Anders als der Vorgänger IIS 6.0 bieten IIS 7.0 um einen kleinen Webserverkern (Web Core Server) herum die Auswahl unter mehr als 40 IIS-Modulen für Netzwerkprotokolle, Protokollierung, Konfiguration,
Authentifizierungsverfahren und Diagnose. Neben den Anwendungsentwicklungsframeworks wie ASP, ASP.NET, CGI und ISAPI können IIS 7.0 auch in den Bereichen HTTP-Features, Diagnose, Sicherheit und Verwaltungswerkzeuge selektieren. Im Bereich Sicherheit sind verschiedene
Authentifizierungsverfahren (Basic, Windows, Digest, Zertifikate) wählbar. Bei den Management-Diensten steht zur Wahl, ob eine Fernverwaltung von IIS über einen Management Service erlaubt sein soll. Im Hinblick auf Sicherheit reduziert dies die Angriffsfläche und erhöht die Sicherheit
des Webservers. IIS 7.0 verwendet das .NET-basierte Konfigurationssystem. Alle Einstellungen einer Web-Anwendung, sowohl die von ASP.NET als auch die von IIS, werden in *.config-Dateien gespeichert. Web.config-Dateien bieten gegenüber dem bisherigen Metabase-basierten Konfigurationsmodell
einige Vorteile:
Die Konfigurationsdateien können mit einfachen Werkzeugen (Text- oder XML-Editoren) bearbeitet
werden
Die Konfigurationsdateien können einfacher (per Dateikopie und auch per FTP) übertragen werden
Geänderte Konfigurationsdateien führen sofort zur Verhaltensänderung
Die Konfigurationsdateien liegen lokal in dem jeweiligen Webprojekt. Die Delegation von administrativen
Aufgaben wird dadurch einfacher.
In jedem Unterverzeichnis können Konfigurationsdateien existieren, wobei untergeordnete Konfigurationsdateien übergeordnete Einstellung überschreiben
Zentrale Einstellungen, die für den ganzen Webserver gelten, befinden sich in der Datei applicationHost.config im Verzeichnis systemroot\System32\inetsrv. Die Datei erbt die Einstellungen von der Machine.config in .NET Framework. Unterhalb der applicationHost.config steht die globale Web.config-Datei aus dem Verzeichnis systemroot\Microsoft.NET\Framework\Versionnummer\CONFIG. Zur automatisierten Administration bietet IIS 7.0 ein neues Befehlszeilenwerkzeug AppCMD.exe. Die Verwaltung der Zertifikate findet jetzt direkt über den Server im Internetinformationsdienste-Manager statt. An dieser Stelle können Sie Zertifikate hinzufügen und die Zertifikate des Servers verwalten.
Abbildg. 13.2 Verwalten der Serverzertifikate in IIS 7.0
Tip: Auf der Internetseite www.iis.net werden vom IIS-Entwicklungsteam ausführliche Informationen zu den Services zur Verfügung stellt.
Authentifizierung in IIS 7.0
Im Bereich der Authentifizierung und Berechtigungen hat Microsoft einige Anpassungen im Vergleich
zu IIS 6.0 von Windows Server 2003 vorgenommen. Unterstützte Authentifizierungsverfahren
sind vor allem NTLM, Kerberos, Standardauthentifizierung, Formulare und Zertifikate. Auch RSA und Herstellermethoden von Drittanbietern können integriert werden. Die einzelnen Authentifizierungsprotokolle
können einzeln installiert werden. Diese Funktion ist neu unter Windows Server
2008. Klicken Sie dazu den Eintrag Webserver (IIS) in der Konsolenstruktur des Server-Managers mit der rechten Maustaste an und wählen Sie im Kontextmenü den Befehl Rollendienste hinzufügen aus (Abbildung 13.3). Auf diesem Weg können Sie auch Rollendienste entfernen, zum Beispiel Authentifizierungsmaßnahmen, die Sie nicht auf Ihrem Webserver unterstützen wollen.
Abbildg. 13.3 Die Authentifizierungsprotokolle können bei IIS 7.0 einzeln über das Hinzufügen oder Entfernen von Rollendiensten installiert oder deinstalliert werden
Die Authentifizierungsprotokolle finden Sie unter Sicherheit (Abbildung 13.4). Hier können einzelne
Protokolle aus- oder abgewählt werden.
Im Internetinformationsdienste-Manager können über Authentifizierung die einzelnen Authentifizierungsprotokolle
für den kompletten Server aktiviert oder deaktiviert werden. Der erste Schritt nach der Einrichtung des Servers besteht daher darin, zunächst die unterstützten Authentifizierungsmaßnahmen
auf dem Server zu konfigurieren (Abbildung 13.5). Über den Menüpunkt .NET-Benutzer können neue Benutzer angelegt werden, die unabhängig von Domänenbenutzerkonten zur Authentifizierung für den Webserver verwendet werden können. Ein Administrator kann sehr einfach über dieses Menü neue Benutzer anlegen und auf deren Basis Berechtigungen vergeben.