Настройка веб-сервера IIS

Большинство пользователей при работе в тонком или веб-клиенте используют в основном публикацию информационных баз на основании протокола HTTP. С одной стороны — это простой и быстрый способ дать доступ к информационной базе пользователю, у которого нет дистрибутива тонкого клиента, и он может работать только в веб-клиенте или у пользователя нет прямого доступа к серверу «1С:Предприятие». С другой стороны – информационные базы, опубликованным таким образом, категорически не рекомендуются публиковать в глобальной сети Интернет, так как в таком случае используется незащищенный канал, данные по которому могут быть перехвачены злоумышленниками. Например, распространенные виды атак это:

Решением этих проблем является использование расширения протокола HTTP и в данной статье рассмотрены публикации информационных баз с использование протокола с шифрованием (HTTPS) для веб-сервера IIS.

Внимание! В статье не рассматривается выпуск и получение сертификата проверенных поставщиков. Этот пункт должен быть выполнен самостоятельно на основании предпочтений выбора провайдера услуг. В статье предполагается что, пропуская шаг выпуска самоподписанных сертификатов, у пользователя или администратора он имеется в наличие и будет подставлен в настроечные файлы, вместо указанных в статье самоподписанных сертификатов.

План работ:

Включение компонент веб-сервера.

Windows Server 2012 R2, 2016 и 2019.

Выпуск самоподписанного сертификата (Необязательно).

1. Включение компонент веб-сервера

По умолчанию в операционной среде Windows компоненты веб-сервера не установлены. В зависимости от версии установка может несущественно различаться. Мы будем рассматривать два варианта – это распространенный дистрибутив Windows 10, если планируются использовать для пробного включения шифрования протокола и Windows Server 2016/2018, если уже планируется непосредственное разворачивание публикации в продуктивной зоне.

1.1. Windows 10

Включение компонентов веб-сервера IIS в операционной системе Windows 10 выполняется достаточно просто. Для начала нужно открыть раздел «Программы и компоненты» («Programs and Features») в панели управления (Control panel). Сделать можно это несколькими способами:

Нажать сочетание клавиш Win + R и в открывшемся окне ввести «appwiz.cpl» и нажать ОК.

Открыть панель управления (Control panel) и выбрать пункт меню Программы – Программы и компоненты (Programs – Programs and features).

В окне «Программы и компоненты» («Programs and Features») нажмите на кнопку «Включение и отключение компонентов Windows» («Turn Windows features on or off»).

Когда откроется окно «Компоненты Windows» («Windows features») в нем необходимо будет проставить флажки для следующих элементов:

Компоненты разработки приложений

Средства управления веб-сайтом

Консоль управления IIS

После этого нажимайте на кнопку «OK» и дождитесь завершения выполнения операции. После того как включение компонент будет выполнено, можно переходить к пункту «2. Публикация информационной базы».

1.2 Windows Server 2012 R2, 2016 и 2019

Настройка компонент для Windows Server 2012 R2, Windows Server 2016 и Windows Server 2019 одинаковая и все настройки производятся в диспетчере серверов (Server Manager).

Откройте диспетчер серверов (Server Manager) и нажмите Управление – Добавить роли и компоненты (Manage – Add Roles and Features).

В ответ на нажатие откроется окно мастера добавления ролей и компонентов (Add Roles and Features).

В этом окне нажмите два раза «Далее» («Next») пока мастер не переключится на страницу ролей сервера (Server Roles).

Во вкладке роли сервера (Server Roles) установите флажок «Web Server IIS». Так как эта роль зависит от другой роли ([Tools] IIS Management Console), то будет предложено установить ее дополнительно. Это можно сделать с помощью нажатия кнопки «Добавить компоненты» (Add Features) в открывшемся окне. После чего нажимаем кнопку «Далее» («Next») пока мастер не дойдет до вкладки «Роль веб-сервера IIS» («Web Server Role IIS»). На этой вкладке нажимайте кнопку «Далее» («Next») и попадете на вкладку «Службу ролей» («Role Services»). Во вкладке нужно найти пункт «Application Development» и выбрать в нем с помощью флажков пункты «ISAPI Extensions» и «ISAPI Filters». Как только закончите с установкой флажков нажимайте «Далее» («Next») и «Установить» («Install»).

На этом установка веб-сервера завершена. Можно переходить к настройкам сертификатов.

2. Выпуск самоподписанного сертификата

Выпуск самоподписанного сертификата для веб-сервера IIS максимально простой.

Для реальных систем не рекомендуем использовать самоподписанный сертификат.

Для начала процедуры выпуска откройте окно Диспетчера служб IIS (Internet Information Services (IIS) Manager) и выделите сервер в списке Подключений (Connections) . После этого нажмите на ссылку «Сертификаты сервера» («Server Certificates») .

Откроется окно доступных сертификатов сервера (Server Certificates) в котором нужно нажать «Создать самозаверенный сертификат…» («Create Self-Signed Certificate…»).

В окне мастера создания самоподписанного сертификата остается указать только произвольное название сертификата. В большинстве случаев, во избежание путаницы лучше явно указывать в качестве значения «Полное имя сертификата» («Specify a friendly name for the certificate») адрес сервера, на котором расположен сервер IIS. Как только имя сертификата будет задано нажимайте на кнопку OK и переходите к пункту привязки сертификата.

3. Привязка сертификата

Предполагается, что сертификат получен и добавлен в список сертификатов сервера. Если сертификат получен с помощью распространенного сертифицирующего центра, то его нужно предварительно импортировать в окне «Сертификаты сервера» («Server Certificates»).

Как только сертификат появится в списке, переходим непосредственно к его привязки к публикации сайта. Для этого выделяем «Default Web Site» и в окне «Действия» («Actions») нажимаем на пункт «Привязки…» («Binding…»).

В этом окне можно увидеть, что публикация работает только на порту 80, который относится к незащищенному протоколу HTTP. Чтобы его расширить, нажмите кнопку Добавить… (Add…) слева от списка привязок сайта и в открывшемся окне выберите Тип (Type) в качестве значения «https». Завершением настройки будет выбор ранее импортированного сертификата в списке «SSL-сертификат» («SSL certificate»). Нажимаем кнопку OK и закрываем мастер привязок сайта.

Можно переходить к публикации информационной и проверки его работоспособности.

4. Проверка публикации

Для публикации информационной базы нужно открыть конфигуратор конкретной базы от имени администратора и перейти в пункт меню «Администрирование». После этого выбрать «Публикация информационной базы».

В окне публикации указать имя публикации и по желанию определить каталог, где будут находиться настройки публикации. Его также можно оставить по умолчанию.

После этого требуется нажать кнопку «Опубликовать» и дождаться окончания операции.

Для проверки корректной работы нужно открыть страницу в браузере и перейти по ссылке, которая состоит из двух частей:

• Имя вашего сервера (например, server1)
• Имя публикации базы (которое было указано в окне настройки публикации)

Для таких параметров ссылка будет иметь вид:

Если все хорошо, то откроется страница с вашей информационной базой.

Установка IIS в Windows Server 2016

Поднимаем IIS на Windows Server 2016. Настроим фичи по своему усмотрению.

Ссылки

Установка

Запускаем Server Manager. Manage > Add Roles and Features.

Запускается мастер добавления ролей и фич.

Открывается приветственная вкладка. Можно установить галку «Skip this page by default», чтобы не отображать эту страницу при последующих установках. Next.

Открывается вкладка «Installation Type». Оставляем «Role-based or feature-based installation». Next.

Открывается вкладка «Server Selection». Выбираем текущий сервер. Next.

Открывается вкладка «Server Roles». Ставим галку на «Web Sever (IIS)». Всплывает окошко.

Нам предлагают установить обязательные фичи — это «IIS Management Console», поскольку сервером IIS нужно управлять. нажимаем «Add Features».

Открывается вкладка «Features». Next.

Открывается вкладка «Web Server Role (IIS)». Next.

Открывается вкладка «Role Services». Здесь нужно выбрать компоненты, которые будут стоять в IIS. Настраиваем «Common HTTP Features».

Настраиваем «Health and Diagnostics».

Настраиваем «Application Development». При установке некоторых галок может потребоваться доставить некоторые фичи.

Настраиваем «Management Tools». Next.

Открывается вкладка «Confirmation». Проверяем всё, если не против перезагрузить сервер. то устанавливаем галку «Restart the destination server automatically if required». Install.

Настройка службы публикации IIS world Wide Web Publishing в кластере неудачной работы Windows Server

В этой статье описывается настройка службы Microsoft IIS (IIS) Всемирной веб-службы публикации (W3SVC) в кластере неудачных операций Windows Server (WSFC).

Оригинальная версия продукта: Windows Server 2008 и более поздние версии, Internet Information Services 8.0 и более поздние версии
Исходный номер КБ: 970759

Общие сведения

Процедуры в этой статье применяются только к Всемирной службе веб-публикаций. Инструкции по настройке службы публикации FTP в кластере неудачной работы см. в публикации How to configure FTP for IIS in a Windows Server failover cluster.

Дополнительные сведения

В более ранних версиях служб интернет-информации Корпорация Майкрософт предоставила универсальные компоненты мониторинга ресурсов для поддержки экземпляров веб-серверов с высокой доступностью с помощью инфраструктуры кластеров Майкрософт. Однако для полного реализации потенциала такого решения необходим пользовательский код. Кроме того, общие скрипты, предоставленные Корпорацией Майкрософт, не удовлетворяли потребности клиентов. Чтобы настроить IIS 7.0 или более поздние версии в кластерной среде с кластерией неудачной работы Windows Server, необходимо использовать настраиваемый код (сценарий), чтобы включить такой сценарий высокой доступности. При этом пользователи могут настроить установку, чтобы соответствовать их требованиям. что дает им полный контроль над интеграцией веб-приложений с высокой доступностью. Кроме того, интерфейсы скриптов для администрирования и мониторинга, введенные в IIS 7.0, обеспечивают более богатую среду, чем сценарии, которые были представлены ранее.

Файлы установки IIS 7.0 неправильно включают файлыClusweb.vbs иClusftp.vbs сценариев, которые используются в IIS 6.0 для административных задач кластера IIS. Не используйте эти скрипты с IIS 7.0 или более поздней версией.

Рекомендуется, чтобы администраторы тщательно оценивали использование сетевой балансировки нагрузки (NLB) в качестве основного и предпочтительного метода повышения масштабируемости и доступности веб-приложений с несколькими серверами с использованием IIS 7.0 или более поздней версии, а не с помощью кластерирования сбоя. Одно из преимуществ NLB в том, что все серверы могут активно участвовать в одновременной обработке входящих запросов протокола передачи HyperText (HTTP). Еще одним преимуществом является то, что в среде NLB IIS гораздо проще поддерживать развертывание обновлений и откатов, обеспечивая при этом высокую доступность веб-приложений. Дополнительные сведения об использовании IIS 7.0 или более поздней версии в среде NLB см. в следующих статьях:

Важно учитывать, что кластеризация IIS с помощью кластеризация служб IIS не всегда гарантирует высокое решение доступности для веб-приложений. Хотя службы IIS (в частности службы WWW) могут быть запущены и запущены, процесс размещения определенного пула приложений мог бы завершиться, или приложение могло бросать внутренние ошибки HTTP сервера. Кластеризация веб-приложений и мониторинг их работоспособности с помощью настраиваемой скриптии — правильный и рекомендуемый способ достижения кластера IIS с высокой доступностью с использованием кластера неудачных сбойов. Ниже приведен пример сценария, который отслеживает состояние пула приложений, чтобы определить, запущен он или нет.

Для настройки высокой доступности для IIS 7.0 или веб-сервера более поздней версии с помощью кластерного кластера сбойными действиями выполните следующие действия. Ниже описаны действия от 3 до 7. Пример сценария в этой статье можно использовать в качестве примера для IIS 7.0 или более поздней версии.

1. Установите роль веб-сервера на всех узлах кластера. Подробные сведения см. в руководстве по развертыванию IIS 7.
2. Установите функцию кластера неудачной сборки на всех узлах кластера и создайте кластер. Подробные сведения см. в руководстве по развертыванию кластеров failover.
3. Настройка общего файла, который будет использоваться для общей конфигурации IIS.
4. Настройка общей конфигурации IIS для всех узлов кластера.
5. Настройте IIS Автономные файлы для общей конфигурации на всех узлах кластера.
6. Настройте веб-сайт (включая связанный пул приложений) и укажите расположение его контента на одном узле кластера.
7. Настройка высокой доступности для веб-сайта путем создания общего скрипта в кластеризациях сбойными процессами.

Настройка общего файла, который будет использоваться для общей конфигурации IIS

1. Создайте пользователя, который получит доступ к общей конфигурации IIS.
2. Создание файла. Эта доля будет использоваться для хранения общей конфигурации IIS, которая будет разделена между IIS на всех узлах кластера. Существует несколько вариантов:
   • На автономных серверах, которые не являются частью какого-либо кластера неудачной работы, создайте файл.
   • В другом кластере неудачной передачи Windows Server создайте файл с высокой доступностью. Подробные сведения можно в руководстве по пошаговому кластеру failover: Настройка кластера Two-Node файлового сервера.
   • В том же кластере, где будет работать веб-сайт с высокой доступностью, создайте файл с высокой доступностью. Подробные сведения см. в руководстве по пошаговому кластеру failover: Настройка кластера Two-Node файлообмеда.
3. Установите разрешения на совместной основе, созданной на шаге 2. Передай пользователю, созданному в шаге 1 Разрешения полного управления для файла и разрешений NTFS.
4. Подтверди, что все узлы кластера могут просматриваться в файле. Путь к файлу является \\ \ .

Настройка общей конфигурации IIS для всех узлов кластера

Существует проблема с общей конфигурацией IIS на Windows 2008 Server из-за отсутствующих привилегий Application Host Helper Service для . Для работы общей конфигурации необходимо выполнять эти действия при настройке общей конфигурации IIS на Windows 2008 Server.

Откройте команду администратора.

Выполните следующую команду:

Выполните следующую команду:

Выполните следующую команду:

После выполнения этих действий на каждом сервере Windows 2008 в кластере продолжайте настройку общей конфигурации IIS, как описано в этом разделе.

В одном из узлов кластера экспортировать общую конфигурацию в общий файл:

1. Перейдите к административным средствам, а затем выберите диспетчер служб интернет-информации (IIS).
2. В левой области выберите узел имени сервера.
3. Дважды щелкните значок общей конфигурации.
4. На странице Общая конфигурация выберите экспортную конфигурацию в области Действия (правой области), чтобы экспортировать файлы конфигурации с локального компьютера в другое расположение.
5. В диалоговом окне Конфигурация экспорта введите путь к файлу () в поле \\ \ Физический путь.
6. Выберите Connect As, а затем введите имя пользователя и пароль учетной записи пользователя, которая имеет доступ к общей конфигурации, а затем выберите ОК. Эта учетная запись будет использоваться для доступа к share. Следует использовать ограниченную учетную запись Active Directory, которая не является администратором домена.
7. В диалоговом окне Экспорт конфигурации введите пароль, который будет использоваться для защиты ключей шифрования, а затем выберите ОК.
8. На странице Общая конфигурация выберите поле Включить общий контрольный ящик конфигурации.
9. Введите физический путь, учетную запись пользователя и пароль, который вы ввели ранее, а затем выберите Применить в области Действия.
10. В диалоговом окне «Ключи шифрования» введите пароль ключа шифрования, установленный ранее, а затем выберите ОК.
11. В диалоговом окне Общая конфигурация выберите ОК.
12. Нажмите кнопку ОК.

В каждом из остальных узлов кластера используйте общую конфигурацию, которую вы только что экспортировали в общий файл:

1. Перейдите к административным средствам, а затем выберите диспетчер служб интернет-информации (IIS).
2. Выберите узел имени сервера.
3. Дважды щелкните значок общей конфигурации.
4. На странице Общая конфигурация выберите поле Включить общий контрольный ящик конфигурации.
5. Введите физический путь к файлу (), учетную запись пользователя и пароль, который вы ввели ранее, а затем выберите Применить в области \\ \ Действия.
6. В диалоговом окне «Ключи шифрования» введите пароль ключа шифрования, установленный ранее, а затем выберите ОК.
7. В диалоговом окне Общая конфигурация выберите ОК.
8. Нажмите кнопку ОК.

Дополнительные сведения о настройке общих конфигураций в IIS можно найти в разделе Shared Configuration.

Настройка IIS автономных файлов для общей конфигурации на всех узлах кластера

На каждом узле кластера встройте автономные файлы:

Установка рабочего стола

1. Перейдите к административным средствам, а затем выберите диспетчер сервера.
2. В левой области выберите Функции.
3. Выберите Добавить функции в правой области.
4. Сделайте одно из следующих вариантов, соответствующих вашей версии Windows:
   • В Windows Server 2016 посетите сайт Install Server с рабочим столом.
   • Для Windows Server 2102 и 2012 R2 выберите интерфейсы и инфраструктуры пользователей в списке функций.
   • Для Windows Server 2008 и 2008 R2 выберите desktop Experience.
5. Выберите Установите для установки desktop Experience.
6. Перезагрузите компьютер.

Выполните одно из указанных ниже действий.

• Для Windows Server 2012, 2012 R2 и 2016 выберите Центр синхронизации в панели управления, а затем выберите Управление автономными файлами.
• Для Windows Server 2008 и 2008 R2 выберите автономные файлы в панели управления.

Выберите включить автономные файлы. Не перезапустите компьютер в это время.

Убедитесь, что кэш настроен только для чтения. Для этого запустите следующую команду в командной подсказке с повышенным кодом:

Просмотрите файл с компьютера на файловом сервере. Щелкните правой кнопкой мыши долю, содержащую общую конфигурацию IIS, а затем выберите Всегда доступные в автономном режиме.

Если вы настроили доступ к файлу в том же кластере, где размещены узлы IIS, параметр Always Available Offline не появится, если узел кластера, на котором размещен высокодоступный файл, не появится. Вам потребуется переместить приложение с высоким уровнем доступных файловых серверов в другой узел.

В панели управления откройте автономные файлы. Выберите Open Sync Center, а затем выберите Расписание.

Запланируйте синхронизацию файлов в автономном режиме на каждый день или в соответствии с вашими требованиями. Вы также можете настроить автономной синхронизации для запуска каждые несколько минут. Даже если вы не настроили планировщик, при изменении чего-либо вApplicationhost.configфайле изменение отражается на веб-сервере.

Дополнительные сведения о настройке автономных файлов для общей конфигурации в IIS см. в разделЕ Автономные файлы для общей конфигурации.

Настройка веб-сайта и указание расположения контента на одном узле кластера

Найдите узел кластера, который владеет ресурсом кластерного диска, в котором будут оставаться файлы контента веб-сайта:

1. Перейдите к административным средствам, а затем выберите диспетчер кластера failover.
2. Подключение к кластеру. Если вы находитесь на одном из узлов кластера, кластер будет отображаться в списке автоматически.
3. В статье Хранилище найдите дисковый ресурс, на котором будет находиться содержимое веб-страницы. Для этого необходимо расширить дерево хранения для ресурса диска. Убедитесь, что хранилище не используется любым другим приложением с высокой доступностью в кластере. Вы найдете хранилище в доступном хранилище.
4. Узел кластера, на котором этот ресурс находится в интернете. На этом узле кластера будет настраиваться IIS.
5. Имя ресурса кластерного диска.

Вы будете использовать это для файлов контента. На узле кластера, на котором находится ресурс в Интернете, настройте веб-сервер на использование общего диска для контента веб-сайта:

1. Перейдите к административным средствам, а затем выберите диспетчер служб интернет-информации (IIS).
2. В левой области расширь узел имен сервера.
3. Расширив сайты, а затем под сайтами, выберите сайт, который вы настраиваете.
4. В правой области выберите расширенные параметры в статье Управление веб-сайтом.
5. Найдите свойство Physical Path в общих настройках, а затем введите расположение, в котором находятся файлы контента веб-сайта. Это расположение ресурса кластерного диска, которое вы отметили на шаге 5 предыдущей процедуры.
6. Нажмите кнопку ОК.

Настройка высокой доступности для веб-сайта путем создания общего скрипта в Failover Cluster Manager

Для последнего шага по настройке высокой доступности для веб-серверов IIS установите общий ресурс скриптов, который будет использоваться для мониторинга веб-сайта и пула приложений для веб-сайта:

На каждом узле кластера скопируйте скрипт, который предоставляется в конце этой Windows\System32\inetsrv\Clusweb7.vbs статьи.

По умолчанию скрипт отслеживает веб-сайт с именем Веб-сайт по умолчанию и пул приложений с именем DefaultAppPool. Если это не правильный пул веб-сайтов и приложений, измените SITE_NAME and APP_POOL_NAME переменные. Убедитесь, что один и тот же пул веб-сайтов и приложений в скрипте существует на всех узлах кластера.

Имена чувствительны к делу.

Перейдите к административным средствам, а затем выберите диспетчер кластера failover.

Подключение к кластеру. Если вы находитесь на одном из узлов кластера, кластер будет отображаться в списке автоматически.

Выполните одно из указанных ниже действий.

• Для Windows Server 2012, 2012 R2 и 2016 щелкните правой кнопкой мыши Роли, а затем выберите Настройка роли для ее создания.
• Для Windows Server 2008 и 2008 R2 щелкните правой кнопкой мыши кластер, а затем выберите Настройка службы или приложения. Мастер создает высокую нагрузку доступности.

Выберите общий скрипт.

Выберите файл скрипта из %systemroot%\System32\Inetsrv\clusweb7.vbs .

Установите имя точки доступа клиента (CAP) к имени веб-сайта, которое клиенты будут использовать для подключения к веб-сайту с высокой доступностью. Укажите статические IPs, которые можно использовать для cap веб-сайта. Если вы используете динамический протокол конфигурации хост (DHCP), этот параметр не будет отображаться.

На шаге Выберите хранилище выберите общий диск кластера, на котором находятся файлы контента веб-сайта. Хранилище должно быть неиспользовано любым другим приложением с высокой доступностью в кластере.

Если общий файл, используемый для общей конфигурации IIS, находится в одном кластере, здесь необходимо использовать другой дисковый ресурс.

После подтверждения параметров мастер создаст группу кластеров, ресурсы кластера и зависимости между ресурсами, а затем выведет ресурсы в сеть.

Чтобы у вас было несколько веб-сайтов с высокой доступностью в одном и том же кластере, выполните те же действия, что и выше. Однако используйте другой файл скрипта для каждого веб-сайта и различные кластерные общие хранилища. Например, в ,clusweb7.vbsдля первого веб-сайта,clweb7-2.vbsдля %systemroot%\System32\Inetsrv второго, clweb7-3.vbs для третьего и так далее. Каждый файл скрипта отслеживает другой веб-сайт и пул приложений.

Следующий сценарий предназначен только для примерных целей и явно не поддерживается Корпорацией Майкрософт. Использование этого скрипта в среде IIS 7.0 или более поздней версии, кластерной, находится под вашим собственным риском.