilfe des Befehls net – über das Netzwerk ausgeführt werden. Diese Befehle werden hier nur kurz erwähnt, da Syntax und Verwendung ausführlich in Kapitel 13 erläutert werden. Hinweis Wenn Sie eine Website mit Clustering betreiben, dann müssen Sie die Clusterverwaltung für das Starten und Stoppen der Clustersites verwenden. Weitere Informationen hierzu finden Sie in Kapitel 12.

3.3

Sites hinzufügen In der Standardinstallation ist IIS 5.0 für je eine Website, eine FTP-Site, eine SMTP-Site und eine NNTP-Site vorkonfiguriert. Das bedeutet nicht, dass Sie immer und überall mit dieser einen Site arbeiten müssen. Wie ich bereits erwähnte, können Sie mehrere virtuelle Sites auf demselben Computer erstellen. Dies ist eine tolle Sache, denn es erlaubt Ihnen etwa, für jede Abteilung Ihrer Organisation eine eigene Site im Intranet bereitzustellen. Auf diese Weise können etwa die Marketingabteilung, die Verwaltung und die Buchhaltung je eine eigene Web- und FTP-Site haben und niemand kommt sich mehr ins Gehege. Der erste Schritt zur Einrichtung mehrerer Sites auf Ihrem Server besteht in der Konfiguration der Standardbasisverzeichnisse. Diese Verzeichnisse können überall abgelegt werden, auf der lokalen Festplatte oder im Netzwerk. Sie müssen sie jedoch zuerst erstellen, da der Assistent, den wir im Verlaufe des Vorgangs verwenden, nach diesen Verzeichnissen fragt. Nehmen Sie einmal an, Sie wollen eine Website für die Marketingabteilung erstellen. Wahlweise mit dem Windows-Explorer oder über den Arbeitsplatz legen Sie also ein Verzeichnis an, das Sie Marketing nennen. Merken Sie sich, wo dieses Verzeichnis liegt; ich lege meine Verzeichnisse immer unter InetPub\wwwroot an, dort finde ich sie sofort. Wenn für die Marketingabteilung (oder auch jede andere Abteilung) bereits eine Website vorhanden ist, die nur noch auf einem Server abgelegt werden muss, dann können Sie diese mit Hilfe der Veröffentlichungsfunktionen des Webdesignprogramms auf Ihrem Server veröffentlichen, mit dem die Site ursprünglich erstellt wurde. Alternativ können Sie die gesamte Site natürlich auch einfach mit dem Windows-Explorer in das neue Verzeichnis kopieren. Starten Sie nun, sofern nicht bereits geschehen, den Internetdienste-Manager und selektieren Sie das Serversymbol im linken Fensterbereich (siehe Abbildung 3.5).

Kapitel 3 • Administration von Websites und FTP-Sites

65

Abb. 3.5: Das im Internetdienste-Manager selektierte Serversymbol meines Computers namens *COMPUTER. Von hier aus wird eine neue Site hinzugefügt.

Wählen Sie aus dem Menü VORGANG den Eintrag NEU/WEBSITE. Nun wird der ASSISTENT FÜR NEUE WEBSITE gestartet. Klicken Sie bei Anzeige des Einführungsbildschirms auf WEITER. Im ersten Dialogfeld (Abbildung 3.6) werden Sie darum gebeten, eine Beschreibung für die Site einzugeben. Diese Beschreibung zeigt Ihnen oder auch anderen Administratoren immer, um welche Website es sich handelt; sie wird im linken Fensterbereich angezeigt. Geben Sie hier irgendetwas ein, was mit dem Zweck der Site oder ihrem Inhalt in Zusammenhang steht, und klicken Sie dann auf die Schaltfläche WEITER. Nun wird das Dialogfeld zur Eingabe von IP-Adresse und Anschlusseinstellungen aufgerufen. Im in Abbildung 3.7 gezeigten Fenster habe ich die IP-Adresse meines Servers 192.168.5.1 angegeben, den Anschluss 80 belassen und den Hostheadernamen Marketing spezifiziert. In Abbildung 3.8 beispielsweise musste ich in die Adressleiste meines Browsers nur die Adresse http://Marketing eingeben und IIS wusste sofort, wohin meine Anfrage geleitet werden musste. Dies liegt an dem in Abbildung 3.7 definierten Hostheadernamen.

66

Sites hinzufügen

Abb. 3.6: Das Dialogfeld BESCHREIBUNG DER WEBSITE, in dem Sie eine Beschreibung eingeben müssen

Abb. 3.7: Im Dialogfeld IP-ADRESSE UND ANSCHLUSSEINSTELLUNGEN geben Sie die IPAdresse und die Anschlusseinstellungen der Website ein, die Sie erstellen; für virtuelle Sites wird außerdem ein Hostheadername angegeben

Kapitel 3 • Administration von Websites und FTP-Sites

67

Abb. 3.8: Sie können über IIS 5.0 virtuelle Websites direkt mit Hilfe des Hostheadernamens (statt eines Bandwurm-URLs) aufrufen

Hinweis Damit dies funktioniert, müssen Sie die Hostheaderdaten in Ihre DNSServereinstellungen oder Ihre hosts-Datei eintragen. Beispielsweise lautet der Eintrag, den ich in meiner hosts-Datei vorgenommen habe, wie folgt:   Klicken Sie nun im Fenster IP-ADRESSE UND ANSCHLUSSEINSTELLUNGEN auf WEITER, um zum Dialogfeld BASISVERZEICHNIS DER WEBSITE zu gelangen. Geben Sie den Pfad ein oder klicken Sie auf die Schaltfläche DURCHSUCHEN, um das Verzeichnis anzugeben, in dem die Website vorhanden sein soll (dies ist das Verzeichnis, das Sie anfangs erstellt haben). Lassen Sie das Kontrollkästchen ANONYMEN ZUGRIFF AUF DIESE WEBSITE ZULASSEN markiert, falls Sie anonymen Zugriff gestatten wollen, oder demarkieren Sie es, wenn Sie später bestimmte Benutzer festlegen wollen. Klicken Sie auf die Schaltfläche WEITER.

Nun wird das Dialogfeld ZUGRIFFSBERECHTIGUNGEN FÜR DIE WEBSITE (Abbildung 3.9) aufgerufen. Hier können sie die Berechtigungen für Clients einstellen, die auf die Site zugreifen. Möglich sind die folgenden Berechtigungen: •

Lesen. Ermöglicht es Clients, die Seiten der Site zu betrachten.



Skripts ausführen (z.B. ASP). Ermöglicht es Clients, Seiten anzufordern, die ASP-Code enthalten, und diesen Code dann ausführen zu lassen.

68

Sites hinzufügen



Ausführen (z.B. ISAPI-Anwendungen oder CGI). Ermöglicht die Ausführung von CGI-Skripts oder ISAPI-Anwendungen dieser Site.



Schreiben. Erlaubt den Clients das Hochladen, Löschen und Übertragen von Dateien in dieses Verzeichnis.



Durchsuchen. Ermöglicht es Clients, Verzeichnisse und Sammlungen zu durchsuchen.

Abb. 3.9: Das Dialogfeld ZUGRIFFSBERECHTIGUNGEN FÜR DIE WEBSITE dient zur Anzeige und Einstellung der Berechtigungen, die Sie der Website zuweisen wollen

Wenn Sie Ihre Auswahl vorgenommen haben, klicken Sie auf die Schaltfläche WEITER, um zur letzten Seite des Assistenten zu gelangen. Klicken Sie hier auf die Schaltfläche FERTIG STELLEN. Sie haben nun eine neue Website auf Ihrem Server abgelegt. Jetzt müssen Sie nur noch die zugehörigen Inhalte erstellen. FTP-Sites werden auf ähnliche Weise erstellt. Es gibt natürlich Unterschiede zwischen den beiden Sitetypen: Sie müssen beispielsweise für eine FTP-Site eine Verzeichnisstruktur erstellen, was mit dem Windows-Explorer erledigt werden kann. Wenn Sie im ASSISTENTEN ZUR FTP-SITE-ERSTELLUNG eine neue Site hinzufügen wollen, werden Sie aufgefordert, einen beschreibenden Namen für die FTPSite einzugeben und eine IP-Adresse, die Anschlussnummer und ein Basisverzeichnis auszuwählen. Der Assistent fordert Sie ferner zur Eintragung von

Kapitel 3 • Administration von Websites und FTP-Sites

69

Zugriffsberechtigungen für das Basisverzeichnis auf – hier können Sie Lesen und/ oder Schreiben angeben. Nachdem Sie dem Assistenten alle notwendigen Informationen gegeben haben, wird die FTP-Site erstellt und in der MMC-Konsole angezeigt. Sie können die Site anschließend konfigurieren.

3.4

FTP-Verzeichnisse, Meldungen und Ausgabeformate Um den Aufbau der FTP-Site nicht zu zerstören, benötigen Sie zuallererst eine Verzeichnisstruktur. Die Standard-FTP-Site enthält ein Verzeichnis namens ftproot. Diese Verzeichnis wird unter der FTP-Site in der MMC-Konsole nicht angezeigt, sondern nur dessen Unterverzeichnisse. Sie können zwar eine beliebige Verzeichnisstruktur erstellen, sollten sich aber vielleicht erst einmal ein paar Sites im Internet auf Gemeinsamkeiten hin überprüfen, um Ihre eigene Struktur dann auf ähnliche Art und Weise aufzubauen. Es gibt z.B. bei den meisten FTP-Sites ein Verzeichnis namens public, das für die anonyme Anmeldung freigegeben ist und öffentliche Dateien (beispielsweise Treiber oder Dokumentationen) enthält; häufig werden Sie auch auf ein Verzeichnis namens incoming oder upload stoßen, in das Dateien von Clients hochgeladen werden können. Sie können natürlich bei Bedarf auch andere Verzeichnisse erstellen. Fast jeder FTP-Server, den Sie im Internet besuchen, heißt Sie mit einer Meldung willkommen – so wissen die Besucher, dass sie sich mit einem bestimmten Server erfolgreich verbunden haben. In diese Begrüßungsmeldung sollten Sie auch Anweisungen – etwa zum Dateiupload – integrieren; Sie können hier sogar Gewährleistungsausschlüsse u.ä. einbauen, die sich auf den Dateidownload beziehen. Warnung Bedenken Sie, dass viele alte Browser keine Meldungen anzeigen können, die länger als eine Zeile sind. IIS 5.0 gestattet Ihnen auch die Eingabe einer Meldung, die bei der Abmeldung des Benutzers von der FTP-Site angezeigt wird; eine weitere Meldung kann angezeigt werden, wenn die maximale Anzahl an Verbindungen erreicht wurde. Um die Meldungen einzugeben, klicken Sie mit der rechten Maustaste auf die entsprechende FTP-Site in der MMC-Konsole und wählen den Menüeintrag EIGENSCHAFTEN. Aktivieren Sie anschließend die Registerkarte MELDUNGEN (Abbildung 3.10). In Abbildung 3.10 habe ich den Text eingegeben, der jedem Benutzer, der sich mit meinem FTP-Server verbindet, angezeigt wird. In Abbildung 3.11 ist dargestellt, was der Benutzer bei erfolgter Verbindung zu sehen bekommt.

70

FTP-Verzeichnisse, Meldungen und Ausgabeformate

Abb. 3.10: Die Registerkarte MELDUNGEN der EIGENSCHAFTEN VON STANDARD-FTPSITE, wo Sie Meldungen eingeben können, die den FTP-Benutzern angezeigt werden

Abb. 3.11: Der Begrüßungstext wird angezeigt, wenn ein Benutzer sich erfolgreich authentifiziert hat und auf die FTP-Site zugreifen kann

Kapitel 3 • Administration von Websites und FTP-Sites

71

Sie können das Ausgabeformat festlegen, das ein Benutzer zu sehen bekommt, wenn er ein Verzeichnislisting anfordert. Wenn der Clientcomputer den Befehl list an den Server sendet, antwortet dieser mit einer Inhaltsauflistung des gegenwärtigen Arbeitsverzeichnisses. Mit IIS können Sie festlegen, wie dieses Listing angezeigt wird – entweder im MS-DOS- oder im UNIX-Format. Abbildung 3.12 zeigt die MS-DOS-Ausgabe, Abbildung 3.13 das UNIX-Äquivalent.

Abb. 3.12: Anzeige des Verzeichnisinhalts im MS-DOS-Format (Standardeinstellung)

Abb. 3.13: IIS 5.0 kann das Arbeitsverzeichnis auch im UNIX-Format darstellen

72

Websites benennen

Hinweis Da Microsofts Webtechnologien praktisch permanent Angriffen von Hackern ausgesetzt sind, sollte Ihnen jedes Mittel recht sein, um solche Attacken abzuwehren. Zugegeben: Es gibt ein paar Hacker, die ihr »Handwerk« verstehen und auf sehr raffinierte Weise in Ihre FTP-Site eindringen können; aber Sie sollten ihnen das Leben nicht zu leicht machen. Die Verwendung des UNIX-Formats an dieser Stelle kann einige Hacker abwehren, weil der Header des Microsoft FTP-Dienstes bei der Anmeldung nicht angezeigt wird und sie nur das UNIX-Listing sehen. Dies könnte sie zu der Annahme verleiten, dass sie es mit einem UNIXoder Linux-Server zu tun haben. Ferner kann es auch vorkommen, dass einigen Benutzern kein Verzeichnislisting angezeigt wird, wenn diese die MS-DOS-Ausgabe verwenden. Aus diesen Gründen ist die UNIX-Ausgabe für Server, die als öffentliche Internet-FTP-Server verwendet werden sollen, quasi zwingend. Es gibt noch ein paar letzte Punkte anzumerken, bevor wir diesen Abschnitt abschließen. Wenn Sie die MS-DOS-Ausgabe verwenden, werden die Jahreszahlen nur zweistellig formatiert; im UNIX-Format werden hingegen vierstellige Jahreszahlen verwendet. Sie können die Standardeinstellung für das Anzeigeformat durch Aktivierung der Eigenschaft FtpDirBrowseShowLongDate metabase ändern. In Anhang B finden Sie weitere Informationen dazu, wie Sie diese Eigenschaft mit dem Objekt IIsFtpServer ändern.

3.5

Websites benennen Sie müssen Ihrer Website zwei Namen geben, nämlich eine Beschreibung und einen Hostheadernamen. Die Beschreibung ist der Name der Website, der im Internetdienste-Manager in der MMC angezeigt wird. Sie können diesen Namen ändern, indem Sie das Dialogfeld EIGENSCHAFTEN der Website öffnen und dann den gewünschten Text in das Feld BESCHREIBUNG eingeben, das sich auf der Registerkarte WEBSITE befindet. (Falls Sie der Website bereits bei der Erstellung einen beschreibenden Namen gegeben haben, müssen Sie dies hier nicht wiederholen, denn dann wurde die Site bereits automatisch benannt.) Ein Beispiel finden Sie in Abbildung 3.14. Wie bereits erwähnt, kann ein Benutzer den Hostheadernamen in die Adressleiste seines Browsers eingeben, um eine Verbindung mit einer virtuellen Website herzustellen. Wir haben dies bereits an der Website für die Marketingabteilung gezeigt, die den Hostheadernamen Marketing erhielt; die entsprechende IP/ Namenskombination wird in die Datei hosts eingetragen. (Sie können die Daten auch an einem DNS-Server angeben.)

Kapitel 3 • Administration von Websites und FTP-Sites

73

Abb. 3.14: Der markierte Eintrag zeigt die Beschreibung »Website für die Marketingabteilung«

Um einer Website einen Hostheadernamen zu geben, öffnen Sie das Dialogfeld EIGENSCHAFTEN der gewünschten Site. Klicken Sie hier auf die Schaltfläche WEITERE OPTIONEN im Abschnitt IDENTIFIZIERUNG DER WEBSITE, um das Dialogfeld ERWEITERTE MEHRFACHKONFIGURATION FÜR WEBSITES (Abbildung 3.15) aufzurufen. In diesem Dialogfeld gibt es zwei Abschnitte. Oben finden Sie die Angaben für die Standardsite, unten die SSL-Identitäten. In Abbildung 3.15 habe ich die Site für die Marketingabteilung mit einer IPAdresse von 192.168.5.1 und dem Hostheadernamen Marketing konfiguriert. Dies IP-Adresse 192.168.5.1 wird natürlich nur für interne TCP/IP-Netzwerke verwendet, denn dies ist keine für das Internet gültige IP-Adresse. Der gesamte IP-Adressbereich 192.168.x.x ist – wie auch der Bereich 10.x.x.x – für den internen Gebrauch reserviert. Um eine neue Identität zu erstellen, klicken Sie auf die Schaltfläche HINZUFÜGEN. Dadurch wird das Dialogfeld WEITERE OPTIONEN ZUR WEBSITEIDENTIFIZIERUNG geöffnet, in dem Sie die IP-Adresse, die Anschlussnummer und den Headernamen der neuen Identität festlegen können. Wenn Ihre Seite auf SSL basiert, dann können Sie den gleichen Vorgang ausführen, um Ihrer SSL-Site eine IP-Adresse und eine Anschlussnummer zuzuweisen.

74

IIS erneut starten

Abb. 3.15: Das Dialogfeld ERWEITERTE MEHRFACHKONFIGURATION FÜR WEBSITES dient der Eingabe von Mehrfachidentitäten einer Website (einschließlich SSLIdentitäten)

Hinweis Bedenken Sie immer, dass ältere Browser keine Hostheadernamen unterstützen. IIS schickt diese Browser dann zur Standardwebsite, sofern eine solche eingerichtet ist. Aufgrund dessen sollten Sie immer eine Standardsite konfigurieren, die Informationen dazu anzeigt, warum ein Client auf diese Standardsite umgeleitet wurde. Warnung Da der Domänenname im SSL-Zertifikat spezifiziert wird, können Sie einer IP-Adresse nur einen Hostheadernamen zuweisen. Es gibt die Möglichkeit, diese Einschränkung zu umgehen, indem Sie mehrere Zertifikate, IP-Adressen und Anschlüsse für jede Website einrichten.

3.6

IIS erneut starten Es gibt mehrere denkbare Gründe für einen Neustart von IIS, von denen die meisten etwas mit Serverproblemen oder Anwendungsabstürzen zu tun haben. Die Anwendungen, von denen hier die Rede ist, sind nicht etwa Programme wie Microsoft Word, sondern dedizierte IIS-Anwendungen. Ein IIS-Neustart ist auch denkbar, wenn Sie Änderungen an der Site vorgenommen oder Operatoren hinzugefügt oder gelöscht haben.

Kapitel 3 • Administration von Websites und FTP-Sites

75

Wenn Sie einen IIS-Neustart durchführen müssen, empfehle ich Ihnen die ausschließliche Verwendung der MMC-Konsole. Sie wählen im linken Fensterbereich den zu beendenden Dienst (Web-, FTP-, SMTP- oder NNTP-Dienst) aus und klicken auf die Stoppschaltfläche in der Werkzeugleiste; danach klicken Sie auf die Startschaltfläche, um den Dienst wieder zu starten. Alternativ können Sie den gesamten IIS-Dienst neu starten, indem Sie das Computersymbol im linken Fensterbereich wählen und dann aus dem Menü VORGANG den Eintrag ISS ERNEUT STARTEN selektieren. Dadurch wird das Fenster BEENDEN/STARTEN/HERUNTERFAHREN (Abbildung 3.16) aufgerufen.

Abb. 3.16: Das Dialogfeld BEENDEN/STARTEN/HERUNTERFAHREN enthält ein Listenfeld mit den Optionen für einen IIS-Neustart

Wie Sie der Liste in Abbildung 3.16 entnehmen können, lassen sich die Internetdienste auf dem Computer starten, beenden oder neu starten; Sie können ferner auch den Server selbst neu starten. Wählen Sie die gewünschte Option und klicken Sie auf die Schaltfläche OK. Hinweis Wenn Sie den IIS beenden, werden gleichzeitig auch ein paar andere Dienste beendet. Die Prozesse Drwtsn32.exe, Mtx.exe und Dllhost.exe werden, soweit aktiv, beendet. Sie alle werden beim IIS-Neustart ebenfalls neu gestartet. Hinweis IIS kann durch Verwendung des Internetdienste-Managers (HTML) nicht neu gestartet werden. Bei diesem Dienst handelt es sich um ein webbasiertes Administrationsprogramm, das in Kapitel 15 näher erläutert werden wird.

76

IIS erneut starten

Wenn Sie den IIS-Neustart planen oder in eine benutzerdefinierte oder eine Drittanbieteranwendung integrieren müssen, dann können Sie die Befehlszeilenversion des IIS-Neustarts benutzen. Syntax und Verwendung sind im folgenden Abschnitt erläutert. Syntax: iisreset [computername]

computername ist der Name des Servers, auf dem IIS ausgeführt wird. Die folgenden optionalen Parameter sind vorhanden: •

/restart beendet alle Internetdienste und startet sie dann neu.



/start startet alle Internetdienste.



/stop stoppt alle Internetdienste.



/reboot startet den Computer neu.



/rebootonerror startet den Server neu, wenn während des Starts, der Beendi-

gung oder eines Neustarts der Internetdienste ein Fehler auftritt. •

/noforce sorgt dafür, dass die Beendigung eines Dienstes nicht erzwungen wird, wenn die normale Beendigung fehlschlägt.



/timeout: stellt ein Zeitlimit (in Sekunden) für die erfolgreiche Beendi-

gung eines Dienstes ein. Wenn dieses Limit überschritten wird und die Option /rebootonerror ebenfalls verwendet wurde, dann wird der Computer neu ge-

startet. Die Standardeinstellungen betragen für einen Neustart 20 Sekunden, für die Beendigung 60 Sekunden und für einen Computerneustart 0 Sekunden. •

/status zeigt den Status der Internetdienste an.



/enable aktiviert den IIS-Neustart auf dem lokalen Computer.



/disable deaktiviert den IIS-Neustart auf dem lokalen Computer.

Abbildung 3.17 zeigt ein Beispiel für die Verwendung des Befehls iisreset mit der Option /status.

Kapitel 3 • Administration von Websites und FTP-Sites

77

Abb. 3.17: Die Eingabeaufforderung mit dem Befehl iisreset und der Option / status auf dem Rechner computer. Beachten Sie, dass nur Dienste angezeigt werden, nicht jedoch einzelne Sites.

3.7

Unterstützung von Hostheadernamen Hostheadernamen werden vom Internet Explorer erst ab Version 3.0 und von Netscape ab Version 2.0 unterstützt. In einer gerechten Welt würde jeder Benutzer bei Erscheinen neuer Softwareupdates sofort und direkt auf diese neuesten Versionen aktualisieren. Aber Sie wissen, dass die Welt nicht gerecht ist. Aus diesem Grund müssen wir die Tatsache berücksichtigen, dass auch solche Menschen unsere Sites besuchen werden, die noch mit veralteten Technologien arbeiten. Hier kann IIS 5.0 Abhilfe leisten. Auch wenn Sie nicht allzu oft in diese Situation geraten werden, so muss sie hier doch erwähnt werden, falls sich Benutzer bei Ihnen beschweren, die eine bestimmte Site nicht erreichen können. Die tatsächliche Vorgehensweise ist recht verzwickt und hängt stark von Ihrem Computer und der von Ihnen betriebenen Website ab; auch Eingriffe in die Registrierung sind häufig notwendig. Wenn Sie die Unterstützung von Headernamen bei alten Browsern ermöglichen müssen, dann empfehle ich Ihnen die Lektüre der Onlinehilfe, denn dort finden Sie alle Angaben über die korrekten Schlüssel und Werte, die einzugeben sind.

3.8

Voreinstellungen ändern Wenn Sie IIS 5.0 installieren, dann sind bestimmte Standardwerte vorhanden, die Sie an Ihre Anforderungen anpassen können. Es gibt zwei Möglichkeiten, diese Änderungen vorzunehmen.

78

Voreinstellungen ändern

Sie können zunächst einmal Änderungen an den Servereigenschaften selbst vornehmen. Dies bewirkt die Anwendung eines Satzes von Eigenschaften auf jede Web- oder FTP-Site, die nicht über den jeweiligen Eigenschaftssatz verfügen. Wenn Sie also mit der rechten Maustaste auf das Serversymbol im IIS-Snap-In klicken und den Eintrag EIGENSCHAFTEN wählen, dann öffnet sich das Dialogfeld EIGENSCHAFTEN VON (Abbildung 3.18).

Abb. 3.18: Das Dialogfeld EIGENSCHAFTEN des IIS-Servers. Hier können Sie Standardeinstellungen für Web- und FTP-Sites anpassen.

Wählen Sie entweder WWW-Dienst oder FTP-Dienst im Listenfeld unter Haupteigenschaften und wählen Sie die Schaltfläche BEARBEITEN, um das Dialogfeld HAUPTEIGENSCHAFTEN aufzurufen. Hier das Dialogfeld meines Servers namens computer (Abbildung 3.19): Wie Sie sehen, können Sie Standardwerte für zahlreiche Eigenschaften einstellen, die sich dann auf all Ihre Web- bzw. FTP-Sites auswirken, die sich auf Ihrem Server befinden. Sie können den gleichen Vorgang auch für einzelne Web- oder FTPSites auf Ihrem Server durchführen und dann Eigenschaften einstellen, die der jeweiligen Site vorbehalten sind.

Kapitel 3 • Administration von Websites und FTP-Sites

79

Abb. 3.19: Das Dialogfeld HAUPTEIGENSCHAFTEN DES WWW-DIENSTES FÜR COMPUTER ähnelt sehr stark den Eigenschaftsseiten aller Websites, die auf diesem Computer gespeichert sind

Hinweis Alle Änderungen, die Sie auf diese Weise an einzelnen Sites vornehmen, haben Vorrang vor den entsprechenden Haupteigenschaften, die übergeordnet für die Site gelten würden.

3.9

IIS-Einstellungen sichern und wiederherstellen Wie bei jedem Produktionsserver müssen Sie auch bei einem IIS-Server eine Sicherungs- und Wiederherstellungsstrategie entwickeln. Stellen Sie sich nur einmal vor, Sie würden umfassende Änderungen an Ihrer Konfiguration vornehmen, während ein Mitarbeiter – oder schlimmer noch: ein Hacker – seinerseits umfassende Änderungen an dieser Konfiguration vornähme; es würde ganz schön lange dauern, bis Sie rekonstruiert hätten, welche Werte und Einstellungen ursprünglich vorhanden waren – von der Zeit, die Sie brauchen würden, um diese Konfiguration wiederherzustellen, gar nicht zu reden.

80

IIS-Einstellungen sichern und wiederherstellen

Gehen Sie wie folgt vor, um die aktuelle Konfiguration zu sichern: 1. Wählen Sie das Computersymbol im linken Fensterbereich des IIS-Snap-Ins. 2. Wählen Sie aus dem Menü VORGANG den Eintrag SICHERUNGSKOPIE ERSTELLEN/KONFIGURATION WIEDERHERSTELLEN. 3. Klicken Sie auf SICHERUNGSKOPIE ERSTELLEN, um das gleichnamige Dialogfeld aufzurufen. Hier geben Sie einen Namen für Ihre Sicherungsdatei an. Benennen Sie die Datei und klicken Sie dann auf die Schaltfläche OK. Sie haben nun eine Sicherungsdatei Ihrer aktuellen IIS-Konfiguration erstellt. Sie können diese testen, indem Sie ein paar kleine Änderungen an der vorhandenen Konfiguration vornehmen und sich diese notieren. Danach stellen Sie die Sicherungsdatei wieder her und prüfen, ob die von Ihnen vorgenommenen Änderungen tatsächlich durch die gesicherten Werte ersetzt wurden. Standardmäßig wird die Sicherungsdatei im Verzeichnis \System32\InetSrv\Metaback abgelegt ( ist dabei das Verzeichnis, in dem Sie Windows 2000 Server installiert haben). Gehen Sie nun wie folgt vor, um die Konfiguration wiederherzustellen: 1. Markieren Sie im IIS-Snap-In das Computersymbol. 2. Wählen Sie aus dem Menü VORGANG den Eintrag SICHERUNGSKOPIE ERSTELLEN/KONFIGURATION WIEDERHERSTELLEN. 3. Wählen Sie im Feld FRÜHERE SICHERUNGSKOPIEN des Dialogfelds SICHERUNGSKOPIE ERSTELLEN/KONFIGURATION WIEDERHERSTELLEN die Sicherungsdatei, die Sie zuvor erstellt haben. 4. Klicken Sie auf die Schaltfläche WIEDERHERSTELLEN. Der InternetdiensteManager zeigt eine Meldung, dass der Wiederherstellungsvorgang ein zeitaufwändiger Prozess ist, der alle Einstellungen entfernt. Klicken Sie auf JA, um die Konfiguration wiederherzustellen, oder auf NEIN, um den Vorgang abzubrechen. Wenn der Wiederherstellungsvorgang abgeschlossen ist, werden die Dienste neu gestartet. Anschließend ist Ihre ursprüngliche Konfiguration wiederhergestellt. Es gibt noch einen weiteren Vorgang, der hier vorgestellt werden soll: Die Wiederherstellung Ihrer IIS-Konfiguration nach der Verschiebung oder Neuinstallation des IIS-Dienstes. Gehen Sie wie folgt vor, um diesen Vorgang durchzuführen: 1. Markieren Sie im IIS-Snap-In das Computersymbol und wählen Sie aus dem Menü VORGANG den Eintrag SICHERUNGSKOPIE ERSTELLEN/KONFIGURATION WIEDERHERSTELLEN.

Kapitel 3 • Administration von Websites und FTP-Sites

81

2. Wählen Sie den Namen der Sicherungsdatei und klicken Sie auf WIEDERHERSTELLEN. Nun wird eine Fehlermeldung angezeigt, dass der Wiederherstellungsvorgang fehlgeschlagen sei; trotzdem wird ein Teil der Konfiguration wiederhergestellt. 3. Öffnen Sie die Eingabeaufforderung und geben Sie die folgende Befehlszeile ein: cscript.exe x:\InetPub\AdminScripts\Adsutil.vbs enum w3svc

Ersetzen Sie x durch den Buchstaben des Laufwerks, auf dem IIS installiert ist. 4. Suchen Sie in der sehr umfassenden Liste die Einträge WAMUserName und WAMUserPass und notieren Sie deren Werte. 5. Öffnen Sie die Computerverwaltung (unter START/PROGRAMME/VERWALTUNG). 6. Wählen Sie LOKALE BENUTZER UND GRUPPEN/BENUTZER. Doppelklicken Sie dort den Eintrag IWAM_computername und ändern Sie das angegebene Kennwort auf den Wert, der im Skriptlisting an der Eingabeaufforderung angezeigt wurde. 7. Wählen Sie im Dialogfeld SICHERUNGSKOPIE ERSTELLEN/KONFIGURATION WIEDERHERSTELLEN erneut die gewünschte Sicherungsdatei. Diese wird nun vollständig wiederhergestellt. Warnung Wenn Ihr Server als Domänencontroller betrieben wird (was in einer Produktionsumgebung aus Sicherheitsgründen eigentlich nicht der Fall sein sollte), dann können Sie das vom Skript zurückgegebene Kennwort nicht lesen, da es mit Sternchen dargestellt wird (*********). Hinweis Damit Sie Schritt 3 der obigen Schrittanleitung ausführen können, muss der Windows Script Host installiert sein. Hinweis Sie können Ihre Konfiguration mit dem Internetdienste-Manager (HTML) zwar sichern, nicht aber wiederherstellen.

82

3.10

Konten für Website-Operatoren

Konten für Website-Operatoren Sagen wir's doch mal ganz offen: Sie können nicht überall gleichzeitig sein. Auch wenn manche Unternehmen dies in ihren Anforderungsprofilen vorsehen: ich kenne niemanden, der es je geschafft hat. Aus diesem Grunde ist es wichtig, Aufgaben an Website-Operatoren delegieren zu können, die den Server in Ihrer Abwesenheit administrieren. Operatoren werden im Dialogfeld EIGENSCHAFTEN der Website konfiguriert. Öffnen Sie dieses also, aktivieren Sie die Registerkarte OPERATOREN und klicken Sie auf die Schaltfläche HINZUFÜGEN. Nun öffnet sich das Dialogfeld BENUTZER ODER GRUPPEN AUSWÄHLEN (Abbildung 3.20).

Abb. 3.20: Das Dialogfeld BENUTZER ODER GRUPPEN AUSWÄHLEN. Hier legen Sie fest, welche Benutzer oder Gruppen Website-Operatoren werden.

Wählen Sie den oder die gewünschten Benutzer oder Gruppe(n) aus, und klicken Sie dann nacheinander auf die Schaltflächen HINZUFÜGEN und OK. Dadurch werden die notwendigen Benutzer- oder Gruppenkonten der Liste der WebsiteOperatoren hinzugefügt.

Kapitel 3 • Administration von Websites und FTP-Sites

83

Tipp Wie immer bei der Vergabe von Rechten unter Windows NT oder 2000 ist es auch hier sinnvoll, zuerst eine Gruppe für den gewünschten Zweck zu erstellen und dieser dann Einzelkonten hinzuzufügen. Dadurch wird die Administration wesentlich erleichtert. Sie können ein Operatorkonto oder eine Gruppe auf der Registerkarte OPERATOREN des Dialogfelds EIGENSCHAFTEN auch entfernen. Wählen Sie einfach den oder die Benutzer oder Gruppe(n) aus und klicken Sie auf die Schaltfläche ENTFERNEN.

3.11

Abwärtskompatible Siteadministrierung Unter der »abwärtskompatiblen Siteadministrierung« versteht man die Administration von IIS 5.0 über die Verwaltungsoberflächen von IIS 3.0/4.0. Diese Administration lässt sich über ein Intranet vornehmen, da die bevorzugte Methode – die Administration der Website über das Internet – über HTML-browserbasierte Administrierungskomponenten erfolgt. Wenn Sie also IIS 3.0 zu Administrationszwecken verwenden wollen, müssen Sie eine Website festlegen, die programmgesteuert durch eine IIS 3.0-basierte Anwendung administriert werden kann. Um die IIS 3.0-Administration zu aktivieren, gehen Sie wie folgt vor: 1. Klicken Sie auf das Computersymbol im IIS-Snap-In und öffnen Sie das Dialogfeld EIGENSCHAFTEN. 2. Wählen Sie entweder den WWW-Dienst oder den FTP-Dienst aus und klicken Sie auf die Schaltfläche BEARBEITEN. 3. Aktivieren Sie die Registerkarte DIENST (Abbildung 3.21). 4. Wählen Sie im Abschnitt IIS 3.0-VERWALTUNG die zu administrierende Website aus.

3.12

Fazit In diesem Kapitel haben wir eine Reihe von Möglichkeiten und Vorgehensweisen zur Administration Ihrer Web- und FTP-Sites vorgestellt. Es gibt eine Reihe von Ansätzen zur Lösung von Administrationsproblemen, die bei der täglichen Arbeit mit IIS auftreten können; es bleibt Ihnen überlassen, diejenigen auszuwählen, die Ihnen am geeignetsten erscheinen.

84

Fazit

Abb. 3.21: Im Abschnitt IIS 3.0-VERWALTUNG der Registerkarte DIENST können Sie die Web- oder FTP-Site auswählen, die Sie über IIS 3.0 administrieren wollen

Beachten Sie insbesondere die Möglichkeit der Erteilung von Administratorprivilegien an Website-Operatoren, die Ihnen einen Großteil der täglichen Arbeit abnehmen können. Website-Operatoren können eine große Hilfe sein, aber wägen Sie gut ab, wem Sie welche Rechte erteilen. IIS 5.0 enthält auch einige Funktionen, welche die Aktualisierung der Administrationssoftware auf Remotecomputern unnötig machen können, z.B. durch die Aktivierung der abwärtskompatiblen Administrierung oder der HTML-basierten Administrierung, die in einem späteren Kapitel behandelt werden wird.

Kapitel 4 Administration von SMTP- und NNTP-Diensten 4.1 4.2 4.3

Arbeiten mit dem virtuellen Server für SMTP Der NNTP-Dienst Fazit

86 117 132

86

Arbeiten mit dem virtuellen Server für SMTP

Zu IIS 5.0 gehört der SMTP-Dienst, der Ihrem Server den Versand und Empfang von Mails ermöglicht. Ferner ist mit dem NNTP-Dienst die Einrichtung interner Diskussionsgruppen möglich.

4.1

Arbeiten mit dem virtuellen Server für SMTP Bei dem mit IIS 5.0 ausgelieferten SMTP-Server handelt es sich beileibe nicht um eine Mailserveranwendung mit allen Schikanen. Es gibt keine Möglichkeit, Benutzerkonten für den Versand und Empfang von E-Mails über das Internet oder ein Firmenintranet zu erstellen; der Sinn des SMTP-Servers von IIS 5.0 liegt aber auch vielmehr darin, E-Mails zu senden bzw. zu empfangen, die mit dem Betrieb des IIS-Servers zusammenhängen. Sie können mit dem Server elektronische Post über das Internet oder Ihr Firmennetzwerk zustellen – die Unterstützung grundlegender SMTP-Funktionen ist gegeben. Auch lässt sich die Konfiguration des Dienstes an Ihre speziellen Sicherheitsbedürfnisse anpassen. Der SMTP-Dienst besteht aus mehreren Komponenten, die in der MMC-Konsole angezeigt werden. Im linken Bereich des Fensters sehen Sie, wenn Sie durch Anklicken des Pluszeichens den Zweig VIRTUELLER STANDARDSERVER FÜR SMTP einblenden, die Standardkomponenten des SMTP-Dienstes (siehe Abbildung 4.1). In der im rechten Fensterbereich gezeigte Domänenliste können Sie die entsprechenden Optionen konfigurieren, indem Sie mit der rechten Maustaste auf den gewünschten Domänennamen klicken und dann den Eintrag EIGENSCHAFTEN im Kontextmenü wählen. Die Option AKTUELLE SITZUNGEN zeigt Statusdaten für alle aktiven Verbindungen.

4.1.1

Eigenschaften des SMTP-Dienstes Es folgt eine Liste der Eigenschaften und Merkmale des SMTP-Dienstes von IIS 5.0: •

Volle Unterstützung des SMTP-Protokolls. Der SMTP-Server unterstützt das SMTP-Internetprotokoll vollständig und ist mit SMTP-Clients kompatibel.



Einfache Administration. Der SMTP-Dienst kann wie üblich mit der Microsoft Management Console administriert werden.



Integration in Windows 2000 Server. Sie können auch bei der Arbeit mit dem SMTP-Dienst die Verwaltungsprogramme von Windows 2000 Server benutzen. Zur Administrierung lässt sich nicht nur das SNMP-Protokoll (Simple Network Management Protocol, einfaches Netzwerkverwaltungsprotokoll) verwenden, sondern Sie können auch Ereignis- und Transaktionsprotokolle erstellen und sich diese dann anzeigen lassen.

Kapitel 4 • Administration von SMTP- und NNTP-Diensten

87

Abb. 4.1: Der auf meinem Computer installierte VIRTUELLE STANDARDSERVER FÜR SMTP listet die Domänen und die aktuellen Sitzungen auf, die derzeit konfiguriert sind und ausgeführt werden

4.1.2



Skalierbarkeit. Ein einziger Server kann durch Verwendung mehrerer Domänen Hunderte von Clients bedienen.



Auslieferung und Sammlung von E-Mails. Sie können den Dienst so konfigurieren, dass alle eingehenden Mails in einem einzigen Sammelverzeichnis (\Drop) abgelegt werden, d.h. der Dienst kann auch als Empfänger für andere Anwendungen fungieren. Ferner können andere Anwendungen Mails auch als Textdatei formatieren und sie dann in einem Zustellungsverzeichnis (\Pickup) ablegen, von wo aus sie dann durch den SMTP-Dienst versandt werden.



Sicherheit. Der SMTP-Dienst unterstützt TLS (Transport Layer Security) zur Verschlüsselung gesendeter Daten.

Verzeichnisse des SMTP-Dienstes Der SMTP-Dienst speichert Mails in Verzeichnissen. Zugegeben, das ist nicht besonders überraschend, aber er folgt dabei einer einfachen Struktur. Standardmäßig werden die Verzeichnisse im Ordner \InetPub\Mailroot abgelegt. Dieses Ablageverzeichnis kann bei der Installation von IIS 5.0 geändert werden.

88

Arbeiten mit dem virtuellen Server für SMTP

Es sind insgesamt fünf Verzeichnisse vorhanden:

4.1.3



SortTemp. In diesem Verzeichnis werden Temporärdateien gespeichert.



BadMail. Dieses Verzeichnis dient als Ablage für Nachrichten, die aus irgendwelchen Gründen nicht zugestellt werden konnten und deswegen an den Absender zurückgehen.



Drop. In diesem Verzeichnis landen alle eingehenden Mails.



Pickup. In diesen Ordner werden als Textdateien formatierte Mails kopiert, die der SMTP-Dienst dann ausliefert.



Queue. Dies ist ein Wartesaal für E-Mails, die auf die Zustellung warten. Wenn eine Mail nicht zugestellt werden kann – etwa aufgrund eines Serverausfalls –, dann wird sie in Queue abgelegt und zu einem späteren Zeitpunkt erneut gesendet.

Mailverarbeitung Der SMTP-Dienst stellt Mails entsprechend der RFCs 821 und 822 zu. Die Auslieferung erfolgt zwischen den Remote-Mailservern und dem Verzeichnis Drop. Wenn der SMTP-Dienst eine Mail erhält – wahlweise über den TCPAnschluss 25 oder durch Kopieren einer Datei in den Ordner Pickup –, dann wird diese Mail im Verzeichnis Queue abgelegt und die Zieladresse wird überprüft. Handelt es sich um einen lokalen Adressaten, dann wird die Mail direkt ausgeliefert, andernfalls wird sie für die Fernzustellung verarbeitet. Hat SMTP eine lokale Auslieferung festgestellt, dann wird die Mail aus dem Verzeichnis Queue in das Verzeichnis Drop verschoben. Damit ist der eigentliche Übertragungsvorgang abgeschlossen. Bei der Remotezustellung wird ein etwas anderer Vorgang ausgeführt. Die für die Übertragung bestimmten Mails werden im Ordner Queue belassen und nach Domänen sortiert. Auf diese Weise lassen sich ggf. mehrere Mails stapeln und dann in einem Rutsch ausliefern, wodurch die Verbindung optimal genutzt wird. Bevor der SMTP-Dienst die Mails an einen Remoteserver ausliefert, wird überprüft, ob der Server überhaupt online und zum Empfang von Mails bereit ist. Ist der Server offline, dann speichert SMTP die Mails im Verzeichnis Queue und probiert die Auslieferung in bestimmten Zeitabständen erneut. Wie diese Zeitabstände eingestellt werden, wird an anderer Stelle in diesem Kapitel beschrieben, wenn es um die Einstellung der SMTP-Parameter geht. Wenn eine Verbindung hergestellt wurde, verschickt der SMTP-Dienst die Mails und wartet auf eine Bestätigung vom Empfangsserver, bevor er den Vorgang als abgeschlossen betrachtet. Wenn Sie für die Remotezustellung TLS aktiviert haben, dann verschlüsselt der SMTP-Dienst die ausgehenden Mails.

Kapitel 4 • Administration von SMTP- und NNTP-Diensten

4.1.4

89

SMTP-Dienst verwalten Die administrativen Aufgaben in Zusammenhang mit dem SMTP-Dienst und ihre Erledigung werden im Folgenden ausführlich beschrieben. Für die Konfiguration und Administration des Dienstes sind zahlreiche Optionen vorhanden. Starten und Beenden des Dienstes Der SMTP-Dienst läuft als Dienst unter Windows 2000. Obwohl nur ein SMTPDienst vorhanden sein kann, können Sie mit mehreren virtuellen SMTP-Servern arbeiten. Weiter unten ist beschrieben, wie zusätzliche Server erstellt werden. Wenn Sie den SMTP-Dienst beenden, halten Sie eigentlich alle virtuellen SMTPServer an. Sie können einen virtuellen Server neu starten, ohne erst den SMTPDienst starten zu müssen; IIS startet in diesem Fall zunächst den SMTP-Dienst und dann den von Ihnen gewählten virtuellen Server. Wenn Sie einen virtuellen Server beenden wollen, dann wählen Sie ihn im linken Fensterbereich aus und führen dann einen der drei folgenden Vorgänge aus: •

Sie wählen BEENDEN aus dem Menü VORGANG.



Sie klicken auf die Stoppschaltfläche in der Symbolleiste.



Sie klicken mit der rechten Maustaste auf das Serversymbol und wählen BEENim Kontextmenü.

DEN

Wie Sie vorgehen, bleibt ganz Ihnen überlassen. Auf gleiche Weise starten Sie einen beliebigen anderen virtuellen Server oder halten ihn an. Wenn Sie den SMTP-Dienst starten, beenden oder anhalten wollen, müssen Sie das Programm Dienste verwenden, das Sie auf zweierlei Weise aufrufen können: •

Wählen Sie START/PROGRAMME/VERWALTUNG/KOMPONENTENDIENSTE. Selektieren Sie dann im linken Fensterbereich das Symbol DIENSTE (LOKAL) und suchen Sie in der Liste den Eintrag SIMPLE MAIL-TRANSPORTPROTOKOLL (SMTP). Sie können den Dienst nun auf eine der oben beschriebenen Arten nach Belieben starten, beenden, anhalten oder neu starten (siehe Abbildung 4.2).



Die zweite Möglichkeit, auf das Applet Dienste zuzugreifen, finden Sie in der Systemsteuerung. Doppelklicken Sie dort zunächst auf das Symbol VERWALTUNG und öffnen Sie dann das Applet DIENSTE. Ich habe übrigens auf meinem Desktop eine Verknüpfung zu diesem Applet erstellt, um es schneller aufrufen zu können.

Sie können in diesem Fenster auch die Starteigenschaften des SMTP-Dienstes anpassen. Klicken Sie mit der rechten Maustaste auf den SMTP-Diensteintrag und wählen Sie im Kontextmenü den Eintrag EIGENSCHAFTEN. Das Dialogfeld EIGENSCHAFTEN VON SIMPLE MAIL-TRANSPORTPROTOKOLL (SMTP) wird angezeigt (Abbildung 4.3).

90

Arbeiten mit dem virtuellen Server für SMTP

Abb. 4.2: Das Applet KOMPONENTENDIENSTE ermöglicht Ihnen das Starten, Beenden, Anhalten und Neustarten des SMTP-Dienstes

In der Mitte des Dialogfeldes befindet sich das Listenfeld STARTTYP. Hier können Sie zwischen drei Optionen wählen, nämlich Automatisch, Manuell und Deaktiviert. Die Einstellung Automatisch bewirkt, dass der SMTP-Dienst beim Hochfahren von Windows 2000 gestartet wird. Wählen Sie die Einstellung Manuell, dann müssen Sie den Dienst selbst wie oben beschrieben starten. Bei der Auswahl von Deaktiviert kann der Dienst solange nicht gestartet werden, bis Sie in diesem Dialogfeld wieder eine der beiden anderen Optionen Automatisch oder Manuell selektiert haben. Tipp Wenn Sie bei dem Versuch, den virtuellen SMTP-Server über die MMC zu starten, die in Abbildung 4.4 gezeigte Fehlermeldung erhalten, dann wissen Sie, dass der SMTP-Dienst deaktiviert wurde. Zusätzliche virtuelle Server erstellen Wie bereits erwähnt, haben Sie nur einen SMTP-Dienst, es kann aber viele virtuelle Server geben. Sie benötigen pro Domäne nur einen SMTP-Server, insofern sollten Sie, wenn Sie nicht gerade mit mehreren Domänen arbeiten, keine weiteren Server erstellen.

Kapitel 4 • Administration von SMTP- und NNTP-Diensten

91

Abb. 4.3: Das Dialogfeld EIGENSCHAFTEN VON SIMPLE MAIL-TRANSPORTPROTOKOLL (SMTP), in dem Sie die Starteigenschaften des SMTP-Dienstes ändern können

Abb. 4.4: Fehlermeldung beim Startversuch des deaktivierten SMTP-Dienstes

Tipp Wenn Sie einen neuen virtuellen Server einrichten, dann werden Sie zur Eingabe eines Basisverzeichnisses aufgefordert. Dieses Verzeichnis müssen Sie erstellen, bevor Sie die Erstellung des Servers starten. Wenn Sie ein Verzeichnis für den neuen virtuellen Server erstellt haben, gehen Sie wie folgt vor: 1. Wenn Sie für den neuen virtuellen Server eine neue IP-Adresse verwenden, konfigurieren Sie diese zunächst unter NETZWERK- UND DFÜ-VERBINDUNGEN. In der Windows 2000-Dokumentation finden Sie Informationen zur Vorgehensweise.

92

Arbeiten mit dem virtuellen Server für SMTP

2. Öffnen Sie, falls nicht bereits geschehen, den Internetdienste-Manager. 3. Wählen Sie aus dem Menü VORGANG den Eintrag NEU/VIRTUELLER SERVER. 4. Der ASSISTENT FÜR NEUEN VIRTUELLEN SMTP-SERVER wird gestartet und fordert zur Eingabe einer Beschreibung für den neuen Server auf. Geben Sie diese in das Textfeld des Startbildschirms ein. 5. Klicken Sie auf WEITER, um das Fenster IP-ADRESSE AUSWÄHLEN aufzurufen. Wählen Sie die entsprechende IP-Adresse für den virtuellen Server und klicken Sie auf WEITER. 6. Wählen Sie im nächsten Fenster das Basisverzeichnis für den neuen virtuellen Server aus. Klicken Sie dazu auf die Schaltfläche DURCHSUCHEN und selektieren Sie das vor Beginn des Vorgangs erstellte Verzeichnis aus. Klicken Sie dann auf WEITER. 7. Nennen Sie im Fenster STANDARDDOMÄNE AUSWÄHLEN dem Assistenten den Namen der Standarddomäne. Dieser Eintrag sollte der Name derjenigen Domäne sein, die den Server hostet. 8. Klicken Sie auf FERTIG STELLEN. IIS erstellt nun einen neuen virtuellen Server. Abbildung 4.5 zeigt den neuen virtuellen Server, den ich mit diesem Vorgang erstellt habe. Wenn Sie den neuen Server erstellt haben, klicken Sie mit der rechten Maustaste auf das Symbol, wählen Sie EIGENSCHAFTEN und beginnen Sie die Konfiguration. Mit Verbindungen arbeiten Wenn ein virtueller SMTP-Server eine Mail verschickt oder empfängt, dann wird eine neue Verbindung initiiert. Sie können für eingehende und ausgehende Verbindungen unterschiedliche Optionen festlegen. Zu diesem Zweck rufen Sie das Dialogfeld EIGENSCHAFTEN des zu konfigurierenden virtuellen SMTP-Servers auf . Öffnen Sie den Internetdienste-Manager in der MMC und wählen Sie den gewünschten Server im linken Fensterbereich. Wählen Sie den Eintrag EIGENSCHAFTEN aus dem Menü VORGANG, um das Dialogfeld EIGENSCHAFTEN VON VIRTUELLER STANDARDSERVER FÜR SMTP (Abbildung 4.6) zu öffnen. Auf der Registerkarte ALLGEMEIN sehen Sie einen Abschnitt namens VERBINDUNG. Klicken Sie auf die Schaltfläche VERBINDUNG, um das Dialogfeld VERBINDUNGEN (Abbildung 4.7) aufzurufen. In diesem Dialogfeld können Sie ein Limit für eingehende Verbindungen setzen. Wenn Sie das Kontrollkästchen VERBINDUNGEN BESCHRÄNKEN AUF nicht markieren, dann ermöglichen Sie eine unbegrenzte Anzahl von Verbindungen. Standardmäßig sind eingehende Verbindungen nicht begrenzt.

Kapitel 4 • Administration von SMTP- und NNTP-Diensten

93

Abb. 4.5: Der neue virtuelle SMTP-Server mit der ihm zugewiesenen Domäne wird in der MMC angezeigt

Durch Markieren des Kontrollkästchens können Sie die Anzahl der Verbindungen begrenzen, wobei Sie zumindest den Wert 1 angeben müssen (Standard: 1000). Sie können ferner auch ein ZEITLIMIT (in Minuten) festsetzen, nach dessen Ablauf SMTP inaktive Verbindungen beendet. Standardmäßig sind 10 Minuten vorgesehen. Im gleichen Dialogfeld konfigurieren Sie auch die ausgehenden Verbindungen. Begrenzungen setzen Sie gegebenenfalls durch Markieren der entsprechenden Kontrollkästchen im Abschnitt AUSGEHEND. Standardmäßig sind maximal 1.000 gleichzeitige Verbindungen vorgesehen; dieser Wert lässt sich beliebig ändern. Tipp Sie können die Serverleistung verbessern, indem Sie auf der Registerkarte NACHRICHTEN des Fensters EIGENSCHAFTEN die Anzahl der ausgehenden Nachrichten gleichermaßen einschränken. Sie können auch für ausgehende Verbindungen ein ZEITLIMIT setzen, nach dessen Ablauf SMTP inaktive Verbindungen beendet (Standard: 10 Minuten). Außerdem lässt sich die Anzahl ausgehender Verbindungen pro Domäne einschränken. Wie in Abbildung 4.7 gezeigt, sind hier 100 Verbindungen Standard.

94

Arbeiten mit dem virtuellen Server für SMTP

Abb. 4.6: Das Dialogfeld EIGENSCHAFTEN VON VIRTUELLER STANDARDSERVER FÜR SMTP, auf dem Sie Eigenschaften für eingehende und ausgehende Verbindungen festlegen

Beachten Sie, dass die hier eingestellte Anzahl unterhalb des Wertes liegen muss, der unter VERBINDUNGEN BESCHRÄNKEN AUF gewählt wurde, da sonst Verbindungen zurückgewiesen werden könnten. Die Einstellung TCP-ANSCHLUSS ermöglicht die Festlegung eines Ausgangsanschlusses für SMTP. Standardmäßig ist der gleiche Anschluss gewählt wie für die eingehenden Daten (nämlich 25). Sie können die Anschlussnummer natürlich beliebig ändern, wobei Sie notwendigerweise die auf Servern häufig benutzten Anschlüsse wie etwa 80 oder 119 beachten müssen. Empfohlen wird die Eingabe einer Anschlussnummer größer 1000, denn dadurch wird die Möglichkeit von Anschlusskonflikten oder der Fehlleitung eines Clients an eine falsche Anwendung vermindert. Wie können Sie nun bestimmen, welche Grenzen im Dialogfeld VERBINDUNGEN eingestellt werden sollen? Eine mögliche Vorgehensweise besteht darin, vor Aufbau oder Annahme von Verbindungen eine Grundmessung vorzunehmen. Stellen Sie die Standardwerte (1000) ein und erstellen Sie ein Mailskript oder ein Makro, um mehrere Mails an Ihren Server zu senden.

Kapitel 4 • Administration von SMTP- und NNTP-Diensten

95

Abb. 4.7: Das Dialogfeld VERBINDUNGEN, in dem Sie ein- und ausgehende Verbindungen beschränken können

Beobachten Sie die Serverleistung, während der Server mit den Verbindungen arbeitet, und stellen Sie fest, wann und wie Einbußen auftreten. Erhöhen Sie dann die Einstellungen so oft, bis die Serverleistung nicht mehr akzeptabel ist. Protokollierung Die Protokollierung ermöglicht Ihnen die Überprüfung aller Befehle, die von den Clients, die eine Verbindung mit Ihrem SMTP-Server hergestellt haben, an diesen gesendet wurden. Sie können die Protokolle in einem von vier Formaten speichern: •

W3C-erweitert. Benutzerdefinierbares ASCII-Textformat (Standard).



Microsoft IIS. Nicht änderbares ASCII-Protokollformat.



NCSA allgemein. ASCII-Textformat, kombiniert mit dem NCSA-Format (National Centre for Supercomputing Applications).



ODBC. Festgelegtes Format, welches in eine ODBC-kompatible Datenbank (z.B. SQL Server) protokolliert.

Von den genannten weist das Format W3C-erweitert die meisten Konfigurationsoptionen auf. Sie können hiermit, wie Sie gleich sehen werden, verschiedene Elemente überwachen. Ferner soll hier festgehalten werden, dass das ASCII-Format das schnellste der aufgelisteten Protokollformate ist – dies sollte in Zusammenhang mit der Serverleistung beachtet werden. Trotzdem ist es nicht unkomfortabel, denn ASCII ist sicher das am leichtesten zu be- und verarbeitende Format.

96

Arbeiten mit dem virtuellen Server für SMTP

Warnung Sie müssen bei der Konfiguration Ihrer Protokolldatei Folgendes beachten: Wenn Sie die von IIS eingerichteten Standardnamen verwenden, werden die Protokolldaten für alle Dienste in einer einzigen Protokolldatei abgelegt. Aus diesem Grund sei empfohlen, für jeden Dienst, den Sie einzeln protokollieren wollen, auch eine separate Protokolldatei anzulegen. Um die Protokollierung des virtuellen SMTP-Servers zu starten, öffnen Sie den Internetdienste-Manager, selektieren den gewünschten Server und wählen dann aus dem Menü VORGANG den Eintrag EIGENSCHAFTEN. Dadurch wird das Dialogfeld EIGENSCHAFTEN VON VIRTUELLER SMTP-SERVER aufgerufen (Abbildung 4.8).

Abb. 4.8: Das Dialogfeld EIGENSCHAFTEN VON NEUER VIRTUELLER SMTP-SERVER mit der Registerkarte ALLGEMEIN und einer Liste verfügbarer Protokolldateiformate

In Abbildung 4.8 wurde das Listenfeld mit den Protokollformaten eingeblendet, damit alle Formate zu sehen sind. Standardmäßig ist das Format W3C-erweitert selektiert. Bevor Sie jedoch in dieser Liste ein Format wählen können, müssen Sie zuerst das Kontrollkästchen PROTOKOLLIERUNG AKTIVIEREN markieren.

Kapitel 4 • Administration von SMTP- und NNTP-Diensten

97

Wenn Sie die Standardeinstellung W3C-erweitert selektieren, dann können Sie eine Reihe von Optionen einstellen. Klicken Sie auf die Schaltfläche EIGENSCHAFTEN, um das in Abbildung 4.9 gezeigte Dialogfeld zu öffnen. Auf der Registerkarte ALLGEMEINE EIGENSCHAFTEN können Sie den Zeitraum für die Protokollaktualisierung angeben. Die Optionen sind: •

Stündlich. Die Protokolldateien werden stündlich erstellt.



Täglich. Die Protokolldateien werden täglich erstellt, beginnend mit dem ersten Eintrag nach Mitternacht.



Wöchentlich. Die Protokolldateien werden wöchentlich erstellt, beginnend mit dem ersten Eintrag nach Mitternacht des folgenden Samstags.



Monatlich. Die Protokolldateien werden monatlich erstellt, beginnend mit dem ersten Eintrag nach Mitternacht des vorhergehenden Monatsletzten.



Unbegrenzte Protokolldateigröße. Neue Daten werden an das Ende der Protokolldatei gehängt. Um auf eine solcherart erstellte Protokolldatei zugreifen zu können, müssen Sie den Server beenden.



Maximale Protokolldateigröße. Wenn Sie diese Option wählen, dann können Sie eine maximale Dateigröße angeben; erst bei deren Erreichen wird eine neue Protokolldatei angelegt.

Abb. 4.9: Auf der Registerkarte ALLGEMEINE EIGENSCHAFTEN des Dialogfelds ERWEITERTE PROTOKOLLIERUNGSEIGENSCHAFTEN können Sie den Protokollierungszeitraum und das Zielverzeichnis der Protokolldatei angeben

98

Arbeiten mit dem virtuellen Server für SMTP

Wenn Sie das Kontrollkästchen LOKALE ZEIT FÜR DATEIBENENNUNG UND ROLLOVER VERWENDEN markieren, dann wird statt der GMT-Zeit die lokale Zeit für die Dateibenennung verwendet. Sie können in diesem Dialogfeld auch das Verzeichnis ändern, in dem Ihre Protokolldatei abgelegt wird. Geben Sie den Pfad in das Textfeld ein oder klicken Sie auf die Schaltfläche DURCHSUCHEN, um das gewünschte Verzeichnis zu suchen. Der Name der Protokolldatei wird unten im Fenster angezeigt. Wählen Sie nun die zweite Registerkarte ERWEITERTE EIGENSCHAFTEN (Abbildung 4.10) aus.

Abb. 4.10: Die Registerkarte ERWEITERTE EIGENSCHAFTEN ist nur vorhanden, wenn Sie das Protokollformat W3C-ERWEITERT gewählt haben. Sie können hier eine Vielzahl von Optionen zur Überwachung der Serververbindungen selektieren.

Wie Sie sehen, lassen sich hier doch eine Reihe verschiedener Variablen hinsichtlich der Clients überwachen, die eine Verbindung mit dem Server herstellen. Einige dieser Variablen – etwa Client-IP-Adresse, Datum und Uhrzeit – können sehr hilfreich sein, wenn Beschwerden über Verbindungsprobleme aufkommen. Eine letzte Information möchte ich Ihnen am Ende dieser Abhandlung über die Protokollierung noch geben. Wenn Sie Ihre Protokolldateien mit dem ODBCFormat erstellen, sieht das Dialogfeld EIGENSCHAFTEN etwas anders aus (Abbildung 4.11).

Kapitel 4 • Administration von SMTP- und NNTP-Diensten

99

Abb. 4.11: Das Fenster ODBC-PROTOKOLLIERUNGSEIGENSCHAFTEN sieht etwas anders aus als bei den anderen Formaten, da die Protokolldaten hier in eine ODBC-kompatiblen Datenbank gespeichert werden

Wie aus Abbildung 4.11 ersichtlich, habe ich die verschiedenen Optionen so eingestellt, dass der SMTP-Server eine Verbindung zur ODBC-Datenquelle herstellen kann. In diesem Fall handelt es sich um eine SQL 7.0-Datenbank. Der ODBC-DATENQUELLENNAME (DSN) ist eine Zeichenkette, die dem Server mitteilt, wie der Name der Datenquelle lautet. Sie müssen, um diese Funktion verwenden zu können, zunächst eine Datenbank erstellen und den zugehörigen DSN dann im ODBC-Applet konfigurieren. Die Variable TABELLE ist der Name der Tabelle innerhalb der Datenbank, in der die Einträge gespeichert werden. Wenn Sie eine Datenbank verwenden, die die Angabe eines Benutzernamens und eines Kennworts erfordert (wie etwa SQL Server), dann können Sie diese Daten in die entsprechenden Textfelder eingeben. In diesem Buch werden Datenbankkonzepte nicht besprochen. Wenn Sie sich also nicht sicher sind, wie diese Textfelder auszufüllen sind, dann wenden Sie sich an Ihren Datenbankadministrator. Virtuelle SMTP-Server und Clustering Clustering ist ein Merkmal von Windows 2000 Advanced Server, welches bei einer normalen Windows 2000 Server-Installation nicht verfügbar ist. Die Verwendung von SMTP-Clustering gewährt Ihnen Fehlertoleranz und Leistungsverbesserungen in einem Umfang, welcher den bei der Verwendung eines einzelnen

100

Arbeiten mit dem virtuellen Server für SMTP

virtuellen SMTP-Servers erzielbaren bei weitem übertreffen. Bei Verwendung eines SMTP-Serverclusters wird die Arbeitslast auf die im Cluster vorhandenen SMTP-Server verteilt. Fällt einer der Server im Cluster aus, dann übernehmen die verbleibenden Server die Aufgaben des ausgefallenen Servers. In diesem Buch kann leider nicht sehr umfassend auf das Clustering eingegangen werden. Sie finden weitere Informationen in der Dokumentation zu Windows 2000 Advanced Server. Gehen Sie wie folgt vor, um Ihren SMTP-Server in einen Cluster zu integrieren: 1. Stellen Sie sicher, dass für den SMTP-Dienst die Starteinstellung Manuell gewählt ist. 2. Öffnen Sie das Dialogfeld EIGENSCHAFTEN Ihres virtuellen Standardservers für SMTP. 3. Klicken Sie auf der Registerkarte ALLGEMEIN auf die Schaltfläche ERWEITERT und doppelklicken Sie auf den Eintrag (ALLE NICHT ZUGEORDNET) im Listenfeld. 4. Wählen Sie einen anderen, nicht benutzten Anschluss aus, um Konflikte mit dem neu zu erstellenden Server zu vermeiden, und klicken Sie dann auf die Schaltfläche OK. 5. Erstellen Sie wie oben beschrieben einen virtuellen Server und stellen Sie den Standardanschluss 25 ein. 6. Wenn Sie aufgefordert werden, das Basisverzeichnis einzugeben, dann vergewissern Sie sich, dass Sie den Pfad zu der Freigabe angegeben haben, die für den Cluster verwendet wird. Geben Sie keinen Pfad zu einer lokalen Datei ein. 7. Öffnen Sie die Eingabeaufforderung auf Ihrem Rechner und wechseln Sie in das Verzeichnis \System32\inetsrv (hierbei ist das Verzeichnis, in dem Sie Windows 2000 installiert haben). 8. Geben Sie den Befehl iissync servername ein (servername ist der Name eines anderen Clusterknotens). 9. Verbinden Sie in der CLUSTERVERWALTUNG einen Ressourcentyp mit dem neuen virtuellen Server. Weitere Informationen finden Sie in der Dokumentation zu Windows 2000 Advanced Server. Sicherheit Die Sicherheitseinstellungen für Ihren virtuellen Server nehmen Sie auf zwei Registerkarten des Dialogfelds EIGENSCHAFTEN vor, nämlich ZUGRIFF und SICHERHEIT. Mit den auf der Registerkarte ZUGRIFF verfügbaren Optionen können Sie Parameter zur Zugriffssteuerung, Weitergabebeschränkungen, Verbin-

Kapitel 4 • Administration von SMTP- und NNTP-Diensten

101

dungssteuerung und Kommunikationssicherheit einstellen. Auf der Registerkarte SICHERHEIT wählen Sie Operatoren aus. Alle Optionen werden im Folgenden beschrieben. Werfen wir zunächst einen Blick auf die Registerkarte SICHERHEIT (Abbildung 4.12). Wenn Sie die Schaltfläche HINZUFÜGEN anklicken, öffnet sich ein Fenster, welches die auf dem lokalen Rechner oder in der Domäne vorhandenen Benutzer und Gruppen anzeigt. Unter diesen können Sie Operatoren wählen, die den Dienst nicht nur starten, beenden und anhalten, sondern auch konfigurieren können. Wenn Sie einen oder mehrere Benutzer oder Gruppen aus der Liste entfernen wollen, selektieren Sie diese und klicken Sie dann auf die Schaltfläche ENTFERNEN.

Abb. 4.12: Die Registerkarte SICHERHEIT des Dialogfelds EIGENSCHAFTEN VON VIRTUELLER STANDARDSERVER FÜR SMTP. Hier lassen sich Operatoren hinzufügen und entfernen, die Änderungen am SMTP-Server vornehmen können.

Tipp Ich empfehle Ihnen, auf dem Domänencontroller eine Gruppe zu erstellen, die Sie dann an dieser Stelle selektieren. Der Gruppe können Sie dann Benutzer hinzufügen, was die Administration erheblich vereinfacht.

102

Arbeiten mit dem virtuellen Server für SMTP

Die Registerkarte ZUGRIFF (Abbildung 4.13) verfügt über vier Abschnitte, die Sicherheitsaspekte bezüglich der Serverkommunikation und der Verbindungen betreffen. Im ersten Abschnitt dreht sich alles um die Zugriffssteuerung und Authentifizierung. Um diesen Abschnitt zu konfigurieren, klicken Sie auf die Schaltfläche AUTHENTIFIZIERUNG. Die folgenden Optionen sind im dann angezeigten Dialogfeld AUTHENTIFIZIERUNG verfügbar: •

Anonymer Zugriff. Markieren Sie diese Option, wenn Sie keine Authentifizierung auf dem Server wünschen.



Standardauthentifizierung. Diese Authentifizierung erfordert einen Benutzernamen und ein Kennwort, sendet diese aber unverschlüsselt. Sie können zwecks Authentifizierung einen Domänennamen an den Kontennamen anhängen. Ferner lässt sich eine Option TLS-VERSCHLÜSSELUNG ERFORDERLICH selektieren, um die Verwendung von TLS zu erzwingen.



Windows-Sicherheitspaket. Client und Server handeln die Verbindung aus und verwenden zur Authentifizierung einen Windows-Kontennamen und ein Windows-Kennwort.

Abb. 4.13: Die Registerkarte ZUGRIFF enthält verschiedene Einstellmöglichkeiten für die Sicherheit von Verbindungen

Kapitel 4 • Administration von SMTP- und NNTP-Diensten

103

Im Abschnitt SICHERE KOMMUNIKATION geht es dann um Zertifikate und Schlüssel für eine sichere Kommunikation. Zertifikate und PKI (Public Key Infrastructure, Infrastruktur öffentlicher Schlüssel) werden in diesem Buch jedoch nicht beschrieben, weswegen ich Ihnen ans Herz lege, sich eingehend mit diesen Sicherheitsoptionen zu beschäftigen, bevor Sie sie implementieren. Wenn Sie auf die Schaltfläche ZERTIFIKAT klicken, wird der IIS-ZERTIFIKATS-ASSISTENT aufgerufen, mit dem Sie eine Zertifikatsanforderung erstellen können. Sie benötigen ein solches Zertifikat, um es an eine autorisierte Zertifizierungsstelle zu senden. Wenn Sie auf die Schaltfläche KOMMUNIKATION klicken, können Sie festlegen, dass eine sichere Kommunikation stattfinden muss. Diese Option ist nur gültig, wenn Sie ein Zertifikat installiert haben. Durch Anklicken der Schaltfläche VERBINDUNG im Abschnitt Verbindungskontrolle rufen Sie das Dialogfeld VERBINDUNG (Abbildung 4.14) auf.

Abb. 4.14: Im Dialogfeld VERBINDUNG können Sie den Zugriff auf Ihren Server auf der Basis der anfordernden IP-Adresse oder sogar der Domäne gestatten oder verweigern

Wie Sie sehen, habe ich allen Computern mit Ausnahme des Rechners mit der IPAdresse 207.164.55.254 den Zugriff gestattet. (Die IP-Adresse habe ich nur zu Demonstrationszwecken gewählt und frei erfunden; machen Sie sich also keine Sorgen, falls es sich zufällig um Ihre IP-Adresse handelt – ich habe wirklich nichts gegen Sie!) Sie können über die Festlegung einer Netzwerk-IP-Adresse oder durch Verwendung einer Subnetzmaske auch eine Gruppe von Computern selektieren. Der letzte Abschnitt der Registerkarte ZUGRIFF befasst sich mit der Verwendung Ihres Servers als Weitergabeagent für E-Mails. Sie können Weitergabeeinschrän-

104

Arbeiten mit dem virtuellen Server für SMTP

kungen für Computer basierend auf deren IP- oder Subnetzadresse, der Maske oder dem Domänennamen konfigurieren. Die Optionen gestatten die Auswahl eines einzelnen Rechners oder einer Gruppe von Computern über Subnetzmaske oder Domänennamen. Warnung Falls Sie sich nicht sicher sind, wie Sie mit den Weitergabeoptionen verfahren sollen, dann verweigern Sie am besten jegliche Weitergabe. Wenn Internetbenutzer feststellen, dass Ihr Server zur Weitergabe von E-Mails in der Lage ist, dann kann es ganz schnell dazu kommen, dass Sie mit Hass-Mails bombardiert und schlimmstenfalls sogar vor Gericht zitiert werden, weil irgendjemand Ihren Server als Weitergabestation für seine Spam-Mails verwendet hat. Die von mir bisher beschriebenen Sicherheitsoptionen beziehen sich auf eingehende Nachrichten. Sie können solche Optionen aber auch für ausgehende Nachrichten setzen. Klicken Sie zu diesem Zweck auf die Schaltfläche AUSGEHENDE SICHERHEIT unten auf der Registerkarte ÜBERMITTLUNG (Abbildung 4.15).

Abb. 4.15: Wenn Sie auf die Schaltfläche AUSGEHENDE SICHERHEIT klicken, wird das gleichnamige Dialogfeld aufgerufen, in dem Sie die Sicherheitseinstellungen für ausgehende Nachrichten vornehmen

Kapitel 4 • Administration von SMTP- und NNTP-Diensten

105

Die Sicherheitsoptionen für ausgehende Nachrichten sind mit denen für eingehende Nachrichten identisch, weswegen ich sie hier nicht noch einmal erläutern werde. Es ist allerdings wichtig festzuhalten, dass diese Optionen sich sowohl auf Nachrichten beziehen, die innerhalb Ihrer Organisation verfasst werden, als auch auf Nachrichten externer Benutzer, deren Mails über Ihren Server weitergegeben werden, sofern Sie die oben beschriebenen Weitergabeeigenschaften konfiguriert haben. Mails verwalten In diesem Abschnitt geht es um die Verwaltung der Anzahl von Nachrichten, die im Laufe einer Sitzung oder Verbindung zugestellt werden, außerdem um die Begrenzung der Nachrichtengröße, die Anzahl der Empfänger und die Vorgehensweise bei Nichtzustellbarkeit. Diese Optionen werden auf der Registerkarte NACHRICHTEN im Dialogfeld EIGENSCHAFTEN VON VIRTUELLER SMTP-SERVER eingestellt. Bei fast allen Produktionsservern ist die Serverleistung eine für den Administrator wichtige Angelegenheit. Wenn Ihr SMTP-Server eine große Menge von Mails über eine einzige Verbindung sendet, dann kann die Leistungsfähigkeit des Servers rapide sinken, und die Zustellung der Mails kann sich extrem verzögern. Eine Möglichkeit, dieses Problem zu umgehen, besteht in der Begrenzung der Anzahl von Nachrichten, die pro Verbindung gesendet werden können. Wenn Sie diese Anzahl auf – sagen wir – 30 verringern und Ihr Server nun versucht, 120 Mails zu senden, dann tut er dies nicht in einem Rutsch; vielmehr sendet er die ersten 30 Mails, baut dann für die nächsten 30 eine neue Verbindung auf, sendet diese usw., bis alle Nachrichten versandt sind. Wenn Sie einen Anhaltspunkt für Ihr Limit benötigen, dann fügen Sie im Systemmonitor den Indikator Gesendete Nachrichten/Sek für das Objekt SMTP Server hinzu (siehe Abbildung 4.16). Der Grenzwert sollte kleiner als der im Systemmonitor ermittelte Wert sein. Um ihn einzustellen, öffnen Sie zunächst das Dialogfeld EIGENSCHAFTEN VON VIRTUELLER SERVER FÜR SMTP und wählen die Registerkarte NACHRICHTEN. Hier wählen Sie die Option ZAHL DER NACHRICHTEN PRO VERBINDUNG BESCHRÄNKEN AUF und legen den gewünschten Wert fest. Der Standardwert liegt bei 20, maximal lässt sich eine Beschränkung auf 2.000.000.000 Nachrichten einstellen – eine gigantische Menge für eine einzige Verbindung; wenn Sie wirklich so viele Nachrichten versenden, dann sollten Sie in jedem Fall einen Cluster verwenden. Als Nächstes können Sie die Größe der Nachrichten begrenzen. Geben Sie den gewünschten Wert (in Kbyte) in das Textfeld NACHRICHTENGRÖSSE EINSCHRÄNKEN AUF ein. Versucht nun ein Client eine Nachricht zu versenden, die größer ist als dieses Limit, dann wird ihm eine Fehlermeldung angezeigt. Die einzige Ausnahme liegt vor, wenn der Server den Befehl EHLO unterstützt; in diesem Fall wird der Grenzwert vorab vom Server ermittelt, der danach gar nicht erst versuchen wird, eine Nachricht von unerlaubter Größe zu übermitteln.

106

Arbeiten mit dem virtuellen Server für SMTP

Abb. 4.16: GESENDETE NACHRICHTEN/SEK ist ein Leistungsindikator im Systemmonitor, der zur Feststellung eines Grenzwertes für die Anzahl der Nachrichten pro Verbindung verwendet werden kann

Sie können auch die Anzahl der gesendeten Daten pro Sitzung einschränken. Markieren Sie das Kontrollkästchen SITZUNGSGRÖSSE EINSCHRÄNKEN AUF und geben Sie einen Wert in das Textfeld ein. Dieser Wert ist die Summe aller während einer Sitzung gesendeten Nachrichten. Beachten Sie, dass sich der Wert nur auf tatsächliche Nachricht und nicht auf die Anzahl der Empfänger bezieht. Als Letztes können Sie die Anzahl der Empfänger pro Nachricht begrenzen. Wählen Sie die Option ZAHL DER EMPFÄNGER PRO NACHRICHT BESCHRÄNKEN AUF und geben Sie den gewünschten Wert in das Textfeld ein (Standard: 100). Wenn der SMTP-Server eine Nachricht mit mehr als 100 Empfängern vorfindet, baut er eine neue Verbindung auf und verarbeitet dann die übrigen Empfänger. Der SMTP-Dienst erlaubt Ihnen auch die Speicherung unzustellbarer Mails auf dem Server. Ein Unzustellbarkeitsbericht (Non-Delivery Report, NDR) wird im von Ihnen im Dialogfeld EIGENSCHAFTEN spezifizierten Verzeichnis abgelegt. Es handelt sich hierbei um eine Kopie des an den Absender geschickten Unzustellbarkeitsberichts. Der SMTP-Server wird solange versuchen, den Unzustellbarkeitsbericht zuzustellen, bis die festgelegte Maximalanzahl von Versuchen erreicht wird; danach legt er den Bericht im von Ihnen gewählten Verzeichnis für unzustellbare Mails ab. Dieses Verzeichnis legen Sie im Textfeld BADMAIL-VERZEICHNIS fest Standard: x:\InetPub\mailroot\Badmail, wobei x: den Buchstaben des Laufwerks bezeichnet, auf dem Sie IIS installiert haben. Um die Zustellung von Nachrichten geht es auch auf der Registerkarte ÜBER(Abbildung 4.17) des Dialogfelds EIGENSCHAFTEN. Die ersten vier

MITTLUNG

Kapitel 4 • Administration von SMTP- und NNTP-Diensten

107

Optionen gestatten Ihnen die Einstellung des ersten, zweiten, dritten und aller nachfolgenden Wiederholungsintervalle, d.h. der Zeitabstände, nach denen der Server jeweils versucht, nicht zugestellte Mails erneut zu versenden. Die Option BENACHRICHTIGUNG BEI VERZÖGERUNG legt fest, wann bei Nichtzustellung eine entsprechende Benachrichtigung erfolgt – dies ist praktisch, wenn netzwerkbedingte Verzögerungen zu berücksichtigen sind. Sie können hier einen Wert zwischen einer Minute und 9.999 Tagen eingeben (Standard: 12 Stunden). Die letzte Option bei den ausgehenden Nachrichten ist das ZEITLIMIT FÜR ABLAUF. Wenn der SMTP-Dienst alle Zustellversuche erfolglos durchgeführt hat, landen nach Ablauf des hier angegebenen Zeitraums nicht zugestellte Mails im Verzeichnis Badmail. Wie auch bei der BENACHRICHTIGUNG BEI VERZÖGERUNG können Sie hier einen Wert zwischen einer Minute und 9.999 Tagen eingeben. Standardmäßig sind zwei Tage gewählt.

Abb. 4.17: Die Registerkarte ÜBERMITTLUNG des Dialogfelds EIGENSCHAFTEN VON VIRTUELLER SERVER FÜR SMTP wird zur Eingabe von Wiederholungsintervallen und Zeitlimits benutzt

Unten auf der Registerkarte ÜBERMITTLUNG befindet sich der Abschnitt LOKAL. Die beiden hier vorzufindenden Optionen funktionieren exakt so wie die darüber liegenden Einstellungen für ausgehende Nachrichten, beziehen sich aber lediglich auf lokale Verbindungen.

108

Arbeiten mit dem virtuellen Server für SMTP

Die Schaltfläche AUSGEHENDE SICHERHEIT wurde bereits weiter oben im Abschnitt »Sicherheit« beschrieben. Es gibt hier allerdings noch eine Schaltfläche ERWEITERT, die kurz erläutert werden soll. Wenn Sie diese Schaltfläche anklicken, wird das Dialogfeld WEITERE ÜBERMITTLUNGSOPTIONEN (Abbildung 4.18) geöffnet.

Abb. 4.18: Im Dialogfeld WEITERE ÜBERMITTLUNGSOPTIONEN können Sie Routingeinstellungen für Ihre Nachrichten vornehmen

Die erste Option in diesem Dialogfeld ist MAXIMALER HOP COUNT. Der Standardwert ist 15; er zeigt an, dass der SMTP-Server die Anzahl der Router überprüft, die eine Nachricht auf dem Weg zu ihrem Ziel passiert hat. Wenn die Nachricht mindestens so viele Router passiert wie hier angegeben, erhält der Absender einen Unzustellbarkeitsbericht. Natürlich wird trotzdem versucht, die Nachricht in den festgelegten Abständen erneut zuzustellen. Die nächste Option ist die MASKERADENDOMÄNE. Der hier eingegebene Wert wird im Feld From der Nachricht angezeigt und ersetzt den lokalen Domänennamen. Wofür das gut sein soll? Nun, wenn Sie in einer lokalen Domäne ohne vollständig qualifizierten Domänennamen arbeiten, dann werden Sie feststellen, dass es Internetprovider gibt, die die Annahme von Nachrichten aufgrund der Angaben in den Feldern From bzw. Mailfrom des Nachrichtenheaders verweigern. Durch Eingabe eines vollständig qualifizierten Domänennamens in das Feld MASKERADENDOMÄNE können Sie dieses Problem umgehen.

Kapitel 4 • Administration von SMTP- und NNTP-Diensten

109

Warnung Verwenden Sie diese Funktion nicht, um Humbug mit IP-Adressen oder Domänennamen zu treiben. Das Feld VOLLSTÄNDIG QUALIFIZIERTER DOMÄNENNAME enthält den Namen des Servers, den Sie bei der Installation von Windows 2000 angegeben haben. Wie aus Abbildung 4.18 ersichtlich, steht für meinen Server keine Internetdomäne zur Verfügung, weswegen ich während der Installation die Domäne gkcomput.local festgelegt habe. Der Servername lautet computer, und deswegen ist der vollständig qualifizierte Domänenname computer.gkcomput.local. Wenn Sie über einen Domänennamen zur Verwendung im Internet verfügen, dann zögern Sie nicht, diesen hier einzugeben. Sie können die Angabe später bei Bedarf auch wieder ändern. Wenn Sie auf die Schaltfläche DNS ÜBERPRÜFEN klicken, dann versucht der SMTP-Server, den eingegebenen Domänennamen zu verifizieren. Wenn Sie eine local-Domäne benutzen, so wie ich es hier tue, dann erhalten Sie das Ergebnis quasi sofort. Bei Computern, die mit dem Internet verbunden sind, kann die Antwort je nach der Antwortzeit des DNS-Servers länger dauern. Schließlich können Sie im Dialogfeld WEITERE ÜBERMITTLUNGSOPTIONEN auch einen SMART HOST angeben. Ein Smart Host ist ein Computer im Netzwerk, der in der Lage ist, Nachrichten über eine Verbindung zu übermitteln, die hinsichtlich der Hops kostengünstiger ist. Wenn sich in Ihrem Netzwerk ein Smart Host befindet, dann können Sie seine IP-Adresse oder seinen Hostnamen hier eingeben, woraufhin der SMTP-Server alle ausgehenden Nachrichten zu diesem Host umleiten wird. Tipp Wenn Sie die IP-Adresse des Smart Host in eckigen Klammern ([…]) eingeben, können Sie die Serverleistung verbessern, denn dann muss der Server keinen DNS-Lookup für den Hostnamen durchführen. Sie werden außerdem feststellen, dass, wenn Sie einen Smart Host angeben, die Option DIREKTE ÜBERMITTLUNG VERSUCHEN, BEVOR ZUM SMART HOST GESENDET WIRD verfügbar wird. Wenn diese Option aktiviert ist, versucht SMTP, Nachrichten zunächst direkt zu senden. Standardmäßig ist die Option nicht aktiviert, und meiner Meinung nach ist das auch gut so, denn sie kann den Sinn und Zweck des Smart Hosts zunichte machen. Die letzte hier vorhandene Einstellung ist UMGEKEHRTE DNS-SUCHE AN EINGENACHRICHTEN DURCHFÜHREN. Wenn Sie diese Option markieren, dann wird SMTP versuchen, die Übereinstimmung von IP-Adresse und Domänenname zu verifizieren. Stimmen diese nicht überein, so erscheint im Empfangsheader nach der IP-Adresse der Vermerk unverified (nicht verifiziert). Dieses nette kleine Feature kann sehr hilfreich dabei sein, eingehende Mails mit gefälschten Headern abzuwehren.

HENDEN

110

Arbeiten mit dem virtuellen Server für SMTP

Hinweis Auch wenn diese Funktion praktisch ist, sollten Sie sich vergegenwärtigen, dass ihre Aktivierung die Serverleistung beeinträchtigen kann, da der Server für jede Nachricht, die er empfängt, einen DNS-Lookup durchführen muss. Mit Domänen arbeiten Manchmal frage ich mich wirklich, ob auch in der Dokumentationsabteilung von Microsoft nur Informatiker (und keine Dokumentare) sitzen. Verstehen Sie mich nicht falsch, ich arbeite oft und gerne mit Microsoft-Produkten, aber unglücklicherweise haben die Entwickler von Microsoft eine Tendenz, bei den eigenen Produkten auch eine ganz eigene (und eigentümliche) Terminologie zu verwenden. Sie kennen Internetdomänen. Sie kennen die Domänen von Windows NT 4.0 und Windows 2000. Wussten Sie schon, dass es jetzt eine neue Domäne von Microsoft gibt, mit der Sie arbeiten können? Die Rede ist von der SMTP-Dienstdomäne. Diese Domänen werden benötigt, um Nachrichten für die Übermittlung zu organisieren. SMTP unterteilt seine Domänen noch weiter in lokale und Remotedomänen. Lokale Domänen werden von einem lokalen SMTP-Server unterstützt, Remotedomänen hingegen befinden sich nicht in der lokalen Domäne bzw. im lokalen Netzwerk. Nachrichten, die eine lokale Domänenadresse haben, werden durch den lokalen SMTP-Server verarbeitet und im Verzeichnis Drop abgelegt. Lokale Domänen werden gelegentlich auch als »Dienstdomänen« bezeichnet. Wenn Sie eine Remotedomäne konfiguriert haben und Nachrichten mit Remoteadressen empfangen, dann verarbeitet der SMTP-Server die Nachrichten und sendet sie an die Remotedomäne. Wenn Sie mehrere Remotedomänen konfigurieren, können Sie für diese jeweils eigene Einstellungen vornehmen. Die Erstellung einer Domäne ist eine einfache Sache. Habe ich gesagt, es gäbe zwei Typen von Domänen? Nun, da habe ich ein wenig geschwindelt. Sie können eine Domäne als Aliasdomäne erstellen. Dieser Domänentyp ist eine Sekundärdomäne, die auf die Standarddomäne verweist. Sie können Nachrichten an die Aliasdomäne senden, die dann von der Standarddomäne verarbeitet werden. Gehen Sie wie folgt vor, um eine neue Domäne zu erstellen: 1. Öffnen Sie den Internetdienste-Manager und blenden Sie den Zweig unter dem Eintrag VIRTUELLER SERVER FÜR SMTP ein. 2. Wählen Sie das Symbol DOMÄNEN. 3. Wählen Sie im Menü VORGANG den Eintrag NEU/DOMÄNE. Der ASSISTENT FÜR NEUE SMTP-DOMÄNE wird gestartet (Abbildung 4.19).

Kapitel 4 • Administration von SMTP- und NNTP-Diensten

111

Abb. 4.19: Im ASSISTENT FÜR NEUE SMTP-DOMÄNE lässt sich festlegen, ob eine Remotedomäne oder eine Aliasdomäne erstellt werden soll

4. Wählen Sie den gewünschten Domänentyp (ALIAS oder REMOTEDOMÄNE) und klicken Sie auf die Schaltfläche WEITER. 5. Wenn das Dialogfeld DOMÄNENNAMEN AUSWÄHLEN angezeigt wird, geben Sie den Namen einer Domäne ein, beispielsweise microsoft.com für eine Remotedomäne oder einen Namen Ihrer Wahl für eine Aliasdomäne. Klicken Sie dann auf die Schaltfläche FERTIG STELLEN. Die neue Domäne und der Domänentyp werden dann im Internetdienste-Manager angezeigt (siehe Abbildung 4.20). Das Löschen einer vorhandenen Domäne ist noch einfacher: Selektieren Sie den Domänennamen im rechten Fensterbereich und wählen Sie dann im Menü VORGANG den Eintrag LÖSCHEN. Bestätigen Sie die angezeigte Meldung über die Schaltfläche JA, dann wird die Domäne gelöscht. Hinweis Die Standarddomäne lässt sich nicht löschen. Wenn Sie eine vorhandene Domäne haben, die Sie löschen wollen, es sich bei dieser Domäne aber um die Standarddomäne handelt, dann erstellen Sie eine neue Aliasdomäne und machen Sie diese zur Standarddomäne; danach können Sie die vorherige Standarddomäne löschen. SMTP verwendet eine Standarddomäne, um Nachrichten, die noch nicht mit einem Domänennamen versehen sind, zu »stempeln«. Bei der ersten Installation von SMTP verwendet der Dienst denjenigen Domänennamen, der in der NETZWERKIDENTIFIKATION von Windows 2000 Server angegeben wurde.

112

Arbeiten mit dem virtuellen Server für SMTP

Abb. 4.20: Der Internetdienste-Manager zeigt die hinzugefügte Domäne MICROSOFT.COM als Remotedomäne an

Sie können den Namen dieser Domäne im Abschnitt NETZWERKIDENTIFIKATION ändern. Weitere Informationen hierzu finden Sie in der Windows 2000-Hilfedatei zum Netzwerk. Wenn Sie den Domänennamen ändern, dann wird auch der Name des SMTP-Standardservers automatisch modifiziert, sobald der Dienst neu gestartet wird. Um die Standarddomäne zu ändern, müssen mindestens zwei Domänen im SMTP-Server spezifiziert worden sein. Dabei bezeichnet der oberste Domänenname in der Liste die Standarddomäne. Sie können im rechten Fensterbereich mit der rechten Maustaste den Namen der Domäne anklicken, die zur Standarddomäne werden soll, und dann im Kontextmenü den Eintrag STANDARD wählen. Beachten Sie, dass der Eintrag an den Anfang der Liste verschoben wird. Für Remotedomänen gibt es ein paar zusätzliche Konfigurationsoptionen, die für lokale oder Aliasdomänen nicht vorhanden sind. Um diese Optionen einzustellen, klicken Sie mit der rechten Maustaste auf den Namen der Remotedomäne und wählen Sie den Eintrag EIGENSCHAFTEN im Kontextmenü. Das Dialogfeld EIGENSCHAFTEN (Abbildung 4.21) wird aufgerufen. In Abbildung 4.21 wurde das Eigenschaftsfenster der Remotedomäne mcp.de aufgerufen und die Registerkarte ALLGEMEIN aktiviert. Hier finden Sie die folgenden Optionen:

Kapitel 4 • Administration von SMTP- und NNTP-Diensten

113

Abb. 4.21: Das Dialogfeld EIGENSCHAFTEN VON MCP.DE enthält zwei Registerkarten zur Einstellung von Routing- und Sicherheitsoptionen der Remotedomäne



Eingehende Nachrichten können an diese Domäne weitergegeben werden. Standardmäßig ist die Weitergabe von Nachrichten über diesen Server deaktiviert; durch Markierung dieses Kontrollkästchens können Sie dieses Verhalten ändern.



HELO anstelle von EHLO senden. Wenn SMTP-Clients, die ESMTP (Extended SMTP, erweitertes SMTP) unterstützen, eine Verbindung mit Ihrem Server herstellen, dann beginnen sie die Sitzung durch Senden des EHLO-Befehls. Dadurch wird beim Server (sofern er ESMTP versteht) eine Auflistung der unterstützten Eigenschaften ausgelöst. Selektieren Sie diese Option, wenn Ihr SMTP-Client von einem Remoteserver Fehlermeldungen erhält, weil dieser den EHLO-Befehl nicht unterstützt.



Ausgehende Sicherheit. Wenn Sie diese Schaltfläche anklicken, wird das Dialogfeld AUSGEHENDE SICHERHEIT aufgerufen, in dem Sie Authentifizierungsund TLS-Einstellungen vornehmen können.



Routingdomäne. Dieser Abschnitt enthält zwei Optionen. Die Standardoption heißt DNS FÜR DIE WEITERLEITUNG ZU DIESER DOMÄNE VERWENDEN; wenn sie selektiert ist, dann übermittelt der SMTP-Server Nachrichten an die Remo-

114

Arbeiten mit dem virtuellen Server für SMTP

tedomäne auf normalem Wege. Wenn Sie jedoch die Option GESAMTE MAIL SMART HOST WEITERLEITEN wählen, dann müssen Sie den Namen Ihres Smart Hosts eingeben (siehe hierzu auch die Anmerkungen zu Abbildung 4.18). AN

Auf der Registerkarte WEITERE OPTIONEN finden Sie ebendiese für Domänen, die sich regelmäßig einwählen bzw. eine Verbindung herstellen, um Nachrichten abzuholen. Hier müssen Sie die Option NACHRICHTEN FÜR REMOTE AUSGELÖSTE ÜBERMITTLUNG IN WARTESCHLANGE EINREIHEN selektieren, damit der SMTPDienst weiß, dass er die Nachrichten, die an diese Remotedomäne gesendet werden sollen, so lange behalten muss, bis eine gültige Anmeldung für die Anforderung der Nachrichten erfolgt ist. Aus Sicherheitsgründen müssen Sie auf die Schaltfläche HINZUFÜGEN klicken, wenn Sie Benutzer oder Gruppen der Liste der autorisierten Konten hinzufügen wollen. LDAP-Serververbindungen Das LDAP-Protokoll (Lightweight Directory Access Protocol) wurde als Internetprotokoll für den Zugriff auf Verzeichnisse und Daten in jenen Serververzeichnissen entwickelt, die dieses Protokoll unterstützen. Das Active Directory von Windows 2000 ist LDAP-kompatibel. SMTP kann LDAP zur Anforderung einer Liste von Mailbenutzern von einem LDAP-Server verwenden. Abbildung 4.22 zeigt die Registerkarte LDAP-ROUTING des Dialogfelds EIGENSCHAFTEN VON VIRTUELLER STANDARDSERVER FÜR SMTP. Wenn Sie den Namen des Servers in das entsprechende Textfeld eingegeben haben, müssen Sie noch den Schematyp bestimmen. Das Listenfeld SCHEMA enthält drei mögliche Schematypen: •

Active Directory. Wählen Sie diese Option, wenn Sie eine Verbindung zu einem Windows 2000-Server mit Active Directory herstellen. Sie können das Administrations-Snap-In ACTIVE DIRECTORY-BENUTZER UND -COMPUTER auf dem Server zur Verwaltung von Postfächern benutzen.



Site-Server-Mitgliedschaft. Wenn Sie als Bestandteil von MCIS 2.0-Mail (Microsoft Commercial Internet System) LDAP installiert haben, sollten Sie diese Option wählen.



Exchange LDAP-Dienst. Diese Option sollten Sie verwenden, wenn Sie zur Postfachverwaltung Site Server 3.0 oder höher einsetzen.

Im nächsten Listenfeld BINDUNG müssen Sie festlegen, welche Authentifizierungsebene Sie auswählen wollen. Hier gibt es vier Optionen: •

Anonym. Benötigt keine Authentifizierung.



Unverschlüsselt. Die Kontendaten werden angefordert, jedoch unverschlüsselt übertragen.

Kapitel 4 • Administration von SMTP- und NNTP-Diensten

115

Abb. 4.22: Die Registerkarte LDAP-ROUTING des Dialogfelds EIGENSCHAFTEN VON VIRTUELLER STANDARDSERVER FÜR SMTP erlaubt Ihnen die Konfiguration von SMTP als Client eines LDAP-Servers



Windows-SSPI. Wenn Sie diese Option selektieren, handeln Client und Server die Sicherheitseinstellungen untereinander aus. Es wird die sicherste Methode verwendet, die von beiden verstanden wird.



Dienstkonto. Diese Option verwendet die Sicherheitsdaten des Kontos, unter dem der SMTP-Dienst ausgeführt wird.

Wenn Sie die Optionen UNVERSCHLÜSSELT oder WINDOWS-SSPI wählen, werden Sie zur Eingabe des Domänennamens sowie des Benutzernamens und -kennworts aufgefordert. Geben Sie gegebenenfalls in das Textfeld BASIS den Namen desjenigen Containers im kontaktierten Verzeichnisdienst ein, in dem Sie die Verzeichnisdienstsuche starten wollen. Falls Untercontainer vorhanden sind, werden auch diese durchsucht, sofern Sie hier das übergeordnete Verzeichnis angeben. SMTP-Dienst überwachen und Probleme beheben In Windows 2000 sind ein paar Programme vorhanden, die Sie bei der Leistungsüberwachung Ihres SMTP-Servers und der Behebung entsprechender Probleme

116

Arbeiten mit dem virtuellen Server für SMTP

unterstützen sollen. Zu diesen Programmen gehören der Systemmonitor, die Protokollierung und die Ereignisanzeige. Der Systemmonitor (zu finden unter START/PROGRAMME/VERWALTUNG/LEISist kein dediziertes SMTP- oder IIS-Tool, sondern dient der Überwachung der Systemleistung auf vielen Ebenen des Betriebssystems. Um ihn in Zusammenhang mit SMTP benutzen zu können, müssen Sie zunächst Leistungsindikatoren für das Objekt SMTP SERVER hinzufügen, deren Verlauf dann im Diagramm angezeigt wird. Einige der für dieses Objekt verfügbaren Indikatoren sehen Sie in Abbildung 4.23. Sie können das Dialogfeld aufrufen, indem Sie in der Werkzeugleiste des Systemmonitors das Pluszeichen anklicken. TUNG)

Abb. 4.23: Der SMTP-Dienst stellt eine Fülle von Leistungsindikatoren zur Verwendung im Systemmonitor bereit

Weitere Informationen zur Verwendung des Systemmonitors finden Sie in der Onlinehilfe von Windows 2000. Die Ereignisanzeige von Windows 2000 Server stellt eine hervorragende Möglichkeit dar, Fehlermeldungen zu betrachten, die vom SMTP-Dienst erzeugt wurden. Abbildung 4.24 zeigt die Ereignisanzeige mit einigen SMTP-Fehlermeldungen. Sie rufen die Ereignisanzeige über START/PROGRAMME/VERWALTUNG/ EREIGNISANZEIGE auf. Hinweis Sie müssen im linken Fensterbereich das Systemprotokoll auswählen, um SMTP-Fehlermeldungen betrachten zu können.

Kapitel 4 • Administration von SMTP- und NNTP-Diensten

117

Abb. 4.24: Die Ereignisanzeige beinhaltet mehrere Protokolltypen. Für den SMTPDienst ist das Systemprotokoll zuständig.

Sie können zur Überwachung von SMTP auch die Protokollierung verwenden, in der alle Befehle aufgezeichnet werden, die von SMTP-Clients empfangen wurden. Die Protokollierung kann in einem von vier möglichen Formaten erfolgen; detaillierte Informationen finden Sie weiter oben im Abschnitt »Protokollierung«.

4.2

Der NNTP-Dienst Der NNTP-Dienst, der zu IIS 5.0 gehört, gibt Ihnen die Möglichkeit, beispielsweise Newsgroups und Diskussionsforen für interne Zwecke oder auch Kundenforen auf Ihrem Server abzulegen. Der NNTP-Dienst wird bei der IIS-Installation nicht standardmäßig mitinstalliert. Um den NNTP-Dienst dem IIS-Server hinzuzufügen, öffnen Sie den Internetdienste-Manager und selektieren das Computersymbol im linken Fensterbereich. Wählen Sie dann im Menü VORGANG den Eintrag NEU/VIRTUELLER NNTPSERVER. Nun wird der ASSISTENT FÜR NEUEN VIRTUELLEN NNTP-SERVER geöffnet. Zunächst sollen Sie eine Beschreibung für den Server eingeben. Im nächsten Fenster werden Sie dann zur Eingabe einer IP-Adresse und einer Anschlussnummer aufgefordert. Wenn dies ihr erster NNTP-Server ist, dann wählen Sie die typische NNTP-Anschlussnummer 119. Klicken Sie dann auf WEITER.

118

Der NNTP-Dienst

Nun wird das Fenster PFAD FÜR INTERNE SERVERDATEIEN AUSWÄHLEN geöffnet, in dem Sie einen Pfad für die Ablage der vom Server erzeugten Dateien eingeben können. Wählen Sie nach Bestätigung durch WEITER das gewünschte Speichermedium aus – DATEISYSTEM für den lokalen Computer oder FREIGABE AUF REMOTESYSTEM, falls das Verzeichnis auf einem Remotecomputer liegt. Als Nächstes geben Sie den PFAD ZUM SPEICHERN DER NEWSINHALTE ein, dann klicken Sie auf FERTIG STELLEN, um die Erstellung des virtuellen NNTP-Servers abzuschließen. Der mit IIS 5.0 ausgelieferte NNTP-Dienst unterstützt das NNTP-Protokoll vollständig und ermöglicht sowohl Client-Server- als auch Server-Server-Kommunikation. Ferner unterstützt er den MIME-Standard (Multipurpose Internet Mail Extensions, Mehrzweckerweiterung für Internetpost) und die Formate HTML, GIF und JPEG. Wie der SMTP-Dienst ist auch der NNTP-Dienst zur leichteren Administrierung in die MMC integriert. Dadurch können Sie außerdem mehrere NNTP-Server von einer zentralen Stelle im Netzwerk aus verwalten. Auch diverse Verwaltungsprogramme unter Windows 2000 Server wie etwa der Systemmonitor und die Ereignisanzeige können zur Ereignisprotokollierung und Problembehebung beim NNTP-Dienst verwendet werden. Sie können ferner die ACLs (Access Control Lists, Zugriffssteuerungslisten) von Windows 2000 benutzen, um die Sicherheit Ihrer NNTP-Verzeichnisse zu erhöhen. Durch Einrichtung eingeschränkter NTFS-Berechtigungen für die Verzeichnisse können Sie den unbefugten Zugriff auf bestimmte Newsgroups verhindern, und mit Hilfe des CRS (Content Replication System, Replikationssystem für Inhalte) können Sie die ACLs serverübergreifend aktualisieren, was eine bedeutende Erleichterung der Administration darstellt. Wenn Sie den Indexdienst von Microsoft auf Ihrem Server installiert und konfiguriert haben, dann können Sie überdies die Suchfunktionen dieses Dienstes verwenden und Ihre Newsgroups auf diese Weise nach bestimmten Gruppen oder Nachrichten durchsuchen. Zudem bietet der NNTP-Dienst drei mögliche Authentifizierungsszenarios an: •

Anonyme Anmeldung erlauben. Ist identisch mit der anonymen Anmeldung bei den Web- und FTP-Diensten und gewährleistet allen Benutzern Zugriff auf den Server.



Standardauthentifizierung (Kennwort bleibt unverschlüsselt). Diese Authentifizierungsmethode erfordert die Angabe eines Benutzernamens und eines Kennworts, die unverschlüsselt übertragen werden.



Windows-Sicherheitspaket. Wenn Ihre Benutzer ausschließlich mit Mailund Newsclients von Microsoft arbeiten, dann können Sie diese Option wählen, damit Benutzernamen und Kennwörter verschlüsselt über das Netzwerk übertragen werden.

Kapitel 4 • Administration von SMTP- und NNTP-Diensten

119

Abbildung 4.25 zeigt den NNTP-Dienst mit einigen installierten und konfigurierten Newsgroups.

Abb. 4.25: Der NNTP-Dienst in der MMC erlaubt die Ansicht und Administration des Dienstes und der auf dem Server enthaltenen Newsgroups

4.2.1

Konfiguration des NNTP-Dienstes Bevor Sie den NNTP-Dienst konfigurieren, sollten Sie die Struktur kennen, die er für seine Gruppen und Nachrichten verwendet. Jede Newsgroup, die im NNTP erstellt wird, ist eigentlich ein Verzeichnis im Basisverzeichnis, und jeder Beitrag in einer Newsgroup ist eine Datei in einem solchen Verzeichnis. Abbildung 4.26 zeigt die Verzeichnisstruktur des NNTP-Dienstes auf meinem Computer. Wie Sie Abbildung 4.26 entnehmen können, ist das Standardbasisverzeichnis für NNTP der Ordner x:\InetPub\nntpfile\root (hierbei ist x: das Verzeichnis, in dem der NNTP-Dienst installiert ist). Sie können aber auch ein anderes Standardverzeichnis wählen. Gehen Sie hierzu wie folgt vor: 1. Öffnen Sie, falls nicht bereits geschehen, den Internetdienste-Manager und blenden Sie im linken Fenster den Zweig unter dem Serversymbol ein, um den virtuellen NNTP-Server anzuzeigen. 2. Blenden Sie den Zweig unterhalb des NNTP-Servers ein und wählen Sie den Eintrag VIRTUELLE VERZEICHNISSE.

120

Der NNTP-Dienst

Abb. 4.26: Der NNTP-Dienst speichert Newsgroups als Verzeichnisse und Nachrichten als Dateien in diesen Verzeichnissen

3. Klicken Sie mit der rechten Maustaste im rechten Fensterbereich auf den Eintrag STANDARD und wählen Sie im Kontextmenü den Eintrag EIGENSCHAFTEN. Das Dialogfeld EIGENSCHAFTEN VON STANDARD (Abbildung 4.27) öffnet sich. 4. Klicken Sie auf die Schaltfläche INHALT und geben Sie den lokalen Pfad oder die Netzwerkfreigabe für Ihr Standardverzeichnis ein. Sie haben vielleicht festgestellt, dass ein paar Verzeichnisse und Dateien im Ordner nntpfile vorhanden sind; diese dürfen Sie nicht löschen oder ändern, da es sich hierbei um interne Datenstrukturen handelt, die der Dienst benötigt. In der im linken Fensterbereich des Internetdienste-Managers vorhandenen Baumstruktur befinden sich unterhalb des virtuellen NNTP-Servers die folgenden vier Einträge: •

Newsgroups. Wählen Sie diesen Eintrag, um die auf dem Server konfigurierten Newsgroups zu betrachten.



Ablaufrichtlinien. Klicken Sie mit der rechten Maustaste auf diesen Eintrag und wählen Sie dann im Kontextmenü den Eintrag NEU/ABLAUFRICHTLINIE. Hierdurch wird der ASSISTENT FÜR NEUE NNTP-ABLAUFRICHTLINIEN gestartet. Geben Sie die Ablaufdaten für Artikel auf diesem Server ein; hierdurch wird festgelegt, wie lange die Artikel auf dem Server verbleiben, bevor sie gelöscht werden.

Kapitel 4 • Administration von SMTP- und NNTP-Diensten

121

Abb. 4.27: Über die Schaltfläche INHALT haben Sie Zugriff auf Namen und Ort des Standardverzeichnisses für Ihren virtuellen NNTP-Server



Virtuelle Verzeichnisse. Über diesen Eintrag können Sie neue virtuelle Verzeichnisse auf Ihrem Server erstellen. Klicken Sie mit der rechten Maustaste auf den Eintrag und wählen Sie im Kontextmenü den Eintrag NEU/VIRTUELLES VERZEICHNIS, um den ASSISTENTEN FÜR NEUES VIRTUELLES NNTP-VERZEICHNIS aufzurufen.



Aktuelle Sitzungen. Hier können Sie alle aktuellen Verbindungen zum Server betrachten. Wenn Sie alle Clientverbindungen beenden wollen, klicken Sie mit der rechten Maustaste auf das Symbol und wählen Sie den Eintrag ALLE BEENDEN im Kontextmenü.

Wenn Sie das Symbol des virtuellen NNTP-Servers im linken Fensterbereich mit der rechten Maustaste anklicken und dann im Kontextmenü den Eintrag EIGENSCHAFTEN wählen, wird das Dialogfeld EIGENSCHAFTEN VON VIRTUELLER STANDARDSERVER FÜR NNTP aufgerufen (Abbildung 4.28). Hier konfigurieren Sie den Dienst.

122

Der NNTP-Dienst

Abb. 4.28: Das Dialogfeld EIGENSCHAFTEN VON VIRTUELLER STANDARDSERVER FÜR NNTP beinhaltet die Konfigurationsoptionen für den NNTP-Dienst

Auf der Registerkarte ALLGEMEIN können Sie Namen und IP-Adresse des Servers auf die gleiche Weise konfigurieren wie bei den Web-, FTP- und SMTP-Diensten. Bei Anklicken der Schaltfläche VERBINDUNG wird ein kleines Dialogfeld geöffnet, in dem Sie die maximale Anzahl von Verbindungen und ein Zeitlimit angeben können. Wenn Sie die Option VERBINDUNGEN BESCHRÄNKEN AUF markieren, wird der Standardwert von maximal 5.000 Verbindungen angezeigt. Sie können hier entweder den von Ihnen gewünschten Maximalwert eingeben oder das Kontrollkästchen demarkieren, wenn Sie die Anzahl der Verbindungen nicht begrenzen wollen. Wenn Sie einen gut ausgelasteten Server haben, sollten Sie hier einen Wert eingeben, den Sie durch Überwachung der Serverleistung mit Hilfe des Systemmonitors bei unterschiedlich vielen Verbindungen ermittelt haben. Sie können auch ein Zeitlimit setzen, welches bestimmt, wie lange der Server eine Verbindung mit einem Client aufrechterhält, der sich nicht meldet. Standardmäßig sind zehn Minuten eingestellt. Unter dem Abschnitt VERBINDUNG finden Sie auf der Registerkarte ALLGEMEIN die inzwischen vertraute Option PROTOKOLLIERUNG AKTIVIEREN. Ich werde an dieser Stelle nicht näher darauf eingehen, denn die Protokollierungsoptionen entsprechen denen der anderen Dienste. Ganz unten befindet sich dann noch die

Kapitel 4 • Administration von SMTP- und NNTP-Diensten

123

Option PFAD-KOPFZEILE. Hier können Sie eine Zeichenkette angeben, die dann in der Zeile Path (Pfad) Ihrer Mails angegeben wird. Wechseln Sie nun auf die Registerkarte ZUGRIFF (Abbildung 4.29).

Abb. 4.29: Auf der Registerkarte ZUGRIFF können Sie verschiedene Optionen für Sicherheit und Zugriffskontrolle beim NNTP-Dienst einstellen

Klicken Sie auf die Schaltfläche AUTHENTIFIZIERUNG, um eine der Authentifizierungsmethoden Anonym, Standard oder Windows-Sicherheitspaket auszuwählen. Diese Optionen wurden bereits erläutert, weswegen ich Sie nicht wieder mit Einzelheiten langweilen will. Allerdings werden Sie feststellen, dass Sie auch eine SSL-Clientauthentifizierung aktivieren können; in diesem Fall müssen sich Clients mit einem Clientzertifikat authentifizieren, das auch einem Benutzerkonto auf dem Server zugeordnet werden kann. Über die Schaltfläche ZERTIFIKAT im Abschnitt SICHERE KOMMUNIKATION wird der IIS-ZERTIFIKATS-ASSISTENT gestartet, mit dem Sie ein neues Zertifikat erstellen, vorhandene Zertifikate zuweisen und Zertifikate aus einem Schlüssel-Manager importieren können. Der letzte Abschnitt VERBINDUNGSKONTROLLE gestattet die Auswahl von durch IP-Adresse, Subnetzmaske oder Domänenname identifizierten Computern, denen der Zugriff gestattet oder verweigert werden kann. Diese Optionen sind für

124

Der NNTP-Dienst

externe Verbindungen angemessen; in einem Intranet müssen hier normalerweise keine Änderungen vorgenommen werden. Wechseln Sie also zur Registerkarte EINSTELLUNGEN (Abbildung 4.30), auf der Sie Nachrichtengrößen und Moderatoren konfigurieren.

Abb. 4.30: Die Registerkarte EINSTELLUNGEN steuert die Größe von Nachrichten, Moderationsdaten und Newsfeed-Parameter

Beginnen wir ganz oben auf der Registerkarte mit der Option BEITRÄGE VON CLIENTS VERÖFFENTLICHEN. Wenn Sie dieses Kontrollkästchen deselektieren, dann wird der Server keine von Clients gesendeten Nachrichten akzeptieren; er wird in diesem Fall nur als Veröffentlichungsmedium benutzt. Abbildung 4.31 zeigt eine Fehlermeldung, die von Outlook Express angezeigt wird, wenn Sie versuchen, eine Nachricht an einen Server zu senden, bei dem Clientbeiträge deaktiviert sind. Wenn Sie den Versand von Clientbeiträgen an den Newsserver zulassen, dann können Sie die Größe aller Beiträge (Nachrichten) sowie den maximalen Umfang aller Beiträge einer einzelnen Verbindung beschränken. Die Standardeinstellung für die Maximalgröße einer Nachricht wird über die Option MAX. GRÖSSE EINES BEITRAGS (KB) angegeben, der Standardwert liegt hier bei 1.000 Kbyte.

Kapitel 4 • Administration von SMTP- und NNTP-Diensten

125

Abb. 4.31: Wenn die Option BEITRÄGE VON CLIENTS VERÖFFENTLICHEN auf der Registerkarte EINSTELLUNGEN nicht markiert ist, gestattet es der NNTPDienst Clients nicht, Artikel an den Server zu schicken

Einige Benutzer lesen und schreiben ihre Beiträge offline; insofern kann die Datenmenge der bei der nächsten Verbindung hochgeladenen Beiträge schon recht beträchtlich sein. Wenn Sie die maximale Größe aller Beiträge begrenzen wollen, die ein Client im Verlauf einer Verbindungssitzung senden kann, dann markieren Sie das Kontrollkästchen MAXIMALE GRÖSSE ALLER BEITRÄGE (MB) und geben einen Wert (in Mbyte) ein (Standard: 20 Mbyte). Mit dieser Option verhindern Sie ein Gedränge auf Ihrem Server. Wenn Sie keinerlei Begrenzungen aufstellen wollen, dann deselektieren Sie beide Kontrollkästchen. Verwenden Sie auch hier den Systemmonitor und beobachten Sie ferner den verfügbaren Festplattenspeicher, um pragmatische Grenzwerte zu ermitteln. Die nächste Option auf der Registerkarte EINSTELLUNGEN bestimmt, ob Ihr Server Beiträge von Newsfeeds akzeptiert; wenn Sie das Kontrollkästchen aktivieren (Standardeinstellung), dann können Newsfeeds ihre Beiträge auf Ihren Server

126

Der NNTP-Dienst

hochladen. Auch hier können Sie die Größe eines Artikels und die Gesamtgröße aller während einer Verbindungssitzung hochgeladenen Daten auf die gleiche Weise limitieren wie oben bei den Clientbeiträgen. Unterhalb dieses Abschnitts befindet sich die Option ANDEREN SERVERN DAS ANFORDERN (PULL) VON BEITRÄGEN ERMÖGLICHEN. Wenn Sie das Kontrollkästchen aktivieren, dann kann ein anderer Newsserver im Internet, einem Intranet oder Ihrem WAN-Netzwerk sich Newsgroups und Beiträge von Ihrem Server herunterladen und selbst verwenden. Wenn Sie ein WAN-Netzwerk haben, dann können Sie vielleicht von dieser Möglichkeit profitieren, denn so lassen sich Newsgroups und Beiträge automatisch server- oder domänenübergreifend replizieren. Sie sollten den Verbindungsstatus Ihres Servers allerdings überwachen, sofern er über das Internet erreicht werden kann; möglicherweise versuchen externe Server oder Benutzer, Ihren Server als Quelle für Newsgroups zu missbrauchen. Sie müssen also in jedem Fall Zugriffsbeschränkungen für jene Verzeichnisse konfigurieren, die über das Internet erreichbar sind. Ganz unten auf der Registerkarte EINSTELLUNGEN finden Sie drei Textfelder vor. Im ersten Textfeld SMTP-SERVER FÜR MODERIERTE NEWSGROUPS legen Sie einen Mailserver fest, an den Beiträge für eine moderierte Newsgroup gesendet werden. In einer moderierten Newsgroup erhält der Moderator alle Beiträge, bevor sie auf den Server gelegt werden und sich im allgemeinen Zugriff befinden. Auf diese Weise kann der Moderator bestimmen, ob der Inhalt des Beitrags überhaupt relevant ist. Das zweite Textfeld STANDARDMODERATORDOMÄNE dient der Weiterleitung von Beiträgen an einen Standardmoderator, wenn diese Beiträge an eine moderierte Gruppe gesendet werden, ohne dass ein Moderator spezifiziert wurde. Das letzte Textfeld sollte die E-Mail-Adresse eines Administrators enthalten, der Unzustellbarkeitsberichte für Beiträge erhält, die dem Newsgroup-Moderator nicht zugestellt werden konnten. Abbildung 4.32 zeigt die letzte Registerkarte des Dialogfeld EIGENSCHAFTEN namens SICHERHEIT. Klicken Sie bei Bedarf auf die Schaltfläche HINZUFÜGEN, um eine Kontenliste für Computer oder Domäne zu öffnen, in der Sie die Benutzer festlegen, die auf dem Server Änderungen vornehmen dürfen. Wenn Sie einen Benutzer oder eine Gruppe in der Operatorenliste auswählen und die Schaltfläche ENTFERNEN anklicken, dann wird das Element aus der Liste der berechtigten Benutzer entfernt.

Kapitel 4 • Administration von SMTP- und NNTP-Diensten

127

Abb. 4.32: Auf der Registerkarte SICHERHEIT werden alle vorhandenen Operatoren aufgelistet, die Berechtigungen für den NNTP-Server haben

4.2.2

NNTP warten und überwachen Dies ist wahrscheinlich einer der wichtigsten Bereiche, mit denen sich ein Administrator zu beschäftigen hat. Eine angemessene Wartung und Überwachung Ihres NNTP-Servers dient der Vermeidung größerer Ausfälle und Unterbrechungen für die Benutzer Ihres Newsservers. Wie bei anderen Diensten unter Windows 2000 können Sie auch hier den Systemmonitor und die Ereignisanzeige verwenden, um die Leistung des Newsservers zu überwachen und Fehlermeldungen nachzuprüfen. Sie können bei der Wartung des NNTP-Dienstes verschiedene Skripts einsetzen. Diese Skripts sind in VBScript geschrieben und können lokal oder über einen Remoteserver ausgeführt werden. Es stehen insgesamt vier Skripts zur Verfügung: •

Rexpire.vbs. Verwenden Sie dieses Skript, um Ablaufrichtlinien hinzuzufügen, zu modifizieren oder zu löschen.



Rgroup.vbs. Verwenden Sie dieses Skript, um Gruppen auf dem Server hinzuzufügen, zu modifizieren oder zu löschen.

128

Der NNTP-Dienst



Rserver.vbs. Verwenden Sie dieses Skript, um virtuelle Server hinzuzufügen, zu modifizieren oder zu löschen.



Rsess.vbs. Hierbei handelt es sich um ein Skript zur Sitzungsverwaltung.

Für jeden dieser Befehle gibt es Befehlszeilenoptionen und Rückgabecodes. Es wäre zu viel verlangt, diese hier alle aufzulisten, deswegen empfehle ich Ihnen, die Skriptbefehle in der Onlinehilfe nachzuschlagen, falls Sie weitere Informationen benötigen. Für die Leistungsüberwachung des NNTP-Dienstes hat Microsoft eine Reihe verschiedener Indikatoren integriert, die dem Diagramm im Systemmonitor hinzugefügt werden können. Abbildung 4.33 zeigt das Dialogfeld LEISTUNGSINDIKATOREN HINZUFÜGEN im Systemmonitor mit der Auswahl des Objekts NNTPSERVER und einigen verfügbaren Indikatoren. Es gibt zu viele Indikatoren, um sie hier alle aufzuzählen. Experimentieren Sie ein wenig mit dem Systemmonitor, um festzustellen, was genau jeder einzelne Indikator misst.

Abb. 4.33: Das Dialogfeld LEISTUNGSINDIKATOREN HINZUFÜGEN listet die für das Objekt NNTP-SERVER vorhandenen Indikatoren auf. Wenn Sie die Schaltfläche ERKLÄRUNG anklicken, erscheint ein Erläuterungsfenster zum selektierten Indikator.

Wenn Sie weitere Informationen zu einem bestimmten Leistungsindikator benötigen, dann selektieren Sie ihn und klicken Sie dann auf die Schaltfläche ERKLÄRUNG, um das Fenster ERKLÄRUNG aufzurufen. Für den NNTP-Dienst sind zwei Leistungsobjekte vorhanden, nämlich NNTPSERVER und NNTP-BEFEHLE. Das Objekt NNTP-SERVER wird zur Leistungsermittlung bei gesendeten und empfangenen Beiträgen und Bytes sowie anderer Indikatoren benutzt, die sich auf den Serverbetrieb beziehen; das Objekt NNTP-

Kapitel 4 • Administration von SMTP- und NNTP-Diensten

129

BEFEHLE hingegen bezieht sich auf mögliche Befehle, die der Server von den Clients empfängt und verarbeitet. Ich empfehle Ihnen, zunächst die folgenden Leistungsindikatoren zu überwachen: •

Gesamtzahl von Bytes/Sek. Dieser Indikator misst die Gesamtzahl der Bytes, die pro Sekunde durch den NNTP-Server geleitet werden. Er hilft Ihnen beim Auffinden von Flaschenhälsen auf Ihrem Server.



Maximale Verbindungen. Verwenden Sie diesen Indikator zur Überwachung der mit dem Server hergestellten Verbindungen. Dieser Wert sollte immer unter dem Grenzwert liegen, den Sie auf der Registerkarte ALLGEMEIN gesetzt haben.



Anmeldungsversuche und Anmeldungsfehlschläge. Wenn Sie einen sicheren Server betreiben, dann zeigt Ihnen dieser Indikator, ob ein Unbefugter versucht hat (oder gerade versucht), in Ihren Server einzubrechen.

Zugegeben: Dies ist keine sehr umfangreiche Liste mit Leistungsindikatoren, die Sie auf Ihrem Server konfigurieren sollten, aber sie stellt immerhin einen guten Ausgangspunkt dar, um sich ein Bild davon zu machen, welche Leistung Ihr Server in Bezug auf den NNTP-Dienst erbringt. Warnung Auch wenn die Leistungsindikatoren eine hervorragende Möglichkeit darstellen, Ihren Server und vor allem seine Leistung zu überwachen, so sollten Sie doch immer bedenken, dass diese Überwachung dem Server ihrerseits Leistung abverlangt. Wählen Sie also weise. Ich habe Ihnen bereits gezeigt, wie Sie die Protokollierung für den NNTP-Dienst konfigurieren. Sie können diese Protokolle verwenden, um festzustellen, ob bei der Funktionsweise des Dienstes Abweichungen auftreten. Jedes Mal, wenn ein Benutzer eine Verbindung zum Server herstellt, einen Beitrag liest oder versendet oder sich abmeldet, wird im Protokoll ein neuer Eintrag erstellt. Sie können sich diese Protokolle als Textdateien anzeigen lassen oder in eine andere Anwendung – etwa eine Tabellenkalkulation oder eine Datenbankanwendung – importieren, um Tendenzen zu entdecken. Eine andere Möglichkeit, den Dienst zu überwachen, ist die Ereignisanzeige. Rufen Sie diese über START/PROGRAMME/VERWALTUNG/EREIGNISANZEIGE auf und wählen Sie dann den Eintrag SYSTEMPROTOKOLL im Baumdiagramm, um sich die Systemprotokolle anzeigen zu lassen, die während des Betriebs Ihres Windows 2000-Servers erstellt wurden. Sehr wahrscheinlich werden Sie sich jetzt gerade besonders für NNTP-Einträge interessieren. Selektieren Sie also das Symbol SYSTEMPROTOKOLL und wählen Sie dann im Menü ANSICHT den Eintrag FILTER. Nun wird das Dialogfeld EIGENSCHAFTEN VON SYSTEMPROTOKOLL (Abbildung 4.34) aufgerufen.

130

Der NNTP-Dienst

Abb. 4.34: Das Dialogfeld EIGENSCHAFTEN VON SYSTEMPROTOKOLL mit selektierter Registerkarte FILTER, hier mit gewählter Ereignisquelle NNTPSVC

Wählen Sie auf der Registerkarte FILTER im Listenfeld EREIGNISQUELLE den Eintrag NNTPSVC (NNTP Service, NNTP-Dienst), um die Anzeige auf solche Ereignisse zu beschränken, die mit dem NNTP-Dienst in Zusammenhang stehen. Wenn Sie die Protokolldateien oder die in der Ereignisanzeige vorhandenen Fehlermeldungen durchsuchen, werden Sie über einige Einträge stolpern, bei denen Ihnen empfohlen wird, den NNTP-Server wiederherzustellen. Diese Option wurde implementiert, um den Server möglichst schnell wieder in Betrieb zu bringen, falls etwa die Festplatte ausgefallen ist, Dateien versehentlich gelöscht wurden oder es Probleme beim Zugriff auf Beiträge gibt. Sie können dabei zwischen zwei Möglichkeiten der Wiederherstellung wählen. STANDARD ist die schnellere Option, stellt aber nicht alle Dateien wieder her. Wenn Sie auf die Wiederherstellung aller Dateien Wert legen, wählen Sie INTENSIV. Warnung Vergewissern Sie sich vor dem Ausführen einer Wiederherstellung, dass Sie den NNTP-Dienst beendet haben.

Kapitel 4 • Administration von SMTP- und NNTP-Diensten

131

Wenn Sie den Dienst beendet haben, wählen Sie das Symbol des virtuellen NNTP-Servers im Verzeichnisdiagramm aus und selektieren Sie im Menü VORGANG den Eintrag ALLE TASKS/SERVER AKTUALISIEREN, um das Dialogfeld VIRTUELLEN NNTP-SERVER WIEDERHERSTELLEN (Abbildung 4.35) aufzurufen.

Abb. 4.35: Das Dialogfeld VIRTUELLEN NNTP-SERVER WIEDERHERSTELLEN, in dem Sie eine der Wiederherstellungsmethoden STANDARD oder INTENSIV auswählen können

Verwenden Sie den im Dialogfeld gezeigten Schiebregler, um zwischen den beiden Wiederherstellungsmethoden zu wählen, und klicken Sie danach auf die Schaltfläche START, um die Wiederherstellung zu starten. Die Statusanzeige hält Sie über den Fortschritt der Aktualisierung auf dem Laufenden.

4.2.3

NNTP-Probleme beheben Wenn im Zusammenhang mit Ihrem NNTP-Server Probleme auftreten, dann gibt es eine Reihe von Maßnahmen, die Sie zur Bestimmung und Beseitigung solcher Probleme ergreifen können. Sie können zunächst einmal die bereits erwähnten Überwachungsprogramme verwenden. Auch die Benutzer Ihres Servers können bei Problemen eine zuverlässige Informationsquelle sein; schließlich sind sie diejenigen, die den Server regelmäßig benutzen, und sie wären die ersten, denen Unstimmigkeiten auffallen würden. Mit der Ereignisanzeige können Sie feststellen, ob die aufgetretenen Probleme darin begründet sind, dass ein Dienst nicht gestartet oder beendet wurde; von einem nicht gestarteten Server beispielsweise können Clients keine neuen NewsgroupBeiträge abholen. Sie könnten auch den altbewährten Befehl ping verwenden, um die Verbindung des Servers zum übrigen Netzwerk zu verifizieren. Wenn Sie den Server für internen und externen Zugriff auf Newsgroups konfiguriert haben, sollten Sie am besten einen Computer, der nicht mit dem internen Netzwerk verbunden ist, zur Feststellung einer funktionstüchtigen Verbindung nach außen verwenden.

132

Fazit

Last but not least können Sie auch das Telnetprogramm verwenden, um zu überprüfen, ob das Problem beim Client oder beim Server vorliegt.

4.3

Fazit In diesem Kapitel haben wir die SMTP- und NNTP-Dienste betrachtet, die Bestandteil von IIS 5.0 sind. Es wurden verschiedene Methoden zur Verwaltung und Überwachung erläutert, damit Sie bei diesen beiden Diensten eine optimale Leistung und Effizienz erzielen. Mit den mit Windows 2000 Server ausgelieferten Programmen können Sie die Leistung der Dienste überwachen und auf Ihrer Serverhardware und Ihre Verbindungen hin optimieren. Abschließend haben Sie gesehen, wie ein virtueller NNTP-Server zur Bereitstellung von Diskussionsforen für die Mitarbeiter und Kunden Ihres Unternehmens verwendet werden kann.

Kapitel 5 Publizieren mit WebDAV 5.1 5.2 5.3 5.4 5.5 5.6

Was ist WebDAV? Erstellung eines WebDAV-Verzeichnisses Verwaltung der WebDAV-Sicherheit WebDAV-Verzeichnisse durchsuchen Dateien publizieren und verwalten Fazit

134 135 136 139 143 146

134

5.1

Was ist WebDAV?

Was ist WebDAV? WebDAV (Web Distributed Authoring and Versioning, Web-verteilte Entwicklung und Versionsverwaltung) ist eine Erweiterung des HTTP 1.1-Protokolls, die es Clients gestattet, Serverressourcen zu publizieren und zu verwalten sowie vorübergehend für eine Modifikation zu sperren (»Locking«). Ferner gestattet WebDAV auch eine Versionskontrolle; hierbei handelt es sich eigentlich um eine Erweiterung des WebDAV-Protokolls, bei der zwischen zwei Arten der Versionskontrolle unterschieden wird, nämlich der Standard- und der erweiterten Versionsverwaltung: •

Die Standardversionsverwaltung gestattet es Autoren, unterschiedliche Ressourcen wie etwa Dateien gleichzeitig zu erstellen und darauf zuzugreifen. Ferner umfasst sie auch eine automatische Versionskontrolle für Clients, die eine Version nicht unterstützen oder nicht »versionsbewusst« arbeiten.



Die erweiterte Versionsverwaltung erlaubt Ihnen die Überwachung von Änderungen und die Editierung sämtlicher Konfigurationseinstellungen. Außerdem unterstützt sie die Versionsverwaltung des URL-Namespaces.

Wenn Sie mit Visual Source Safe vertraut sind – einer Codeprüfungs- und Speicherungskomponente, die als Bestandteil der Microsoft Visual Studio Enterprise Edition ausgeliefert wird –, dann werden Sie das Konzept der Versionskontrolle bereits kennen. Allgemein gesagt, wird eine Datei oder eine beliebige andere Ressource, die durch die Versionsverwaltung kontrolliert wird, beim ersten Bearbeitungsaufruf »ausgeklinkt«; Sie arbeiten dann nicht mit der tatsächlichen Ressource, sondern nur mit einer Kopie. Wenn Sie dann die notwendigen Änderungen vorgenommen haben, müssen Sie die Ressourcen nur wieder »einklinken« – die Aktualisierungen werden dann automatisch vorgenommen. Dies ist natürlich nur eine sehr allgemeine Erklärung der Versionsverwaltung. Sie können sich, wenn Sie wollen, das gesamte, 52-seitige englischsprachige Dokument unter http://www.webdav.org herunterladen; bereiten Sie sich aber mental auf eine ausgesprochen anspruchsvolle Lektüre vor, denn bei diesem Dokument handelt es sich nach wie vor um einen Entwurf, und zahlreiche Formulierungen scheinen sich dank inkonsistenter Terminologieverwendung ständig im Kreis zu drehen. Die Website ist übrigens auch immer ein guter Ausgangspunkt, falls Sie sich über Änderungen am WebDAV-Protokoll informieren wollen. Um ein WebDAV-Verzeichnis zu erstellen, müssen Sie unter Windows 2000 Server oder Windows 2000 Advanced Server arbeiten. Jeder Client, der Windows 2000 Server unterstützt, kann auf dieses WebDAV-Verzeichnis zugreifen. Die Clients, mit denen Sie am häufigsten in Berührung kommen werden, sind Windows 2000 selbst, der Internet Explorer 5.0 und Microsoft Office 2000. Dank der Tatsache, dass WebDAV einen Industriestandard darstellt, kann jede Clientsoftware, die WebDAV-Publishing unterstützt, Dateien in Ihrem WebDAV-

Kapitel 5 • Publizieren mit WebDAV

135

Verzeichnis publizieren, sofern die Zugriffsberechtigungen für den Benutzer entsprechend konfiguriert wurden. Aus diesem Grund können auch Zweigstellen in der unteren Provinz, die nicht mit den genannten Microsoft-Produkten arbeiten, Inhalte des WebDAV-Verzeichnisses lesen und auch dort publizieren. Eine ständig aktualisierte Liste mit Clientsoftware, die WebDAV unterstützt, finden Sie unter http://www.webdav.org. Sie können ein WebDAV-Verzeichnis über die Netzwerkumgebung unter Windows 2000 hinzufügen, auf das dann wie auf jedes andere lokale oder Netzwerkverzeichnis zugegriffen werden kann. Auch lassen sich mit dem Internet Explorer 5 die gleichen Dateioperationen an diesem Verzeichnis durchführen, die generell unter Windows 2000 möglich sind. Und wenn Sie Office 2000 in Ihrem Netzwerk einsetzen, können Benutzer damit erstellte Dateien direkt über ein Intranet im WebDAV-Verzeichnis publizieren. Da WebDAV den Clients eine ganze Reihe von Dateioperationen ermöglicht – etwa Kopieren und Verschieben, Änderung der Eigenschaften, Durchsuchen und Sperren –, benötigen Sie ein adäquates Sicherheitsmodell, um die Authentifizierung zu verwalten. WebDAV arbeitet mit den Sicherheitsfeatures sowohl des Internet Explorers 5 als auch von Windows 2000. WebDAV unterstützt sowohl Kerberos (Version 5) als auch die integrierte Windows- und die unter Windows 2000 neu eingeführte Digest-Authentifizierung. Diese Authentifizierungsmethoden wurden bereits in Kapitel 1 erwähnt und sollen hier aus Gründen der Übersichtlichkeit nicht weiter ausgeführt werden. Sie finden in der Online-Hilfe und im Internet eine Vielzahl von Ressourcen, die diese Authentifizierungsmethoden ausführlich erläutern. Wenn Sie sich näher mit Kerberos beschäftigen wollen, dann suchen Sie die Website des MIT (Massachusetts Institute of Technology) auf, wo das Kerberos-Protokoll entwickelt wurde; unter http://web.mit.edu/kerberos/www/index.html finden Sie hier eine Menge sehr detaillierter Informationen dazu, was Kerberos ist und wo es herkommt, sowie zu bekannten Problemen und Bugs. Sie finden auf der Site sogar den Quellcode und ein paar zugehörige Binärdateien. Auch Microsoft bietet auf seiner Windows 2000-Website ein technisches Dokument zum Download an, in dem das Kerberos-Protokoll und seine Implementierung in Windows 2000 beschrieben werden. Sie finden diese Informationen unter http://www.microsoft.com/windows2000/library/planning/security/kerbsteps.asp.

5.2

Erstellung eines WebDAV-Verzeichnisses Einer der ersten Schritte, die Sie nach der Installation eines Windows 2000Betriebssystems durchführen müssen, ist die Einrichtung eines WebDAVVerzeichnisses. Gehen Sie wie folgt vor.

136

Verwaltung der WebDAV-Sicherheit

1. Erstellen Sie einen Ordner im Verzeichnis InetPub, den Sie für das WebDAVPublishing verwenden wollen. In der Regel wird dies das Verzeichnis \InetPub\WebDAV sein – Sie können allerdings auch ein beliebiges anderes Verzeichnis wählen. (Erstellen Sie diesen Ordner jedoch nicht im Unterverzeichnis wwwroot, da dieses Verzeichnis vergleichsweise lasche Sicherheitseinstellungen hat.) 2. Erstellen Sie nun im Internetdienste-Manager unter Ihrer Website ein virtuelles Verzeichnis und nennen Sie dieses WebDAV. Lassen Sie dieses virtuelle Verzeichnis auf das in Schritt 1 erstellte Verzeichnis verweisen. 3. Gewähren Sie die Berechtigungen Lesen, Schreiben und Verzeichnis durchsuchen für das Verzeichnis. Dadurch können Clients Daten in diesem Verzeichnis publizieren und die Inhalte lesen. 4. Klicken Sie im ASSISTENTEN ZUM ERSTELLEN VIRTUELLER VERZEICHNISSE auf die Schaltfläche FERTIG STELLEN. Voilà: Nun haben Sie ein WebDAVVerzeichnis erstellt. Nun müssen Sie noch Clients aktivieren, die Daten in diesem Verzeichnis publizieren können. Diese Aufgabe werde ich weiter unten unter »Dateien publizieren und verwalten« näher erläutern.

5.3

Verwaltung der WebDAV-Sicherheit Wenn es um die Verwaltung der Sicherheit des WebDAV-Verzeichnisses geht, dann spielen Clientauthentifizierung und Zugriffsteuerung die entscheidenden Rollen. Wir werden diese Punkte nacheinander besprechen. Wie bereits erwähnt, gibt es für die Clients, die den Dienst nutzen wollen, verschiedene Authentifizierungsebenen. Die anonyme Anmeldung kann zwar gewählt werden, aber von ihrer Verwendung sei in Zusammenhang mit WebDAV dringend abgeraten, da die Sicherheitsstufe extrem niedrig ist. Die unterste Sicherheitsebene, bei der die Angabe eines Benutzernamens und eines Kennworts erforderlich ist, ist die Standardauthentifizierung. Hierdurch werden Benutzer authentifiziert, die erst danach auf das Verzeichnis zugreifen können; bedenken Sie aber, dass, wenn Sie keine SSL-Verschlüsselung benutzen, Ihre Benutzernamen und Kennwörter unverschlüsselt über das Netzwerk gesendet und möglicherweise eingesehen werden können. Wenn ein Hacker oder ein anderes übelwollendes Subjekt die Daten einsehen könnte und sich so Zugriff auf die publizierten Informationen verschaffte, dann würde dies Sinn und Zweck der Verzeichnissicherheit ad absurdum führen. Sie können auch die integrierte Windows-Authentifizierung benutzen. Die integrierte Authentifizierung schickt kein Kennwort durch das Netzwerk, sondern fordert durch Verwendung eines Hash-Algorithmus vom Client einen Nachweis, dass er das Kennwort kennt.

Kapitel 5 • Publizieren mit WebDAV

137

Auch der Gebrauch der Digestauthentifizierung ist möglich. Hierbei handelt es sich – wie erwähnt – um eine neue Windows 2000-Funktion. Die Digestauthentifizierung ist die beste Methode, wenn Sie WebDAV-Publishing über das Internet betreiben oder mit einer Firewall arbeiten. All diese Authentifizierungsmethoden werden in Kapitel 8 eingehend beschrieben. Ein weiterer wichtiger Aspekt bei der Sicherheitsadministration Ihrer WebDAVVerzeichnisse ist die Zugriffssteuerung. Durch Verwendung einer Kombination aus IIS 5.0- und Windows 2000-Berechtigungen können Sie festlegen, welche Benutzer auf die Verzeichnisse zugreifen dürfen und welche Rechte diese bei einer erfolgten Verbindung haben. Dabei können Sie für ein WebDAV-Verzeichnis drei mögliche Berechtigungen setzen: •

Lesen. Diese Berechtigung gestattet es Clients, den Inhalt der im Verzeichnis vorhandenen Dateien und deren Eigenschaften zu betrachten. Die Clients können die Dateien allerdings weder löschen noch anderweitig modifizieren.



Schreiben. Diese Berechtigung gestattet es Clients, Dateien im Verzeichnis zu publizieren oder dorthin zu kopieren. Ferner können Sie die Dateien auch löschen und ändern.



Verzeichnis durchsuchen. Wenn die Suchfunktion aktiviert ist, können sich Clients Listings der im Verzeichnis vorhandenen Dateien anzeigen lassen, nicht jedoch den Inhalt von Dateien betrachten oder diese Dateien modifizieren.

Durch Verwendung einer Kombination dieser Berechtigungen können Sie den Zugriff auf das oder die für WebDAV konfigurierten Verzeichnisse definieren. Es folgen ein paar Beispiele hierzu. Wenn Sie die Berechtigungen LESEN, SCHREIBEN und VERZEICHNIS DURCHSUaktivieren, dann geben Sie den Clients die Möglichkeit, Dateien im Verzeichnis zu publizieren, Inhalt und Eigenschaften der Dateien zu betrachten und zu modifizieren und sich die im Verzeichnis vorhandenen Dateien auch auflisten zu lassen. CHEN

Nehmen wir einmal an, Sie wollen Clients die Publizierung von Inhalten im Verzeichnis gestatten, sie sollen aber nicht sehen, wie das Verzeichnis aussieht (z.B. bei einer Umfrage oder einer Wahl). Um das Verzeichnis nun vor den Benutzern zu »verstecken«, müssen Sie die Berechtigung SCHREIBEN aktivieren, die Berechtigungen LESEN und VERZEICHNIS DURCHSUCHEN jedoch löschen. Je nach Ihren Anforderungen lassen sich natürlich auch andere Zugriffsberechtigungen setzen.

138

Verwaltung der WebDAV-Sicherheit

Um diese Berechtigungen zu setzen, öffnen Sie den Internetdienste-Manager und wählen das zuvor erstellte Verzeichnis WebDAV. Klicken Sie dann mit der rechten Maustaste auf den Verzeichniseintrag und wählen Sie im Kontextmenü den Eintrag EIGENSCHAFTEN. Nun wird das Dialogfeld EIGENSCHAFTEN VON WEBDAV (Abbildung 5.1) angezeigt.

Abb. 5.1: Das Dialogfeld EIGENSCHAFTEN VON WEBDAV mit aktivierter Registerkarte VIRTUELLES VERZEICHNIS, auf der Sie die Zugriffsberechtigungen einstellen

Wie Abbildung 5.1 erkennen lässt, können Sie nicht nur LESEN, SCHREIBEN und VERZEICHNIS DURCHSUCHEN, sondern auch ein paar andere Berechtigungen aktivieren. Die erste Berechtigung heißt SKRIPTZUGRIFF. Auch wenn wir hier ein WebDAVund kein Websiteverzeichnis behandeln, das der Öffentlichkeit Webseiten zur Verfügung stellt, so können Sie das Verzeichnis trotzdem auch für diesen Zweck verwenden. Diese Berechtigung gibt Clients Einsicht in den Inhalt Ihrer Skriptdateien; wenn Sie nicht wollen, dass die Clients auf Ihre ASP-Codes zugreifen, dann deaktivieren Sie diese Berechtigung.

Kapitel 5 • Publizieren mit WebDAV

139

Die anderen beiden noch nicht erwähnten Berechtigungen sind BESUCHE PROTOKOLLIEREN und RESSOURCE INDIZIEREN. Sie können eine Protokollierung der Zugriffe auf das Verzeichnis durch Markierung des Kontrollkästchens BESUCHE PROTOKOLLIEREN aktivieren. Eine Protokolldatei wird nur erstellt, wenn die Protokollierung für die Site aktiviert wurde. Die andere Option RESSOURCE INDIZIEREN ist eigentlich keine Berechtigung im ursprünglichen Sinne des Wortes; vielmehr teilen Sie dem Indexdienst durch Markieren des Kontrollkästchens mit, dass er das Verzeichnis indizieren soll. Dadurch gestatten Sie Clients das Durchsuchen des Verzeichnisinhalts. Warnung Denken Sie bei der Konfiguration von Zugriffssteuerungen auf einem NTFS-Datenträger immer daran, dass Windows 2000 standardmäßig die NTFS-Berechtigung Vollzugriff für alle Verzeichnisse erteilt. Dieser Umstand muss beim Erstellen neuer Verzeichnisse unbedingt beachtet werden.

5.4

WebDAV-Verzeichnisse durchsuchen Wie bereits im obigen Abschnitt erwähnt, besteht die Möglichkeit, Ihre WebDAVVerzeichnis durch den Indexdienst indizieren zu lassen. Wenn Sie dies tun, können Benutzer das Verzeichnis nach bestimmten Datei- oder Ressourceninhalten durchsuchen und auch Suchvorgänge in den Dateieigenschaften ausführen. Beispielsweise könnte sich ein Client alle Dateien auflisten lassen, die Gerry O'Brien im Jahr 1999 erstellt hat. Bei der Indizierung des Verzeichnisses müssen ein paar Dinge beachtet werden. Erst einmal muss natürlich der Indexdienst ausgeführt werden. Sie können den Indexdienst starten, indem Sie das Applet Dienste aufrufen, den Indexdienst suchen und dann die Startschaltfläche in der Werkzeugleiste anklicken. Abbildung 5.2 zeigt das Fenster DIENSTE. In Abbildung 5.2 ist der Indexdienst selektiert; der Dienst wurde gestartet. Tipp Wenn Sie den Indexdienst für das WebDAV-Verzeichnis standardmäßig bereitstellen wollen, sollten Sie im Applet DIENSTE die Startoption Automatisch für ihn selektieren; der Dienst wird dann immer automatisch gestartet, wenn Windows 2000 hochgefahren wird. Sie können den Indexdienst auch über die Eingabeaufforderung oder das Fenster AUSFÜHREN (aufzurufen über START/AUSFÜHREN) aufrufen; geben Sie hierzu in einem dieser Fenster den Befehl net start cisvc ein.

140

WebDAV-Verzeichnisse durchsuchen

Abb. 5.2: Das Fenster DIENSTE zeigt eine Liste aller installierten Dienste an, die Sie dann beliebig starten, beenden oder anhalten können

Hinweis Wenn der Dienst auf Ihrem System bisher deaktiviert war, kann es eine Zeitlang dauern, bis alle zu indizierenden Elemente bearbeitet wurden. Wenn Sie also einen Suchvorgang in Ihrem WebDAV-Verzeichnis starten und kein Suchergebnis erhalten, dann geben Sie dem Indexdienst etwas mehr Zeit zur Erstellung seiner Datenbank. Weitere Informationen zum Indexdienst finden Sie in der Online-Hilfe. Warnung Wenn Ihr Laufwerk NTFS-formatiert ist, können Ihre Clients reguläre Suchvorgänge im gesamten Verzeichnis ausführen. Haben Sie es jedoch unter FAT oder FAT32 formatiert, dann lassen sich nur die Inhalte der Ressourcen durchsuchen, nicht jedoch die Dateieigenschaften, da die FAT-Systeme dies nicht unterstützen. Es gibt verschiedene Möglichkeiten, das WebDAV-Verzeichnis zu durchsuchen. Am einfachsten ist wohl die Verwendung der Option SUCHEN im Startmenü. Hiermit können Sie Dateien im Verzeichnis oder auf dem Laufwerk auf der Basis der angegebenen Dateinamen suchen. Wie aus Abbildung 5.3 ersichtlich, bietet diese Vorgehensweise verschiedene Suchoptionen.

Kapitel 5 • Publizieren mit WebDAV

141

Abb. 5.3: Das Dialogfeld SUCHERGEBNISSE gestattet die Angabe von Suchoptionen und Laufwerken, auf die die Suche beschränkt werden soll

Eine andere Möglichkeit, Ihren Clients ein unkompliziertes Durchsuchen zu gestatten, ist die Erstellung einer entsprechenden Webseite. In Listing 5.1 ist ein kurzer HTML-Code abgedruckt, den Sie zur Gestaltung einer Suchseite für Ihre Website verwenden können. Der Code wurde mit Microsoft FrontPage 2000 erstellt.



Kunden-Support -- Suche



Verwenden Sie das folgende Formular, um die Dokumente dieser Site nach bestimmten Wörtern oder Wortkombinationen zu durchsuchen. Die Suchmaschine zeigt Ihnen eine sortierte Liste gefundener Dokumente an, in der

142

WebDAV-Verzeichnisse durchsuchen

die relevanteren Dokumente weiter oben stehen. Jeder Listeneintrag ist eine Verknüpfung zum zugehörigen Dokument; wenn das Dokument einen Titel hat, wird dieser angezeigt, andernfalls nur der Dateiname des Dokuments. Eine kurze, mit Beispielen versehene Erläuterung der Sucheinstellungen finden Sie hier!

Achten Sie darauf, dass die Anweisung innerhalb der Kommentarzeichen steht. virtual oder file werden als Hinweis darauf verwendet, ob die #include-Datei in einem virtuellen oder einem normalen Verzeichnis abgelegt ist. dateiname ist der vollständige Pfad einschließlich des Namens der einzufügenden Datei. Bei der Benennung der #include-Dateien sollten Sie den Standards entsprechend die Erweiterungen .inc oder .stm verwenden, um diese Dateien von regulären HTML-Dateien in einem Verzeichnis unterscheiden zu können. #include-Dateien können ihrerseits wieder Verweise auf andere #include-Dateien enthalten. Das kann etwas verwirrend sein und ist eine potentielle Fehlerquelle. Sie können nämlich unabsichtlich eine Schleife konstruieren: include1.inc ruft dann include2.inc auf, die wiederum einen Aufruf von include1.inc enthält. Warnung #include-Dateien werden vor allen Skriptbefehlen auf einer Seite ausgeführt. Insofern ist es leider nicht möglich, mit Skripts Namen von #include-Dateien dynamisch zu erzeugen. Tipp Sie sollten Ihre #include-Dateien immer wieder prüfen, damit nicht unbeabsichtigt unnötiger Code auf Ihre Seiten gelangt, der womöglich Serverressourcen im großen Stil beansprucht.

16.10 Sitzungen verwalten Es dürfte klar sein, dass es sich bei HTTP um ein im freien Raum schwebendes Protokoll handelt – jede Anfrage, die an den Server gerichtet wird, wird als vollständig neue Anfrage ohne irgendeine Verbindung zu früheren Anfragen oder zu bestimmten Benutzerdaten behandelt. Aus diesem Grund ist es recht schwierig, Anwendungen zu entwickeln, die Benutzerdaten und -eingaben übernehmen, die während eines Besuches auf der Website ermittelt wurden. Ein Beispiel hierfür ist der Warenkorb in Onlinewarenhäusern wie Amazon.de oder Netzmarkt.

Kapitel 16 • Active Server Pages

371

16.10.1 Das Objekt Session Erfreulicherweise bietet uns ASP für dieses Dilemma eine Lösung. Mit Hilfe des Objekts Session kann der Server eine eindeutige Benutzerkennung erstellen und diese während einer Sitzung beibehalten. Hinweis Es gibt einen gravierenden Nachteil bei dieser Methode, den Sie in jedem Fall beachten müssen. Das Objekt Session verwendet Cookies; wenn der Browser Ihres Benutzers zur Ablehnung von Cookies konfiguriert ist, funktioniert diese Vorgehensweise natürlich nicht. Damit Sie verstehen, wie das Objekt Session funktioniert, müssen Sie sich klarmachen, wie eine Sitzung gestartet wird. Dies kann auf eine von vier unterschiedlichen Weisen geschehen: •

Der Server empfängt die Anforderung einer Seite oder Anwendung, die ein Cookie mit einer Sitzungskennung erfordert, die noch nicht vorhanden ist.



Eine angeforderte URL beinhaltet einen Verweis auf die Datei global.asa, die wiederum die Prozedur Session_OnStart enthält.



Der Benutzer speichert im Objekt Session einen Wert.



Die Datei global.asa einer ASP-Datei enthält ein -Tag, das ein Objekt mit dem Bereich »Sitzung« instanziert.

In allen Fällen wird ein Ereignis namens Session_OnStart ausgelöst, in das Sie den für diesen Fall gewünschten Code platzieren können. Dazu gehört beispielsweise die Einstellung eines Timeouts für die Sitzung, also der Zeitspanne (in Sekunden), die mit der letzten Seitenanforderung oder -aktualisierung durch den Benutzer beginnt und nach deren Ablauf die Sitzung endet. Dieser Wert muss entsprechend der Zeit, die der Benutzer wahrscheinlich benötigt, um andere Seiten aufzurufen oder vorhandene Seiten zu aktualisieren, gesetzt werden. Wählen Sie einen zu frühen Timeout, dann wird die Sitzung des Benutzers beendet; im Falle eines Onlineshops würde dann der Einkaufswagen quasi umgekippt und auf rabiate Weise entleert, und der Kunde müsste alle Eingaben (Einkäufe) von neuem vornehmen. Aber auch die Festsetzung eines zu späten Timeouts ist keine gute Idee, denn es gibt auch Kunden, die Transaktionen vorzeitig abbrechen. Die im Zuge solcher Vorgänge erstellten Objekte verbleiben im Speicher, bis der Timeout sie freigibt – bei zu hohen Timeoutwerten wird dabei der Speicher des Servers unnötig belastet. Wenn Sie das Objekt Session verwenden, erstellt der Server eine eindeutige Kennung für einen Benutzer, sobald dieser eine Sitzung initiiert. Der Server sendet diese Kennung als Cookie an den Clientbrowser und fordert diesen Cookie immer dann an, wenn neue Anfragen gemacht werden – auf diese Weise bleibt der

372

Auf Datenquellen zugreifen

Benutzer dem Server bekannt. Sie können das Objekt Session auch zur Speicherung von Variablen verwenden, die sich auf den Benutzer beziehen. Das könnte dann etwa so aussehen:

Diese Art der Flexibilität erlaubt Ihnen eine Anpassung der an den Client übermittelten Seiten, indem die Variablen im Code verwendet werden: Willkommen in unserem Onlineshop,

Wie Sie sehen, würde es hier keinen Unterschied machen, welcher Benutzer die Seite besucht – der korrekte Name wäre in der Variablen Vname abgelegt. Auch wenn es abwegig erscheint: Wenn ein Kunde mit seinem Namen angesprochen wird, dann macht das seinen Besuch zu einem schöneren Erlebnis. Mit dem Objekt Session lassen sich noch eine Menge weitere Dinge anstellen, aber ich möchte dieses Buch ja nicht mit einem Wust von Programmierthemen füllen, sondern Ihnen hier nur die eine oder andere Vorgehensweise zeigen; die tiefere Erforschung der Sachverhalte bleibt Ihnen oder Ihren Entwicklern überlassen. Die Onlinehilfe enthält eine Menge weitere Informationen über das Objekt Session und seine Verwendung.

16.11 Auf Datenquellen zugreifen Mit ASP können Sie aus den Skripts auf Ihren Webseiten heraus auf Datenquellen zugreifen. Bei dieser Datenquelle kann es sich um eine Microsoft Access-Datenbank auf Ihrem Server oder um eine beliebige andere ODBC-kompatible Datenquelle handeln, z.B. SQL Server, DB/2 oder Oracle. Sie können sogar auf Daten zugreifen, die in einer Textdatei oder einer Kalkulationstabelle abgelegt sind – Sie müssen nur die richtige Methode verwenden. Der häufigste Ansatz bei Datenquellen ist die Verwendung einer Backend-Datenbank, die über Hochleistungsmechanismen für den gleichzeitigen Zugriff durch mehrere Benutzer verfügt, also etwa SQL Server. Sie können Daten, die sich häufig ändern, in einer Datenbank ablegen und dann den Zugriff auf diese Datenbank von vielen Seiten Ihrer Website aus ermöglichen. Dies stellt eine Möglichkeit dar, viel Zeit zu sparen, denn Sie müssen eine Änderung nur in die Datenbank eingeben – alle Seiten, die die Daten verwenden, werden beim nächsten Zugriff auf die Datenquelle aktualisiert.

Kapitel 16 • Active Server Pages

373

Sie können eine Datenbank natürlich auch zur Speicherung von Benutzerdaten wie Namen und Kennwörtern verwenden und so unterschiedliche Zugriffsebenen oder andere Authentifizierungsmöglichkeiten realisieren. Mit den Datenzugriffsmöglichkeiten von ASP können Sie diese Daten dann bei Bedarf abrufen und benutzen. In ASP wird diese Datenbankanbindung mit Hilfe von ADO (ActiveX Data Object, ActiveX-Datenobjekt) ermöglicht. ADO ist eine Zugriffsschnittstelle für die Struktur einer ODBC-kompatiblen Datenquelle, d.h. Sie müssen sich nicht mit unpraktischen APIs herumschlagen, die die eigentliche ODBC-Schnittstelle bilden. Um über ASP auf eine Datenquelle zugreifen zu können, müssen Sie die notwendigen Verbindungsdaten erstellen. Dazu gehört auch eine Verbindungszeichenkette, die das Skript benutzt, um die Datenquelle zu finden; die Zeichenkette enthält den Datenquellentyp und alle gegebenenfalls benötigten Authentifizierungsangaben. Für die Beispiele in diesem Abschnitt werden wir eine Access-Datenbank verwenden, die vier Datenelemente enthält: Vor- und Nachnamen der Benutzer, Kennwörter und Zugriffsebenen. Erstellen Sie also mit Access eine Tabelle, die die Daten enthält, und nennen Sie sie Benutzer. Geben Sie der Datenbank selbst den Dateinamen userinfo.mdb und speichern Sie sie im Verzeichnis \wwwroot. Ich habe zu Demonstrationszwecken drei Benutzer in diese Datenbank eingetragen.

16.11.1 ODBC-Datenquelle auswählen Bevor Sie ein Objekt erstellen können, dass als Zugriffsmechanismus für eine Datenbank verwendet werden soll, müssen Sie die ODBC-Datenquelle auf dem Server konfigurieren. Gehen Sie wie folgt vor, um die für den Datenquellenzugriff benötigten Daten auf dem Server einzugeben: 1. Öffnen Sie die Systemsteuerung auf dem Server. 2. Doppelklicken Sie das Symbol VERWALTUNG , um das gleichnamige Fenster aufzurufen. Doppelklicken Sie dort das Symbol DATENQUELLEN (ODBC), wie in Abbildung 16.5 gezeigt. 3. Wählen Sie im Fenster ODBC-DATENQUELLEN-ADMINISTRATOR die Registerkarte SYSTEM-DSN (Abbildung 16.6). 4. Klicken Sie auf die Schaltfläche HINZUFÜGEN, um das Dialogfeld NEUE DATENQUELLE ERSTELLEN zu öffnen, und wählen Sie hier den Eintrag MICROSOFT ACCESS-TREIBER (*.MDB). Klicken Sie dann auf FERTIG STELLEN. Nun wird das Fenster ODBC MICROSOFT ACCESS SETUP (Abbildung 16.7) geöffnet.

374

Auf Datenquellen zugreifen

Abb. 16.5: Das Fenster VERWALTUNG enthält das Applet DATENQUELLEN (ODBC), über das die Datenquellen konfiguriert werden können

Abb. 16.6: Der ODBC-DATENQUELLEN-ADMINISTRATOR erlaubt Ihnen die Einstellung verschiedener Optionen für Datenquellennamen

Kapitel 16 • Active Server Pages

375

Abb. 16.7: Das Fenster ODBC MICROSOFT ACCESS SETUP, in dem Sie die Datenbank auswählen sowie einen Namen und eine Beschreibung eingeben können

5. Geben Sie im Textfeld DATENQUELLENNAME einen Namen für die Datenquelle ein. Wir verwenden diesen Namen als Referenz der Datenbank im ASP-Code. Sie können hier auch eine Beschreibung eingeben; diese ist aber nicht zwingend. 6. Klicken Sie im Abschnitt DATENBANK in der Mitte des Dialogfelds auf die Schaltfläche AUSWÄHLEN und suchen Sie die oben erstellte Datenbank. Belassen Sie die Einstellungen aller weiteren Optionen und klicken Sie auf die Schaltfläche OK. Der neue Datenquellennamen erscheint nun in der Liste SYSTEMDATENQUELLEN des Dialogfelds ODBC-DATENQUELLEN-ADMINISTRATOR. Die Datenquelle wird nun erstellt und auf dem Server installiert, damit der Zugriff über den ASP-Code möglich ist.

16.11.2 Über eine Webseite auf die Datenbank zugreifen Nun müssen Sie von der Webseite aus auf die Datenbank zugreifen. Listing 16.8 zeigt, wie die benötigte Datenbankverbindung hergestellt wird.

Beispiel für den Datenbankzugriff

376

Auf Datenquellen zugreifen

Datenbankzugriff

Nachname

Vorname