圖一

　　在圖一中，注意“所有未知ISAPI擴展”和“所有未知CGI擴展”這兩種Web服務擴展。默認情況下，這兩種擴展是禁用的，意味著除非明確地允許一個應用在IIS 6.0上運行，否則它就不能運行。如果一個用戶請求了某個沒有啟用的文件，IIS 6.0將向用戶返回404錯誤――文件或目錄沒有找到，同時在W3SVC日志中記錄“
404.2文件或目錄無法找到：鎖定策略禁止該請求”。在IIS 6.0中，404.2和其他子狀態代碼是W3SVC日志文件的一項可選功能，用來幫助排解故障、疑難（IIS 5.0和IIS 4.0中也有子狀態代碼，不過不會在日志文件中記錄，但可以將它們轉到定制的錯誤頁面，便于根據子狀態代碼執行特殊的處理）。IIS 6.0的子狀態代碼很有用，它們提供了描述問題的詳細信息，例如：403.20，禁止訪問：Passport登錄失敗；403.18，禁止訪問：無法在當前應用程序池中執行請求的URL；404.3，文件或目錄無法找到：MIME映射策略禁止該請求；500.19，服務器錯誤：該文件的數據在配置數據庫中配置不正確。所有這些錯誤和其他錯誤都映射到定制的錯誤頁面，錯誤頁面不會把子狀態代碼發送給用戶，攻擊者無法獲知具體的錯誤信息。

　　另一個安全方面的改進之處是IIS 6.0允許指派一個加密服務提供者（Cryptographic Service Provider，CSP），能夠將基于硬件的安全套接字層（SSL）加速器集成到IIS 6.0，從而把加密任務從服務器的通用CPU轉移到了專門為加密操作而優化的專用設備，有利于提高性能和可靠性。
二、配置數據

　　在IIS 5.0和IIS 4.0中，配置數據庫采用二進制文件結構，但IIS 6.0放棄了這一做法。IIS 6.0的配置數據由兩個XML文件構成：一個是Metabase.xml，包含IIS 6.0服務器的配置信息；另一個是mbschema.xml，包含配置數據的模式定義。IIS管理器提供了一項新的功能，允許保存配置數據副本，只要右擊Web網站，然后選擇“所有任務”→“將配置保存到一個文件”，然后指定配置數據副本的文件名字和保存路徑即可。按照這種方式保存配置數據時，IIS 6.0利用系統的機器碼（Machine Key）加密配置數據的某些部分，因此，配置數據的副本只對創建該副本的機器有用。

　　不過，在“將配置保存到一個文件”對話框中，我們可以選中“用密碼對配置進行加密”選項，然后指定密碼，用密碼來保護導出的配置文件。如果提供了密碼，IIS 6.0將用密碼來替代機器碼，以后只要提供同一個密碼，就可以將配置數據導入到另一個服務器。另外，我們可以使用命令行腳本iisback.vbs（在systemroot/System32中）創建和管理遠程或本地計算機的IIS配置的備份副本，管理員可以使用此腳本工具創建其IIS配置的備份副本，從備份副本還原IIS配置以及列出和刪除備份副本。

　　有些時候，我們只要保存某個應用程序池、Web網站或虛擬目錄的配置，而不是保存全部的配置信息，這時可以按照如下步驟操作：右擊要保持配置信息的對象，選擇菜單“所有任務”→“將配置保存到一個文件”，如圖二所示，如果準備將配置數據導入到另一個服務器，必須提供加密文件的密碼。

　　圖二
　　如果右擊一個應用程序池、Web網站組或單個網站，然后選擇“新建”→“應用程序池（來自文件）”，或者“新建”→“網站”→“來自文件”，或者“新建”→“虛擬目錄（來自文件）”，就可以從保存的配置文件創建新的應用程序池、Web網站或虛擬目錄。因此，必要的時候，我們可以只創建和配置一個對象，利用“將配置保存到一個文件”功能導出對象
的配置信息，然后利用“新建”→“虛擬目錄（來自文件）”等功能將配置信息導入到多個Web網站。這就是說，我們可以先精心配置一個模板，然后用它來創建和配置新的網站。當然，出現問題時，配置信息副本還可以用來恢復網站的設置。

　　由于IIS 6.0配置信息是可移植的，它還有另外一個好處，這就是方便了升級。假設我們升級時不能直接在Win 2K/IIS 5.0上安裝Windows 2003/IIS 6.0，必須換一臺機器，這時就要解決如何將IIS 5.0不可移植的配置數據轉移到新的IIS 6.0服務器的問題。利用IIS 6.0配置數據的可移植性，解決辦法是：首先安裝好新的Windows 2003服務器，為原來的Win 2K服務器做一個完整的備份，然后在Win 2K服務器上安裝第二個Windows 2003服務器將它升級，導出第二個Windows 2003服務器的配置數據（用密碼加密），然后將配置數據導入到新的Windows 2003服務器。新安裝的Windows 2003服務器必須作一些調整，例如允許IUSR帳戶等，但至少現在不必重新執行全部配置操作了。

　　IIS 6.0的配置數據是標準的文本文件（XML文件），所以可以用記事本之類的文本編輯器打開和編輯。如果修改了IIS 5.0或IIS 4.0的配置數據，有時必須重新啟動IIS，如果系統上網站的數量很多，可能需要不少時間，例如ISP的服務器就屬于這類情況。為了解決這個問題，IIS 6.0支持一種“運行時允許編輯”功能。“運行時允許編輯”功能按照如下方式啟用：在IIS管理器中，右擊服務器，選擇菜單“屬性”，然后選中“允許直接編輯配置數據庫”選項，如圖三所示。啟用了這個功能之后，如果我們用記事本打開配置數據文件，插入一個虛擬目錄的配置，然后保存并關閉配置文件，IIS 6.0幾乎立即就能根據配置文件的設置作相應的修改，根本無需重新啟動。

　　圖三

　　既然允許直接編輯配置文件，因配置文件不合法造成的服務器、應用程序故障也必然增多。為此，IIS 6.0提供了配置文件歷史版本目錄，即/system32/inetsrv/history，每次修改配置數據或重新啟動IIS 6.0，IIS 6.0都會在該目錄中保存一份原有的配置數據。

三、IIS管理器

　　每次產品重大升級，人們都會試圖從用戶界面尋找令人激動的新功能。IIS 6.0的管理器確實有了變化，不過改動之處出乎意料地少。

　　其中一個改動之處雖小，但很實用。如果在IIS管理器中右擊一個文件夾，現在可以選擇“權限”菜單打開文件夾的“安全”對話框。在這個對話
框中可以設置文件夾的NTFS授權，不必再離開IIS管理器。雖然這是一個小小的改動，也許它今年會為全世界所有的IIS管理員總共節省數千小時的工作時間。

　　右擊一個Web網站，選擇“屬性”，轉到“目錄安全性”頁，點擊“安全通信”下面的“編輯”按鈕，在這里可以找到另一個重要的改動之處――安全通信屬性頁允許配置SSL、證書信任列表（CTL）、客戶證書。在IIS 5.0和IIS 4.0中，除非在Web網站上安裝一個證書，否則不能訪問該屬性頁，這一限制令人不快，因為從技術上看，配置CTL、客戶證書并不要求服務器上安裝了證書，換句話說，在IIS 5.0中我們安裝證書的唯一用途可能就是因為用戶界面需要它。IIS 6.0改正了這一多余的要求，現在我們不必在Web服務器上安裝證書也可以訪問和使用該屬性頁了。

　　四、通配符應用程序

　　如果你熟悉IIS 5.0和IIS 4.0的ISAPI篩選器，可能也熟悉它們的缺點。ISAPI篩選器不僅編寫困難，而且由于它們在Inetinfo進程內運行，如果編寫時不小心留下了一點錯誤，很容易導致災難性的后果，出錯的代碼可能造成整個IIS崩潰。另外，ISAPI篩選器不能擁有常規ISAPI DLL擁有的功能。當然，不管怎樣，在IIS 5.0和IIS 4.0中，ISAPI篩選器仍是一種非常有用的組件，是唯一可以針對所有進入Web服務器或Web網站的請求執行操作的代碼。

　　IIS 6.0提供了一種更加靈活的新型機制來提供通常由ISAPI篩選器提供的服務，它就是ISAPI截取器（Interceptor），或者稱為通配符應用程序（Wildcard Application）。通配符應用程序的配置方式是：在IIS管理器中右擊Web網站，選擇菜單“屬性”，轉到“主目錄”頁面，點擊“應用程序設置”下面的“配置”按鈕，出現“應用程序配置”對話框，如圖四所示。在對話框的“映射”頁中，我們可以將一個或多個ISAPI DLL配置成通配符應用程序。對于每一個接收到的請求，IIS 6.0將調用這里列出的各個通配符應用程序。除了針對所有網站配置通配符應用程序，還可以針對單個網站或在目錄層次上配置通配符應用程序。由于這些ISAPI截取器是標準的ISAPI應用程序，它們具有普通ISAPI應用程序具備的所有功能，包括訪問消息正文的能力，而不僅僅象ISAPI篩選器那樣訪問消息頭。

　　圖四

　　通配符應用程序可以做到開發者要做的任何事情，諸如URL定制、驗證身份、記錄特殊的日志信息、檢測攻擊企圖、創建內容，等等。通配符應用程序結束處理后，它把請求轉交給適當的處理引擎（例如處理ASP頁面的asp.dll），由處理引擎進一步處理請求。另外，通配符應用程序還可以通過調用為ISAPI應用程序新增的ExecuteURL功能
，將請求傳遞到同一個應用程序池中的任意頁面。

　　新增的ISAPI通配符應用程序為創造性的應用程序設計大開方便之門。例如，IIS 6.0的URL授權功能就是作為一個ISAPI通配符應用程序（urlauth.dll）實現。URL授權功能允許IIS 6.0根據一系列的規則授予對某個URL的訪問權，例如用戶是否為某個組的成員、地理位置，以及其他在數據庫或AD中與用戶有關的信息。有關ISAPI通配符應用程序和URL授權的更多信息，請參見IIS 6.0的幫助文檔。