Windows 2018 server r2 iis: Установка IIS 8.5 на Windows Server 2012 R2

Содержание

Настройка динамических параметров фильтрации IP-адресов IIS 8 в Windows Server 2012

В веб-сервере IIS 7 и более ранних версий присутствовала встроенная функциональность, позволявшая администраторам разрешать или запрещать доступ для конкретного IP-адреса или пула адресов. При блокировке IP-адреса, любой HTTP-клиент, использовавший его, получал сообщение об ошибке с кодом “403.6 Forbidden”.

С помощью данной функции администраторы могут управлять доступом к своему серверу и реагировать на подозрительную активность в сети.

В новой версии веб-сервера IIS 8.0 компания Microsoft расширила описываемую функциональность, добавив несколько новых возможностей:

  • Динамическую фильтрацию IP-адресов, которая позволяет администраторам настраивать сервер таким образом, чтобы блокировать доступ для IP-адресов, количество запросов с которых превышает заданный порог.
  • Теперь функции фильтрации IP-адресов позволяют администраторам настраивать поведение веб-сервера при блокировке IP-адреса, таким образом, чтобы соединение разрывалось, вместо отправки клиенту ошибки HTTP 403. 6.
  • Появилась новая функция фильтрации — режим прокси, который позволяет блокировать IP-адреса не только на основе IP клиента, который виден IIS, но и на основе значений x-forwarded в HTTP-заголовке.

Чтобы воспользоваться этими функциями необходим сервер под управлением Windows Server 2012 с установленным IIS 8.0.

Необходимо активировать дополнительные роли:

Настройка блокировки на основе HTTP-запросов

IIS 8.0 можно настроить так, чтобы он блокировал доступ к сайту на основе количества запросов, отправленных конкретным HTTP-клиентом за определенный промежуток времени, или на основе числа одновременных подключений, установленных клиентом.

Для настройки запрета на основе числа HTTP-запросов, необходимо зайти диспетчер служб IIS (с правами администратора), затем кликнуть на названии сервера и открыть оснастку «Ограничение IP-адресов и доменов»:

Затем в правой панели выбрать пункт «Изменить динамические параметры ограничения»:

В появившемся диалоговом окне нужно поставить галочки в пунктах «Запретить IP_адрес с учетом количества параллельных запросов» и «Запрет IP-адреса по количеству запросов за период времени»:

После этого нужно нажать «ОК».

Настройка IIS для запрета доступа с IP-адреса

В IIS 7 и более ранних версий веб-сервер возвращал ошибку “403.6 Forbidden” клиенту, которому был запрещен доступ по IP. В IIS 8.0 адмнистраторы могут настраивать запрет на доступ разными способами.

Для этого нужно открыть диспетчер служб IIS, затем кликнуть на названии сервера и открыть оснастку «Ограничение IP-адресов и доменов»:

Затем в правой панели кликнуть на «Изменить параметры»:

Затем в диалоговом окне нужно выбрать «Запрещено» в пункте «Запретить тип действия»:

Настройка режима прокси

При фильтрации по IP-адресам возникает проблема, которая заключается в том, что многие клиенты обращаются к веб-серверу через различные межсетевые экраны, балансировщики нагрузки и прокси-серверы — в таком случае IIS увидит лишь IP-адрес ближайшего к нему такого узла, за которым могут скрываться как благонадежные клиенты, так и те, которых стоит заблокировать. В IIS 8.0 администраторы могут настроить веб-сервер таким образом, чтобы он в дополнение к IP-адресу анализировал HTTP-заголовк x-forwarded-for, чтобы понимать, какой запрос нужно заблокировать, а какой нет. Эта функция называется режимом прокси.

Для того, чтобы настроить этот режим, нужно открыть диспетчер служб IIS, затем кликнуть на названии сервера и открыть оснастку «Ограничение IP-адресов и доменов»:

Затем в правой панели кликнуть на «Изменить параметры»:

Затем в диалоговом окне нужно поставить галочку напротив пункта «Разрешить режим прокси-сервера», а затем нажать «ОК»:


 

P. S. Другие инструкции:

  • Брандмауэр: добавление правила
  • Добавление дискового пространства после расширения на Windows Server 2012 R2
  • Генерация CSR-запроса в IIS 8
  • Установка SSL-сертификата на IIS 8

Поделиться в соцсетях:




Средняя оценка: 5,0, всего оценок: 1
Спасибо за Вашу оценку!
К сожалению, проголосовать не получилось. Попробуйте позже



ru


191014
Санкт-Петербург
ул. Кирочная, 9

+7(812)313-88-33


235
70


1cloud ltd


2018-12-07
Настройка динамических параметров ограничений IP IIS 8 в Windows Server 2012


191014
Санкт-Петербург
ул. Кирочная, 9

+7(812)313-88-33


235
70


1cloud ltd



2018-12-07
Настройка динамических параметров ограничений IP IIS 8 в Windows Server 2012


600
auto

Архивы IIS — Блог IT-KB

  • Базовая настройка Kerberos в IIS для пулов, исполняемых в контексте ApplicationPoolIdentity или gMSA, а также нюансы делегирования Constrained Delegation и Resource-Based Constrained Delegation



    17.12.2022
    Автор:Алексей Максимов


    1 553 Просмотров

    В этой статье мы рассмотрим примеры базовой настройки протокола аутентификации Kerberos для пула приложений IIS v10 на сервере с ОС Windows Server 2022. При этом мы отдельно поговорим о разных вариантах настройки в зависимости от типа учётной записи, в контексте которой выполняется пул приложений IIS. Кроме того, попробуем рассмотреть задачу подключения к веб-сервису IIS (фронтенд) стороннего файлового ресурса (бэкенд) и делегирования аутентификации пользователей от фронтенда к бэкенду.

    Читать далее…

  • Ноябрьские накопительные обновления Windows Server могут вызывать проблемы с Kerberos



    18.11.2021
    Автор:Алексей Максимов


    4 473 Просмотров

    По появившейся на днях информации, развёртывание Ноябрьских кумулятивных обновлений для ОС Windows Server может привести к проблемам в работе механизмов делегирования в сценариях Single Sign-On (SSO) при использовании протокола Kerberos. В частности, установка кумулятивного обновления на контроллеры домена Active Directory может привести к нештатной работе таких приложений, как SQL Server, IIS, WAP, ADFS и прочих.

    Читать далее…

  • Ошибка IIS «HTTP Error 500.19 — Internal Server Error» (DynamicCompressionModule 0x8007007e) после удаления роли Windows Server Update Services (WSUS) на Windows Server 2012 R2



    28.05.2019
    Автор:Алексей Максимов


    6 061 Просмотров

    Если на сервере с ОС Windows Server 2012 R2 и установленной ролью Windows Server Update Services (WSUS) в конфигурации веб-сервера IIS помимо сайта WSUS Administration имеются какие-либо другие сайты, то после удаления роли WSUS эти сайты могут перестать работать. Рассмотрим эту проблему и способ её решения.

    Читать далее…

  • Ошибка Workflow Manager «The provided signing certificate is invalid according to its expiration claims» в SharePoint 2013. Обновляем Self-Signed сертификат для служб Service Bus и Workflow Manager



    06. 04.2019
    Автор:Алексей Максимов


    4 276 Просмотров

    В рассматриваемой ранее процедуре развёртывания Workflow Manager 1.0 для его последующей интеграции в SharePoint Server 2013 нами была использована схема с генерацией само-подписанного сертификата, который используется для веб-сервисов Workflow Manager (WFM) и Service Bus (SB). С тех пор прошло много времени, и наш экземпляр WFM всё это время выполнял свои задачи вполне себе штатно, пока не наступил момент, когда все новые рабочие процессы дружно перестали выполняться.

    Забегая вперёд, можно сказать, что это ещё одна история о том, как отсутствие проактивного мониторинга срока действия важного цифрового сертификата может в перспективе создать трудности, которые потом придётся героически преодолевать.

    Читать далее…

  • Июльские обновления Windows Server могут нарушить работу Exchange Server, SQL Server, IIS



    19. 07.2018
    Автор:Алексей Максимов


    5 385 Просмотров

    В блоге Microsoft Exchange Team Blog на днях была опубликована информация о том, что Июльские обновления Windows Update для Windows Server, выпущенные 10.07.2018 г., могут нарушить работу Exchange Server. Позднее, 17.07.2018, появилась информация о том, что выпущен набор корректирующих обновлений, которые будут устанавливаться поверх проблемных обновлений.

    Таблица исходных обновлений, создающих проблемы, и корректирующих эти проблемы обновлений выглядит следующим образом:

    Операционная системаПроблемное обновлениеКорректирующее обновление
    Windows Server 2016KB4338814KB4345418
    Windows Server 2012 R2KB4338824KB4345424
    KB4338815KB4338831
    Windows Server 2012KB4338820KB4345425
    KB4338830KB4338816
    Windows Server 2008 R2 SP1KB4338823KB4345459
    KB4338818KB4338821
    Windows Server 2008KB4295656KB4345397

    Судя по статьям KB для корректирующих обновлений, исходные обновления могут вызвать проблемы не только с Exchange Server, но и с службами веб-сервера IIS и SQL Server. И это только то, что официально подтверждено на данный момент.

    И исходные и корректирующие обновления уже доступны в службах Windows Update, поэтому следуют обратить особое внимание на то, что при планировании развёртывания исходных обновлений очень желательно включать развёртывание соответствующих корректирующих обновлений.

  • Способы смены пароля учётной записи пользователя в RDP-сессии



    24.12.2017
    Автор:Алексей Максимов


    130 032 Просмотров

    При использовании удалённого подключения к операционным системам Microsoft Windows/Windows Server по протоколу RDP в некоторых случаях может возникать потребность в смене пароля учётной записи пользователя. При этом инициатором смены пароля в разных ситуациях может выступать как сам пользователь, так и администратор Windows-системы. В  некоторых сценариях может получиться так, что, казалось бы, несложная задача смены пароля может стать не такой уж и простой. Поэтому в данной записи я попробую собрать информацию о самых разнообразных способах смены пароля учётной записи пользователя в RDP-сессии.

    Читать далее…

  • Разворачиваем сеть тонких клиентов Thinstation с подключением к серверу Windows Server 2012 R2 Remote Desktop Services



    15.02.2017
    Автор:Алексей Максимов


    128 538 Просмотров

    Рассмотрим пример организации выделенной сети тонких клиентов, подключающихся по протоколу RDP к центральному серверу служб удалённых рабочих столов Microsoft Windows Server (Remote Desktop Services). В качестве ОС тонкого клиента будем использовать свободно распространяемую среду Thinstation из проекта Thinstation by Donald A. Cupp Jr., в составе которой присутствует RDP-клиент FreeRDP. Читать далее…

  • ИТ Вестник №11/12.2016



    31.12.2016
    Автор:Алексей Максимов


    4 404 Просмотров

    Представляем вашему вниманию очередной обзорный материал об интересных, на наш взгляд, информационных обновлениях в ИТ-сфере за два прошедших месяца. За помощь в подготовке выпуска благодарю Евгения Лейтана.

    Читать далее…

  • Пошаговая инструкция по настройке публикации почтовых серверов Exchange Server 2013/2016 с помощью IIS ARR



    20.04.2016
    Автор:Константин Гузнин


    53 988 Просмотров

    Приветствую всех читателей нашего Блога! Сегодня я расскажу вам о том, как за несколько минут настроить публикацию почтового сервера Exchange Server 2013/2016 с помощью IIS ARR (Application Request Routing). Но для начала немного о том, что такое публикация и для чего она нужна.

    Читать далее…

  • Миграция с Exchange Server 2003 на Exchange Server 2013. Часть 3. Обновление до уровня Exchange Server 2013



    01.03.2016
    Автор:Константин Гузнин


    10 176 Просмотров

    Как мы помним из прошлой части, в нашей почтовой организации осталось только 2 сервера Exchange Server 2010. Один сервер клиентского доступа — в сети периметра, и один сервер — в локальной сети. Приступим к планированию и установке Exchange Server 2013. У нас будет два сервера объединенные в DAG. Внутри сети подключения будут балансироваться с помощью DNS, вешние подключения будут балансироваться с помощью двух серверов IIS ARR объединенных в NLB кластер, ими же будут публиковаться сервисы Exchange. Читать далее…

  • Выпуск

    : обновление платформы Elastic Beanstalk для Windows Server от 21 февраля 2023 г. Выпуск

    : обновление платформы Elastic Beanstalk для Windows Server от 21 февраля 2023 г. — изменения AWS Elastic Beanstalk

    Новые версии платформы

    В этом выпуске представлены новые версии платформы Windows Server для AWS Elastic Beanstalk . Релиз применяет обновления безопасности Windows.
    Он также обновляет фреймворк и компоненты AWS.

    Дата выпуска: 21 февраля 2023 г.

    Изменения

    В следующей таблице перечислены изменения, включенные в этот выпуск.

    Примечания

    • Эти примечания к выпуску посвящены изменениям в поддерживаемых в настоящее время ветвях платформы. Для получения полной информации о версии Elastic Beanstalk, выводящей из эксплуатации (устарело)
      ветвей платформы, см. версии платформы Elastic Beanstalk, которые планируется вывести из эксплуатации в
      Руководство по платформам AWS Elastic Beanstalk .

    • Имейте в виду, что на момент публикации этих примечаний к выпуску новые версии платформы могут быть еще не доступны во всех регионах AWS, которые
      Эластичная поддержка Beanstalk. Выпуск может занять несколько часов.

    Категория Описание

    Обновления безопасности Windows

    Применены обновления безопасности для Windows за февраль 2023 г.

    См. Руководство по обновлению безопасности Microsoft.

    Обновления платформы

    Каркас Детали

    . NET Core

    Обновлен .NET 6 до версии 6.0.14 в версиях платформы Windows Server 2019 и 2016.

    Обновления компонентов AWS

    Компонент Детали

    SDK AWS для .NET

    SDK обновлен до версии 3.15.1958.

    АМИ

    Базовый AMI обновлен до версии 2023.02.15.

    Новые версии платформы

    .

    NET на Windows Server

    Основы настройки

    Версия платформы

    Имя стека решений

    Фреймворк

    Прокси-сервер


    Виндовс Сервер 2019с IIS 10.0 версии 2.11.1


    64-разрядная версия Windows Server 2019 v2.11.1 с IIS 10.0

    .NET 6.0.14, поддерживает 6.0.14, 3.1.32

    .NET Framework 4.8, поддерживает 4.x, 2.0, 1.x

    ИИС 10. 0


    Windows Server Core 2019 с IIS 10.0 версии 2.11.1


    64-разрядная версия Windows Server Core 2019 v2.11.1 с IIS 10.0

    .NET 6.0.14, поддерживает 6.0.14, 3.1.32

    .NET Framework 4.8, поддерживает 4.x, 2.0, 1.x

    ИИС 10.0


    Windows Server 2016 с IIS 10.0 версии 2.11.1


    64-разрядная версия Windows Server 2016 v2. 11.1 с IIS 10.0

    .NET 6.0.14, поддерживает 6.0.14, 3.1.32

    .NET Framework 4.8, поддерживает 4.x, 2.0, 1.x

    ИИС 10.0


    Windows Server Core 2016 с IIS 10.0 версии 2.11.1


    64-разрядная версия Windows Server Core 2016 v2.11.1 с IIS 10.0

    .NET 6.0.14, поддерживает 6.0.14, 3.1.32

    .NET Framework 4.8, поддерживает 4.x, 2.0, 1.x

    ИИС 10. 0


    Windows Server 2012 R2 с IIS 8.5 версии 2.11.1


    64-разрядная версия Windows Server 2012 R2 версии 2.11.1 с IIS 8.5

    .NET Core 2.1.30, поддерживает 2.1.30

    .NET Framework 4.8, поддерживает 4.x, 2.0, 1.x

    ИИС 8.5


    Windows Server 2012 R2 Server Core с IIS 8.5 версии 2.11.1


    64-разрядная версия Windows Server Core 2012 R2 v2. 11.1 с IIS 8.5

    .NET Core 2.1.30, поддерживает 2.1.30

    .NET Framework 4.8, поддерживает 4.x, 2.0, 1.x

    ИИС 8.5

    Подробнее

    Версия платформы

    АМИ версия

    SDK AWS для .NET

    EC2Config

    Агент SSM

    Веб-развертывание

    АВС Рентген


    Windows Server 2019 с IIS 10. 0 версии 2.11.1

    2023.02.15

    15.03.1958

    3.1.1856.0

    3,6

    3.2.0


    Windows Server Core 2019 с IIS 10.0 версии 2.11.1

    2023.02.15

    15.03.1958

    3. 1.1856.0

    3,6

    3.2.0


    Windows Server 2016 с IIS 10.0 версии 2.11.1

    2023.02.15

    15.03.1958

    3.1.1856.0

    3,6

    3.2.0


    Windows Server Core 2016 с IIS 10. 0 версии 2.11.1

    2023.02.15

    15.03.1958

    3.1.1856.0

    3,6

    3.2.0


    Windows Server 2012 R2 с IIS 8.5 версии 2.11.1

    2023.02.15

    15.03.1958

    3. 1.1856.0

    3,6

    3.2.0


    Windows Server 2012 R2 Server Core с IIS 8.5 версии 2.11.1

    2023.02.15

    15.03.1958

    4.9.5103

    3.1.1856.0

    3,6

    3.2.0

    Javascript отключен или недоступен в вашем браузере.

    Чтобы использовать документацию Amazon Web Services, должен быть включен Javascript. Инструкции см. на страницах справки вашего браузера.

    Условные обозначения документов

    Новый дизайн консоли в Азиатско-Тихоокеанском регионе (Сидней) 02.03.2023

    Обновление платформы Amazon Linux 2 01.02.2023

    Let’s Encrypt на Windows Server 2012 R2 и IIS 8.5 9 0001

    Протокол HTTP небезопасно. Любые данные, отправляемые с использованием HTTP, не зашифрованы/незашифрованы и могут быть просто прочитаны в случае перехвата третьими лицами.

    Здесь на помощь приходит HTTPS. компанию, которая является доверенным центром сертификации, или создать свой собственный. Покупка одного, очевидно, стоит денег. Создать свой собственный довольно просто, но не все основные браузеры доверяют ему, поэтому часто появляется сообщение «Небезопасно».

    Let’s Encrypt

    Let’s Encrypt — это бесплатный, автоматизированный и открытый центр сертификации (ЦС) , работающий на благо общества. Это услуга, предоставляемая Исследовательской группой по безопасности в Интернете (ISRG).

    Позволяет легко бесплатно установить доверенный SSL-сертификат для вашего веб-сайта. Улов? Сертификат SSL действителен только в течение 3 месяцев. Но вы можете (опять же, легко) настроить процесс продления, сделав ваш сайт доступным по протоколу HTTPS в течение более длительного периода времени.

    Моя желаемая установка

    При создании mariomucalo.com у меня были следующие потребности:

    • www.mariomucalo.com перенаправлял бы на mariomucalo.com (обратное также было возможно, но, по моему скромному мнению, это выглядит чище). Наличие как URL-адреса www, так и только базового URL-адреса кажется ненужным.
    • Если mariomucalo.com запрашивается через HTTP, его необходимо вернуть через HTTPS.

    Сам сайт размещен на Windows Server 2012 R2 на IIS 8.5. Это сайт WordPress, но на данный момент это не имеет значения.

    Шаг 1. Добавьте свой веб-сайт в IIS

    Если у вас уже настроен веб-сайт, вы можете пропустить этот шаг. Если нет, создайте новый веб-сайт для демонстрационных целей.

    Создайте файл с именем index.html в новой папке и добавьте в него содержимое (например, «Это работает!»).

    На вашем компьютере с Windows Server запустите IIS. Там у вас будет возможность добавить новый сайт. Мастер попросит вас добавить:

    • Имя сайта — имя вашего сайта, которое будет отображаться в IIS и которое вы будете использовать для внутренних целей
    • Физический путь — папка, в которой находится сайт. Выберите папку, в которой находится ваш файл index.html.
    • Binding — здесь вы указываете своему IIS, к каким запросам он должен привязать этот сайт. Давайте сначала настроим это для привязки HTTP-запросов. В поле Имя хоста вы вводите имя хоста, к которому будет привязана (например, www.mysite.com). Позже мы добавим больше привязок.

    Если вы сейчас попробуете http://www.mysite.com в своем браузере, он должен корректно обслуживать веб-сайт. Это, конечно, предполагает, что запись DNS для www.mysite.com указывает на ваш сервер. Вы можете проверить это, используя:

     nslookup www.mysite.com 

    Если у вас не настроен домен, но вы хотите следовать этому руководству, вы можете «обмануть» свой компьютер, заставив его искать www.mysite.com на вашем сервере, отредактировав файл hosts.

    Шаг 2 – Добавьте необходимые привязки

    На первом этапе можно было добавить только одну привязку к нашему сайту. Для целей этого сообщения в блоге мы хотим добавить два: www.mysite.com и mysite.com. Для этого в IIS используйте Bindings 9Действие 0530 в правом меню.

    Добавить привязки для:

    • www.mysite.com по HTTP
    • www.mysite.com по HTTPS
    • mysite.com по HTTP
    • mysite.com по HTTPS

    После этого вы можете попробовать любой из эти комбинации в вашем локальном браузере. И http://www.mysite.com, и http://mysite.com должны работать нормально. Однако и https://www.mysite.com, и https://mysite.com должны предупреждать вас о том, что сайты небезопасны, и пытаться оттолкнуть вас.

    Шаг 3 — Добавьте сертификат SSL

    Здесь я рассмотрю самый простой случай, когда вы хотите добавить новый сертификат от Let’s Encrypt. Для этого я использую очень простой инструмент под названием Windows ACME Simple (WACS).

    После загрузки и распаковки запустите wacs.exe :

    Используйте параметр N — Создать новый сертификат . Если у вас более сложная настройка, вам может понадобиться использовать M — Создать новый сертификат с дополнительными параметрами . В этом сообщении в блоге я придерживаюсь основ.

    После этого во втором варианте вас спросят, какой сертификат вы хотите:

    Выберите 2: Сертификат SAN для всех привязок сайта IIS . Это создаст SSL-сертификат для всех привязок, установленных для одного веб-сайта в IIS — в нашем случае это необходимо для того, чтобы и www. mysite.com, и mysite.com могли обслуживаться по HTTPS.

    Затем инструмент предоставит вам список всех возможных веб-сайтов в вашем IIS и попросит вас выбрать нужный веб-сайт.

    Вот и все. Вы заметите, что система автоматически добавила продление. Если вы хотите, вы можете управлять этим самостоятельно, перезапустив инструмент и настроив обновления вручную, но я обычно придерживаюсь того, что дано здесь.

    Итак, теперь у вас есть SSL-сертификат, настроенный для вашего IIS. Если вы сейчас попробуете https://mysite.com в своем браузере, ваша страница должна быть обслужена. Если вы хотите проверить, что происходит в фоновом режиме, вы можете использовать различные инструменты, такие как Link Redirect Trace Chrome Extension или Redirect Detective.

    Шаг 4 – Перенаправления

    Чтобы достичь желаемой настройки, мне нужны два перенаправления:

    1. С http://* на https://*
    2. С www.mysite.com на mysite.com

    Чтобы добавить перенаправления в IIS, вам нужно зайти на свой сайт и выбрать модуль перезаписи URL . Там у вас есть возможность Добавить правило .

    Правило перенаправления с HTTP на HTTPS выглядит так:

    Правило перенаправления с www.mysite.com на mysite.com выглядит так:

    Вот и все.

    Чтобы попробовать это, вы можете попытаться перейти на http://www.mysite.com в своем браузере, и веб-сайт должен быть обслужен, но на самом деле вы должны быть на https://mysite.com.

    Дополнительные идеи — HSTS и CSP

    Существуют дополнительные способы защиты пользователей и их данных, например настройка HSTS и CSP. Я был на конференции Webcamp Zagreb 2018 , где увидел отличный доклад Луки Кладарича под названием «Другая сторона безопасности веб-приложений».

    Я настоятельно рекомендую посмотреть его, так как он позволит лучше понять некоторые из этих концепций, как они работают и почему они важны.