Internet Information Services version 5.0, Livre blanc (1)
Présentation technique des services Web intégrés de Windows 2000.
Résumé
Ce document propose aux professionnels des technologies de l'information une
présentation technique des nouvelles fonctions de
Internet Information Services 5.0, les services Web intégrés de
Microsoft Windows 2000. Ces fonctions améliorent la fiabilité et les
performances notamment lors du redémarrage, la protection des applications et le
support des clusters.
De plus, ce document traite longuement de la sécurité et présente de nouveaux
protocoles de sécurité gérés par IIS 5.0, notamment TLS (Transport Layer
Security) et l'authentification «Digest». Pour ceux qui partagent les
informations sur Internet, la fonction WebDAV (Web Distributed Authoring and
Versioning) est aussi présentée.
Les développeurs d'applications trouveront les descriptions d'un certain nombre
d'améliorations au niveau des pages ASP (Active Server Pages).
Dans la mesure où les entreprises ont de plus en plus recours à Internet, des
services Web intégrés au système d'information sont de plus en plus nécessaires.
Pour répondre à ce besoin,
Windows 2000 Server offre une nouvelle version d'Internet Information
Services (IIS), appelée IIS 5.0.
Comme le montre l'illustration 1, Internet Information Services fonctionne comme
un service d'entreprise dans Windows 2000. Il utilise d'autres services offerts
par Windows 2000, notamment des services de sécurité et le service d'annuaire
Active Directory.
Cette version améliore la fiabilité, les performances, la gestion, la sécurité
ainsi que les services d'application du serveur Web. La plupart de ces
améliorations résultent de la façon dont IIS 5.0 incorpore les nouvelles
fonctions système de Windows 2000.
Services de Windows 2000 Server
Avec IIS 4.0, Microsoft avait concentré ses efforts de développement sur la
sécurité, l'administration, la programmation et l'intégration des normes
Internet. IIS 5.0 y ajoute les fonctions nécessaires à l'élaboration de sites
Web critiques dans un environnement professionnel de plus en plus centré sur
Internet.
Il rend d'autant plus facile l'utilisation des technologies offertes dans les
versions précédentes.
En particulier, IIS 5.0 présente des améliorations dans les quatre principaux
domaines suivants :
Fiabilité et performances
Pour faciliter et accélérer le redémarrage d'IIS, la fonction de redémarrage
d'IIS 5.0 permet à un administrateur de redémarrer les services Web sans avoir
besoin de réamorcer l'ordinateur. Pour augmenter la fiabilité, la fonction de
protection d'application offre la possibilité d'exécuter des applications dans
un espace mémoire différent de celui utilisé par les services Web.
Les nouvelles fonctions de contrôle de la bande passante affectée à un site Web
et de regroupement de sockets d'IIS 5.0 peuvent également accroître la
fiabilité.
Quant aux développeurs, ils peuvent améliorer les performances d'un site Web
grâce à de nouvelles fonctions, telles que le traitement des pages ASP sans
script, l'autoréglage ASP et des objets ASP plus performants.
Gestion
IIS 5.0 est plus facile à installer et à utiliser. Un certain nombre de
fonctions tirent parti de cette facilité de maintenance accrue. IIS 5.0 intègre
notamment une procédure d'installation simplifiée, de nouveaux assistants de
sécurité, la possibilité de calculer le temps utilisé par les processus, une
administration à distance plus souple et la possibilité de créer des messages
d'erreur personnalisés.
Sécurité
IIS 5.0 gère les principaux protocoles de sécurité standard, notamment
l'authentification Digest, Server Gated Cryptography, le protocole
d'authentification Kerberos v5, Transport Layer Security et Fortezza. En outre,
trois nouveaux assistants permettent aux administrateurs de gérer plus
facilement les paramètres de sécurité d'un site.
Environnement de développement d'applications
Les développeurs découvriront que IIS 5.0 améliore l'environnement de
développement d'application du serveur Web en tirant parti des nouvelles
technologies offertes par Windows 2000 Server. Ces dernières sont
Active Directory et le modèle
COM+ (modèle étendu de composants objets).
De plus, des améliorations des pages ASP d'IIS, telles que le traitement de
pages ASP sans script et une meilleure gestion du contrôle de flux et des
erreurs, permettent aux développeurs de créer des applications Web plus
performantes.
IIS 5.0 est plus fiable et plus performant. En interne, des perfectionnements
du code ont accru la vitesse du moteur IIS 5. La nouvelle fonction de
redémarrage sécurisé permet aux administrateurs de système de redémarrer les
services IIS plus rapidement. Cette version comporte des fonctions utiles pour
améliorer la vitesse et la fiabilité des sites Web.
Une des améliorations les plus importantes d'IIS 5.0 est l'intégration de la
protection des applications Web par le biais de la prise en charge
d'applications regroupées hors du processus du moteur IIS. Pour mieux contrôler
la consommation des ressources, de nouvelles fonctions d'accélération (basées
sur la nouvelle fonction d'objet tâche de Windows 2000) permettent aux
administrateurs de répartir plus facilement la puissance processeur disponible
entre les différents processus, et la bande passante réseau disponible entre les
sites.
En outre, la nouvelle fonction de regroupement de sockets permet à plusieurs
sites partageant un même port de partager plusieurs sockets. Avec
Windows 2000 Advanced Server, vous pouvez augmenter encore plus la fiabilité
de votre site en utilisant les fonctions de
clusters et de réplication.
Protection d'application
Les systèmes d'exploitation basés sur Windows exécutent des services et des
applications dans des zones mémoires appelées processus. Dans IIS 5.0, la
protection d'application désigne le processus du système d'exploitation dans
lequel s'exécutent les applications.
Dans les versions précédentes d'IIS, toutes les applications ISAPI (Internet
Server API), y compris la technologie ASP, partageaient les ressources et la
mémoire du processus de serveur. Bien que cela permette des performances
rapides, des composants instables pouvaient provoquer une panne du serveur, ce
qui compliquait le développement et le débogage de nouveaux composants. De plus,
des composants internes du processus ne pouvaient pas être déchargés sans
redémarrer le serveur.
En d'autres termes, la modification de composants existants pouvait avoir un
impact négatif sur tous les sites partageant le même serveur, qu'ils soient
directement concernés par la mise à niveau ou non.
Dans un premier effort pour résoudre ces problèmes, IIS 4.0 a permis aux
applications de s'exécuter, soit dans le même processus que les services Web (Inetinfo.exe),
soit dans un processus différent (DLLHost.exe). IIS 5.0 offre une troisième
option : Les applications peuvent être exécutées dans un processus de groupe
différent des services Web.
Ces trois options fournissent plusieurs niveaux de protection, chacun
influant sur les performances. Vous pouvez avoir une plus grande protection aux
dépens des performances.
Illustration 2. Protection d'application
Par défaut, les services Web (Inetinfo.exe) s'exécutent dans leur propre
processus et les autres applications s'exécutent dans un groupe de processus
distinct (DLLHost.exe). Si l'une des applications du groupe (ou pool) aboutit à
un échec, elle provoque l'arrêt de toutes les autres, mais le serveur Web
continue de s'exécuter. Pour protéger les applications importantes, il est
possible de les isoler en leur associant une priorité élevée (en utilisant une
autre instance de DLLHost.exe).
S'agissant des performances, les applications exécutées dans le processus des
services Web (inetinfo.exe) s'exécutent plus rapidement, mais le risque qu'une
application défectueuse rende les services Web indisponibles devient important.
La méthode recommandée consiste à exécuter inetinfo.exe dans son propre
processus, les applications stratégiques également dans leurs propres processus
et les autres applications dans un autre processus de groupe partagé, comme le
montre l'illustration 2 ci-dessus.
Remarque : en raison de l'impact sur les performances, il est préférable de ne
pas exécuter plus de 10 applications distinctes dans un même processus.
Si vous décidez d'exécuter votre application séparément ou avec d'autres
applications dans un même processus de groupe, vous devrez sélectionner Elevée
(Isolé) ou Moyenne (En file d'attente) dans la liste déroulante Protection
d'application de la page de propriétés Répertoire de base ou Répertoire virtuel.
Si ce n'est pas déjà fait, vous devez tout d'abord créer un répertoire de point
de départ pour votre application. Les composants qui s'exécuteront dans le
nouveau processus doivent être installés dans l'application COM appropriée.
Remarque : la protection d'application ne peut être définie que dans le
répertoire de départ d'une application. Vous pouvez définir les options de
processus pour ses composants dans l'outil d'administration Services de
composants.
En cas d'arrêt du système, IIS doit pouvoir être remis en état de marche le
plus rapidement possible. Par le passé, le réamorçage du système était une façon
acceptable, à défaut d'être optimale, de redémarrer IIS. Pour redémarrer IIS de
manière fiable, un administrateur devait initialiser quatre services différents
après chaque arrêt et avoir des connaissances spécifiques, notamment sur la
syntaxe de la commande Net.
Pour éviter cela, Windows 2000 intègre une fonction de redémarrage sécurisé d'IIS.
Il s'agit d'un processus de redémarrage en une seule opération, plus rapide,
plus facile et plus souple.
Pour redémarrer IIS, l'administrateur doit cliquer avec le bouton droit sur un
élément dans la console
MMC (Microsoft Management Console) ou utiliser une application de ligne de
commande.
Pour plus de souplesse, l'application en mode de ligne de commande peut
également être exécutée par d'autres outils Microsoft ou tiers (tels que
HTTP-Mon et le Planificateur de tâches de Windows 2000 ). Si le processus
INETINFO s'arrête subitement, IIS utilisera la fonction Gestionnaire de contrôle
des services de Windows 2000 pour redémarrer automatiquement les services IIS.
Partage de sockets entre sites Web
Dans un autre domaine, IIS 5.0 accroît les performances en permettant
d'optimiser l'accès à votre site Web. Un socket est l'identificateur d'un nœud
particulier sur un réseau. Le socket comprend une adresse de nœud et un numéro
de port, identifiant le service. Par exemple, le port 80 sur un nœud Internet
représente un serveur Web.
Dans IIS 4.0, chaque site Web était lié à une adresse IP distincte. En d'autres
termes, chaque site avait son propre socket, non partagé avec les autres sites,
puisqu'ils utilisaient eux-mêmes d'autres adresses IP. Ces sockets sont créés au
démarrage du site et consomment beaucoup de mémoire non paginée (RAM). Cette
consommation de mémoire limite le nombre de sites liés à des adresses IP pouvant
être créés sur une seule machine.
Pour IIS 5.0, ce processus a été modifié afin de pouvoir lier des sites à
différentes adresses IP tout en partageant le même numéro de port et le même
ensemble de sockets. En définitive, IIS 5.0. permet de lier plus de sites à une
seule adresse IP sur la même machine que ne l'autorisait IIS 4.0. Dans IIS 5.0,
ces sockets partagés sont utilisés de manière flexible entre tous les sites
initialisés, réduisant ainsi la consommation de ressources.
Pour diminuer l'utilisation de la mémoire et augmenter les performances, le
regroupement de sockets a été activé par défaut pour tous les sites utilisant le
même port mais liés à des adresses IP différentes. En règle générale, ce
comportement ne doit pas être modifié. Toutefois, il se peut que vous souhaitiez
désactiver le regroupement de sockets sur des sites stratégiques, s'ils
partagent leur port avec d'autres sites moins importants.
Dans ce cas, le changement ne doit être effectué qu'au niveau du site, pour que
les autres sites puissent continuer à bénéficier de la fonction de regroupement
de sockets.
Hébergement multi-sites
Pour améliorer l'évolutivité d'IIS, Windows 2000 Server peut héberger
plusieurs sites Web sur un même serveur. Cela peut induire un gain de temps et
d'argent pour une entreprise souhaitant héberger des sites pour différents
services, ou pour un fournisseur de services Internet hébergeant plusieurs sites
pour différents clients.
Pour héberger plusieurs sites sur un même serveur, il est nécessaire de pouvoir
les distinguer.
Pour ce faire, il existe divers moyens, chacun d'eux utilisant l'identification
du site Web.
Chaque site Web a une identité unique en trois parties, qu'il utilise pour
recevoir les requêtes et y répondre : un numéro de port, une adresse IP
(Internet Protocol) et un nom d'hôte.
Avec IIS 5.0, les entreprises peuvent héberger plusieurs sites Web sur un seul
serveur en appliquant trois techniques : en assignant des ports, des adresses IP
ou des noms d'en-tête d'hôte différents.
Numéros de port - Si vous ajoutez des numéros de port, vous n'avez besoin
que d'une seule adresse IP pour héberger plusieurs sites. Pour accéder à votre
site, les clients doivent ajouter un numéro de port à la fin de l'adresse IP
statique (hormis pour le site Web par défaut, qui utilise le port 80).
Par exemple, si l'adresse de votre site principal est http://172.28.114.10:80,
vous pouvez créer des sites supplémentaires en ajoutant un numéro de port (par
exemple : http://172.28.114.10:1050). Cette approche présente un inconvénient :
cette méthode d'hébergement multi-sites oblige les clients à taper la véritable
adresse IP numérique suivie d'un numéro de port.
Adresses IP multiples - Au lieu d'utiliser plusieurs numéros de port,
vous pouvez utiliser plusieurs adresses IP affectées à un seul ordinateur. Pour
ce faire, vous pouvez lier plusieurs adresses IP à une même carte réseau ou
ajouter une carte réseau supplémentaire pour chaque adresse IP. Pour utiliser
plusieurs adresses IP, vous devez également ajouter le nom d'hôte et l'adresse
IP correspondante à votre système de résolution des noms (DNS).
Ainsi, pour atteindre votre site Web, les clients n'ont qu'à taper le nom du
site dans le navigateur.
Remarque - Si vous utilisez cette méthode d'hébergement multi-sites sur
Internet, vous déclarer enregistrer les noms de site sur InterNIC.
Noms d'hôte multiples - Pour héberger plusieurs sites, vous pouvez
utiliser des noms d'hôte différents correspondant à une même adresse IP
statique. Le nom d'hôte est indiqué en entête de tout URL. Il est indiqué
immédiatement après "htpp://" et désigne de manière unique le système hébergeant
le site Web. La prise en charge des en-têtes d'hôte permet à une entreprise
d'héberger plusieurs sites Web sur un seul ordinateur utilisant Microsoft
Windows 2000 Server avec une seule adresse IP (par exemple :
http://172.28.114.10).
Cela permet aux fournisseurs de services Internet et aux serveurs intranet
d'entreprise d'héberger plusieurs sites Web sur un seul système, tout en offrant
des domaines utilisateurs différents pour chaque site. Comme avec la méthode
précédente, vous devez ajouter les noms d'hôte à votre système de résolution des
noms. La différence est la suivante : dès la réception d'une requête, IIS 5.0
utilise le nom d'hôte indiqué dans l'en-tête HTTP pour déterminer le site
demandé par un client. Si vous utilisez cette méthode d'hébergement multi-sites
sur Internet, vous devrez également enregistrer les noms de site sur InterNIC.
Remarque - Vous ne pouvez pas utiliser les noms d'hôte multiples avec SSL (Secure
Sockets Layer), car les requêtes HTTP utilisant SSL sont cryptées. Les noms
d'hôte font partie de la requête cryptée et ne peuvent être ni interprétés ni
dirigés vers le site voulu. En outre, sachez que les anciens navigateurs sont
incapables de retransmettre les noms d'hôte à IIS.
Internet Explorer 3.0, Netscape Navigator 2.0 et les versions plus récentes de
ces deux navigateurs prennent en charge l'utilisation de noms d'hôte,
contrairement aux versions plus anciennes. Les utilisateurs disposant de
navigateurs plus anciens atteindront le site Web par défaut lié à l'adresse IP
et auront besoin d'une prise en charge supplémentaire pour atteindre le site
voulu.
Pour améliorer la fiabilité et la disponibilité des sites Web, vous pouvez
relier plusieurs ordinateurs entre eux. Deux options se présentent : dans le
premier scénario, un deuxième ordinateur peut fonctionner comme unité de
secours, prêt à continuer le travail si le premier tombe en panne ; dans le
second, des ordinateurs reliés peuvent se répartir une charge de travail.
Deux services présents dans Windows 2000 Advanced Server et Windows 2000
Datacenter Server permettent l'utilisation de ces deux fonctions de haute
disponibilité avec IIS : la répartition de charge réseau et le regroupement de
serveurs en clusters.
La répartition de charge réseau offre une meilleure évolutivité et une
accessibilité avancée pour un maximum de 32 serveurs.
Le regroupement de serveurs en clusters apporte une grande disponibilité par
le biais de la fonction de reprise entre deux serveurs connectés. Selon vos
besoins et vos ressources disponibles, vous pouvez utiliser IIS avec la
répartition de charge réseau entre plusieurs serveurs (pour optimiser
l'évolutivité et l'accessibilité) ou dans un cluster de serveurs contenant deux
nœuds (pour l'accessibilité avancée seulement mais avec des fonctions de reprise
avancées).
Les fontions de haute disponibilité permettent à plusieurs serveurs d'être
connectés par un logiciel intégré au système d'exploitation, de manière à
apparaître comme un seul ordinateur pour les utilisateurs du site Web. Cette
connexion leur permet d'utiliser des fonctions non disponibles avec les nœuds de
serveur autonomes, tels que la reprise (prise en charge du travail d'un serveur
en panne) et l'équilibrage de charge (répartition de la charge réseau entre les
serveurs).
Les clusters de serveurs augmentent la tolérance aux pannes d'un site, dans
la mesure où si un nœud de serveur cesse de fonctionner, un autre nœud peut
prendre en charge immédiatement les requêtes, afin de minimiser l'interruption
du service aux utilisateurs. Les clusters de serveurs peuvent aussi partager les
disques avec clusters contenant des informations importantes, telles qu'une base
de données.
L'équilibrage de charge permet à plusieurs serveurs de gérer une grande
activité en répartissant la charge des requêtes entre eux, afin qu'aucun nœud de
serveur ne soit submergé ou sous-exploité. Les clusters de serveurs permettent
un équilibrage de charge statique, en affectant des sites Web ou FTP à un nœud
serveur spécifique, soit manuellement, soit par programmation.
La répartition de la charge réseau permettent d'équilibrer la charge en
distribuant les connexions des clients entre plusieurs nœuds. En général, les
clusters sont configurés de façon à équilibrer la charge et à assurer une
certaine tolérance aux pannes.
Illustration 3. Services regroupés par clusters
La création de clusters augmente la fiabilité dans la mesure où il est
possible de transférer les processus d'un serveur à l'autre en cas de panne et
d'équilibrer la charge entre les serveurs. Le schéma ci-dessus montre la
configuration d'un cluster de serveurs simple.
Chaque nœud serveur dispose d'un disque local contenant des informations
spécifiques sur le nœud. Les deux nœuds partagent les ressources d'un disque
dur, même si un seul nœud à la fois peut y accéder. Soit les nœuds sont
configurés pour utiliser une interconnexion privée destinée à la communication
entre les clusters, soit toutes les communications de réseau (notamment les
communications internes des clusters et des clients) s'effectuent sur la même
connexion réseau.
Cette configuration (sans l'interconnexion privée) est requise pour toutes les
fonctions de réplication et de gestion de clusters disponibles lorsque IIS est
déployé dans un cluster de serveurs. La structuration par clusters permet la
répartition de charge et la reprise.
Si vous utilisez des clusters de serveurs, vous voulez parfois copier le
contenu d'un serveur sur un autre ordinateur. La réplication consiste à copier
le contenu et les paramètres de configuration d'un serveur sur d'autres
serveurs, de façon que tous puissent offrir les même ressources aux
utilisateurs. Vous devez répliquer les paramètres de configuration pour tous les
clusters, qu'ils partagent des ressources ou non.
Il n'est pas nécessaire de répliquer le contenu pour les clusters partageant un
périphérique de stockage de données, tel qu'un lecteur de bandes. Plusieurs
applications de gestion de clusters prennent en charge la réplication du contenu
et des paramètres de configuration. IIS 5.0 permet de répliquer les paramètres
de configuration d'un ordinateur sur d'autres ordinateurs, quel qu'en soit le
nombre.
Internet Information Services (IIS) est conçu de façon à pouvoir s'intégrer au
service de clusters de Windows 2000 Advanced Server. IIS propose un utilitaire
de ligne de commande (Iissync.exe) pour répliquer la métabase IIS et les autres
paramètres de configuration (notamment ceux des applications) d'un nœud serveur
sur d'autres serveurs (La métabase IIS est une structure hiérarchique destinée à
stocker les paramètres de configuration d'IIS.
Elle est apparue dans IIS 4.0 pour faciliter l'administration et réduire
l'espace disque utilisé par le registre). Cet utilitaire permet de dupliquer ces
paramètres manuellement.
Au cas où vous auriez besoin de répliquer à la fois le contenu et les
paramètres, vous pouvez utiliser le service de déploiement de contenu
(anciennement connu sous le nom de système de réplication de contenu ou SRC)
pour répliquer des données sur plusieurs machines dans un cluster Web. Le
déploiement de contenu est une fonction de Site Server.
Limitation de la charge processeur Si vous gérez
plusieurs sites Web contenant principalement des pages HTML sur un même
ordinateur, ou que d'autres applications s'exécutent sur le même ordinateur que
votre serveur Web, vous pouvez limiter le temps processeur consacré aux
applications d'un site Web. Cela permet de réserver les ressources du processeur
pour d'autres sites Web ou des applications non liées au Web.
La nouvelle fonction d'IIS 5.0 permettant de contrôler le temps processeur est
appelée la limitation de processus (On parle également de limites de processus,
de limites de la charge processeur ou de limites d'objet tâche). La limitation
de processus permet aux administrateurs de serveur de limiter l'utilisation du
processeur par des applications hors processus.
Une application hors processus est une application exécutée dans un espace
mémoire séparé du processus IIS central. Ainsi, une application ne répond pas ou
n'est pas disponible, elle n'empêche pas le serveur Web de répondre aux
requêtes.
Limitation de bande passante par site Web Si la
connexion réseau ou Internet utilisée par votre serveur Web est également
utilisée par d'autres services, tels que la messagerie électronique ou les
bulletins d'information (news), vous pouvez limiter la bande passante utilisée
par le serveur afin d'en libérer pour d'autres services.
Une nouvelle fonction d'IIS 5.0, appelée "limitation de bande passante par site
Web", permet aux administrateurs de réguler la bande passante utilisée par
chaque site en limitant la bande passante disponible pour la carte réseau. Par
exemple, un fournisseur de services Internet peut ainsi garantir une quantité de
bande passante définie à l'avance pour chaque site. Tout comme la limitation de
processus, la limitation de bande passante n'affecte que les fichiers HTML
statiques et non les fichiers ASP dynamiques ou autre type de contenu dynamique.
Remarque : si vous utilisez le regroupement des sockets (voir ci-dessus) activé
par défaut, et que vous limitez la bande passante d'un site, celle de tous les
autres sites partageant le même numéro de port est également limitée.
Gestion
Alors que IIS 4.0 intégrait un certain nombre de nouvelles technologies, l'un
des principaux objectifs de la conception d'IIS 5.0 consiste à faciliter
l'utilisation du serveur Web pour les administrateurs. Par exemple, pour
certains administrateurs, IIS 4.0 est difficile à installer. En revanche, avec
IIS 5.0, le processus d'installation est intégré directement dans celui de
Windows 2000 Server.
En outre, pour faciliter la configuration des paramètres de sécurité, il existe
trois nouveaux assistants de sécurité. De plus, cette version comprend des
scripts d'administration en mode de ligne de commande améliorés, ainsi que des
scripts de gestion supplémentaires intégrés.
Installation et mise à niveau intégrées
La procédure d'installation d'IIS 5.0 est intégrée à celle des produits de la
famille Windows 2000 et IIS 5.0 s'installe par défaut comme un service réseau de
Windows 2000 Server. Un assistant d'installation facilite l'installation d'une
nouvelle copie d'IIS 5.0 ou la mise à niveau d'une version précédente.
Lors de l'installation de Windows 2000 Server, IIS crée un site Web par défaut
ainsi qu'un site FTP. Pour ajouter ou supprimer IIS, ou sélectionner des
composants supplémentaires, vous pouvez utiliser l'application Ajout/Suppression
de programmes dans le Panneau de configuration.
IIS 5.0 est disponible avec toutes les versions de Windows 2000. Si vous mettez
à niveau le système d'exploitation Windows 95 ou Windows 98 vers Windows 2000,
IIS 5.0 mettra à niveau les sites Web existants sur Windows 95, Windows 98,
Windows NT Server 3.51, Windows NT Server 4.0 et Windows NT Workstation 4.0.
Lors de la mise à jour vers Windows 2000, les systèmes qui utilisent Windows NT
Server 3.51 ou 4.0 seont automatiquement mis à niveau avec les nouveaux services
Web de Windows 2000 Server et pourront bénéficier des nouvelles fonctions et des
nouveaux services de Windows 2000 Server et d'IIS 5.0.
Administration centralisée
IIS 5.0 est géré par un composant logiciel enfichable de la MMC (Microsoft
Management Console) d'IIS. Cet outil d'administration d'IIS 5.0 est intégré aux
autres fonctions d'administration de Windows 2000. (Dans les versions
précédentes, cet outil s'appelait Gestionnaire de services Internet). Pour
accéder au composant logiciel enfichable d'IIS, vous pouvez cliquer sur Outils
d'administration, puis sur Gestion de l'ordinateur et le sélectionner dans
Applications et services serveur.
L'outil d'administration basé sur le navigateur (Gestionnaire de services
Internet), ne figure plus dans le groupe de programmes Outils d'administration,
mais il est encore disponible pour vous permettre de gérer IIS à distance via
une connexion HTTP. En outre, vous pouvez utiliser les services Terminal Server
de Windows 2000 Server pour gérer différents serveurs IIS de manière
centralisée.
Administration à distance
IIS 5.0 possède des outils d'administration basés sur le Web permettant la
gestion à distance d'un serveur, à partir d'un navigateur depuis la plupart des
plates-formes. Deux méthodes existent pour gérer IIS 5.0 à distance : l'une
basée sur le navigateur et l'autre via un composant logiciel enfichable MMC
(L'utilisation à distance d'un composant logiciel enfichable de la MMC nécessite
l'installation de Windows 2000 sur le client distant ainsi qu'un paramétrage
adéquat du pare-feu Internet).
Le Gestionnaire de services Internet basé sur le navigateur (HTMLA) vous permet
de gérer à distance certaines fonctions IIS à travers Internet ou un serveur
proxy. Outre ces deux options, vous pouvez également utiliser les services
Terminal Server pour accéder aux outils d'administration MMC ou HTMLA.
Dans ce cas, les services Terminal Server de Windows 2000 doivent être installés
sur chacun des serveurs IIS 5.0 à administrer ; sur le poste de travail utilisé
pour l'accès à distance, il possible d'utiliser Internet Explorer si le logiciel
client avancé des services Terminal Server (TSAC – Terminal Services Advanced
Client) est installé sur le serveur ; à défaut, il faudra installer le logiciel
client Terminal Server sur ce poste pour permettre le support du protocole
spécifique utilisé par les services Terminal Server pour assurer le déport de
l'affichage.
Administration déléguée
Pour faciliter la répartition des tâches administratives, IIS 5.0 permet aux
administrateurs de créer des comptes d'administration appelés Opérateurs de
sites Web avec des privilèges d'administration restreints sur les sites Web. Par
exemple, un fournisseur de services Internet hébergeant les sites d'un certain
nombre d'entreprises peut choisir un délégué dans chaque entreprise pour jouer
le rôle d'opérateur de site Web. Les opérateurs ne peuvent gérer que les
propriétés de leur propre site. Ils n'ont pas accès aux propriétés touchant IIS,
le serveur Windows hébergeant IIS ou le réseau. Cela permet aux administrateurs
système ou aux fournisseurs de services Internet hébergeant plusieurs sites Web
sur un seul serveur de déléguer la gestion quotidienne des sites Web, tout en
gardant le contrôle total de l'administration.
Surveillance des processus
La surveillance des processus (qui utilise des indicateurs d'utilisation du
processus et des objets tâches) est une nouvelle fonction intégrée dans IIS 5.0
permettant aux administrateurs de superviser et de consigner la façon dont les
sites Web utilisent les ressources du processeur sur le serveur. Les
fournisseurs de services Internet peuvent utiliser ces informations pour
identifier les sites qui utilisent les ressources du processeur de façon trop
intensive, ou utilisent des scripts ou des procédures CGI (Common Gateway
Interface) défaillants. Les responsables informatiques peuvent utiliser ces
informations pour refacturer le coût qu'implique l'hébergement d'un site Web
et/ou d'une application à la division appropriée de l'entreprise.
La fonction de surveillance des processus est activée serveur par serveur et
enregistre les informations séparément pour chaque site Web, mais n'offre pas
d'informations sur l'utilisation du processeur par les applications
individuelles ou CGI. La fonction de surveillance des processus ne peut
enregistrer que les informations concernant les applications hors processus
(celles qui ne partagent pas le même processus que le serveur Web). La
surveillance des processus n'est disponible que pour les sites Web et non pour
les sites FTP.
La surveillance des processus ajoute des champs au fichier journal étendu du
W3C. Ces champs ne sont enregistrés que lorsque le format du fichier journal
étendu du W3C est sélectionné. Les données de surveillance des processus sont
ajoutées à d'autres informations dans le fichier journal. Les administrateurs
peuvent utiliser les informations issues de la surveillance des processus afin
de préciser si la limitation de processus (décrite précédemment) doit être
activée sur un site Web.
Scripts d'administration améliorés en mode de ligne de commande
IIS 5.0 intègre des scripts exécutables en mode de ligne de commande permettant
d'automatiser la gestion des tâches de serveur Web courantes. Les scripts
d'administration automatisent un certain nombre de tâches administratives parmi
les plus courantes. Vous pouvez les utiliser pour créer et contrôler des sites
Web, des applications, des répertoires, etc. Les administrateurs peuvent
également créer des scripts personnalisés pour automatiser la gestion d'IIS.
Les scripts d'administration (il s'agit de scripts Microsoft Visual Basic
Scripting Edition ou VBScript) sont destinés à être utilisés avec l'utilitaire
de ligne de commande d'écriture de scripts Cscript.exe. Ils fonctionnent mieux
si Cscript est enregistré de manière à exécuter les fichiers .vbs. Pour exécuter
les scripts d'administration, vous pouvez utiliser les fichiers VBScript de
Microsoft installés par défaut dans le répertoire Inetpub\adminscripts.
Pour améliorer les performances, vous pouvez également recourir à une version
exécutable du fichier adsutil.vbs (adsutil.exe est lui-même installé par défaut
dans le répertoire Inetpub\adminscripts).
Cette version accepte les mêmes paramètres que adsutil.vbs. Adsutil.exe est un
modèle démontrant la façon dont la métabase doit être manipulée avec les
interfaces Active Directory Service (ADSI) en C/C++ (Adsutil.exe peut lire les
commandes d'un fichier, contrairement à adsutil.vbs).
Sauvegarde et restauration d'IIS
Le composant logiciel enfichable MMC d'IIS comprend des options permettant de
sauvegarder votre configuration d'IIS ; vous pouvez sauvegarder les paramètres
de la métabase IIS 5.0 pour restaurer une configuration antérieure
fonctionnelle.
Cette méthode vous permet de sauvegarder et de restaurer la configuration de
votre serveur Web, mais pas les fichiers de votre contenu ni les paramètres
contenus dans le registre. Cette technique ne fonctionnera pas si vous
réinstallez IIS. Les fichiers de sauvegarde qui en résultent ne peuvent pas être
utilisés pour restaurer une configuration IIS sur d'autres ordinateurs exécutant
Windows 2000. Vous pouvez sauvegarder IIS grâce au Gestionnaire de services
Internet (HTML) basé sur un navigateur, mais vous devez utiliser le composant
logiciel enfichable IIS pour restaurer votre configuration.
Messages d'erreurs personnalisés
Lorsqu'un utilisateur tente de se connecter à un site Web et qu'une erreur HTTP
est signalée, un message générique est envoyé au navigateur client avec une
description succincte de ce qui s'est passé lors de la tentative de connexion.
Avec IIS 5.0, vous pouvez envoyer des messages d'erreur plus détaillés aux
clients suite à une erreur ASP ou HTML sur votre site. Vous pouvez créer vos
propres messages d'erreur personnalisés ou utiliser ceux d'IIS 5.0.
Tous les messages d'erreurs personnalisés d'IIS 5.0 affichent des codes HTTP
standard assurant la cohérence avec les messages d'erreur HTTP 1.1. Par exemple,
si un utilisateur tente de se connecter à un site Web ayant atteint le nombre de
connexions maximum, une erreur HTTP apparaîtra sous la forme d'une page HTML
contenant le message "Trop d'utilisateurs".
Vous pouvez utiliser la page de propriétés Erreurs personnalisées d'IIS pour
personnaliser ces erreurs HTTP génériques :
Code d'erreur Message d'erreur
400 Mauvaise requête
401.1 Echec de l'identification
401.2 Impossible d'établir la connexion en raison de la configuration du
serveur
401.3 Accès aux ressources interdit par les listes de contrôle d'accès
401.4 Echec d'autorisation par le filtre
401.5 Echec d'autorisation par l'application ISAPI/CGI
403.1 Exécution interdite
403.2 Lecture interdite
403.3 Ecriture interdite
403.4 SSL obligatoire
403.5 SSL 128 obligatoire
403.6 Adresse IP incorrecte
403.7 Certificat client obligatoire
403.8 Accès refusé
403.9 Trop d'utilisateurs
403.10 Configuration incorrecte
403.11 Modification du mot de passe
403.12 Accès au mappeur refusé
403.13 Certificat client résilié
403.14 Listage du répertoire refusé
403.15 Licences CAL obligatoires
403.16 Certificat client erroné ou incorrect
403.17 Le certificat client a expiré ou n'est plus valable
404 Introuvable
404.1 Site introuvable
405 Méthode non autorisée
406 Non acceptable
407 Authentification proxy requise
412 Echec de la condition préalable
414 URL trop longue
500 Erreur interne du serveur
500.12 Redémarrage de l'application
500.13 Serveur occupé
500.15 Requêtes pour Global.asa non autorisées
500-100.asp Erreur ASP
501 Non implémenté
502 Passerelle incorrecte
Prise en charge des extensions serveur de FrontPage
Windows 2000 Server permet aux administrateurs d'utiliser les fonctions de
création de contenu et de gestion Web de Microsoft FrontPage® pour déployer et
gérer des sites Web. Avec les extensions serveur de FrontPage, les
administrateurs peuvent afficher et gérer un site Web dans une interface
graphique. En outre, il est possible de créer, d'éditer et d'envoyer des pages
Web aux services IIS à distance. Le composant logiciel enfichable MMC de
Microsoft FrontPage est un programme servant à gérer les extensions serveur de
FrontPage et les sites Web développés avec FrontPage.
Le Web est un outil fabuleurx pour publier des documents, mais aujourd'hui
encore, les organisations ont du mal à utiliser Internet pour permettre aux
utilisateurs de travailler ensemble sur des documents. En effet, bien qu'il soit
facile de lire des documents stockés sur un site Web, les utilisateurs ont des
difficultés pour apporter des modifications à ces documents. Par exemple, les
intranets pourraient être beaucoup plus utiles avec une telle possibilité.
Pour répondre à ce besoin, IIS 5.0 est totalement compatible avec la norme
WebDAV (Web Distributed Authoring and Versioning). Il s'agit d'une extension de
la norme HTTP 1.1 utilisée pour afficher des supports de stockage tels qu'un
système de fichiers, via une connexion HTTP.
En installant un répertoire WebDAV sur votre serveur Web, vous permettez aux
utilisateurs de partager des documents via Internet ou un intranet. Le support
WebDAV intégré dans IIS 5.0 utilise les fonctions de sécurité et d'accès aux
fichiers offertes par Windows 2000 ; vous pouvez verrouiller et déverrouiller
des ressources pour permettre à plusieurs personnes de lire un fichier (notez
qu'une seule personne à la fois peut le modifier).
La version de WebDAV intégrée dans IIS 5.0 permet aux créateurs distants de
déplacer, de rechercher, d'éditer, ou de supprimer des fichiers ou des
répertoires (et leurs propriétés) sur votre serveur. WebDAV est configuré à
l'aide des paramètres d'autorisation de serveur Web. WebDAV résout certains
problèmes, notamment concernant les autorisations d'accès aux fichiers, le
travail hors connexion, l'intégrité des fichiers et la résolution des conflits
lorsque plusieurs personnes tentent de modifier un document en même temps. Dans
la mesure où WebDAV est intégré dans IIS 5.0, vous pouvez faire ce qui suit :
- Manipuler des ressources dans un répertoire de publication WebDAV sur votre
serveur. Par exemple, à l'aide de cette fonction, les utilisateurs ayant les
autorisations requises peuvent copier et déplacer les fichiers à l'intérieur
d'un répertoire WebDAV ;
- Modifier des propriétés associées à certaines ressources. Par exemple, vous
pouvez écrire et extraire des informations sur les propriétés d'un fichier ;
- Verrouiller et déverrouiller des ressources pour que plusieurs utilisateurs
puissent lire un fichier simultanément, mais qu'une seule personne à la fois
puisse le modifier ;
- Rechercher le contenu et les propriétés des fichiers dans un répertoire WebDAV.
Une fois connecté au répertoire WebDAV, vous pouvez rechercher rapidement un
contenu ou des propriétés dans les fichiers de ce répertoire. Par exemple, vous
pouvez rechercher tous les fichiers contenant le mot table ou tous ceux écrits
par Fred.
Il est aussi simple de créer un répertoire de publication WebDAV sur votre
serveur qu'un répertoire virtuel par le biais d'un composant logiciel enfichable
IIS. Une fois le répertoire de publication défini, les utilisateurs ayant les
autorisations requises peuvent publier des documents sur le serveur et manipuler
des fichiers dans le répertoire (Avant d'installer un répertoire WebDAV, vous
devez installer Windows 2000 Professionnel, Windows 2000 Server ou Windows 2000
Advanced Server).
Illustration 4. Partage de documents à l'aide de WebDAV
Vous pouvez accéder à un répertoire de publication WebDAV à partir du client,
par le biais d'un des produits Microsoft décrits dans la liste suivante ou via
un tout autre client gérant le protocole WebDAV standard.
- Windows 2000 se connecte à un serveur WebDAV à l'aide de l'Assistant Ajout
d'un favori réseau et affiche le contenu d'un répertoire WebDAV comme s'il
faisait partie du même système de fichiers sur votre ordinateur local. Une fois
la connexion établie, vous pouvez effectuer un glisser-déplacer des fichiers,
récupérer et modifier des propriétés de fichier et procéder à d'autres tâches
sur les systèmes de fichiers ;
Illustration 5. Les utilisateurs peuvent se connecter à un répertoire WebDAV
à l'aide de l'Assistant Ajout d'un favori réseau de Windows 2000
- Microsoft Internet Explorer 5 se connecte à un répertoire WebDAV et vous
permet d'effectuer les mêmes tâches sur les systèmes de fichiers que
Windows 2000 ;
- Microsoft Office 2000 permet de créer, publier, éditer et sauvegarder des
documents directement dans le répertoire WebDAV, à l'aide d'une application
Office 2000 quelconque.
WebDAV utilise les fonctions de sécurité de Windows 2000 et IIS 5.0. Ces
fonctions comprennent les autorisations d'IIS spécifiées dans le composant
logiciel enfichable IIS et les listes de contrôle d'accès (ACL) du système de
fichiers NTFS.
Dans la mesure où les clients ayant les autorisations requises peuvent écrire
dans un répertoire WebDAV, il est vital que vous puissiez contrôler à tout
moment l'accès à votre répertoire. Pour mieux contrôler l'accès, IIS 5.0
améliore la procédure d'authentification intégrée dans Windows en lui ajoutant
la prise en charge du protocole d'authentification
Kerberos version 5.
En sélectionnant l'authentification intégrée dans Windows, vous êtes assuré
que seuls les clients autorisés ont accès en écriture au répertoire WebDAV de
votre intranet. En outre, IIS 5.0 introduit un nouveau type d'authentification
appelé l'authentification Digest.
Créé pour les serveurs de domaine Windows, ce type d'authentification offre
une meilleure sécurité pour les mots de passe et la transmission de données via
Internet (Pour plus d'informations sur l'authentification, consultez la section
"Sécurité" de ce document).
Dossiers Web
Les dossiers Web et les dossiers HTTP sont des raccourcis vers des fichiers
partagés créés à l'aide de WebDAV (décrit ci-dessus) et stockés sur des serveurs
Web. Les raccourcis sont créés automatiquement dans Favoris réseau, chaque fois
que vous ouvrez des ressources sur un serveur compatible WebDAV, si vous avez
des autorisations en lecture/écriture sur le serveur. Vous pouvez également
utiliser l'Assistant Ajout d'un favori réseau pour créer des raccourcis vers les
serveurs Web et les autres ordinateurs.
La prise en charge des dossiers Web permet aux utilisateurs d'accéder à un
serveur et d'afficher le contenu d'un dossier comme s'il faisait partie du même
espace de noms que le système local. Les utilisateurs peuvent effectuer un
glisser-déplacer des fichiers, extraire ou modifier des informations sur les
propriétés d'un fichier et procéder à d'autres tâches sur les systèmes de
fichiers. Les dossiers Web permettent aux utilisateurs de garder une image et
une impression cohérentes entre le système de fichiers local, un lecteur réseau
et un site Web. Toutefois, lorsque vous affichez le contenu d'un dossier Web,
une liste de fichiers et de dossiers apparaît avec les adresses Internet
associées.
Système de fichiers DFS
IIS 5.0 utilise le système de fichiers distribués (DFS) de Windows 2000. Ce
système permet de réunir les fichiers d'ordinateurs différents dans un seul
espace de noms. A l'aide de DFS, les administrateurs système peuvent établir une
vue hiérarchisée unique de plusieurs serveurs de fichiers et de partages de
serveur de fichiers sur le réseau. Ainsi, les utilisateurs peuvent accéder à des
fichiers physiquement distribués sur le réseau et les gérer plus facilement.
Vous pouvez présenter aux utilisateurs une unique vue de fichiers répartis sur
plusieurs serveurs comme s'ils étaient au même emplacement sur le réseau. Les
utilisateurs n'ont plus besoin de connaître et de spécifier le véritable
emplacement physique des fichiers pour y accéder.
Le système de fichiers distribués est toujours hébergé sur Windows NT
Server 4.0 ou Windows 2000 Server, soit dans le format FAT (File Allocation
Table), soit dans le format NTFS.
Pour utiliser Microsoft DFS comme système de fichiers pour IIS 5.0, vous pouvez
sélectionner la racine du site Web comme racine DFS. Cela permet de déplacer des
ressources dans l'arborescence DFS sans effets sur les liens HTML (Le contenu
des services Windows Media peut également être stocké dans l'arborescence DFS).
Compression HTTP
La
compression HTTP permet de transférer des pages plus rapidement entre le
serveur et les clients utilisant la compression de fichiers. Cela est utile
lorsque la bande passante est limitée. Selon le contenu que vous hébergez, votre
espace de stockage et la vitesse de connexion du visiteur type de votre site
Web, la compression HTTP permet de transférer des pages plus rapidement entre le
serveur Web et les navigateurs utilisant la compression de fichiers.
Si votre serveur génère un volume important de contenu dynamique, il est
préférable de savoir si vous pouvez couvrir le coût de traitement supplémentaire
lié à la compression. Si la valeur de l'indicateur % Temps processeur
(accessible en sélectionnant Moniteur système) est déjà très élevée (80 pour
cent ou plus), la compression serait probablement trop lourde pour votre
système.
FTP (File Transfer Protocol)
Le service de protocole FTP (File Transfer Protocol), un protocole standard
servant à publier des informations sur un serveur Web, est intégré dans
Windows 2000 Server. Dans IIS 5.0, le protocole FTP Restart est également pris
en charge par Windows 2000 Server.
Il s'agit d'un moyen plus rapide et plus facile pour télécharger des
informations à partir d'Internet. En effet, si un transfert de données d'un site
FTP est interrompu, un téléchargement peut reprendre à partir de son point
d'interruption, sans devoir télécharger le fichier entier une nouvelle fois.
SharePoint
au
Quotidien
avec
EROL
