Die anhaltende Relevanz von IIS: Warum es bestehen bleibt

TorUnmultiplewebsitesonasingleiisserververwithoutsparateipadreses, Gebrauchsgegner

Anwendungspool -Abstürze können die Ursachen schnell finden, indem das IIS -Protokoll analysiert wird. 1. Überprüfen Sie zunächst das W3SVC -Protokoll zum Absturzzeitpunkt, suchen Sie nach 503 Fehlern und bestimmen Sie, ob es durch Anwendungspool -Absturz oder häufiges Recycling verursacht wird. 2. Kombinieren Sie das HTTPERR -Protokoll, um zu überprüfen, ob Fehlereinträge wie Connection_DropPed oder RequestQueuefle zugrunde liegen, und bestätigen Sie, dass das Backend nicht antworten kann. 3. Überprüfen Sie die Anwendungs- und Systemprotokolle im Ereigniszuschauer, finden Sie Ereignisse wie 5002, 5015, 5017 aus IS- oder IIS-WMSVC-Quellen und bestätigen Sie, dass die Abnormalität des Anwendungspools Lebenszyklus; 4. Fehlerbehebung bei gemeinsamen Ursachen wie Code -Ausnahmen, Nichtverfügbarkeit von Abhängigkeitsressourcen, schnellem Auslösen von Speicher, Speicherlecks usw. und kombiniert Debugging -Tools kombinieren

IIS -Protokolle auf mehreren Servern können auf folgende Weise implementiert werden: 1. Verwenden Sie die Windows -Ereignisweiterleitung, für Szenarien geeignet, in denen Protokolle in Ereignisprotokolle geschrieben wurden, Abonnements auf dem zentralen Server erstellen und die Weiterleitungsregeln auf jedem IIS -Server konfigurieren. 2. Verwenden Sie die Skripte zur Dateifreigabe, um regelmäßig für kleine Umgebungen geeignet zu sammeln. Verwenden Sie Skripte, um Protokolldateien regelmäßig von jedem Server zu kopieren, wodurch RoboCopy oder XCopy mit geplanter Aufgabenausführung kombiniert wird. 3.. Logstash, NXLog, Fluentd, geeignet für große Umgebungen, die automatische Sammlung, Filterung, Komprimierung und Weiterleitung und Breakpoint-kontinuierliche Übertragungsfunktionen fehlgeschlagen. Darüber hinaus ist es erforderlich, den Protokollweg zu vereinen, Zugriffsberechtigungen zu konfigurieren, auf den Log -Rotationsmechanismus zu achten und die Komprimierung zu berücksichtigen

Tosetupurlrewriterulesiniis, firstinstalltheurlrewritemoduleviawebpi, WindowsFeatures, OrpowerShellwithinstall-Windowsfeature-nameWeb-url-auth; als nächstes, CreateBasicrususingtheiismanagiBySelectySite, addiert, und addiert, und addiert, und addiert, und addiert, und addiert, und addiert, und addiert, und addiert, addiert, und addiert, addiert, und addiert, und addiert, und addiert, addiert, und addiert, addiert, und addiert, addiert, und addiert, und addiert, addiert, und addiert, und addiert

Der Schlüssel zur Konfiguration der IIS -Protokollierung in einer Lastausgleichsumgebung liegt darin, die Integrität und Rückverfolgbarkeit der Protokolls zu gewährleisten. 1. Aktivieren und konfigurieren Sie die IIS -Protokollierung, verwenden Sie W3C, um das Protokollformat zu erweitern, den Protokollspeicherpfad zu entfernen und angemessene Protokoll -Scroll -Frequenz festzulegen. 2. Notieren Sie die reale IP des Clients, stellen Sie den Header mit X-Forted-for-für den Load Balancer fest und konfigurieren Sie das URL-Umschreiben-Modul und ARR auf IIS, um es in das Protokoll zu schreiben. 3. Implementieren Sie die zentralisierte Protokollverwaltung und die Zeitsynchronisation, verwenden Sie Tools wie ELK oder Splunk, um Protokolle auf zentralisierte Weise zu sammeln, und stellen Sie sicher, dass alle Serverzeitzonen konsistent sind und die NTP -Synchronisation aktiviert ist. V.

Das IISRequestFiltering -Modul kann die Sicherheit der Website verbessern, indem Blacklist -Erweiterungen konfiguriert, URLs und Abfragestettenlängen einschränken und das Verstecken von HTTP verboten werden. Die spezifischen Schritte sind: 1. Hinzufügen von Erweiterungen wie .php und auf Ablehnung eingestellt, um die Hochladen von Schwachstellen auf der Registerkarte "Dateierweiterung" zu verhindern. 2. Stellen Sie die URL nicht mehr als 2 KB und die Abfragezeichenfolge nicht mehr als 1024 Bytes in der "Anforderungsgrenze" ein, um abnormale Anforderungen zu verhindern. 3.. Verweigern Sie nicht wesentliche Methoden wie Put, Löschen, Verfolgung und andere Methoden in der Registerkarte "HTTP-Methode", um die Angriffsfläche zu reduzieren. Diese Einstellungen sind einfach und effektiv und für die Stärkung des Sicherheitsschutzes von IIS geeignet.

Der Statuscode 200064 zeigt an, dass die Anforderung erfolgreich ist und kein Systemfehler vorliegt, das Datenübertragungsvolumen jedoch gering ist. Die spezifische Erklärung lautet wie folgt: 1.200 bedeutet, dass die HTTP -Anfrage erfolgreich verarbeitet wird; 2.0 bedeutet, dass kein Fehler auf Windows-Ebene aufgetreten ist. 3.64 bedeutet, dass der Server 64 Datenbytes gesendet hat, normalerweise die Informationen zur Antwortheader. Häufig in Kopfanfragen, kleinen statischen Dateizugriff, Crawler -Erkennung oder Seitenumleitung verwendet. Wenn dieser Statuscode häufig im Protokoll angezeigt wird, kann dies darauf hinweisen, dass eine große Anzahl kleiner Anforderungen, Scanverhalten oder Umleitungsseiten vorhanden ist. Normalerweise müssen Sie sich keine Sorgen machen, aber wenn die Quelle abnormal ist oder die Anzahl der Anfragen plötzlich zunimmt, wird empfohlen, weiter zu prüfen, ob Sicherheitsrisiken oder Optimierungsanforderungen bestehen.

Das SSL -Zertifikat muss rechtzeitig nach Ablauf des Ablaufs erneuert oder ersetzt werden, um zu vermeiden, dass Sicherheitswarnungen der Zugriff auf den Benutzer beeinflussen. Um festzustellen, ob Erneuerung oder Ersatz erforderlich ist, können Sie den Zertifikatstatus und die Ablaufzeit in IIS überprüfen. Wenn es nahe am Ablauf liegt (normalerweise 30 Tage im Voraus), muss es erneuert werden. Wenn es abgelaufen ist oder Änderungen im Domain -Namen oder im Dienstanbieter vorliegen, muss es ersetzt werden. Der Erneuerungsvorgang beinhaltet das Finden des entsprechenden Zertifikats in IIS und die Auswahl der "Erneuerung", die Auswahl der Verwendung desselben Schlüssels oder die Erstellung eines neuen Schlüssels entsprechend Ihren Anforderungen und das Senden von CA zum Überprüfen und Herunterladen und Installieren. Um ein neues Zertifikat zu ersetzen, müssen Sie ein neues Zertifikat und IIS importieren, die Konfiguration der Site -Bindung aktualisieren und sicherstellen, dass der Domain -Name übereinstimmt und die privaten Schlüsselberechtigungen korrekt sind, und den privaten Schlüssel während der Migration herausbringen. Weitere Vorsichtsmaßnahmen sind: Selbstsignierte Zertifikate sind nicht für externe Dienste geeignet; Achten Sie auf private Schlüsselberechtigungen, wenn mehrere Server gleichzeitig aktualisiert werden.