UNED. Administración de Sitios Web. Código 3102.
2009
UNIVERSIDAD ESTATAL A DISTANCIA ESCUELA DE CIENCIAS EXACTAS Y NATURALES
Material de Estudio
Administración de sitios WEB TEMA 4 Herramienta de administración del Sitio WEB
Creado por: Kattia Morales Navarro, MBA. Revisión: Lic. Enrique Gómez Jiménez.
2009 ________________________________________
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 1/84
UNED. Administración de Sitios Web. Código 3102.
2009
CONTENIDOS
4.1 Administración de sitios Web ....................................................................................... 4 4.1.1 Directorios ............................................................................................................... 4 4.1.1.1 Directorios principales........................................................................................ 4 4.1.1.2 Directorios virtuales ........................................................................................... 5 4.1.2 Volver a enrutar peticiones mediante redireccionamientos .......................................... 5 4.1.3 Directivas include de servidor ................................................................................... 6 4.1.4 ASP y ASP .NET ....................................................................................................... 6 4.1.5 Asignar un nombre a los sitios Web ........................................................................... 6 4.1.6 Iniciar y detener sitios Web ...................................................................................... 7 4.1.7 Trabajar con tipos MIME ........................................................................................... 7 4.1.7.1 Ver los tipos MIME disponibles ........................................................................... 8 4.1.7.2 Crear tipos MIME globales.................................................................................. 9 4.1.7.3 Crear tipos MIME para un sitio Web o directorio ......................................... 9 4.1.7.4 Editar tipos MIME globales ...................................................................... 10 4.1.7.5 Modificar tipos MIME de un sitio Web o un directorio ................................ 11 4.1.7.6 Quitar tipos MIME globales ...................................................................... 11 4.1.7.7 Quitar tipos MIME de un sitio Web o directorio .................................................. 12 4.1.8 Cambiar la configuración predeterminada de un sitio Web ........................................ 12 4.1.9 Implementar la numeración incremental de sitios Web ............................................. 13 4.1.10 Utilizar la caducidad del contenido ......................................................................... 14 4.1.11 Utilizar restricciones de contenido ......................................................................... 15 4.1.12 Usar directivas de inclusión del servidor ................................................................. 16 4.1.13 Redirigir peticiones a archivos, directorios o programas .......................................... 17 4.1.14 Reiniciar IIS ......................................................................................................... 18 4.2 Prácticas recomendadas de seguridad en IIS 6.0 ........................................................ 20 4.2.1 Prácticas recomendadas generales .......................................................................... 20 4.2.2 Prácticas recomendadas de IIS ............................................................................... 21 4.2.3 Autenticación anónima en IIS 6.0............................................................................ 21 4.2.3.1 Habilitar la autenticación anónima .................................................................... 21 4.2.3.2 Cambiar la cuenta utilizada para la autenticación anónima ................................. 22 4.2.3.3 Configurar la subautenticación ......................................................................... 22 4.2.4 Autenticación Básica en IIS ..................................................................................... 24 4.2.4.1Habilitar la autenticación básica y configurar el nombre de territorio.................... 25 4.2.4.2 Establecer el dominio de inicio de sesión predeterminado .................................. 25 4.2.4.3 Configurar la seguridad de la caché de símbolo (token) para la autenticación básica ........................................................................................................................ 26 4.2.5 Autenticación de texto implícita en IIS 6.0 ............................................................... 27 4.2.5.1 Configurar la autenticación de texto implícita en IIS 6.0 .................................... 27 4.2.5.2 Configurar la subautenticación en un dominio de Windows 2000 ........................ 28 4.2.6 Autenticación de texto implícita avanzada en IIS 6.0 ................................................ 29 4.2.7 Autenticación de Windows integrada en IIS 6.0 ....................................................... 30 4.2.7.1 Configurar la autenticación de Windows integrada en IIS 6.0 ............................. 30 4.2.7.2 Configurar la delegación limitada para Kerberos ................................................ 31 4.2.7.3 Forzar la autenticación NTLM ........................................................................... 31 4.2.8 Controlar el acceso con IIS 6.0 ............................................................................... 32 4.2.8.1 Proteger archivos con permisos NTFS ............................................................... 32 4.2.8.2 Proteger sitios con permisos de sitio Web ......................................................... 34 4.2.8.3 Permitir el acceso anónimo a los sitios Web ...................................................... 36 4.2.8.4 Configurar identidades del proceso de trabajo ................................................... 36 4.2.9 Proteger sitios con restricciones de direcciones IP .................................................... 37 4.2.9.1 Conceder o denegar el acceso a un equipo ....................................................... 38 4.2.9.2 Conceder o negar el acceso a un dominio ......................................................... 38 4.2.9.3 Conceder o negar el acceso a un grupo de equipos ........................................... 39 4.2.10 Proteger directorios virtuales ................................................................................. 40 4.2.10.1 Proteger un directorio virtual .......................................................................... 40 Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 2/84
UNED. Administración de Sitios Web. Código 3102.
2009
4.2.10.2 Autorización de direcciones URL en IIS 6.0 ......................................................... 40 4.3 Ajustar el rendimiento ............................................................................................... 46 4.3.1 Utilizar la compresión HTTP .................................................................................... 47 4.3.2 Habilitar el mantenimiento de conexiones HTTP abiertas ......................................... 49 4.3.3 Limitar las conexiones ............................................................................................ 50 4.3.4 Configurar el tiempo de espera de la conexión ......................................................... 50 4.3.5 Limitar el ancho de banda ...................................................................................... 51 4.3.6 Establecer el período de tiempo de la caché de objetos de IIS .................................. 51 4.3.7 Maximizar el rendimiento para las aplicaciones de red .............................................. 52 4.3.8 Configurar el intervalo de tiempo de espera de la caché SSL ..................................... 52 Tabla Calcular los valores de ServerCacheTime para el almacenamiento en caché de sesiones seguras ........................................................................................................ 53 4.3.9 Medir el tiempo de carga de una página Web .......................................................... 53 4.3.10 Habilitar la supervisión de la CPU en IIS 6.0........................................................... 54 4.3.11 Habilitar la supervisión de la CPU mediante el Administrador IIS ............................. 54 4.3.12 Habilitar la supervisión de la CPU desde la línea de comandos................................. 55 4.3.13 Configurar el límite de longitud de la cola de un grupo de aplicaciones .................... 57 4.3.14 Escalabilidad ........................................................................................................ 57 4.3.15 Configurar el almacenamiento en caché por fecha de última modificación ................ 57 4.4 Registrar la actividad del sitio .................................................................................... 58 4.4.1 Habilitar el registro ................................................................................................. 59 4.4.2 Guardar archivos de registro ................................................................................... 59 4.4.3 Códigos de error de subestado en los archivos de registro ....................................... 60 4.5 Mensajes de error de IIS 6.0 ..................................................................................... 60 4.5.1 Habilitar los mensajes de error estándar de HTTP 1.1 .............................................. 60 4.5.2 Configurar mensajes de error personalizados ........................................................... 61 4.5.3 Habilitar el procesamiento de errores de ASP ........................................................... 62 4.5.4 Deshabilitar mensajes descriptivos de los errores HTTP en Internet Explorer ............. 62 4.6 Guía de aplicaciones Web .......................................................................................... 63 4.6.1 Acerca de .NET Framework ..................................................................................... 63 4.6.1.1 Funciones de Common Language Runtime ........................................................ 63 4.6.1.2 Funciones de la biblioteca de clases de .NET Framework ................................... 64 4.6.2 Acerca de ASP.NET ................................................................................................ 64 4.6.2.1 Introducción a ASP.NET .................................................................................. 65 4.6.2.2 Razones para utilizar ASP.NET ......................................................................... 66 4.6.2.3 Introducción a los servicios Web XML creados con ASP.NET ............................... 68 4.6.3 Aplicaciones ........................................................................................................... 69 4.6.3.1 Acerca de la configuración de aplicaciones ........................................................ 69 4.6.3.2 Modos de aplicación ........................................................................................ 69 4.6.3.3 Crear aplicaciones en IIS 6.0............................................................................ 70 4.6.3.4 Establecer asignaciones para la aplicación en IIS 6.0 ......................................... 71 4.6.4 Configurar extensiones ISAPI .................................................................................. 72 4.6.4.1 Almacenar en caché las extensiones ISAPI ...................................................... 73 4.6.4.2 Trabajar con filtros ISAPI ................................................................................. 73 4.6.4.4 Instalar asignaciones de aplicación de comodines .............................................. 74 4.6.4.5 Utilizar asignaciones de aplicación de comodines ............................................... 75 4.6.5 Configurar las aplicaciones para el uso de servicios COM+ ........................................ 76 4.6.6 Habilitar los ensamblados verticales mediante el Administrador IIS ........................... 76 4.6.6.1 Configurar permisos de inicio para objetos de servidor COM+ ............................ 77 4.6.7 Sincronizar la ruta de acceso de la aplicación de un sitio Web ................................... 78 4.6.8 Configurar servidores para aplicaciones ................................................................... 79 4.6.8.1 Acerca de la configuración de servidores para aplicaciones ................................ 79 4.6.8.2 Modo de aislamiento de procesos de trabajo ..................................................... 80 4.6.8.3 Configurar los modos de aislamiento ................................................................ 81 REFERENCIAS ................................................................................................................ 84 Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 3/84
UNED. Administración de Sitios Web. Código 3102.
2009
TEMA 4 Herramienta de administración del Sitio WEB En este tema vamos a describir cómo administrar el servidor y los sitios Web utilizando para esto las diversas herramientas y funciones desarrolladas en los Servicios de Internet Information Server (IIS) 6.0 para la administración, el rendimiento, la fiabilidad y la seguridad del servidor. La información de este capitulo es tomada del sitio de Microsoft. 4.1 Administración de sitios Web Imagine que usted es el administrador del sitio web de una empresa transnacional que acaba de desarrollar y poner en producción su sitio Web y descubre que se ha omitido el logotipo o el emblema de la compañía en todas las páginas del sitio. O bien, suponga que le piden que enrute miles de usuarios a sitios Web alternativos mientras los técnicos intentan resolver un problema con un equipo. Estos problemas sólo son algunas de las posibles solicitudes o situaciones que se le pueden presentar como administrador de un sitio WEB. Aunque la administración eficaz de un sitio Web depende en última instancia de la habilidad y creatividad del administrador, hay varios procedimientos y herramientas básicas que se pueden utilizar para tratar las tareas administrativas y emergencias más comunes. 4.1.1 Directorios En primer lugar, al configurar los sitios Web, deben indicarse los directorios que contienen los documentos que desea publicar. El servidor Web no puede publicar documentos que no están en los directorios especificados. Por lo tanto, el primer paso para implementar un sitio Web debe ser determinar la organización de los archivos. Después, se puede utilizar el Administrador IIS para identificar los directorios que forman parte del sitio. Si desea empezar ahora mismo sin tener que crear una estructura especial de directorios y todos los archivos se encuentran en el mismo disco duro del equipo que ejecuta Servicios de Internet Information Server (IIS), puede publicar los documentos inmediatamente si copia los archivos Web en el directorio principal predeterminado, unidadLocal:\Inetpub\Wwwroot. (En un sitio FTP, copie los archivos en unidadLocal:\Inetpub\Ftproot.) Los usuarios de la intranet podrán tener acceso a estos archivos a través de la siguiente dirección URL: http://nombreDeServidor/nombreDeArchivo. 4.1.1.1 Directorios principales Cada sitio Web o FTP debe tener un directorio principal. El directorio principal es la ubicación central de las páginas publicadas. Contiene una página principal o archivo de índice que da la bienvenida a los visitantes y contiene los vínculos a otras páginas del sitio. El directorio principal se asigna al nombre de dominio del sitio o al nombre del servidor. Por ejemplo, si el nombre del dominio de Internet del sitio es www.microsoft.com y el directorio principal es C:\Website\Microsoft, los exploradores utilizan la dirección URL http://www.microsoft.com para tener acceso a los archivos del directorio principal. En una intranet, si el nombre del servidor es AcctServer, los exploradores utilizan la dirección URL http://acctserver para tener acceso a los archivos del directorio principal. Se creará un directorio principal predeterminado al instalar IIS y al crear un sitio Web nuevo.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 4/84
UNED. Administración de Sitios Web. Código 3102.
2009
4.1.1.2 Directorios virtuales Para publicar desde cualquier directorio que no esté contenido en el directorio principal, debe crear un directorio virtual. Un directorio virtual es un directorio que no está contenido en el directorio principal pero aparece en los exploradores de los clientes como si lo estuviera. Un directorio virtual tiene un alias o un nombre que los exploradores Web utilizan para tener acceso al directorio. El alias es siempre más corto y más significativo que el nombre de la ruta de acceso al directorio, a los usuarios les resulta más fácil escribirlo y recordarlo. Un alias es más seguro puesto que los usuarios no conocen el lugar del servidor donde están ubicados físicamente los archivos y no pueden utilizar esa información para modificarlos. Con los alias es más fácil mover los directorios en el sitio. En lugar de cambiar la dirección URL del directorio, puede cambiar la asignación entre el alias y la ubicación física del directorio. Supongamos, por ejemplo, que configura un sitio Web para el equipo de marketing en la intranet de la compañía. En la tabla siguiente se muestran las asignaciones entre las ubicaciones físicas de los archivos y las direcciones URL a través de las cuales se obtiene acceso a ellos.
Ubicación física
Alias
Dirección URL
C:\Inetpub\Wwwroot
directorio principal
http://sitioWebDeEjemplo
\\Servidor2\DatosVentas
Clientes
http://sitioWebDeEjemplo/Clientes
D:\Inetpub\Wwwroot\Presupuestos
Ninguno
http://sitioWebDeEjemplo/Presupuestos
D:\Inetpub\Wwwroot\EstadoPedidos
Ninguno
http://sitioWebDeEjemplo/EstadoPedidos
D:\Marketing\RelacionesPúblicas
RP
http://sitioWebDeEjemplo/RP
(ninguno)
Tanto los directorios virtuales como los físicos (directorios sin un alias) aparecen en el Administrador IIS. Los directorios virtuales quedan indicados por un icono de rueda. En un sitio Web simple, puede que no necesite agregar directorios virtuales. Basta con colocar todos los archivos en el directorio principal del sitio. Si tiene un sitio complejo o desea especificar diferentes direcciones URL para distintas partes del sitio, puede agregar tantos directorios virtuales como sea necesario. 4.1.2 Volver a enrutar peticiones mediante redireccionamientos Cuando un explorador solicita una página en el sitio Web, el servidor Web encuentra la página identificada mediante la dirección URL y se la devuelve al explorador. Cuando se mueve una página en un sitio Web, no siempre se pueden corregir todos los vínculos que hacen referencia a la dirección URL anterior de la página. Para garantizar que los exploradores pueden encontrar la página en la nueva dirección URL, se indica al servidor Web que proporcione al explorador la nueva dirección URL. El explorador utiliza la dirección URL nueva para solicitar de nuevo la página. Este proceso se denomina “redirigir una petición de explorador” o “redirigir a otra dirección URL”. Redirigir una petición de página es equivalente a utilizar una dirección de reenvío con un servicio postal. La dirección de reenvío asegura que las cartas y los paquetes dirigidos a su residencia original se entregan en su nueva dirección. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 5/84
UNED. Administración de Sitios Web. Código 3102.
2009
Redirigir una dirección URL es útil cuando se actualiza el sitio Web y se desea que una parte del sitio deje de estar disponible temporalmente, o cuando se cambia el nombre de un directorio virtual y se desea crear vínculos a archivos en el directorio virtual original para tener acceso a los mismos archivos en el directorio virtual nuevo. 4.1.3 Directivas include de servidor Frecuentemente, puede ser útil alterar dinámicamente el contenido Web después de que se haya solicitado, pero antes de devolverlo al explorador. IIS incluye una característica denominada "directivas include de servidor" que proporciona esta funcionalidad. Al utilizar las directivas include de servidor (SSI), podrá llevar a cabo numerosas actividades de administración del sitio Web, desde agregar marcas de tiempo dinámicas hasta ejecutar un comando especial de Shell cada vez que se solicita un archivo. Los comandos SSI, denominados directivas, se agregan a las páginas Web en tiempo de diseño. Cuando se solicita una página, el servidor Web analiza todas las directivas que encuentra en una página Web y las ejecuta. Una directiva SSI de uso común inserta, o incluye, el contenido de un archivo en una página Web. Por ejemplo, si necesita actualizar continuamente un anuncio de una página Web, podría utilizar SSI para incluir en ella el origen HTML del anuncio. Para actualizar el anuncio, sólo necesita modificar el archivo que contiene el origen HTML del anuncio. No necesita aprender un lenguaje de secuencias de comandos para utilizar SSI; tan sólo utilice la sintaxis correcta de la directiva. 4.1.4 ASP y ASP .NET ASP es un entorno de secuencias de comandos de servidor que se puede utilizar para crear páginas Web dinámicas e interactivas, así como para construir aplicaciones Web eficaces. Cuando el servidor de aplicaciones recibe una petición de un archivo ASP, procesa la secuencia de comandos de servidor contenida en el archivo para generar la página Web HTML que se envía al explorador. Además del código de secuencias de comandos de servidor, los archivos ASP pueden contener HTML (que incluye las secuencias de comandos de cliente relacionadas), así como llamadas a componentes COM que realizan diversas tareas, como conectarse a una base de datos o procesar lógica empresarial. ASP requiere la utilización de un lenguaje de secuencias de comandos compatible, como VBScript o JScript. ASP .NET es un avanzado entorno de secuencias de comandos de servidor de Microsoft. Proporciona un modelo e infraestructura de programación nueva que permiten a los programadores Web construir e implementar aplicaciones Web de clase empresarial que son más seguras, escalables y estables que nunca. 4.1.5 Asignar un nombre a los sitios Web Un servidor que se ejecute en IIS puede alojar varios sitios Web. Se dice que un sitio Web se ejecuta en un servidor virtual. Cada sitio Web tiene un nombre descriptivo y puede tener uno o varios nombres de encabezado de host. Los nombres de encabezado de host permiten alojar varios nombres de dominio en un equipo. Puede tener varios certificados de servidor, varias direcciones IP y varios puertos SSL por servidor. a. Para asignar nombre a un sitio Web 1. En el Administrador IIS, expanda el equipo local, haga clic con el botón secundario del mouse en el sitio Web, y haga clic en Propiedades. 2. En la ficha Sitio Web, en el cuadro Descripción, escriba un nombre descriptivo para el sitio y haga clic en Aceptar. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 6/84
UNED. Administración de Sitios Web. Código 3102.
2009
b. Para asignar un nombre de encabezado de host a un sitio Web 1. Pida al administrador del sistema que agregue el nuevo nombre del sitio asignado para su dirección IP estática al sistema de resolución de nombres (normalmente, DNS). 2. En el Administrador IIS, haga clic con el botón secundario del mouse en el sitio Web al que desee asignar un nombre de encabezado de host y haga clic en Propiedades. 3. En la ficha Sitio Web, haga clic en Avanzadas. 4. Haga clic en Agregar para asignar un nombre de encabezado de host, una dirección IP y un puerto al sitio Web. 5. Haga clic en Aceptar dos veces. Si intenta crear un encabezado de host para un sitio Web que contiene un carácter Unicode, recibirá un mensaje de error donde se indicará que sólo se pueden usar caracteres estándar. Esto se debe a que el estándar del Sistema de nombres de dominio (DNS) no reconoce los caracteres Unicode. 4.1.6 Iniciar y detener sitios Web De manera predeterminada, los sitios se inician automáticamente cuando se inicia el equipo. Detener un sitio no interfiere con otros servicios de Internet que se estén ejecutando. Al poner en pausa un sitio se evita que el sitio acepte nuevas conexiones, pero esto no afecta a las peticiones que ya se estén procesando. Al iniciar un sitio se reanudan los servicios de Internet de dicho sitio Puede iniciar, detener o pausar un sitio Web utilizando el Administrador IIS o una secuencia de comandos de administración. A continuación se describen ambos métodos. a. Para iniciar, detener o pausar un sitio Web utilizando el Administrador IIS En el Administrador IIS, haga clic con el botón secundario del mouse en el sitio que desee iniciar, detener o pausar, y haga clic en Iniciar, Detener o Pausar. Si un sitio se detiene de manera inesperada, es posible que el Administrador IIS no indique correctamente el estado del sitio. En IIS, haga clic con el botón secundario del mouse en la carpeta Sitios Web y, después, haga clic en Actualizar para ver el estado actual de todos los sitios Web. b. Para iniciar, detener o pausar un sitio Web utilizando una secuencia de comandos de administración 1. En el menú Inicio, haga clic en Ejecutar. 2. En el cuadro Abrir, escriba cmd y haga clic en Aceptar. 3. En la línea de comandos, escriba cscript iisweb.vbs /acción "nombreDelSitioWeb" y presione ENTRAR. Sustituya acción por iniciar, detener o pausar. Sustituya nombreDelSitioWeb por el nombre real del sitio Web (por ejemplo "Sitio Web predeterminado"). 4.1.7 Trabajar con tipos MIME Los tipos de extensiones multipropósito de correo Internet (MIME) indican a un explorador Web o a una aplicación de correo la manera en que se deben controlar los archivos recibidos de un servidor. Por ejemplo, cuando un explorador Web solicita un elemento en un servidor, también solicita el tipo MIME del objeto. Algunos tipos MIME, como los gráficos, se pueden visualizar Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 7/84
UNED. Administración de Sitios Web. Código 3102.
2009
dentro del explorador. Otros, como los documentos de procesadores de texto, requieren la ayuda de una aplicación externa para la visualización. Cuando IIS entrega un mensaje de correo a una aplicación de correo o una página Web a un explorador Web cliente, también envía el tipo MIME de los datos que está enviando. Si hay un archivo vinculado o incrustado con un formato determinado, IIS también informa a la aplicación cliente del tipo MIME del archivo incrustado o vinculado. Entonces la aplicación cliente sabe cómo procesar o mostrar los datos recibidos de IIS. IIS suministra solamente archivos con extensiones conocidas registradas en la lista de tipos MIME o con el sistema operativo. IIS le permite configurar tipos MIME adicionales y cambiar o eliminar tipos MIME. Si elimina un tipo MIME en IIS, no se bloquea el acceso a ese tipo MIME por parte de otras aplicaciones si éste también está registrado con el sistema operativo. IIS está preconfigurado para reconocer un conjunto predeterminado de tipos MIME globales. Estos tipos MIME serán reconocidos por todos los sitios Web que cree en IIS. Los tipos MIME también se pueden definir en el sitio Web y en los niveles de directorio, de forma independiente uno respecto del otro o respecto a los tipos definidos globalmente. Cuando revise los tipos MIME en el sitio Web o en el nivel de directorio, sólo se mostrarán los tipos únicos de ese nivel, no todos los tipos heredados del nivel superior. Si aplica un tipo MIME a escala global después de modificar el mismo tipo MIME en un nivel inferior, el tipo MIME a escala global sobrescribirá el tipo MIME modificado en el nivel inferior. IIS devolverá un error 404.3 si una petición de cliente hace referencia a una extensión de nombre de archivo que no se ha definido en los tipos MIME.
4.1.7.1 Ver los tipos MIME disponibles Para ayudar a evitar que los atacantes envíen archivos que puedan comprometer la seguridad de su servidor Web, el identificador de archivos estáticos de IIS únicamente sirve los archivos que aparecen enumerados explícitamente en la lista de tipos de Extensiones multipropósito de correo Internet (MIME). IIS está preconfigurado para reconocer un conjunto predeterminado de tipos MIME globales que son reconocidos por todos los sitios Web que cree con IIS. a.- Para ver una lista de todos los tipos MIME disponibles utilizando el Administrador IIS 1. En el Administrador IIS, haga clic con el botón secundario del mouse (ratón) en el equipo local y, a continuación, haga clic en Propiedades. 2. En Tipos MIME, haga clic en Tipos MIME. Los tipos MIME registrados se muestran en Tipos MIME registrados (extensiones de archivo). Puede agregar, cambiar o quitar tipos MIME de la lista. b. Para ver una lista de todos los tipos MIME disponibles utilizando Adsutil.vbs 1. En el menú Inicio, haga clic en Ejecutar. 2. En el cuadro Abrir, escriba cmd y, a continuación, haga clic en Aceptar. 3. En el símbolo del sistema, vaya al directorio unidad\Inetpub\AdminScripts. 4. Escriba lo siguiente en el símbolo del sistema y, a continuación, presione ENTRAR: cscript.exe adsutil.vbs enum /Mimemap
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 8/84
UNED. Administración de Sitios Web. Código 3102.
2009
4.1.7.2 Crear tipos MIME globales Si dispone de tipos MIME y desea que todos sus sitios Web los reconozcan, puede agregar los nuevos tipos MIME a un nivel global en IIS. También puede configurar IIS para que proporcione tipos de archivos no definidos agregando un carácter comodín (*) como tipo MIME. No utilice caracteres comodines como tipos MIME en servidores de producción. Si lo hace, es posible que IIS proporcione archivos no reconocidos y muestre información importante a los usuarios. Los tipos MIME con comodines están diseñados para pruebas o situaciones en las que los filtros ISAPI han sido desarrollados específicamente para enfrentarse a estas situaciones con comodines, por ejemplo, una ISAPI de autenticación personalizada. a. Para agregar un tipo MIME global 1. En el Administrador IIS, expanda el equipo local, haga clic con el botón secundario del mouse en el equipo en el que desee agregar un tipo MIME y haga clic en Propiedades. 2. Haga clic en Tipos MIME. 3. Haga clic en Nuevo. 4. En el cuadro Extensión, escriba la extensión del nombre del archivo. 5. En el cuadro Tipo MIME, escriba un tipo MIME válido. Para crear un tipo MIME para un tipo MIME no definido, escriba un asterisco (*) en el cuadro Extensión y escriba application/octet-stream en el cuadro Tipo MIME. Para crear un tipo MIME para un archivo sin extensión, escriba un punto (.) en el cuadro Extensión y escriba el tipo MIME en el cuadro Tipo MIME. 6. Haga clic en Aceptar. 4.1.7.3 Crear tipos MIME para un sitio Web o directorio Si dispone de tipos MIME que desea que sean reconocidos en un sitio Web o directorio determinado, puede agregarlos en el nivel de sitio Web o directorio en IIS. También puede configurar IIS para que suministre tipos de archivos sin definir al agregar un carácter comodín (*) como tipo MIME. No utilice tipos MIME comodín en servidores de producción. De lo contrario, es posible que IIS suministre archivos no reconocidos y revele información confidencial a los usuarios. Los tipos MIME comodín van dirigidos a escenarios de comprobación o donde se hayan desarrollado filtros API para servidores de Internet (ISAPI) específicamente para tratar estos casos comodines; por ejemplo, una ISAPI de autenticación personalizada. a. Para agregar un tipo MIME a un sitio Web o directorio 1. En el Administrador IIS, haga clic con el botón secundario del mouse en el sitio Web o directorio del sitio Web en el que desee agregar un tipo MIME y haga clic en Propiedades. 2. Haga clic en la ficha Encabezados HTTP. 3. Haga clic en Tipos MIME. 4. Haga clic en Nuevo. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 9/84
UNED. Administración de Sitios Web. Código 3102.
2009
5. En el cuadro Extensión, escriba la extensión del nombre del archivo. 6. En el cuadro Tipo MIME, escriba un tipo MIME válido. Si define un tipo MIME que ya ha sido definido en un nivel superior, se le pedirá que seleccione el nivel en el que debe residir el tipo MIME. Para crear un tipo MIME para un tipo MIME sin definir, escriba un asterisco (*) en el cuadro Extensión y escriba application/octet-stream en el cuadro Tipo MIME. Para crear un tipo MIME para un archivo sin extensión, escriba un punto (.) en el cuadro Extensión y especifique el tipo MIME en el cuadro Tipo MIME. 7. Haga clic en Aceptar. La ilustración siguiente muestra la relación entre un tipo MIME definido en IIS y un tipo de archivo definido en el equipo cliente.
4.1.7.4 Editar tipos MIME globales Si necesita cambiar los tipos MIME globales, puede editarlos a nivel global en IIS.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 10/84
UNED. Administración de Sitios Web. Código 3102.
2009
a. Para editar un tipo MIME global 1. En el Administrador IIS, expanda el equipo local, haga clic con el botón secundario del mouse en el equipo donde desee editar un tipo MIME y haga clic en Propiedades. 2. Haga clic en Tipos MIME. 3. Seleccione el elemento que desea editar en la lista Tipos MIME registrados (extensiones de archivo). 4. Haga clic en Modificar. 5. Modifique la información de los cuadros Extensión y Tipo MIME según sea necesario. 6. Haga clic en Aceptar. 4.1.7.5 Modificar tipos MIME de un sitio Web o un directorio Si necesita realizar cambios en los tipos MIME reconocidos por un sitio Web o directorio concreto, puede modificar estos tipos en el sitio Web o en el nivel de directorio en IIS. a. Para modificar un tipo MIME de un sitio Web o directorio 1. En el Administrador IIS, haga clic con el botón secundario del mouse en el sitio Web o directorio del sitio Web en el que desee agregar un tipo MIME y haga clic en Propiedades. 2. Haga clic en la ficha Encabezados HTTP. 3. Haga clic en Tipos MIME. 4. Seleccione el elemento que desea modificar de la lista Tipos MIME registrados (extensiones de archivos). 5. Haga clic en Editar. 6. Modifique la información de los cuadros Extensión y Tipo MIME todo lo que sea necesario. 7. Haga clic en Aceptar. 4.1.7.6 Quitar tipos MIME globales Si desea restringir de un modo global que IIS proporcione archivos con determinadas extensiones, puede quitar los tipos MIME correspondientes de la lista global de tipos MIME registrados en el Administrador IIS. Si utiliza el Administrador IIS para quitar una asignación de tipo MIME, también debe comprobar que el tipo MIME no existe en el registro en HKEY_CLASSES_ROOT\extensión. Si el tipo MIME también existe en el registro, debe quitarlo. Si el tipo MIME sigue existiendo en el registro, se seguirán proporcionando los archivos con esa extensión. Sin embargo, tenga presente que si quita una asignación de tipo MIME del registro, es posible que otras aplicaciones se vean afectadas porque la base de datos del registro es compartida por varias aplicaciones.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 11/84
UNED. Administración de Sitios Web. Código 3102.
2009
a. Para quitar un tipo MIME global 1. En el Administrador IIS, expanda el equipo local, haga clic con el botón secundario del mouse en el equipo en el que desee agregar un tipo MIME y haga clic en Propiedades. 2. Haga clic en Tipos MIME. 3. En la lista Tipos MIME registrados, haga clic en el tipo MIME que desee quitar y después haga clic en Quitar. 4. Haga clic en Aceptar. 4.1.7.7 Quitar tipos MIME de un sitio Web o directorio Si no desea prestar servicio a archivos con determinadas extensiones de un sitio Web o directorio, puede quitar los tipos MIME relacionados de la lista de tipos MIME registrados para ese sitio Web o directorio en particular. Si utiliza el Administrador IIS para quitar una asignación de tipo MIME, debe además comprobar que el tipo MIME no existe en el Registro en HKEY_CLASSES_ROOT\extensión. Si el tipo MIME también existe en el Registro, debe quitarlo. Si el tipo MIME sigue existiendo en el Registro, se seguirá dando servicio a los archivos con esa extensión. Tenga en cuenta, sin embargo, que si quita una asignación de tipo MIME del Registro, es posible que se vean afectadas otras aplicaciones, ya que varias aplicaciones comparten la base de datos del Registro. a. Para quitar un tipo MIME de un sitio Web o directorio 1. En el Administrador IIS, haga clic con el botón secundario del mouse en el sitio Web o el directorio del sitio Web del que desee quitar un tipo MIME y haga clic en Propiedades. 2. Haga clic en la ficha Encabezados HTTP. 3. Haga clic en Tipos MIME. 4. En la lista Tipos MIME registrados, haga clic en el tipo MIME que desee quitar y después haga clic en Quitar. 5. Haga clic en Aceptar. 4.1.8 Cambiar la configuración predeterminada de un sitio Web Durante la instalación de IIS, se establecen valores predeterminados para diversas propiedades asignadas a los sitios Web. Las propiedades se pueden configurar globalmente, lo que afectará a todos los sitios Web del servidor; individualmente, en el directorio o en el archivo. IIS utiliza un modelo de herencia, lo que significa que los niveles inferiores heredan automáticamente la configuración de los niveles superiores. Los valores de los niveles inferiores se pueden modificar individualmente para reemplazar la configuración heredada a partir del siguiente nivel hacia arriba. Si cambia la configuración en un nivel inferior y después realiza modificaciones en la configuración de un nivel superior que entran en conflicto con la configuración del nivel inferior, se le pedirá que decida si desea cambiar la configuración del nivel inferior para que coincida con la nueva configuración del nivel superior.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 12/84
UNED. Administración de Sitios Web. Código 3102.
2009
a. Para establecer propiedades principales en todos los sitios asignados a un equipo 1. En el Administrador IIS, expanda el equipo local, haga clic con el botón secundario del mouse en la carpeta Sitios Web y, después, haga clic en Propiedades. 2. Haga clic en Ayuda en una de las fichas para obtener más información acerca de la configuración. b. Para configurar las propiedades de un único sitio Web 1. En el Administrador IIS, haga clic con el botón secundario del mouse en el sitio Web cuya configuración desee cambiar y haga clic en Propiedades. 4.1.9 Implementar la numeración incremental de sitios Web En IIS 5.1 y versiones anteriores, IIS generaba los números de sitios Web incrementalmente. Se asignaba al primer sitio el número 1, al segundo sitio el número 2 y así sucesivamente. A partir de IIS 6.0, el esquema de numeración predeterminado ha cambiado. Al instalar IIS 6.0, IIS genera un sitio Web predeterminado con el número 1. IIS genera a continuación un número de identificación del sitio Web, basado en un hash del nombre del sitio, para los sitios adicionales que se creen. Puede mantener el esquema de numeración incremental de IIS 5.1 y versiones anteriores. Esto puede ser preferible si tiene secuencias de comandos, aplicaciones o herramientas de registro existentes que dependen de la numeración incremental de sitios. Este tema contiene información acerca del modo de modificar el Registro. El uso incorrecto del Editor del Registro puede causar graves problemas que requieran una nueva instalación del sistema operativo. Puesto que el Editor del Registro omite las medidas de seguridad estándar que impiden la especificación de configuraciones que originen conflictos o que puedan reducir el rendimiento del sistema o dañarlo, debe tener cuidado al realizar cambios en el registro. Microsoft no puede garantizar la solución de los problemas que se produzcan como consecuencia de la utilización incorrecta del Editor del Registro. Para obtener información acerca de cómo editar el Registro, vea el tema sobre el cambio de claves y valores en la Ayuda del Editor del Registro.
a. Implementar la numeración incremental de sitios Web en una instalación de IIS 6.0 existente 1. Habilite la numeración incremental de sitios Web en el servidor de producción de IIS 6.0 y en un servidor temporal de IIS 6.0. 2. Exporte toda la metabase del servidor de producción e impórtela en el servidor temporal. 3. Habilite la característica de edición en ejecución de la metabase en el servidor temporal y, a continuación, detenga el Servicio de publicación World Wide Web (servicio WWW). 4. Abra el archivo MetaBase.xml del servidor temporal en el Bloc de notas u otro editor de texto sin formato. 5. Localice el primer sitio Web cuya numeración desee cambiar en el archivo MetaBase.xml. Realice una búsqueda y sustitución en toda la metabase, sustituyendo todas las apariciones del número de sitio Web original por el número incremental que desee asignar al sitio. Repita el paso de búsqueda y sustitución para todos los sitios Web, incrementando cada número de sitio Web sucesivo en 1. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 13/84
UNED. Administración de Sitios Web. Código 3102.
2009
6. Guarde el archivo MetaBase.xml y vuelva a iniciar el servicio WWW. 7. Compruebe sus sitios y aplicaciones Web solicitando el contenido de cada uno de ellos. Si se producen errores, identifique la causa y corríjala. Probablemente, la mayoría de los errores se debe a referencias al número de sitio Web original que se han dejado. 8. Desactive la edición en ejecución (una vez terminada la depuración), vuelva a comprobar los sitios para ver su funcionalidad y, a continuación, exporte la metabase completa del servidor temporal e impórtela en el servidor de producción. 9. Reinicie el servicio WWW en el servidor de producción y valide la funcionalidad haciendo una petición a la página principal del sitio principal. Si desea utilizar la numeración incremental de sitios en IIS 6.0, se recomienda habilitarla inmediatamente después de instalar IIS 6.0, antes de crear ningún sitio Web. Esto impide que se creen accidentalmente sitios Web con números fuera de la secuencia.
Notas
La habilitación de la numeración incremental de sitios Web no cambia el número de identificación de los sitios existentes. Si el servidor ya contiene sitios Web que se crearon utilizando el esquema de numeración predeterminado de IIS 6.0 y habilita la numeración incremental de sitios Web, el siguiente sitio creado se numerará con el primer número incremental no utilizado. Por ejemplo, si habilita la numeración incremental de sitios en un servidor con sitios existentes numerados 1, 2, 3 y 10, el siguiente número de sitio será 4. Cuando se administra de forma remota un servidor en el que se ejecuta IIS 6.0 con la numeración incremental de sitios habilitada, asegúrese de que el servidor desde el que se está ejecutando la administración remota también tiene la numeración incremental de sitios habilitada. Esto es necesario ya que el valor de la entrada del Registro IncrementalSiteIDCreation en el sistema desde el que está realizando la administración determina el modo en que se generan los números de identificación en el servidor de IIS que se está administrando.
4.1.10 Utilizar la caducidad del contenido Si el sitio Web incluye información en la que el tiempo sea un factor importante, puede configurar opciones que garanticen que los servidores proxy y los exploradores Web no almacenen en la memoria caché la información obsoleta. Puede configurar el contenido del sito Web para que caduque automáticamente en cualquier momento. Cuando se habilita la caducidad del contenido, el explorador Web compara la fecha actual con la fecha de caducidad para determinar si debe presentar una página almacenada en memoria caché o solicitar una página actualizada al servidor. La tecnología de los servidores, como Microsoft ASP.NET, se puede utilizar para cambiar dinámicamente el contenido que se proporciona. Normalmente, la información en la que el tiempo es un factor importante se limita a archivos individuales, directorios o sitios Web; sin embargo, también puede establecer la caducidad del contenido para todos los sitios Web de un equipo. a. Para establecer la fecha de caducidad del contenido del sitio Web 1. En el Administrador IIS, haga doble clic en el equipo local, haga clic con el botón secundario del mouse en la carpeta Sitios Web, en una carpeta de sitio Web Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 14/84
UNED. Administración de Sitios Web. Código 3102.
2009
individual, un directorio virtual o un archivo, y, a continuación, haga clic en Propiedades. 2. Haga clic en la ficha Encabezados HTTP. 3. Active la casilla de verificación Habilitar caducidad de contenido. 4. Haga clic en Caducar inmediatamente, Caducar después de o Caducar el y escriba la información de caducidad adecuada en el cuadro correspondiente. 5. Haga clic en Aceptar. Para comprobar que las fechas de caducidad funcionan correctamente, busque los mensajes "No modificado" en el paquete de respuestas de HTTP del resumen de captura del Monitor de red. 4.1.11 Utilizar restricciones de contenido Puede configurar las características de restricción de contenido del servidor Web para incluir etiquetas descriptivas en los encabezados HTTP de las páginas Web. Algunos exploradores Web, como Microsoft Internet Explorer versión 3.0 o posterior, pueden detectar estas etiquetas de contenido y así ayudar a los usuarios a identificar contenido Web potencialmente ofensivo. El sistema de clasificación basado en la Plataforma para la selección del contenido de Internet (PICS) del servidor Web emplea un sistema desarrollado por la Asociación para la clasificación del contenido de Internet (ICRA), que clasifica el contenido según el grado de violencia, desnudos, contenido de carácter sexual y lenguaje ofensivo. Antes de clasificar su contenido de Web, debe rellenar un cuestionario de ICRA para obtener la clasificación de contenido recomendada para su caso particular. Si el sitio Web puede ser visitado por el público general, es recomendable realizar una clasificación de su contenido. La clasificación del contenido no impide el acceso de los usuarios al sitio, ya que éstos deben habilitar también los sistemas de clasificación y limitación del contenido en los equipos cliente para que la información de clasificación afecte a su navegación. a. Para establecer restricciones de contenido 1. En el Administrador IIS, expanda el equipo local, haga clic con el botón secundario del mouse en un sitio Web, directorio o archivo y, después, haga clic en Propiedades. 2. Haga clic en la ficha Encabezados HTTP. 3. En la sección Clasificación de contenido, haga clic en Modificar clasificación. 4. Haga clic en la ficha Clasificación y active la casilla de verificación Habilitar clasificación para este contenido. 5. En la lista Categoría, haga clic en una categoría de clasificación. Utilice el control deslizante para establecer el nivel del material potencialmente ofensivo en esa categoría. Con cada valor se muestra una descripción del nivel de restricción. 6. En Dirección de correo electrónico de la persona que clasifica este contenido, escriba la dirección de correo electrónico de la persona que realizó la clasificación del contenido. 7. Haga clic en la flecha que aparece junto al cuadro Caduca el y haga clic en el calendario en la fecha en la que caduca la clasificación. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 15/84
UNED. Administración de Sitios Web. Código 3102.
2009
8. Haga clic en Aceptar. 4.1.12 Usar directivas de inclusión del servidor Las directivas de inclusión del servidor (SSI) indican al servidor Web que inserte distintos tipos de contenido en una página Web. Estos tipos de contenido pueden incluir el valor de una variable de servidor (denominada también variable CGI), el resultado de un comando del Shell, el tamaño o la fecha de modificación de un archivo o el contenido de otro archivo (cuando se utiliza la instrucción #include). Las directivas también pueden incluir una cadena de errores SSI. Puede utilizar las directivas SSI para indicar al servidor Web que incluya texto, gráficos o el resultado de una aplicación en una página Web antes de enviar esa información al explorador. Estas directivas se pueden utilizar, por ejemplo, para incluir una marca de fecha y hora, un aviso de derechos de autor o un formulario que un cliente devuelve una vez rellenado. La inclusión de un archivo es una forma sencilla de incorporar texto o vínculos a gráficos que se repiten en muchos archivos. SSI proporciona directivas especiales de preprocesamiento que ayudan a obtener información acerca de un archivo o a presentar el valor de una variable de servidor. SSI también proporciona una directiva que se puede utilizar para insertar el resultado de una aplicación o de un comando del Shell en una página Web. En lugar de agregar el contenido o el resultado en cada archivo, puede guardarlo en un archivo de inclusión. Para llamar a los archivos de inclusión se utiliza una sencilla instrucción que indica al servidor Web que inserte el contenido o el resultado en las páginas Web correspondientes. Internet Information Server (IIS) procesa las directivas SSI al mismo tiempo que la página Web. Cuando el servidor Web obtiene acceso a una directiva SSI, inserta el contenido del archivo de inclusión o el resultado de la aplicación directamente en la página Web. Si este archivo contiene una directiva SSI, también se inserta el archivo o el resultado. Junto a la directiva básica utilizada para incluir un archivo, se pueden emplear directivas SSI para insertar información acerca de un archivo, como su tamaño, o para ejecutar una aplicación o un comando del Shell. De forma predeterminada, IIS se establece para que procese los archivos de inclusión del servidor con las extensiones de nombres de archivo .stm, .shtm o .shtml, pero se pueden configurar otras extensiones para su procesamiento. IIS busca y procesa también la directiva #include en los archivos con la extensión de nombre de archivo .asp. Asegúrese de que todos los archivos que contienen directivas SSI tienen definida una extensión de nombre de archivo SSI. Asimismo, las directivas SSI, al igual que otras asignaciones de secuencias de comandos, se aplican a todos los archivos cuya extensión de nombre de archivo se asigna al archivo ssinc.dll. Si, por algún motivo, se eliminan las extensiones de la lista de asignaciones de aplicaciones, utilice el procedimiento que se incluye a continuación para agregar las extensiones de nombres de archivo SSI a la lista. Asegúrese también de colocar los archivos SSI en un directorio con los permisos Secuencias de comandos o Ejecución. Deberá limitar el acceso de los usuarios a este directorio para evitar ataques de usuarios malintencionados. a. Para habilitar las directivas de inclusión del servidor 1. En el Administrador IIS, expanda el equipo local, haga clic con el botón secundario del mouse en la carpeta Sitios Web (para habilitar SSI en todos los sitios Web) o en un sitio Web específico y haga clic en Propiedades. 2. Haga clic en la ficha Directorio principal. 3. En la sección Configuración de aplicación, haga clic en Configuración. 4. En la ficha Asignaciones , haga clic en Agregar.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 16/84
UNED. Administración de Sitios Web. Código 3102.
2009
5. En el cuadro de diálogo Agregar o modificar asignación de extensión para aplicación, especifique toda la información necesaria. 6. Haga clic en Aceptar. Para deshabilitar los archivos de inclusión del servidor en el servidor Web IIS, debe quitar las extensiones SSI de la lista de asignaciones de la aplicación. Si el servidor Web recibe una petición de una página y se ha quitado la extensión SSI, IIS no procesará las directivas SSI que encuentre en la página. Puede deshabilitar el procesamiento de directivas de inclusión del servidor en todos los sitios Web o en uno específico. b.Para deshabilitar las directivas de inclusión del servidor 1. En el Administrador IIS, expanda el equipo local, haga clic con el botón secundario del mouse en la carpeta Sitios Web (para deshabilitar SSI en todos los sitios Web) o en un sitio Web específico y haga clic en Propiedades. 2. Haga clic en la ficha Directorio principal. 3. En la sección Configuración de aplicación, haga clic en Configuración. 4. En la ficha Asignaciones, desplácese por la lista Asignaciones de la aplicación, haga clic en la extensión SSI que desee deshabilitar y, a continuación, haga clic en Quitar. 5. Haga clic en Aceptar. 4.1.13 Redirigir peticiones a archivos, directorios o programas Es posible redirigir las peticiones de archivos de un directorio a otro directorio, a otro sitio Web o a un archivo de un directorio diferente. Cuando el explorador solicita el archivo en la dirección URL original, el servidor Web le indica que debe solicitar la página con la nueva dirección URL. Una característica avanzada del método de redirección le permite redireccionar todas las peticiones para archivos de un directorio principal a un programa. En general, será conveniente pasar también al programa los parámetros de la dirección URL original, lo que puede hacerse mediante variables de redirección. a. Para redirigir las peticiones a otro directorio o a otro sitio Web 1. En el Administrador IIS, expanda el equipo local, haga clic con el botón secundario del mouse en el directorio virtual o en el directorio de sitio Web en el que desee agregar una redirección, y haga clic en Propiedades. 2. Haga clic en la ficha Directorio principal, Directorio virtual o Directorio. 3. En El origen del contenido de este recurso debe ser, haga clic en Una redirección a una dirección URL. 4. En el cuadro Redirigir a, escriba la ruta de acceso al directorio de destino o a la dirección URL del sitio Web. Por ejemplo, para redirigir todas las peticiones de archivos del directorio /Catálogo al directorio /NuevoCatálogo de otro sitio Web, escriba http://nombreDeSitio/NuevoCatálogo. La redirección debe ser a una dirección URL completa. 5. Configure los indicadores requeridos tal y como se especifica más adelante y, a continuación, haga clic en Aceptar. Se permite más de un indicador.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 17/84
UNED. Administración de Sitios Web. Código 3102.
2009
b. Para redirigir todas las peticiones a un único archivo 1. En el Administrador IIS, haga clic con el botón secundario del mouse en el sitio Web o en el directorio, y haga clic en Propiedades. 2. Haga clic en la ficha Directorio principal, Directorio virtual o Directorio. 3. En El origen del contenido de este recurso debe ser, haga clic en Una redirección a una dirección URL. 4. En el cuadro Redirigir a, escriba la dirección URL del archivo de destino. La redirección debe ser a una dirección URL completa. 5. En El cliente se enviará a, active la casilla de verificación La misma dirección URL que arriba para evitar que el servidor Web anexe el nombre del archivo original a la dirección URL de destino. 6. Haga clic en Aceptar. Puede utilizar comodines y variables de redirección en la dirección URL de destino para controlar con precisión cómo se convertirá la dirección URL original en la de destino. c. Para redirigir las peticiones a un programa 1. En el Administrador IIS, haga clic con el botón secundario del mouse en el sitio Web o en el directorio, y haga clic en Propiedades. 2. Haga clic en la ficha Directorio principal, Directorio virtual o Directorio. 3. En El origen del contenido de este recurso debe ser, haga clic en Una redirección a una dirección URL. 4. En el cuadro Redirigir a, escriba la dirección URL del programa, incluidas las variables de redirección necesarias para pasarle los parámetros. Por ejemplo, para redirigir todas las peticiones de secuencias de comando de un directorio de secuencias de comando a un programa de registro que registre las direcciones URL solicitadas y cualquier parámetro pasado con la dirección URL, escriba /Scripts/Logger.exe?URL=$V+PARAMS=$P. $V y $P son variables de redirección. 5. En El cliente se enviará a, active la casilla de verificación La misma dirección URL que arriba para evitar que el servidor Web anexe el nombre del archivo original a la dirección URL de destino. 6. Haga clic en Aceptar. 4.1.14 Reiniciar IIS Es posible que tenga que reiniciar los Servicios de Internet Information Server (IIS) antes de que surtan efecto algunos cambios de configuración o cuando las aplicaciones no estén disponibles. Reiniciar IIS equivale a detener IIS primero y, a continuación, volver a iniciarlo, excepto que el proceso se realiza con un sólo comando. Hay dos maneras de reiniciar IIS: Utilizar el Administrador IIS. Utilizar la utilidad de línea de comandos IISReset. Ambos métodos permiten detener, iniciar y reiniciar los servicios de Internet de IIS. El comando Reiniciar IIS del Administrador IIS y la utilidad de línea de comandos IISReset no reinician Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 18/84
UNED. Administración de Sitios Web. Código 3102.
2009
la pila del protocolo HTTP (HTTP.sys) ni los servicios de Internet fuera de IIS. En versiones anteriores de IIS, reiniciar IIS con la utilidad IISReset de línea de comandos era la práctica común para recuperar una aplicación que no respondiera. Reiniciar o detener IIS, o reiniciar el servidor Web, es una práctica poco recomendable. Cuando se reinicie el servicio de Internet, todas las sesiones conectadas al servidor Web (incluidos Internet, FTP, SMTP y NNTP) se habrán quitado. Los datos contenidos en las aplicaciones Web se perderán. Los sitios de Internet no estarán disponibles hasta que se reinicien los servicios de Internet. Por esta razón, debe evitar reiniciar o detener el servidor siempre que sea posible. IIS 6.0 incluye reciclaje del grupo de aplicaciones y muchas otras funciones que proporcionan alternativas para reiniciar IIS Los cambios efectuados en la metabase se pueden perder al reiniciar IIS. Para evitar perder los cambios efectuados en la metabase y desencadenar archivos de historial que hagan una copia de seguridad de la metabase, utilice el método SaveData. Con IIS 6.0, el servicio de publicación World Wide Web (servicio WWW) reside en el host de servicio, Svchost.exe. Los servicios FTP, NNTP y SMTP y la metabase IIS, conocida como el servicio de administración de IIS, residen en Inetinfo.exe. Si el servicio de administración de IIS no se finaliza correctamente, IIS se reiniciará automáticamente. Esta función se denomina Reinicio automático. Antes, en IIS 5.0, si el servicio de administración de IIS no se finalizaba correctamente, tanto el servicio WWW como el servicio de administración de IIS tenían que reiniciarse, dado que compartían el mismo espacio de la aplicación. En IIS 6.0, si el servicio de administración de IIS no se finaliza correctamente, el servicio WWW no se cierra, ya que el servicio de administración de IIS y el servicio WWW se ejecutan en espacios de proceso diferentes. En este caso, el servicio WWW percibe que la metabase no se ha finalizado correctamente y comprueba si la utilidad IISReset de línea de comandos está configurada en el servicio de administración de IIS. Si IISReset está configurada en el servicio de administración de IIS, IIS espera a que el servicio de administración de IIS se reinicie y restablezca la conexión con el servicio WWW. Todos los servicios de Internet que se enumeran abajo, si están instalados, se verán afectados por el reinicio de IIS. No todos los servicios que se enumeran abajo se instalan de manera predeterminada.
Servicio
Descripción
Servicio de administración de IIS
Este servicio administra todos los servicios de IIS menos el servicio WWW, FTP, NMTP y SMTP).
Servicio WWW
Este servicio proporciona conectividad Web entre clientes y sitios Web.
Servicio HTTP SSL
Este servicio proporciona conectividad Web segura entre clientes y sitios Web.
Servicio FTP
Este servicio proporciona conectividad FTP y administración a través del Administrador IIS.
Servicio SMTP
Este servicio transporta el correo electrónico a través de la red.
Servicio NNTP
Este servicio transporta las noticias de red a través de la red.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 19/84
UNED. Administración de Sitios Web. Código 3102.
2009
a. Para reiniciar IIS utilizando el Administrador IIS 1. En el Administrador IIS, haga clic con el botón secundario del mouse en el equipo local, seleccione Todas las tareas y, a continuación, haga clic en Reiniciar IIS. 2. En la lista Confirme qué acción desea que realice IIS, haga clic en Reiniciar los servicios Internet en nombreDeEquipo. 3. IIS intenta detener todos los servicios antes de reiniciar. IIS esperará cinco minutos a que se detengan todos los servicios. Si los servicios no se pueden detener durante esos cinco minutos, todos los servicios de IIS finalizarán e IIS se reiniciará. Por otra parte, si hace clic en Finalizar ahora, todos los servicios de IIS se detendrán inmediatamente e IIS se reiniciará. 4.2 Prácticas recomendadas de seguridad en IIS 6.0 4.2.1 Prácticas recomendadas generales
Utilizar las credenciales con menos permisos posibles para iniciar una sesión. Inicie una sesión en el equipo con una cuenta que no pertenezca al grupo Administradores y, a continuación, utilice el comando Ejecutar como para ejecutar el Administrador IIS como administrador. Reducir el área expuesta a ataques. Deshabilite todos los servicios que no necesite, incluidos aquellos de IIS como FTP, NNTP o SMTP. Si una característica o un servicio no está habilitado no es necesario protegerlo. No descargar ni ejecutar programas que no provengan de orígenes de confianza. Los programas pueden incluir instrucciones peligrosas para la seguridad en muchos sentidos, como el robo de datos, la denegación de servicios y la destrucción de datos. Mantener los detectores de virus actualizados. Normalmente, el software antivirus detecta los archivos infectados mediante la búsqueda de cadenas (firmas) que se sabe que forman parte de virus ya identificados. Estas firmas de virus se almacenan en un archivo de firmas, que suele encontrarse en el disco duro local. Como frecuentemente se descubren nuevos virus, también es necesario actualizar este archivo frecuentemente para que el software antivirus pueda identificar todos los virus conocidos. Mantener al día todas las actualizaciones de software. Las actualizaciones de software proporcionan soluciones para problemas de seguridad conocidos. Visite periódicamente los sitios Web de los proveedores de software para comprobar si existen nuevas actualizaciones para el software que se utiliza en la organización. El nuevo modelo de procesamiento de IIS 6.0 incluye el reciclaje de procesos, lo que significa que un administrador puede instalar fácilmente la mayoría de las actualizaciones de IIS y la mayoría de los archivos DLL de los nuevos procesos de trabajo sin necesidad de interrumpir el servicio. La versión 1.0 de Actualización automática ofrece tres opciones a los clientes: notificar la existencia de una actualización en cuanto esté disponible, descargar la actualización y notificar la descarga y realizar la instalación programada. Usar NTFS. El sistema de archivos NTFS es más seguro que los sistemas FAT o FAT32. Asigne permisos NTFS seguros a los recursos. Utilizar con cuidado los controladores de dominio. Si utiliza un controlador de dominio como servidor de aplicaciones debe tener en cuenta que si la seguridad del controlador de dominio está en peligro también estará en peligro todo el dominio.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 20/84
UNED. Administración de Sitios Web. Código 3102.
2009
4.2.2 Prácticas recomendadas de IIS
Restringir los permisos de acceso de escritura para la cuenta IUSR_nombreDeEquipo. Así ayudará a limitar el acceso de los usuarios anónimos a su equipo. Almacenar los archivos ejecutables en un directorio independiente. Esto facilita a los administradores la asignación de permisos de acceso y la auditoría. Crear un grupo para todas las cuentas de usuario anónimas. De ese modo, podrá basarse en la pertenencia a este grupo para negar el permiso de acceso a los recursos. Denegar a los usuarios anónimos los permisos de ejecución de archivos ejecutables en los directorios de Windows y sus subdirectorios. Usar la restricción de direcciones IP si se administra IIS de forma remota. Asignar los permisos más restrictivos posibles. Por ejemplo, si el sitio Web se emplea sólo para ver información, asigne sólo el permiso Lectura. Si un directorio o sitio contiene aplicaciones, asigne el permiso Sólo secuencias de comandos en lugar del permiso Secuencias de comandos y ejecutables. No asignar los permisos Escritura y Acceso al código fuente de secuencias de comandos ni los permisos Secuencias de comandos y ejecutables. Debe extremar las precauciones cuando utilice esta combinación. Puede permitir que un usuario cargue en el servidor archivos ejecutables potencialmente peligrosos y los ejecute Habilitar el cifrado de datos en todas las secuencias de comandos de administración remota basadas en WMI. Asegurarse de que la entidad emisora raíz intermedia de VeriSign del servidor Web está actualizada. Comprobar la fecha de caducidad y actualizar la entidad emisora raíz intermedia si es necesario. La nueva la entidad emisora raíz intermedia de VeriSign tiene las siguientes propiedades:
Issued to: www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign Issued by: Class 3 Public Primary Certification Authority Valid from: 4/16/97 to 10/24/11
4.2.3 Autenticación anónima en IIS 6.0 La autenticación anónima proporciona a los usuarios acceso a las áreas públicas del sitio Web o FTP sin preguntar el nombre de usuario o la contraseña. De manera predeterminada, la cuenta IUSR_nombreDeEquipo se utiliza para permitir el acceso anónimo. En IIS 6.0, la autenticación anónima ya no requiere el registro Permitir en un derecho de usuario localmente ya que ETWORK_CLEARTEXT ahora es el tipo de inicio de sesión predeterminado para la autenticación anónima y básica. Durante la instalación, la cuenta IUSR_nombreDeEquipo se agrega al grupo Invitados en el equipo que ejecuta IIS. Los invitados tienen predeterminadamente el mismo acceso que los miembros del grupo Usuarios, excepto la cuenta Invitado que tiene más restricciones. 4.2.3.1 Habilitar la autenticación anónima Realice el procedimiento siguiente si desea habilitar la autenticación anónima para un sitio Web. a. Para habilitar la autenticación anónima 1. En el Administrador IIS, haga doble clic en el equipo local, haga clic con el botón secundario del mouse en la carpeta Sitios Web, en una carpeta de sitio Web Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 21/84
UNED. Administración de Sitios Web. Código 3102.
2009
individual, un directorio virtual o un archivo, y, a continuación, haga clic en Propiedades. Las configuraciones realizadas en el nivel de Sitios Web son heredadas por todos los sitios Web del servidor. Para anular la herencia, configure individualmente el sitio o el elemento del sitio. 2. Haga clic en la ficha Seguridad de directorios o Seguridad de archivo y, a continuación, en la sección Autenticación y control de acceso, haga clic en Modificar. 3. Active la casilla de verificación Habilitar el acceso anónimo. 4. Haga clic en Aceptar dos veces. 4.2.3.2 Cambiar la cuenta utilizada para la autenticación anónima Puede modificar la cuenta que se utiliza para la autenticación anónima en el Administrador IIS, ya sea en el nivel del servicio del servidor Web o para directorios y archivos virtuales específicos. También puede modificar la configuración de seguridad para la cuenta IUSR_nombreDeEquipo en Windows utilizando el complemento del Administrador de la Directiva de grupo de Microsoft Management Console (MMC). Sin embargo, si la cuenta de usuario anónimo no tiene permiso para tener acceso a un recurso o archivo específico, el servidor Web no establecerá una conexión anónima para ese recurso. Cuando se modifica la cuenta IUSR_nombreDeEquipo, las modificaciones afectarán a todas las peticiones HTTP anónimas que procesa un servidor Web. Tenga precaución si modifica esta cuenta. a. Para cambiar la cuenta utilizada para la autenticación anónima 1. En el Administrador IIS, haga doble clic en el equipo local, haga clic con el botón secundario del mouse en la carpeta Sitios Web, en una carpeta de sitio Web individual, un directorio virtual o un archivo, y, a continuación, haga clic en Propiedades. Las configuraciones realizadas en el nivel de Sitios Web son heredadas por todos los sitios Web del servidor. Puede omitir la herencia si configura el sitio individual o el elemento del sitio. 2. Haga clic en la ficha Seguridad de directorios o Seguridad de archivo y, luego, en la sección Autenticación y control de acceso, haga clic en Modificar. 3. Active la casilla de verificación Habilitar el acceso anónimo. 4. Haga clic en Examinar y escriba o busque la cuenta de usuario de Windows válida que desee utilizar para el acceso anónimo. 5. Haga clic en Aceptar tres veces. 4.2.3.3 Configurar la subautenticación La subautenticación permite a IIS administrar contraseñas en cuenta anónimas. En versiones anteriores de IIS, el componente de subautenticación, Iissuba.dll, estaba habilitado de forma predeterminada. Debido a que la utilización de Iissuba.dll podía implicar un riesgo para la seguridad, IIS 6.0 no habilita la subautenticación de forma predeterminada. Sin embargo, es posible utilizar la Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 22/84
UNED. Administración de Sitios Web. Código 3102.
2009
subautenticación para administrar contraseñas para cuentas anónimas si se cumplen los siguientes requisitos:
Para las aplicaciones a las que garantiza el acceso anónimo, el proceso de trabajo se ejecuta como LocalSystem. El componente de subautenticación, Iissuba.dll, está registrado. La propiedad de la metabase AnonymousPasswordSync está habilitada en el nodo IISWebService (establecida en true)
El proceso para configurar la subautenticación varía en función de si la va a configurar en una instalación nueva de IIS 6.0 o después de actualizar a IIS 6.0 desde una versión anterior de IIS con la subautenticación habilitada. a. Configurar la subautenticación en una nueva instalación de IIS 6.0: De manera predeterminada, después de una instalación completa de Windows Server 2003 e IIS 6.0 se ejecuta en el modo de aislamiento de procesos de trabajo y la subautenticación se deshabilita. Cuando AnonymousPasswordSync Metabase Property (propiedad de la metabase) está establecida en false, la subautenticación se deshabilita. Para habilitar la sincronización de contraseñas anónimas, compruebe que el sistema cumple los siguientes requisitos:
El componente de subautenticación, Iissuba.dll, debe registrarse. El grupo de aplicaciones del sitio Web se ejecuta como la cuenta de usuario LocalSystem. No obstante, la ejecución de la cuenta de usuario LocalSystem puede suponer un riesgo para la seguridad porque permite al proceso de trabajo acceso total a todo el sistema. La propiedad de metabase AnonymousPasswordSynch debe estar habilitada (establecida en true). Para configurar la subautenticación y habilitar la sincronización de contraseñas anónimas 1. En el menú Inicio, haga clic en Ejecutar. 2. En el cuadro Abrir, escriba cmd y haga clic en Aceptar. 3. En el símbolo del sistema, escriba lo siguiente y presione ENTRAR. rundll32 %systemroot%\system32\iissuba.dll,RegisterIISSUBA 4. Establezca la identidad del grupo de aplicaciones en la cuenta de usuario LocalSystem. 5. La ejecución de la cuenta de usuario LocalSystem puede suponer un riesgo para la seguridad porque permite al proceso de trabajo acceso total a todo el sistema. 6. En el nodo IisWebService, establezca AnonymousPasswordSync en true.
la
propiedad
de
la
metabase
Cuando ya no desee utilizar la subautenticación, revoque el registro de los componentes de subautenticación. Para revocar el registro de los componentes de subautenticación 1. En el menú Inicio, haga clic en Ejecutar. 2. En el cuadro Abrir, escriba cmd y haga clic en Aceptar. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 23/84
UNED. Administración de Sitios Web. Código 3102.
2009
3. En el símbolo del sistema, escriba lo siguiente y presione ENTRAR. rundll32 %systemroot%\system32\iissuba.dll,UnregisterIISSUBA b.Configurar la subautenticación en el modo de aislamiento de IIS 5.0: Cuando se realiza una nueva instalación de IIS 6.0 y se configura el servidor para que se ejecute en el modo de aislamiento de IIS 5.0, el proceso de trabajo que se asigne a aplicaciones en proceso se ejecutará como LocalSystem de manera predeterminada. Sin embargo, para que la subautenticación funcione correctamente, debe registrar Iissuba.dll y configurar AnonymousPasswordSync Metabase Property. Para configurar la subautenticación después de una nueva instalación y después de cambiar al modo de aislamiento de IIS 5.0 1. Registre Iissuba.dll; para ello, abra el símbolo del sistema y escriba lo siguiente: rundll32 directorioDeWindows\system32\iissuba.dll,RegisterIISSUBA 2. En el nodo IisWebService, establezca AnonymousPasswordSync en true.
la
propiedad
de
la
metabase
c. Configurar la subautenticación después de actualizar a IIS 6.0: Al actualizar un servidor a IIS 6.0 desde una versión anterior de IIS que utiliza subautenticación para administrar contraseñas en cuentas anónimas, la subautenticación se habilita de manera predeterminada. AnonymousPasswordSync Metabase Property se establece en true. Sin embargo, es preciso completar dos tareas de configuración adicionales antes de que la subautenticación funcione correctamente en IIS 6.0. Su registro de sucesos debería tener entradas al respecto. Para configurar la subautenticación después de actualizar a IIS 6.0 desde una versión de ISS configurado para utilizar subautenticación 1. Registre Iissuba.dll; para ello, abra el símbolo del sistema y escriba lo siguiente: rundll32 %windir%\system32\iissuba.dll,RegisterIISSUBA
2. Ejecute todos los procesos de trabajo que utilicen la autenticación anónima como LocalSystem. 3. 4.2.4 Autenticación básica en IIS 6.0 La autenticación básica es un método estándar muy extendido para recopilar información de nombre de usuario y contraseña. La autenticación básica transmite nombres de usuario y contraseñas a través de la red de forma no cifrada. Puede utilizar las características de cifrado de su servidor Web, junto con la autenticación básica, para trasmitir de forma segura la información de la cuenta de usuario a través de la red. Para facilitar la administración, agregue cada usuario a un grupo que tenga acceso a los archivos necesarios. Al habilitar la autenticación básica el servidor Web no se configura automáticamente para autenticar a los usuarios. También debe crear cuentas de usuarios de Windows y establecer los permisos NTFS apropiados. 4.2.4 Autenticación Básica en IIS La autenticación básica es un método estándar muy extendido para recopilar información de nombre de usuario y contraseña. La autenticación básica transmite nombres de usuario y contraseñas a través de la red de forma no cifrada. Puede utilizar las características de cifrado de su servidor Web, junto con la autenticación básica, para trasmitir de forma segura la Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 24/84
UNED. Administración de Sitios Web. Código 3102.
2009
información de la cuenta de usuario a través de la red. Para facilitar la administración, agregue cada usuario a un grupo que tenga acceso a los archivos necesarios. 4.2.4.1Habilitar la autenticación básica y configurar el nombre de territorio Los usuarios que emplean la autenticación básica deben iniciar la sesión con una contraseña y un nombre de usuario válidos de Windows. a. Para habilitar la autenticación básica y configurar el nombre de territorio 1. En el Administrador IIS, haga doble clic en el equipo local, haga clic con el botón secundario del mouse en la carpeta Sitios Web, en una carpeta de sitio Web individual, un directorio virtual o un archivo, y, a continuación, haga clic en Propiedades. La configuración que se realiza en la carpeta Sitios Web la heredan todos los sitios Web del servidor. Puede omitir esta herencia configurando el sitio o elemento de sitio individual. 2. Haga clic en la ficha Seguridad de directorios o Seguridad de archivo y, a continuación, en la sección Autenticación y control de acceso, haga clic en Modificar. 3. En la sección Acceso autenticado, active la casilla de verificación Autenticación básica. 4. Dado que las contraseñas que la autenticación básica envía a través de la red no están cifradas, aparecerá un cuadro de diálogo preguntándole si desea continuar. Haga clic en Sí para continuar. 5. En la casilla Dominio predeterminado, escriba el nombre de dominio que desea utilizar o haga clic en Seleccionar para examinar un nuevo dominio de inicio de sesión predeterminado. Si se rellena la casilla Dominio predeterminado, el nombre se utilizará como dominio predeterminado. Si no se rellena la casilla Dominio predeterminado, IIS utilizará el dominio del equipo que está ejecutando IIS como dominio predeterminado. IIS configura el valor de DefaultLogonDomain Metabase Property, que determina el dominio predeterminado utilizado para autenticar los clientes que tienen acceso al servidor IIS mediante la autenticación básica. Sin embargo, el dominio especificado por la propiedad DefaultLogonDomain sólo se utiliza cuando un cliente no especifica un dominio en el cuadro de diálogo de inicio de sesión en el equipo cliente. 6. Opcionalmente, puede introducir un valor en la casilla Territorio, la cual configura el valor de Realm Metabase Property. Si se establece la propiedad Realm, su valor aparece en el cuadro de diálogo de inicio de sesión cuando se utiliza la autenticación básica. El valor de Realm se envía al cliente únicamente con fines informativos y no se utiliza para autenticar clientes mediante la autenticación básica. 7. Haga clic en Aceptar dos veces. 4.2.4.2 Establecer el dominio de inicio de sesión predeterminado Los usuarios que emplean la autenticación básica deben iniciar la sesión con una contraseña y un nombre de usuario válidos de Windows. El nombre de usuario normalmente incluye:
Un nombre de dominio de Windows.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 25/84
UNED. Administración de Sitios Web. Código 3102.
2009
Un nombre de usuario de cuenta.
Para establecer el dominio de inicio de sesión predeterminado 1. En el Administrador IIS, haga clic con el botón secundario del mouse en la carpeta Sitios Web, sitio Web, directorio, directorio virtual o archivo y, después, haga clic en Propiedades. La configuración que se realiza en la carpeta Sitios Web la pueden heredar todos los sitios Web. 1. Haga clic en la ficha Seguridad de directorios o Seguridad de archivos, según el nivel en el que esté modificando la configuración de seguridad. 2. En la sección Control de autenticación y acceso anónimo, haga clic en Modificar. 3. En la sección Acceso autenticado, active la casilla de verificación Autenticación básica. 4. Dado que las contraseñas que la autenticación básica envía a través de la red no están cifradas, aparecerá un cuadro de diálogo preguntándole si desea continuar. Haga clic en Sí para continuar. 5. En la casilla Dominio predeterminado, escriba el nombre de dominio que desea utilizar o haga clic en Seleccionar para examinar un nuevo dominio de inicio de sesión predeterminado. Si se rellena la casilla Dominio predeterminado, el nombre se utilizará como dominio predeterminado. Si no se rellena la casilla Dominio predeterminado, IIS utilizará el dominio del equipo que está ejecutando IIS como dominio predeterminado. IIS configura el valor de DefaultLogonDomain Metabase Property, que determina el dominio predeterminado utilizado para autenticar los clientes que tienen acceso al servidor IIS mediante la autenticación básica. Sin embargo, el dominio especificado por la propiedad DefaultLogonDomain sólo se utiliza cuando un cliente no especifica un dominio en el cuadro de diálogo de inicio de sesión en el equipo cliente. 6. Haga clic en Aceptar dos veces.
4.2.4.3 Configurar la seguridad de la caché de símbolo (token) para la autenticación básica La autenticación básica almacena los símbolos de usuario en una caché de símbolo. Si inicia el sistema utilizando la autenticación básica con una cuenta con un nivel elevado de derechos de inicio de sesión de usuario, un atacante con éxito podría utilizar la cuenta para lograr el acceso a los recursos de su equipo. Existen diversas maneras de minimizar esta amenaza:
No inicie una sesión, ni permita que nadie lo haga, utilizando la autenticación básica con una cuenta con un elevado nivel de derechos de inicio de sesión de usuario. Configure la caché del símbolo para que no almacene símbolos estableciendo la clave del Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\InetInfo\Parameters FlushTokenCache en un valor distinto de cero, o bien, configure un intervalo de tiempo breve para símbolos de usuario en caché estableciendo la entrada del Registro global, UserTokenTTL, en menos de los 15 minutos predeterminados. Al establecer UserTokenTTL en 0 se deshabilita el vaciado de símbolos basado en TTL. Cuando se deshabilita el vaciado de símbolos basado en TTL, los símbolos de usuario permanecen en caché hasta que se reinicie IIS o se recicle el proceso de trabajo. Vea UserTokenTTL en Global Registry Entries. Antes de editar el Registro, asegúrese de saber cómo restaurarlo si se produce algún problema. El uso incorrecto del Editor del registro puede causar graves problemas que requieran una nueva instalación del sistema operativo. Puesto que el Editor del registro omite las medidas de Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 26/84
UNED. Administración de Sitios Web. Código 3102.
2009
seguridad estándar que impiden la especificación de configuraciones que originen conflictos o que puedan reducir el rendimiento del sistema o dañarlo, debe tener cuidado al realizar cambios en el registro. Microsoft no puede garantizar la resolución de problemas originados por el uso incorrecto del Editor del registro.. Observe que debe realizar una copia de seguridad del Registro antes de editarlo. Si ejecuta Microsoft® Windows NT® Server o una versión posterior, deberá actualizar también su Disco de reparación de emergencia (ERD). a. para configurar el almacenamiento en caché del símbolo 1. En el menú Inicio, haga clic en Ejecutar. 2. En el cuadro Abrir, escriba Regedit.exe y haga clic en Aceptar. 3. Desplácese y haga doble clic en la siguiente clave del registro: 4. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\InetInfo\Parameters. 5. En el menú Modificar, elija Agregar, haga clic en Valor DWORD y agregue el siguiente valor del Registro: Nombre: UserTokenTTL Tipo: REG_DWORD Tipo de datos: número de segundos para símbolos de usuario en caché o 0 para deshabilitar el almacenamiento en caché del símbolo 6. Salga del Editor del Registro. 7. Reinicie IIS. 4.2.5 Autenticación de texto implícita en IIS 6.0 La autenticación de texto implícita ofrece las mismas funciones que la autenticación básica, pero la primera supone una mejora en la seguridad debido a la forma en que se envían las credenciales del usuario a través de la red. La autenticación de texto implícita transmite las credenciales a través de la red como un Hash MD5, también conocido como síntesis del mensaje, en el que el nombre de usuario y la contraseña originales no pueden descifrarse a partir del hash. La autenticación de texto implícita está disponible para los directorios del Sistema distribuido de creación y control de versiones Web (WebDAV, Web Distributed Authoring and Versioning). La autenticación de texto implícita requiere compatibilidad con HTTP 1.1.
Configurar la autenticación de texto implícita en IIS 6.0 Describe cómo configurar la autenticación de texto implícita. Configurar la subautenticación en un dominio de Windows 2000: Describe cómo configurar la subautenticación para poder utilizar la autenticación de texto implícita en un dominio de Windows 2000.
4.2.5.1 Configurar la autenticación de texto implícita en IIS 6.0 Para configurar la autenticación de texto implícita en el servidor que ejecuta IIS se requieren las dos tareas siguientes: Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 27/84
UNED. Administración de Sitios Web. Código 3102.
2009
Habilitar la autenticación de texto implícita para los servidores de dominio Windows Configurar el nombre de territorio
a. Para habilitar la autenticación de texto implícita para servidores de dominio Windows y configurar el nombre de territorio 1. En el Administrador IIS, haga clic con el botón secundario del mouse en la carpeta Sitios Web, sitio Web, directorio, directorio virtual o archivo y, después, haga clic en Propiedades. La configuración que se realiza en la carpeta Sitios Web la pueden heredar todos los sitios Web. 2. Haga clic en la ficha Seguridad de directorios o Seguridad de archivos, según el nivel en el que desee configurar la seguridad. 3. En la sección Control de autenticación y acceso anónimo, haga clic en Modificar. 4. En la sección Acceso autenticado, active la casilla de verificación Autenticación de texto implícita para servidores de dominio Windows. 5. En el cuadro Territorio, escriba el nombre de territorio o haga clic en Seleccionar para buscar un dominio. 6. Haga clic en Aceptar dos veces. 7. Reinicie el W3SVC. Si se habilitó la autenticación básica para el sitio, directorio virtual o carpeta que está configurando, el cuadro Dominio predeterminado también estará disponible. Sin embargo, sólo el Territorio es relevante para la autenticación de texto implícita. 4.2.5.2 Configurar la subautenticación en un dominio de Windows 2000 Para utilizar la autenticación de texto implícita en IIS 6.0 cuando el controlador de dominio está ejecutando Windows 2000 Server, debe habilitar la subautenticación, la cual no se instala en IIS 6.0 de forma predeterminada. Para habilitar la subautenticación, son necesarios tres pasos:
Registrar el componente de subautenticación, Iissuba.dll. Establecer UseDigestSSP Metabase Property (propiedad de la metabase) en false. Establecer la identidad del grupo de aplicaciones en LocalSystem.
a. Para registrar el componente de subautenticación 1. En el menú Inicio, haga clic en Ejecutar. 2. En el cuadro Abrir, escriba cmd y, a continuación, haga clic en Aceptar. 3. En el símbolo del sistema, escriba lo siguiente y, a continuación, presione ENTRAR. rundll32 %systemroot%\system32\iissuba.dll,RegisterIISSUBA. 4. Para cualquier grupo de aplicaciones que utilice la autenticación de texto implícita, establezca la identidad en LocalSystem. Cuando no vaya a utilizar la subautenticación, elimine el registro del componente de subautenticación. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 28/84
UNED. Administración de Sitios Web. Código 3102.
2009
b. Para eliminar el registro del componente de subautenticación 1. En el menú Inicio, haga clic en Ejecutar. 2. En el cuadro Abrir, escriba cmd y, a continuación, haga clic en Aceptar. 3. En el símbolo del sistema, escriba lo siguiente y, a continuación, presione ENTRAR. rundll32 %systemroot%\system32\iissuba.dll,UnregisterIISSUBA. 4.2.6 Autenticación de texto implícita avanzada en IIS 6.0 En la autenticación de texto implícita avanzada las credenciales de usuario se almacenan en forma de hash MD5 en el controlador de dominio. Dado que las credenciales se almacenan en Active Directory como un hash MD5, las contraseñas de usuario no son fáciles de descubrir por alguien que tenga acceso al controlador de dominio, ni siquiera el administrador del dominio. La autenticación de texto implícita avanzada está disponible para los directorios del Sistema distribuido de creación y control de versiones Web (WebDAV, Web Distributed Authoring and Versioning). En IIS 6.0 es preferible utilizar la autenticación de texto implícito avanzada en lugar de la autenticación de texto implícito, aunque esta última también está disponible. La autenticación de texto implícito avanzada se basa en el protocolo HTTP 1.1. La autenticación de texto implícito avanzada utiliza UseDigestSSP Metabase Property. Esta clave de la metabase es un conmutador de la Interfaz de proveedor de soporte de seguridad (SSPI) entre el código de la autenticación de texto implícita y el de la autenticación de texto implícita avanzada. Tras establecer la clave, los únicos valores de propiedad válidos son 1 (true), 0 (false) o vacío. Si se establece la propiedad en true, se utiliza el nuevo código SSPI para la autenticación de texto implícita avanzada. En todos los demás casos (false, vacío o no establecido), IIS utiliza el código de autenticación de texto implícita. Para que los cambios realizados en UseDigestSSP surtan efecto es necesario reiniciar el servicio de publicación World Wide Web (servicio WWW). Para configurar la autenticación de texto implícita avanzada en el servidor que ejecuta IIS se requieren las tres tareas siguientes:
Habilitar la autenticación de texto implícita para los servidores de dominio Windows Configurar el nombre de territorio Establecer UseDigestSSP (propiedad de la metabase) en true. Puede configurar la propiedad de la metabase UseDigestSSP en el nivel W3SVC de la metabase. Cada clave secundaria hereda la configuración del nivel superior a ella.
Si sigue los dos primeros procedimientos pero no configura la clave de la propiedad de la metabase UseDigestSSP, utilizará la autenticación de texto implícita, en lugar de la autenticación de texto implícita avanzada. a. Para habilitar la autenticación de texto implícita avanzada y configurar el nombre de territorio para servidores de dominio Windows 1. En el Administrador IIS, haga clic con el botón secundario del mouse en la carpeta Sitios Web, sitio Web, directorio, directorio virtual o archivo y, después, haga clic en Propiedades. 2. Haga clic en la ficha Seguridad de directorios o Seguridad de archivos, según el nivel en el que desee configurar la seguridad. 3. En la sección Control de autenticación y acceso anónimo, haga clic en Modificar.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 29/84
UNED. Administración de Sitios Web. Código 3102.
2009
4. En la sección Acceso autenticado, active la casilla de verificación Autenticación de texto implícita para servidores de dominio Windows. 5. En el cuadro Territorio, escriba el nombre de territorio o haga clic en Seleccionar para buscar un dominio. Si se habilitó la autenticación básica para el sitio, directorio virtual o carpeta que está configurando, el cuadro Dominio predeterminado también estará disponible. Sin embargo, sólo el territorio es relevante para la autenticación de texto implícita avanzada. 6. Haga clic en Aceptar dos veces. 7. Reinicie el W3SVC. 4.2.7 Autenticación de Windows integrada en IIS 6.0 La autenticación de Windows integrada (anteriormente llamada NTLM, también denominada autenticación de desafío y respuesta de Windows NT) es un método de autenticación seguro, ya que el nombre de usuario y la contraseña se procesan con el método de hash antes de enviarlos a través de la red. Al habilitar la autenticación de Windows integrada, el explorador del usuario demuestra que conoce la contraseña mediante un intercambio criptográfico con el servidor Web, en el que interviene el método de hash. La autenticación de Windows integrada está deshabilitada de manera predeterminada si instala el Service Pack 1 (SP1) de Windows Server 2003 como parte de la instalación no primaria de un sistema operativo Windows Server 2003. Si instala el SP1 de Windows Server 2003 por separado, como actualización de un sistema operativo Windows Server 2003, no se modifica la configuración de Autenticación de Windows integrada con respecto a la configuración de Windows Server 2003. De manera predeterminada, la configuración de Autenticación de Windows integrada se habilita para sistemas operativos Windows Server 2003.
4.2.7.1 Configurar la autenticación de Windows integrada en IIS 6.0 La autenticación de Windows integrada se llamaba anteriormente NTLM. Este método de autenticación envía un hash del nombre de usuario y la contraseña a través de la red. La autenticación de Windows integrada está deshabilitada de manera predeterminada si instala el Service Pack 1 (SP1) de Windows Server 2003 como parte de la instalación no primaria de un sistema operativo Windows Server 2003. Si instala SP1 de Windows Server 2003 por sí mismo como una actualización de un sistema operativo Windows Server 2003, la configuración de la autenticación de Windows integrada no cambia con respecto a la configuración de Windows Server 2003. La autenticación integrada de Windows está habilitada de manera predeterminada para los sistemas operativos Windows Server 2003. a. Para configurar la autenticación de Windows integrada 1. En el Administrador IIS, haga doble clic en el equipo local, haga clic con el botón secundario del mouse en la carpeta Sitios Web, en una carpeta de sitio Web individual, un directorio virtual o un archivo, y, a continuación, haga clic en Propiedades. 2. Haga clic en la ficha Seguridad de directorios o Seguridad de archivo y, luego, en la sección Autenticación y control de acceso, haga clic en Modificar. 3. En la sección Acceso autenticado, active la casilla de verificación Autenticación de Windows integrada. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 30/84
UNED. Administración de Sitios Web. Código 3102.
2009
4. Haga clic en Aceptar dos veces. 4.2.7.2 Configurar la delegación limitada para Kerberos La delegación limitada, una nueva opción en Windows Server 2003, está pensada para que sea utilizada por cuentas de servicios, que deben haber registrado nombres principales del servicio (SPN), en lugar de por una cuenta de usuario habitual, que normalmente no dispone de un SPN. La utilidad de línea de comandos Setspn.exe permite leer, modificar y eliminar SPN para una propiedad de Active Directory. Setspn.exe está disponible en el paquete de herramientas de soporte que se encuentra en el CD-ROM de Windows Server 2003. a. Para configurar la delegación limitada 1. Instale el paquete de herramientas de soporte que se encuentra en el CD-ROM de Windows Server 2003. 2. Haga clic en Inicio, señale Programas o Todos los programas, Herramientas de soporte técnico de Windows y, a continuación, haga clic en Símbolo del sistema. 3. En el símbolo del sistema, escriba el siguiente comando: setspn -a http/SiteName.DomainName.com Domain \User donde nombreDelSitio.nombreDeDominio.com es el sitio Web cuyo grupo de aplicaciones se ejecuta con la identidad personalizada que creó. Por ejemplo, el siguiente comando asigna "http/contosohr.contoso.com" a la identidad personalizada CONTOSO\cd1hr. El prefijo http/ es una clase de servicio que identifica a éste como un SPN de un sitio Web. setspn -a http/contosohr.contoso.com CONTOSO\cd1hr A continuación se incluye otro modo de especificar el mismo SPN simplemente utilizando el nombreDeSitio: setspn -a http/contosohr CONTOSO\cd1hr Si registra SPN duplicados de una manera accidental, puede utilizar Setspn.exe para eliminar el SPN duplicado Si está configurando servidores que ejecutan IIS 6.0 en un dominio de Windows 2000 Server, puede utilizar la versión de Setspn.exe que acompaña a Windows Server 2003 o la versión que incluye Windows 2000 Server. 4.2.7.3 Forzar la autenticación NTLM En las siguientes situaciones, la autenticación Kerberos genera errores y debe forzar a IIS a utilizar la autenticación NTLM mediante el establecimiento de NTAuthenticationProviders Metabase Property en NTLM.
Kerberos produce un error cuando se aíslan sitios Web en un directorio virtual configurando las identidades de los procesos de trabajo como cuentas de dominio diferentes. La autenticación Kerberos no funciona bien si utiliza la autenticación de Windows integrada, si no utiliza un nombre WINS o DNS para el servidor que ejecuta IIS y desea utilizar una cuenta de usuario local o la cuenta LocalService como una identidad de proceso de trabajo. El error se produce porque Active Directory no confía en estas cuentas. a. Para forzar la autenticación NTLM Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 31/84
UNED. Administración de Sitios Web. Código 3102.
2009
1. En el Administrador IIS haga clic con el botón secundario del mouse en el equipo local y, a continuación, haga clic en Propiedades. 2. Active la casilla de verificación Habilitar la modificación directa de archivos de metabase y, a continuación, haga clic en Aceptar. 3. Haga clic en Inicio, Ejecutar, escriba cmd y haga clic en Aceptar. 4. En el símbolo del sistema, escriba el siguiente comando para cambiar el directorio donde está ubicado el archivo MetaBase.xml: cd %systemroot%\system32\inetsrv 5. Para abrir el archivo con el Bloc de notas, escriba lo siguiente en el símbolo del sistema: notepad MetaBase.xml 6. En la sección <IISWebServer>, busque la propiedad NTAuthenticationProviders y cambie su valor por "NTLM".
de
la
metabase
7. Guarde los cambios y cierre el archivo MetaBase.xml. 4.2.8 Controlar el acceso con IIS 6.0 Es posible controlar a qué usuarios y equipos se permite el acceso al servidor Web y sus recursos. Puede utilizar las características de seguridad de NTFS y de Servicios de Internet Information Server (IIS), como permisos Web y restricciones de direcciones IP, para tener derechos de acceso específicos a sitios Web, directorios y archivos. Esta sección incluye la siguiente información: 4.2.8.1 Proteger archivos con permisos NTFS Se recomienda utilizar el sistema de archivos NTFS en lugar del sistema de archivos FAT o FAT32 para el servidor de aplicaciones. Con NTFS puede limitar el acceso a los archivos y directorios del servidor Web. También puede configurar el nivel de acceso concedido a un determinado usuario o grupo de usuarios para los archivos y directorios del servidor. a. Prácticas recomendadas para proteger archivos con permisos de NTFS Preste atención a estas prácticas recomendadas para configurar permisos de NTFS:
Asigne permisos a grupos en lugar de usuarios. Dado que mantener directamente cuentas de usuario resulta ineficiente, asignar permisos a usuarios individuales debería ser la excepción. Si es posible, evite cambiar las entradas de permiso predeterminadas de los objetos del sistema de archivos, especialmente de carpetas de sistema y carpetas raíz. El cambio de permisos predeterminados puede causar problemas de acceso inesperados o reducir la seguridad. Nunca deniegue al grupo Todos el acceso a un objeto. Si deniega el permiso de Todos a un objeto, también incluirá a los administradores. Una solución mejor es eliminar el grupo Todos, siempre y cuando conceda permisos a otros usuarios, grupos o equipos para dicho objeto. También puede que deba asignar Control completo al grupo Administradores y LocalSystem. Los permisos Denegar heredados no impiden el acceso a un objeto cuando éste tiene una entrada de permiso Permitir explícita. Los permisos explícitos tienen mayor prioridad que los permisos heredados, incluidos los permisos Denegar heredados.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 32/84
UNED. Administración de Sitios Web. Código 3102.
2009
Los permisos Denegar sólo deben utilizarse en los siguientes casos especiales: Para excluir un subconjunto de un grupo que tenga permisos Permitido. Para excluir un permiso especial cuando ya se ha asignado Control completo a un usuario o grupo. Debe tener cuidado al configurar los permisos de NTFS del sitio Web. Los permisos establecidos incorrectamente pueden denegar a usuarios válidos el acceso a archivos o directorios necesarios. Por ejemplo, aunque un usuario tenga los derechos de usuario correctos para ver y ejecutar un programa, puede que no tenga permiso de acceso a una biblioteca de vínculos dinámicos (DLL) necesaria para ejecutar ese programa. Para garantizar a los usuarios el acceso seguro e ininterrumpido a los archivos, coloque los archivos relacionados en el mismo directorio y, después, asigne los permisos de NTFS adecuados al directorio.
b. Establecer permisos de NTFS para directorios o archivos Se puede controlar el acceso a los directorios y archivos del sitio Web si se establecen permisos de acceso de NTFS. Con estos permisos, puede definir el nivel de acceso que desea conceder a usuarios específicos y grupos de usuarios. La configuración adecuada de los permisos de archivos y directorios es crucial para impedir el acceso no autorizado a los recursos. En este tema se explican los procedimientos acerca de cómo proteger sitios Web mediante el Administrador IIS, que permite establecer permisos para sitios Web, directorios y directorios virtuales. Los archivos heredan los permisos de los directorios. Para establecer permisos para archivos individuales, utilice una solución mediante programación, como Adsutil.vbs IIS Administration Utility.
b.1 Proteger un sitio Web mediante permisos de NTFS Se puede reforzar la seguridad de un sitio Web configurando permisos de NTFS para directorios, directorios virtuales o el propio sitio Web. b.1.1 Para proteger un sitio Web mediante permisos de NTFS 1. En el Administrador IIS, expanda el equipo local, haga clic con el botón secundario del mouse en un sitio Web o archivo y, después, haga clic en Permisos. Realice una de las acciones siguientes:
Tarea
Procedimiento
Agregar un grupo o usuario que no aparece en el cuadro de lista Nombres de grupos o usuarios.
Cambiar o quitar permisos de un grupo o usuario existente.
a. b.
Haga clic en Agregar. En el cuadro Escriba el nombre del objeto a seleccionar, escriba el nombre del usuario o el grupo y, a continuación, haga clic en Aceptar.
En el cuadro de lista Nombres de grupos o usuarios, haga clic en el nombre del grupo o usuario.
2. Para conceder o denegar un permiso específico, en el cuadro de lista Permisos para Usuario o grupo, active la casilla de verificación Permitir o Denegar. Los permisos Denegar heredados no impiden el acceso a un objeto cuando éste tiene una entrada de permiso Permitir explícita. Los permisos explícitos tienen mayor prioridad que los permisos heredados, incluidos los permisos Denegar heredados. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 33/84
UNED. Administración de Sitios Web. Código 3102.
2009
b.1.2 Proteger un sitio Web mediante permisos especiales de NTFS Con los permisos de NTFS, puede asignar permisos especiales a grupos o usuarios. Los permisos especiales son permisos más detallados. Para una mejor administración, debe asignar permisos generales a usuarios o grupos, siempre que sea posible. b.1.2.1 Para proteger un sitio Web mediante permisos especiales de NTFS 1. En el Administrador IIS, expanda el equipo local, haga clic con el botón secundario del mouse en un sitio Web, directorio o directorio virtual y, después, haga clic en Permisos. 2. Haga clic en la ficha Avanzadas y, a continuación, realice una de las acciones siguientes:
Para
Lleve a cabo esta acción
Establecer permisos especiales para otro usuario o grupo
Haga clic en Agregar y, en el cuadro Escriba el nombre del objeto a seleccionar, escriba el nombre del usuario o grupo y, a continuación, haga clic en Aceptar.
Ver o cambiar permisos especiales para un grupo o usuario existente
Haga clic en el nombre del grupo o usuario y, a continuación, seleccione Editar.
Quitar un grupo o usuario existente y sus permisos especiales
Haga clic en el nombre del grupo o usuario y, a continuación, seleccione Quitar. Si el botón Quitar no está disponible, desactive la casilla de verificación Permitir que los permisos heredables del primario se propaguen a este objeto y a todos los objetos secundarios. Incluirlos junto con las entradas indicadas aquí de forma explícita. y, a continuación, haga clic en Quitar. Haga clic en Aceptar y omita los pasos 3-6 siguientes.
3. En el cuadro Permisos, active o desactive las casillas de verificación Permitir o Denegar adecuadas. 4. En el cuadro de lista Aplicar en, haga clic en las carpetas o subcarpetas a las que desee aplicar estos permisos. 5. Para impedir que las subcarpetas y archivos hereden estos permisos, desactive la casilla de verificación Aplicar estos permisos a objetos y/o contenedores sólo dentro de este contenedor. 6. Haga clic en Aceptar tres veces. 4.2.8.2 Proteger sitios con permisos de sitio Web Los permisos de sitio Web no están pensados para ser utilizados en lugar de los permisos de NTFS. En su lugar, se utilizan conjuntamente con los permisos de NTFS para reforzar la seguridad del contenido del sitio Web. Los permisos de acceso al sitio Web se pueden configurar para determinados archivos, directorios y sitios. A diferencia de los permisos de NTFS, los permisos de sitio Web afectan a todos los usuarios que intentan tener acceso al sitio Web. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 34/84
UNED. Administración de Sitios Web. Código 3102.
2009
Las siguientes condiciones se aplican al establecimiento de permisos:
Si los permisos de sitio Web entran en conflicto con los permisos de NTFS para un directorio o archivo, se aplicará la configuración más restrictiva. Deshabilitar los permisos supone una restricción para todos los usuarios. Por ejemplo, al deshabilitar el permiso Lectura se impide a todos los usuarios que vean un archivo, independientemente de los permisos de NTFS aplicados a esas cuentas de usuario. Sin embargo, al habilitar el permiso Lectura se puede permitir a todos los usuarios ver ese archivo, a menos que se hayan aplicado también permisos de NTFS que restrinjan el acceso. Si se establecen permisos de NTFS y de IIS, aquéllos que denieguen explícitamente el acceso tienen prioridad sobre los permisos que lo concedan.
a. Para establecer permisos para el contenido Web (incluido WebDAV) 1. En el Administrador IIS, haga doble clic en el equipo local, haga clic con el botón secundario del mouse en la carpeta Sitios Web, en una carpeta de sitio Web individual, un directorio virtual o un archivo, y, a continuación, haga clic en Propiedades. 2. En la hoja de propiedades Directorio principal, Directorio virtual o Archivo, active o desactive cualquiera de las casillas de verificación siguientes (si están disponibles):
Lectura (activada de forma predeterminada). Los usuarios pueden ver el contenido del archivo o directorio y sus propiedades. Escritura. Los usuarios pueden cambiar el contenido del archivo o directorio y sus propiedades. Acceso al código fuente de secuencias de comandos. Los usuarios pueden tener acceso al código fuente de los archivos. Si la casilla de verificación Lectura está seleccionada, el código fuente se puede leer y, si la casilla de verificación Escritura está activada, se puede escribir en el código fuente. La casilla de verificación Acceso al código fuente de secuencias de comandos incluye el código fuente de secuencias de comandos. Esta opción no está disponible si no se han activado las casillas de verificación Lectura ni Escritura.
Cuando se selecciona Acceso al código fuente de secuencias de comandos, es posible que los usuarios puedan ver información confidencial como el nombre de usuario y la contraseña. También es posible que puedan cambiar el código fuente que se ejecuta en el servidor, con lo que la configuración y el rendimiento del servidor se podrían ver considerablemente afectados.
Examen de directorios. Los usuarios pueden ver listas y recopilaciones de archivos. Registrar visitas. Se crea una entrada de registro por cada visita al sitio Web. Indizar este recurso Permite al servicio de Index Server indizar este recurso. Esto permite poder realizar búsquedas en el recurso. 2. En Permisos de ejecución seleccione el nivel apropiado de ejecución de secuencias de comandos: Ninguno. No se ejecutan secuencias de comandos ni archivos ejecutables en el servidor. Sólo secuencias de comandos. Sólo se ejecutan secuencias de comandos en el servidor. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 35/84
UNED. Administración de Sitios Web. Código 3102.
2009
Sec. comandos y ejecutables. Se ejecutan secuencias de comandos y archivos ejecutables en el servidor. 3. Haga clic en Aceptar.
4.2.8.3 Permitir el acceso anónimo a los sitios Web El acceso anónimo, el método de control de acceso a sitios Web más habitual, permite a cualquier usuario visitar las áreas públicas de los sitios Web. En IIS 6.0, a los usuarios anónimos se les asigna de manera predeterminada la cuenta IUSR_nombreDeEquipo, que es una cuenta de Windows válida que forma parte del grupo Invitados. La cuenta IUSR_nombreDeEquipo puede definirse en un equipo o en un dominio. a. Para crear una cuenta de usuario de "inicio de sesión anónimo" nueva 1. Cambie la cuenta utilizada para la autenticación anónima. 2. Asigne los siguientes permisos de NTFS del directorio del sitio Web para la cuenta anónima: Leer y ejecutar, Mostrar el contenido de la carpeta y Leer. Cuando establezca permisos de sitio Web, debe tener en cuenta que todas las subcarpetas y archivos heredan esos permisos de forma predeterminada 3. Por motivos de seguridad, a fin de ejecutar la mayoría de los archivos ejecutables (como Cmd.exe) en la carpeta del sistema, debe ser miembro del grupo Administradores o de las cuentas del sistema local, interactiva o de servicio. De esta manera se limita el acceso remoto a los administradores, y un usuario anónimo no podrá ejecutar estos ejecutables (como un programa CGI). En IIS 6.0, la cuenta IUSR_nombreDeEquipo no tiene acceso de escritura al contenido Web de manera predeterminada. 4.2.8.4 Configurar identidades del proceso de trabajo En versiones anteriores de IIS, los procesos de trabajo se ejecutaban como la cuenta LocalSystem. Debido a que la cuenta LocalSystem tiene acceso a casi todos los recursos en el sistema operativo, esto tenía graves implicaciones de seguridad. IIS 6.0 ofrece mejor seguridad, ya que el proceso de trabajo se ejecuta de forma predeterminada en la nueva cuenta Servicio de red integrada. IIS 6.0 también permite configurar con qué cuenta se ejecutan los procesos de trabajo. Tiene la posibilidad de utilizar una de las tres cuentas predefinidas o de crear su propia cuenta. a. Configurar una identidad de proceso de trabajo mediante una cuenta predefinida Puede configurar una cuenta predefinida, por ejemplo, Servicio de red, Servicio local o Sistema local, como identidad del proceso de trabajo de un grupo de aplicaciones. a.1 Para configurar una identidad del proceso de trabajo para un grupo de aplicaciones utilizando una cuenta predefinida 1. En el Administrador IIS, expanda el equipo local, expanda la carpeta Grupos de aplicaciones, haga clic con el botón secundario del mouse en el grupo de aplicaciones que desee configurar y después, haga clic en Propiedades. 2. Haga clic en la ficha Identidad. 3. Haga clic en Predefinida y, en el cuadro de lista que hay situado a su lado, haga clic en Servicio de red, Servicio local o Sistema local. Servicio de red, Servicio local y Sistema local son miembros del grupo IIS_WPG. 4. Haga clic en Aceptar. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 36/84
UNED. Administración de Sitios Web. Código 3102.
2009
b. Configurar una identidad de proceso de trabajo mediante una cuenta configurable Puede configurar una cuenta personalizada para utilizarla como identidad del proceso de trabajo para un grupo de aplicaciones. b.1 Para configurar una identidad del proceso de trabajo para un grupo de aplicaciones utilizando una cuenta configurable 1. En el Administrador IIS, expanda el equipo local, expanda la carpeta Grupos de aplicaciones, haga clic con el botón secundario del mouse en el grupo de aplicaciones que desee configurar y después, haga clic en Propiedades. 2. Haga clic en la ficha Identidad. 3. Haga clic en Configurable. 4. Haga clic en Examinar y, debajo de Escriba el nombre de objeto a seleccionar, escriba el nombre de cuenta con el que desea que se ejecute el proceso de trabajo. Haga clic en Aceptar. 5. En el cuadro Contraseña, escriba la contraseña asociada con esta cuenta. Si no hay ninguna contraseña asociada con la cuenta, deje en blanco el cuadro Contraseña. 6. Haga clic en Aceptar. 7. Agregue la cuenta que acaba de crear al grupo IIS_WPG. 8. Si la cuenta que acaba de crear debe poder iniciar los procesos CGI, asigne a esta cuenta los siguientes derechos de usuario: Ajustar las cuotas de memoria de un proceso y Reemplazar un símbolo de nivel de proceso. c. Configurar aplicaciones que se ejecuten independientemente de las demás El aislamiento de aplicaciones es la separación de aplicaciones mediante límites de procesos para impedir que se afecten entre sí. Para el modo de aislamiento de procesos de trabajo, puede configurar el aislamiento utilizando grupos de aplicaciones. Puede colocar aplicaciones individuales en su propio grupo de aplicaciones o agrupar varias aplicaciones en un solo grupo de aplicaciones individuales. c.1 Para configurar aplicaciones que se ejecuten independientemente de las demás 1. Cree una nueva cuenta y configure una identidad del proceso de trabajo para un grupo de aplicaciones. 2. Agregue la cuenta al grupo IIS_WPG. El grupo IIS_WPG tiene de forma predeterminada los permisos Lectura y ejecución, Mostrar el contenido de la carpeta y Lectura en cada directorio del sitio Web. En el caso de que la cuenta no esté en el grupo IIS_WPG y no tenga los permisos adecuados, el proceso de trabajo no se podrá iniciar. 4.2.9 Proteger sitios con restricciones de direcciones IP Puede configurar los sitios Web y FTP para conceder o denegar que determinados equipos, grupos de equipos o dominios tengan acceso a sitios Web, sitios FTP, directorios o archivos. Por ejemplo, si el servidor de la intranet está conectado a Internet, puede impedir que usuarios de Internet obtengan acceso a su servidor concediendo acceso únicamente a los miembros de la intranet y denegando explícitamente el acceso a los usuarios externos. Las restricciones de direcciones IP sólo se aplican a las direcciones IPv4.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 37/84
UNED. Administración de Sitios Web. Código 3102.
2009
En Service Pack 1 (SP1) de Windows Server 2003, HTTP.sys no almacenará en caché el contenido de un sitio Web con direcciones IP restringidas. En ese caso, puede utilizar Seguridad del protocolo de Internet (IPSec) en lugar de la restricción de direcciones IP. 4.2.9.1 Conceder o denegar el acceso a un equipo Utilice el siguiente procedimiento para conceder o denegar el acceso a un determinado equipo a. Para conceder o denegar el acceso a un equipo 1. En el Administrador IIS, haga doble clic en el equipo local, haga clic con el botón secundario del mouse en la carpeta Sitios Web o Sitios FTP, en un sitio Web o FTP individual o en un archivo y, a continuación, haga clic en Propiedades. La configuración realizada en el nivel de sitios Web o FTP se hereda en todos los sitios Web o FTP del servidor. Puede reemplazar la herencia configurando el sitio individual o un elemento del sitio. 2. Haga clic en la ficha Seguridad de directorios o Seguridad de archivo y realice una de las acciones siguientes:
Para sitios Web, en la sección Restricciones de nombre de dominio y dirección IP, haga clic en Modificar. Para sitios FTP, continúe con el paso siguiente. 3. Haga clic en Concederá el acceso o Denegará el acceso. Si selecciona Denegará el acceso, denegará el acceso a todos los equipos y dominios, excepto a aquellos a los que conceda el acceso específicamente. Si selecciona Concederá el acceso, concederá el acceso a todos los equipos y dominios, excepto a aquellos a los que deniegue el acceso específicamente. 4. Haga clic en Agregar y, después, en Un equipo único. 5. Haga clic en Consultar DNS para buscar los equipos o dominios por nombre, en vez de por dirección IP. 6. Escriba el nombre DNS del equipo. IIS busca el equipo en el dominio actual y, si lo encuentra, escribe su dirección IP en el cuadro de texto Dirección IP. Es importante recordar la información siguiente al utilizar la característica Consultar DNS:
Provoca una disminución del rendimiento del servidor mientras busca direcciones DNS. Un usuario que tenga acceso al servidor Web mediante un servidor proxy parecerá que tiene la dirección IP del servidor proxy. Algunos problemas de acceso al servidor de usuarios se pueden corregir especificando la sintaxis "*.nombreDeDominio.com" en lugar de la sintaxis "nombreDeDominio.com". 7. Haga clic en Aceptar tres veces.
4.2.9.2 Conceder o negar el acceso a un dominio Realice el procedimiento siguiente para conceder o negar el acceso a un dominio específico.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 38/84
UNED. Administración de Sitios Web. Código 3102.
2009
a. Para conceder o negar el acceso a un dominio 1. En el Administrador IIS, haga doble clic en el equipo local, haga clic con el botón secundario del mouse en la carpeta Sitios Web o Sitios FTP, en un sitio Web o FTP individual o en un archivo y, a continuación, haga clic en Propiedades. 2. Haga clic en la ficha Seguridad de directorios o Seguridad de archivo y, después, realice uno de los procedimientos siguientes:
Para los sitios Web, en la sección Restricciones de nombre de dominio y dirección IP, haga clic en Modificar. Para los sitios FTP, continúe en el paso siguiente. 3. Haga clic en Concederá el acceso o Denegará el acceso. Si selecciona Denegará el acceso, negará el acceso a todos los equipos y dominios, excepto a los que conceda el acceso específicamente. Si selecciona Concederá el acceso, concederá el acceso a todos los equipos y dominios, excepto a los que niegue el acceso específicamente. 4. Haga clic en Agregar y, después, en Nombre de dominio. 5. En el cuadro Nombre de dominio, escriba el nombre del dominio y haga clic en Aceptar tres veces. 4.2.9.3 Conceder o negar el acceso a un grupo de equipos Es posible denegar o conceder acceso a un grupo de equipos según su Id. de red y su máscara de subred. Por ejemplo, si el equipo host tiene la dirección IP 172.16.16.1 y la máscara de subred 255.255.0.0, las direcciones IP de todos los equipos de dicha subred empezarían por 172.16. Para seleccionar todos los equipos de la subred, escriba 172.16.16.1 en el cuadro Id. de la red y 255.255.0.0 en el cuadro Máscara de subred. a. Para conceder o denegar el acceso a un grupo de equipos 1. En el Administrador IIS, haga doble clic en el equipo local, haga clic con el botón secundario del mouse en la carpeta Sitios Web o Sitios FTP, en un sitio Web o FTP individual o en un archivo y, a continuación, haga clic en Propiedades. 2. Haga clic en la ficha Seguridad de directorios o Seguridad de archivos y realice una de las siguientes acciones:
Para sitios Web, en la sección Restricciones de nombre de dominio y dirección IP, haga clic en Modificar. Para sitios FTP, continúe en el paso siguiente. 3. Haga clic en Concederá el acceso o Denegará el acceso. Si selecciona Denegará el acceso, denegará el acceso a todos los equipos y dominios, excepto a aquellos a los que conceda el acceso específicamente. Si selecciona Concederá el acceso, concederá el acceso a todos los equipos y dominios, excepto a aquellos a los que deniegue el acceso específicamente. 4. Haga clic en Agregar y, a continuación, en Un grupo de equipos. 5. En el cuadro Id. de la red, escriba la dirección IP del equipo host. 6. En el cuadro Máscara de subred, escriba el Id. de subred del equipo al que desea conceder o denegar acceso y, a continuación, haga clic en Aceptar tres veces.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 39/84
UNED. Administración de Sitios Web. Código 3102.
2009
4.2.10 Proteger directorios virtuales Puede proteger los directorios virtuales utilizando la autenticación de usuarios locales. IIS admite controlar el acceso a directorios y archivos de un equipo local mediante utilizando todos los métodos de autenticación de Windows. 4.2.10.1 Proteger un directorio virtual Puede configurar permisos de acceso al crear un directorio virtual. a. Para crear un directorio virtual seguro asignado a recursos en el equipo local 1. En el Administrador IIS, expanda el equipo local, expanda la carpeta Sitios Web, haga clic con el botón secundario del mouse en el sitio Web o en la carpeta en cuyo interior desee crear el directorio virtual, seleccione Nuevo y, a continuación, haga clic en Directorio virtual. 2. Haga clic en Siguiente. 3. En el cuadro Alias, escriba el alias del nuevo directorio virtual y, a continuación, haga clic en Siguiente. 4. En el cuadro Ruta de acceso, escriba la ruta de acceso al directorio virtual y, a continuación, haga clic en Siguiente. 5. Active las casillas de verificación correspondientes para los permisos de acceso que desea conceder y desactive las casillas de verificación de los permisos que desea denegar. 6. Haga clic en Siguiente para completar el asistente. b. Cambiar la seguridad de un directorio virtual existente Para proteger el contenido de un directorio virtual existente, puede cambiar los permisos de acceso sobre el directorio virtual. Para cambiar la seguridad de un directorio virtual existente asignado a recursos en el equipo local 1. En el Administrador IIS, haga clic con el botón secundario del mouse en el directorio virtual que desea proteger y, a continuación, haga clic en Propiedades. 2. En la ficha Directorio virtual, en Ruta de acceso local, active las casillas de verificación para los permisos de acceso que desea conceder, y desactive las casillas de verificación para los permisos que desea denegar. 3. Haga clic en Aceptar. 4.2.10.2 Autorización de direcciones URL en IIS 6.0 La autorización de direcciones URL simplifica la administración del acceso al autorizar a los usuarios el acceso a las direcciones URL comprendidas en una aplicación Web. IIS 6.0 funciona con el Administrador de autorización, una herramienta de administración que está disponible con los sistemas operativos de Microsoft Windows Server 2003, para implementar la autorización de direcciones URL de IIS. Para utilizar la autorización de direcciones URL en IIS 6.0 debe llevar a cabo las siguientes tareas de configuración, en el orden indicado a continuación:
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 40/84
UNED. Administración de Sitios Web. Código 3102.
2009
Deshabilitar el acceso anónimo para una aplicación, directorio virtual o sitio Web La autenticación integrada de Windows es el método de autenticación predeterminado en los sistemas operativos Windows Server 2003. Es necesario para las aplicaciones, directorios virtuales o sitios Web que utilizan autorización URL. No se permite el acceso anónimo. a. Para deshabilitar el acceso anónimo para una aplicación, directorio virtual o sitio Web 1. En el Administrador IIS, expanda el equipo local y, después, la carpeta Sitios Web. 2. Realice una de las acciones siguientes: Expanda el sitio Web que contiene la aplicación para la que desea configuración la autorización URL, haga clic con el botón secundario en el directorio de la aplicación y, después, haga clic en Propiedades. O bien: Expanda el sitio Web que contiene la aplicación para la que desea configurar la autorización URL, haga clic con el botón secundario en el directorio de la aplicación y, después, haga clic en Propiedades. O bien: Haga clic con el botón secundario del mouse (ratón) en el sitio Web para el que desea configurar la autorización URL y, a continuación, haga clic en Propiedades. 3. Haga clic en la ficha Seguridad de directorios y, a continuación, en la sección Autenticación y control de acceso, haga clic en Modificar. 4. Desactive la casilla de verificación Habilitar acceso anónimo, asegúrese de que Autenticación de Windows integrada esté activada en la sección Acceso autenticado y, a continuación, haga clic en Aceptar. Habilitar los mapas de secuencias de comandos con comodines para una aplicación, directorio virtual o sitio Web La autorización URL utiliza los mapas de secuencias de comandos con comodines tal y como los implementa un interceptor ISAPI, Urlauth.dll. Para utilizar Urlauth.dll, primero debe habilitarlo para cada sitio Web, aplicación o directorio virtual donde desea configurar la autorización URL. a. Para configurar los mapas de secuencias de comandos con comodines para una aplicación, directorio virtual o sitio Web 1. En el Administrador IIS, expanda el equipo local y, después, la carpeta Sitios Web. 2. Realice una de las acciones siguientes: Expanda el sitio Web que contiene la aplicación para la que desea configuración la autorización URL, haga clic con el botón secundario en el directorio de la aplicación y, después, haga clic en Propiedades. O bien: Expanda el sitio Web que contiene la aplicación para la que desea configurar la autorización URL, haga clic con el botón secundario en el directorio de la aplicación y, después, haga clic en Propiedades. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 41/84
UNED. Administración de Sitios Web. Código 3102.
2009
O bien: Haga clic con el botón secundario del mouse (ratón) en el sitio Web para el que desea configurar la autorización URL y, a continuación, haga clic en Propiedades. 3. Haga clic en la ficha Directorio si es una aplicación, en la ficha Directorio virtual si es un directorio virtual o en la ficha Directorio principal si es un sitio Web y, en la sección Configuración de aplicación, haga clic en Configuración. 4. Haga clic en la ficha Asignaciones y, a continuación, en la sección Mapas de aplicación de comodines, haga clic en Insertar. 5. En el cuadro Agregar o modificar asignación de extensión para aplicación, haga clic en Examinar y, a continuación, busque el directorio Windows\system32\inetsrv. 6. Seleccione urlauth.dll, haga clic en Abrir y después en Aceptar tres veces. Agregar Urlauth.dll como nueva extensión de servicio Web Si desea utilizar una extensión de servicio Web que no se encuentra en la lista predeterminada de extensiones, debe agregar el archivo a la lista y, luego, habilitar la extensión de servicio Web. a. Para agregar Urlauth.dll como nueva extensión de servicio Web 1. En el Administrador IIS, expanda el equipo local y, después, haga clic en el nodo Extensiones de servicio Web y en Agregar una nueva extensión de servicio Web. 2. En Nombre de extensión, escriba el siguiente texto, exactamente como aparece a continuación: URL Authorization y haga clic en Agregar. Si no escribe el texto exactamente igual, no se produce la autorización de URL de IIS y no se envía el mensaje de advertencia. 3. Haga clic en Examinar en el cuadro de diálogo Agregar archivo, vaya a raízDelSistema\system32\inetsrv, seleccione urlauth.dll, haga clic en Abrir y a continuación en Aceptar dos veces. 4. Active la casilla de verificación Establecer el estado de extensión a Permitido y haga clic en Aceptar. Crear un almacén de directivas de autorización en el Administrador de autorización Un almacén de autorización en una base de datos que almacena directivas del Administrador de autorización. a. Para crear un almacén de directivas de autorización en el Administrador de autorización 1. Haga clic en Inicio, haga clic en Ejecutar, escriba Azman.msc y haga clic en Aceptar. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 42/84
UNED. Administración de Sitios Web. Código 3102.
2009
2. En el árbol de la consola, haga clic con el botón secundario en Administrador de autorización y, a continuación, haga clic en Opciones. 3. Confirme que está seleccionado Modo de programador y haga clic en Aceptar. 4. En el árbol de la consola, haga clic con el botón secundario en Administrador de autorización y luego haga clic en Nuevo almacén de autorización. 5. Haga clic en Archivo XML y en Nombre de almacén, escriba el nombre del almacén, por ejemplo, C:\miAlmacén.xml. 6. Opcionalmente, en el cuadro Descripción, escriba información acerca del nuevo almacén y después haga clic en Aceptar. 7. En el árbol de la consola, haga clic con el botón secundario en el almacén que acaba de crear y haga clic en Nueva aplicación. 8. En Nombre de Nueva aplicación, escriba el siguiente texto, exactamente como aparece a continuación: IIS 6.0 URL Authorization Si no escribe el texto exactamente igual, no se produce la autorización de URL de IIS y no se envía el mensaje de advertencia. 9. Opcionalmente, en el cuadro Descripción, escriba información acerca de este uso de la autorización de direcciones URL de IIS y después haga clic en Aceptar. 10. En el árbol de la consola, haga doble clic en Administrador de autorización, en el nombre del almacén, en el nombre de la aplicación (IIS 6.0 URL Authorization) y en Definiciones. Luego, haga clic con el botón secundario en Definiciones de operación y, a continuación, en Definición de nueva operación. 11. En Nombre de Definición de nueva operación, escriba el siguiente texto, exactamente como aparece a continuación: AccessURL En Número de operación, escriba el número 1 y haga clic en Aceptar. Si no escribe el texto exactamente igual, no se produce la autorización de URL de IIS y no se envía el mensaje de advertencia. Configurar el ámbito de la aplicación Un ámbito es una subdivisión dentro de una aplicación que separa los recursos seleccionados de otros recursos que utiliza la aplicación. Los ámbitos pueden ayudar a evitar el uso compartido de recursos no deseado y permitir la auditoría y la delegación. a. Para establecer el ámbito de la aplicación 1. Si el Administrador de autorización aún no está abierto, haga clic en Inicio, en Ejecutar, escriba Azman.msc y, a continuación, haga clic en Aceptar.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 43/84
UNED. Administración de Sitios Web. Código 3102.
2009
2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en Autorización de direcciones URL de IIS 6.0 y, a continuación, haga clic en Ámbito nuevo. 3. En Nombre, escriba el siguiente texto exactamente como se muestra: WebApp y, a continuación, haga clic en Aceptar. Si no lo escribe exactamente como se muestra, habrá un error en la autorización de direcciones URL de IIS y no se enviará un mensaje de advertencia. 4. En el árbol de la consola, haga doble clic en Autorización de direcciones URL de IIS 6.0, haga doble clic en Definiciones, haga clic con el botón secundario del mouse en Definiciones de función, y, a continuación, haga clic en Definición de función nueva. 5. En Definición de función nueva, en Nombre, escriba el siguiente texto exactamente como se muestra: Viewer y, a continuación, haga clic en Propiedades. Si no lo escribe exactamente como se muestra, habrá un error en la autorización de direcciones URL de IIS y no s enviará un mensaje de advertencia. 6. Haga clic en la ficha Definición, en Agregar y, por último, en la ficha Operaciones. 7. Seleccione la casilla de verificación URL de acceso y haga clic en Aceptar dos veces. 8. En el árbol de la consola, en Autorización de direcciones URL de IIS 6.0, en WebApp, haga clic con el botón secundario del mouse en Asignaciones de funciones, y, a continuación, haga clic en Asignar funciones. 9. Seleccione la casilla de verificación Visor y haga clic en Aceptar. 10. En el panel de detalles, haga clic con el botón secundario del mouse en la asignación de funciones que ha creado y, a continuación, haga clic en Asignar usuarios y grupos de Windows. 11. En Escriba los nombres de objeto que desea seleccionar (ejemplos), escriba el nombre del usuario y haga clic en Aceptar. Agregar el proceso de trabajo de IIS a la función Lectores De forma predeterminada, IIS se ejecuta en la cuenta Servicio de red. No obstante, puede configurar el proceso de trabajo de IIS para que se ejecute en una cuenta diferente. Si utiliza un almacén de autorizaciones remoto, por ejemplo, Active Directory o un almacén de archivos XML remoto, y ejecuta IIS en el contexto predeterminado de Servicio de red, debe agregar la cuenta Active Directory del servidor Web que está ejecutando IIS a la función Lectores del almacén. a. Para agregar el proceso de trabajo de IIS a la función Lectores 1. Si el Administrador de autorización aún no está abierto, haga clic en Inicio, en Ejecutar y escriba Azman.msc Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 44/84
UNED. Administración de Sitios Web. Código 3102.
2009
; a continuación, haga clic en Aceptar. 2. En el árbol de la consola, haga clic con el botón secundario en Administrador de autorización, haga clic en Abrir almacén de autorización, en Examinar y haga clic en el archivo de almacén de autorizaciones que desea actualizar; a continuación, haga clic en Abrir y en Aceptar. 3. En el árbol de la consola, haga clic con el botón secundario en el nombre del almacén y, a continuación, haga clic en Propiedades. 4. En la ficha Seguridad, en la lista Función del usuario del Administrador de autorización, haga clic en Lector y, a continuación, haga clic en Agregar. 5. En el cuadro Escriba los nombres de objeto que desea seleccionar (ejemplos), escriba el nombre del proceso de trabajo IIS y, a continuación, haga clic en Aceptar dos veces. Configurar propiedades de la metabase para la autorización de direcciones URL Para utilizar la autorización de direcciones URL, debe configurar las propiedades requeridas de la metabase en la aplicación, el directorio virtual o el sitio Web donde desea autorizar el acceso de usuario. Puede modificar la metabase directamente o ejecutar una secuencia de comandos para configurar las propiedades de la metabase. a. Para configurar las propiedades de la metabase para la autorización de direcciones URL modificando directamente la metabase Modifique la metabase directamente para configurar las siguientes propiedades de la metabase:
AzEnable Metabase Property: habilita la autorización de direcciones URL para el directorio virtual, aplicación o dirección URL que corresponde a la entrada en la metabase. AzStoreName Metabase Property: asocia un almacén de Administrador de autorización con el directorio virtual, aplicación o dirección URL. AzScopeName Metabase Property: asocia el directorio virtual, aplicación o dirección URL con un ámbito. Este ámbito será el nombre de un ámbito en la aplicación de autorización de direcciones URL de IIS 6.0 en el almacén de directivas de Administrador de autorización al que se hace referencia en el atributo AzStoreName. Si no se especifica ningún ámbito o cadena vacía, se utilizará el ámbito predeterminado de la autorización de direcciones URL de IIS 6.0. AzImpersonationLevel Metabase Property: determina el comportamiento de suplantación de la aplicación. Esto permite configurar la aplicación Web para suplantar al usuario cliente, el proceso de trabajo de IIS o la cuenta IUSR_nombreDeEquipo del proceso de trabajo. Cada configuración cambia significativamente el entorno y diseño implícito de la aplicación Web.
La siguiente secuencia de comandos de ejemplo, escrita en Microsoft Visual Basic® Scripting Edition (VBScript), marca la raíz del primer sitio como una dirección URL en MyAZScope, lo que se define en el archivo MyAZStore.xml. Los usuarios con derechos URLAccess en este ámbito podrán tener acceso al sitio.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 45/84
UNED. Administración de Sitios Web. Código 3102.
2009
b. Para configurar las propiedades de la metabase para la autorización de direcciones URL utilizando una secuencia de comandos Utilice la siguiente secuencia de comandos de ejemplo como guía para configurar las propiedades requeridas de la metabase: var objVDir = GetObject("IIS://localhost/w3svc/1/root") objVDir.AzEnable = true objVDir.AZStoreName = "MSXML://d:\MyAZStore.xml" objVDir.AzScopeName = "MyAZScope" objVDir.AZImpersonationLevel = 0 objVDir.SetInfo() 4.3 Ajustar el rendimiento Los administradores suelen supervisar los servidores Web para crear un rendimiento de referencia. El rendimiento de referencia es un conjunto de datos que indican el rendimiento de los servidores cuando todo funciona sin problemas. Antes de realizar cambios en los servidores de un entorno de producción, los administradores ajustan los servidores en un entorno de pruebas para lograr el rendimiento de referencia establecido. De esta manera, aumentan la capacidad del servidor Web para tratar solicitudes HTTP y reducen los tiempos de respuesta de las aplicaciones, lo que mejora la experiencia de los clientes que tienen acceso a sus servidores Web. Ver los datos de los contadores en la consola de rendimiento La vista predeterminada del Monitor de sistema proporciona una lista de los contadores activos, incluidos su objeto e instancia, justo debajo de la representación gráfica de los datos de contadores. No olvide que muchos contadores muestran el último valor observado o un recuento acumulado, no un valor o una tasa promedio. Si no está familiarizado con la supervisión del rendimiento en Windows Server 2003, abra la consola de rendimiento y observe los datos que proporcionan algunos contadores. Para seleccionar objetos y contadores de rendimiento con el fin de verlos en el Monitor de sistema 1. En Panel de control, haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Rendimiento. 2. En la barra de herramientas del Monitor de sistema, haga clic en el botón Agregar (+) para abrir el cuadro de diálogo Agregar contadores. 3. Haga clic en el cuadro de lista Objeto de rendimiento para ver una lista con los objetos de rendimiento disponibles y, después, seleccione el objeto que desee supervisar. Cuando se selecciona un objeto, el cuadro de lista de la izquierda muestra los contadores disponibles para ese objeto y el cuadro de lista de la derecha muestra las instancias del objeto. 4. Si desea seleccionar contadores específicos para el objeto de rendimiento, haga clic en Seleccionar contadores de la lista (opción predeterminada) y, después, seleccione los contadores que desea ver. Después de seleccionar un contador, puede hacer clic en Explicar para ver su descripción. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 46/84
UNED. Administración de Sitios Web. Código 3102.
2009
5. Si desea supervisar una o varias instancias específicas del contador (si están disponibles), selecciónelas en la lista de instancias del cuadro de la derecha. Si no elige ninguna en concreto, Windows proporciona una selección predeterminada. 6. Haga clic en Agregar para iniciar la supervisión. 4.3.1 Utilizar la compresión HTTP Para utilizar de un modo más eficaz el ancho de banda disponible, habilite la compresión HTTP de ISS. La compresión HTTP reduce el tiempo de transmisión entre los exploradores que permiten usarla e ISS, independientemente de si el contenido se sirve desde el almacenamiento local o un recurso UNC. Puede comprimir archivos estáticos y archivos de respuesta de aplicaciones. A la compresión de los archivos de respuesta de las aplicaciones normalmente se le denomina compresión dinámica. 4.3.1.1 Habilitar la compresión HTTP Puede habilitar la compresión HTTP en todo el servidor o en un directorio específico. La compresión HTTP mejora la utilización del ancho de banda y acelera el rendimiento del sitio Web. Además, puede comprimir las respuestas estáticas o dinámicas. a. Para habilitar la compresión HTTP global mediante el Administrador IIS 1. En el Administrador IIS, haga doble clic en el equipo local, haga clic con el botón secundario del mouse en la carpeta Sitios Web y, después, haga clic en Propiedades. 2. Para habilitar la compresión de archivos dinámicos, haga clic en la fichaServicio y, en la sección Compresión HTTP, active la casilla de verificación Comprimir archivos de aplicación. 3. Active la casilla de verificación Comprimir archivos estáticos para habilitar la compresión de archivos estáticos. 4. En el cuadro Directorio temporal, escriba la ruta de acceso a un directorio local o haga clic en Examinar para buscar un directorio. Una vez comprimido un archivo estático, se guarda en la caché en este directorio temporal hasta que caduca o cambia el contenido. El directorio debe estar en la unidad local de una partición con formato NTFS. El directorio no puede comprimirse o compartirse, y las listas de control de acceso (ACL) del directorio deben incluir el acceso Control total para la identidad del grupo de aplicaciones o para el grupo IIS_WPG. 5. En Tamaño máximo del directorio temporal, haga clic en una opción de tamaño de carpeta. Si especifica un tamaño máximo en Limitado a (en megabytes) (el valor predeterminado es 95 MB), cuando se alcanza el límite, IIS limpia automáticamente el directorio temporal de acuerdo con la regla "usados menos recientemente". 6. Haga clic en Aplicar y, a continuación, en Aceptar. b. Para habilitar la compresión HTTP global mediante Adsutil.vbs 1. Abra el símbolo del sistema. 2. Para habilitar la compresión dinámica, escriba lo siguiente en el símbolo del sistema y presione ENTRAR: cscript adsutil.vbs w3svc/filters/compression/parameters/HcDoDynamicCompression true Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
set
Página 47/84
UNED. Administración de Sitios Web. Código 3102.
2009
3. Para habilitar la compresión estática, escriba lo siguiente en el símbolo del sistema y presione ENTRAR: cscript adsutil.vbs w3svc/filters/compression/parameters/HcDoStaticCompression true
set
c. Para habilitar la compresión HTTP para sitios individuales y elementos de sitios 1. Para habilitar la compresión estática para un solo directorio, deshabilite antes la compresión estática global (si está habilitada) y, a continuación, habilite la compresión estática para ese directorio. Por ejemplo, para habilitar la compresión estática para un directorio en http://www.contoso.com/Home/StyleSheets, lleve a cabo los pasos siguientes: a. Deshabilite la compresión estática global ejecutando el siguiente comando en el símbolo del sistema: adsutil set w3svc/filters/compression/parameters/HcDoStaticCompression false b. Habilite la compresión estática en este directorio ejecutando el siguiente comando en el símbolo del sistema: adsutil set w3svc/1/root/Home/StyleSheets/DoStaticCompression true 2. Para deshabilitar la compresión estática para un solo directorio, habilite antes la compresión estática global (si está deshabilitada) y, a continuación, deshabilite la compresión estática para ese directorio. Por ejemplo, para habilitar la compresión estática para un directorio en http://www.contoso.com/Home/StyleSheets, lleve a cabo los pasos siguientes: a. Deshabilite la compresión estática global ejecutando el siguiente comando en el símbolo del sistema: adsutil set w3svc/filters/compression/parameters/HcDoStaticCompression true b. Habilite la compresión estática en este directorio ejecutando el siguiente comando en el símbolo del sistema: adsutil set w3svc/1/root/Home/StyleSheets/DoStaticCompression false 4.3.1.2 Personalizar los tipos de archivo que IIS comprime Puede personalizar los tipos de archivo que IIS comprime. Al habilitar la comprensión estática de archivos se comprimen los archivos .htm, .HTML y .txt. Al habilitar la comprensión dinámica de archivos se comprimen los archivos .asp, .dll y .exe. a. Para agregar uno o varios tipos de archivo a la configuración de compresión estática de todo el servidor 1. En el menú Inicio, haga clic en Ejecutar. 2. En el cuadro Abrir, escriba cmd y haga clic en Aceptar. 3. Escriba los dos comandos siguientes:
cscript adsutil.vbs SET W3SVC/Filters/Compression/Deflate/HcFileExtensions "htm" "html" "txt" "nuevaExtensión" donde nuevaExtensión es un tipo de archivo que desea comprimir (por ejemplo, documentos de Microsoft Word o Excel) y a continuación, presione ENTRAR. Puede agregar varios tipos de archivo separados por espacios.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 48/84
UNED. Administración de Sitios Web. Código 3102.
2009
cscript adsutil.vbs SET W3SVC/Filters/Compression/gzip/HcFileExtensions "htm" "html" "txt" "nuevaExtensión" donde nuevaExtensión es un tipo de archivo que desea comprimir y, a continuación, presione ENTRAR. Puede agregar varios tipos de archivo separados por espacios.
Para quitar uno o varios tipos de archivo de la configuración de compresión estática de todo el servidor, repita los dos comandos anteriores, dejando fuera el tipo de archivo que desea quitar. b. Para agregar uno o varios tipos de archivo a la configuración de compresión dinámica de todo el servidor 1. En el menú Inicio, haga clic en Ejecutar. 2. En el cuadro Abrir, escriba cmd y haga clic en Aceptar. 3. Escriba los dos comandos siguientes:
cscript adsutil.vbs SET W3SVC/Filters/Compression/Deflate/HcScriptFileExtensions "asp" "dll" "exe" "nuevaExtensión" donde nuevaExtensión es el tipo de archivo que desea comprimir (por ejemplo, aspx, una extensión ASP muy utilizada) y, a continuación, presione ENTRAR. Puede agregar varios tipos de archivo separados por espacios. cscript adsutil.vbs SET W3SVC/Filters/Compression/gzip/HcScriptFileExtensions "asp" "dll" "exe" "nuevaExtensión" donde nuevaExtensión es un tipo de archivo que desea comprimir y, a continuación, presione ENTRAR. Puede agregar varios tipos de archivo separados por espacios.
Para quitar uno o varios tipos de archivo de la configuración de compresión dinámica de todo el servidor, repita los dos comandos anteriores, dejando fuera el tipo de archivo que desea quitar. 4.3.2 Habilitar el mantenimiento de conexiones HTTP abiertas La mayoría de los exploradores Web solicitan que el servidor mantenga la conexión de cliente abierta mientras el servidor envía varios elementos (archivos .htm y archivos .gif o .jpeg) al cliente. Mantener la conexión de cliente abierta de esta manera recibe el nombre de mantenimiento de conexiones HTTP abiertas. El mantenimiento de conexiones abiertas es una especificación de HTTP que mejora el rendimiento del servidor. El mantenimiento de conexiones HTTP abiertas está habilitado de forma predeterminada.
a. Para habilitar el mantenimiento de conexiones HTTP abiertas 1. En el Administrador IIS, expanda el equipo local, la carpeta Sitios Web, haga clic con el botón secundario del mouse en el sitio Web y haga clic en Propiedades. 2. En la ficha Sitio Web, en la sección Conexiones, active la casilla de verificación Habilitar mantenimiento de conexiones HTTP abiertas. 3. Haga clic en Aplicar y, después, en Aceptar.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 49/84
UNED. Administración de Sitios Web. Código 3102.
2009
4.3.3 Limitar las conexiones Para restringir el número de conexiones de cliente simultáneas a los sitios Web y al servidor Web se utilizan límites de conexiones. La limitación de conexiones sirve también para conservar la memoria y para protegerse contra ataques malintencionados dirigidos a sobrecargar el servidor Web con miles de peticiones del cliente. a. Para establecer un límite global de conexiones al servicio WWW o FTP 1. En el Administrador IIS, expanda el equipo local, haga clic con el botón secundario en la carpeta Sitios Web o Sitios FTP y, a continuación, haga clic en Propiedades. 2. Haga clic en la ficha Sitio FTP para limitar las conexiones en el servicio FTP, o haga clic en la ficha Rendimiento para limitar la conexiones en el servicio WWW. 3. Haga clic en la opción Conexiones limitadas a, y en el cuadro situado junto a ella, escriba el número máximo de conexiones simultáneas que desea permitir en el servicio Web o FTP. 4. Haga clic en Aplicar y, después, en Aceptar. b. Para establecer un límite de conexiones en un sitio Web o FTP 1. En el Administrador IIS, expanda el equipo local, expanda la carpeta Sitios Web o Sitios FTP, haga clic con el botón secundario del mouse en el sitio Web o FTP en el que desee establecer el límite de conexiones y, a continuación, haga clic en Propiedades. 2. Haga clic en la ficha Sitio FTP para limitar las conexiones en el sitio FTP, o haga clic en la ficha Rendimiento para limitar la conexiones en el sitio Web. 3. Haga clic en la opción Conexiones limitadas a, y en el cuadro situado junto a ella, escriba el número máximo de conexiones simultáneas que desea permitir en el sitio Web o FTP. 4. Haga clic en Aplicar y, a continuación, en Aceptar. 4.3.4 Configurar el tiempo de espera de la conexión La configuración del tiempo de espera de conexión permite reducir la pérdida de recursos de procesamiento consumidos por conexiones inactivas. Cuando se habilita el tiempo de espera de conexión, IIS aplica los tiempos de espera en el nivel de conexión. a. Para establecer un valor de tiempo de espera global de conexión al servicio WWW o FTP 1. En el Administrador IIS, expanda el equipo local, haga clic con el botón secundario del mouse en la carpeta Sitios Web o Sitios FTP y haga clic en Propiedades. 2. En la ficha Sitio Web o Sitio FTP, en el cuadro Tiempo de espera de la conexión, escriba el número máximo de segundos que IIS debe mantener una conexión inactiva antes de restablecerla. 3. Para el servicio WWW, compruebe que la casilla Habilitar mantenimiento de conexiones HTTP abiertas está activada.. 4. Haga clic en Aplicar y, después, en Aceptar.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 50/84
UNED. Administración de Sitios Web. Código 3102.
2009
b. Para establecer el valor de tiempo de espera de conexión de un sitio Web o FTP específico 1. En el Administrador IIS, expanda el equipo local, expanda la carpeta Sitios Web o Sitios FTP, haga clic con el botón secundario del mouse en un sitio Web o FTP y haga clic en Propiedades. 2. En la ficha Sitio Web o Sitio FTP, en el cuadro Tiempo de espera de la conexión, escriba el número máximo de segundos que IIS debe mantener una conexión inactiva antes de restablecerla. 3. Para el servicio WWW, compruebe que la casilla Habilitar el mantenimiento de conexiones HTTP abiertas está activada.. 4. Haga clic en Aplicar y, a continuación, en Aceptar. 4.3.5 Limitar el ancho de banda Si otros servicios, como el correo electrónico o los servicios de noticias, utilizan también la conexión a la red o a Internet que utiliza el servidor Web, es posible que desee limitar el ancho de banda empleado por el servidor Web de modo que una parte esté disponible para otros servicios. Si el servidor Web aloja varios sitios Web, puede limitar individualmente el ancho de banda utilizado por cada sitio. 4.3.6 Establecer el período de tiempo de la caché de objetos de IIS El valor de ObjectCacheTTL controla la caché estática de archivos mediante la especificación del Tiempo de vida (TTL), que establece la cantidad de tiempo que los objetos se guardan en la memoria caché. Si no se hace referencia a un objeto almacenado en la memoria caché durante el período definido, ese objeto se elimina gradualmente de la memoria caché. No modifique el Registro a menos que sea necesario. El editor del Registro pasa por alto las medidas de seguridad estándar y permite configuraciones que podrían dañar el sistema o, incluso, hacer que sea necesario reinstalar Windows. Si tiene que modificar el registro, realice primero una copia de seguridad y vea IIS 6.0 Registry Reference. Lleve a cabo este procedimiento para agregar al Registro la entrada ObjectCacheTLL que restablece el tiempo que un objeto no utilizado permanece en la memoria caché. a. Para restablecer el período que los objetos no utilizado permanecen en la caché 1. En el menú Inicio, haga clic en Ejecutar, escriba regedit.exe y haga clic Aceptar. 2. En el editor del Registro, desplácese hasta la siguiente subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\InetInfo\Parameters 3. Haga clic con el botón secundario en la subclave Parameters, elija Nuevo y, a continuación, haga clic en Valor DWORD. 4. En el cuadro Nuevo valor, escriba ObjectCacheTTL. 5. Haga clic con el botón secundario del mouse (ratón) en ObjectCacheTTL y luego haga clic en Modificar 6. En Base, haga clic en Decimal. 7. En el cuadro Información del valor, escriba el número de segundos que desea que un objeto no utilizado permanezca en la memoria caché y, a continuación, haga clic en Aceptar.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 51/84
UNED. Administración de Sitios Web. Código 3102.
2009
El valor predeterminado es 30 (segundos). Puede escribir cualquier valor desde cero, para deshabilitar el almacenamiento en la caché, hasta 4.294.967.295 (sin límite), para deshabilitar la función de compactación de la caché de objetos y permitir que los objetos permanezcan en la caché hasta que el objeto cambie. 4.3.7 Maximizar el rendimiento para las aplicaciones de red Los servidores que ejecutan Windows Server 2003 están configurados de manera predeterminada para dar preferencia a la caché del sistema de archivo frente a los Conjuntos de trabajo de procesos al asignar la memoria (mediante la propiedad del servidor Maximizar el rendimiento para compartir archivos). Aunque los servidores basados en IIS 6.0 se benefician de una gran caché de sistema de archivo, al dar preferencia a la caché del sistema de archivo, a menudo, el código paginable de IIS 6.0 se escribe en el disco, por lo que se producen largos retrasos en el procesamiento. Para evitar estos retrasos en el procesamiento, configure las propiedades del servidor para maximizar el rendimiento para las aplicaciones de red. Para maximizar el rendimiento del servidor para las aplicaciones de red 1. En el Panel de control, haga doble clic en Conexiones de red, haga clic con el botón secundario del TAGmouseTAG (ratón) en Conexión de área local y, a continuación, haga clic en Propiedades. 2. Seleccione Compartir impresoras y archivos para redes Microsoft y, a continuación, haga clic en Propiedades. 3. En Optimización, seleccione Maximizar el rendimiento para aplicaciones de red. 4.3.8 Configurar el intervalo de tiempo de espera de la caché SSL Si espera que miles de usuarios se conecten al sitio mediante SSL, calcule cuánto se espera que duren las sesiones SSL y, a continuación, establezca la entrada ServerCacheTime ServerCacheTime en un valor ligeramente superior al calculado. No establezca un valor mucho más alto que el calculado ya que es posible que el intervalo de tiempo de espera resultante haga que el servidor retenga los datos estables en la caché. El Editor de registro omite las medidas de seguridad estándar, lo que permite que la configuración pueda dañar el sistema, o incluso que deba volver a instalar Windows. Antes de cambiar el intervalo de tiempo de espera de la caché SSL, asegúrese de que está habilitada la opción de mantenimiento de conexiones HTTP abiertas (esta opción está habilitada de manera predeterminada). Las sesiones SSL no caducan cuando se utilizan junto con el mantenimiento de conexiones HTTP abiertas, a menos que el explorador cierre la conexión. a. Para configurar la entrada de registro ServerCacheTime 1. En el Editor del Registro, desplácese hasta la siguiente subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders \SCHANNEL. 2. Haga clic con el botón secundario del mouse (ratón) en la subclave SCHANNEL, señale Nuevo y, a continuación, haga clic en Valor DWORD. 3. En el cuadro Nuevo valor, escriba lo siguiente: ServerCacheTime 4. Haga clic con el botón secundario del mouse en la entrada ServerCacheTime y, a continuación, haga clic en Modificar. 5. En Base, haga clic en Decimal. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 52/84
UNED. Administración de Sitios Web. Código 3102.
2009
6. En el cuadro Información del valor, escriba el valor (en milisegundos) que desea asignar para cada tiempo de espera de caché (1 minuto = 60.000 milisegundos) y, a continuación, haga clic en Aceptar. Vea la Tabla siguiente para conocer los tiempos de espera de caché utilizados habitualmente convertidos en milisegundos. Tabla Calcular los valores de ServerCacheTime para el almacenamiento en caché de sesiones seguras Tiempo de espera de caché deseado (1 minuto = Valor de ServerCacheTime 60.000 milisegundos) (en milisegundos) No almacenamiento en caché de sesiones seguras
0 (desactiva el almacenamiento en caché de las sesiones)
2 minutos (la configuración predeterminada para el sistema operativo Microsoft® Windows NT® versión 4.0)
120000
5 minutos (la configuración predeterminada para el sistema operativo Microsoft® Windows® 2000)
300000
10 horas (configuración predeterminada para Windows Server 2003, Windows 2000 con Service Pack 2 [SP2] o posterior y Windows XP)
36000000
4.3.9 Medir el tiempo de carga de una página Web Para medir el tiempo que tarda en cargar una página en el primer y segundo acceso, utilice el procedimiento que se describe a continuación. Para medir el tiempo de carga de una página Web en el primer acceso 1. Configure el simulador WAN para que represente el percentil 50 de los usuarios particulares. Por ejemplo, la configuración podría ser una demora de ida y vuelta de 60 milisegundos, 50 kilobits por segundo y sin pérdida de paquetes. 2. En el explorador, establezca como página de inicio el sitio que desea probar. 3. Vaya a un sitio diferente del que desea probar. Si aún está en el sitio de pruebas al borrar la caché, el sitio se actualiza después de borrarla y se vuelven a cargar los archivos que desea borrar. 4. Para borrar todos los archivos de la caché, realice lo siguiente: a. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet. b. En la ficha General, en Historial, haga clic en Borrar Historial. 5. Cierre el explorador. Entre cada prueba debe cerrar las conexiones TCP o las pruebas se verán afectadas por el algoritmo de inicio lento de TCP, que mantiene el mismo tamaño de ventana que la carga anterior, lo cual produce resultados inexactos. 6. Inicie la captura del Monitor de red. 7. Abra el explorador para probar el sitio (la nueva página de inicio). 8. Detenga la captura cuando la página se haya cargado completamente y ejecute el Monitor de red. Determine el tiempo total transcurrido mientras se estaba cargando la página. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 53/84
UNED. Administración de Sitios Web. Código 3102.
2009
9. Copie los datos a una hoja de cálculo de Microsoft® Excel para analizarla más adelante. No utilice CTRL+F5 (actualizar la página Web independientemente de la marca de hora) en lugar de este procedimiento. Aunque CTRL+F5 es similar a este proceso en cuanto a que obliga a realizar una nueva carga completa, no desconecta las conexiones TCP antes de cargar la nueva página.
Cuando se prueba una página Web para obtener el tiempo de carga en un segundo acceso, se puede usar los archivos guardados en la caché del cliente. Para medir el tiempo de carga de una página Web en el segundo acceso 1. Utilice los mismos parámetros WAN y configuración predeterminada del explorador usados para determinar el tiempo de carga en el primer acceso. 2. Cierre el explorador sin borrar la caché. 3. Reinicie la captura del Monitor de red. 4. Abra el explorador en la página de pruebas. 5. Detenga la captura cuando la página esté totalmente cargada y mida el tiempo desde el primer TCP SYN desde el cliente al servidor, hasta que se reciba el último byte. 6. Copie los resultados a otra hoja de cálculo de Excel para analizarla más adelante. No utilice F5 (actualizar la página Web) en lugar de este procedimiento porque no proporciona los mismos resultados que la segunda carga de la página. F5 obliga a Internet Explorer a comprobar la fecha de todos los archivos de la caché independientemente de si las fechas caducarán en el futuro.
Después de obtener un perfil del rendimiento de la carga de páginas, analice los datos y elimine obstáculos para obtener un rendimiento eficaz de las páginas; para ello, utilice la información de Optimizing a Page-Load Performance Profile. 4.3.10 Habilitar la supervisión de la CPU en IIS 6.0 La supervisión de la CPU es una característica que controla y cierra automáticamente los procesos de trabajo que consumen gran cantidad de tiempo de CPU. La supervisión de la CPU se habilita para cada grupo de aplicaciones. Antes de habilitar la supervisión de la CPU, tenga en cuenta lo siguiente:
IIS debe estar funcionando en el Worker Process Isolation Mode. La supervisión de la CPU sólo está disponible para grupos de aplicaciones. La supervisión de la CPU no funciona en las aplicaciones CGI.
4.3.11 Habilitar la supervisión de la CPU mediante el Administrador IIS Cuando se habilita la supervisión de la CPU mediante el Administrador IIS, IIS permite un uso máximo de la CPU del 50 por ciento de manera predeterminada. Realice este procedimiento para cambiar el valor predeterminado. Para habilitar la supervisión de la CPU: 1. En el Administrador IIS, expanda el equipo local, expanda la carpeta Grupos de aplicaciones, haga clic con el botón secundario del mouse en el grupo de aplicaciones para el que desee habilitar la supervisión de la CPU y haga clic en Propiedades. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 54/84
UNED. Administración de Sitios Web. Código 3102.
2009
2. Haga clic en la ficha Rendimiento y active la casilla de verificación Habilitar la supervisión de la CPU. 3. En el cuadro Uso máximo de CPU, haga clic en las flecha arriba y abajo para establecer el porcentaje máximo de CPU que debe utilizar el grupo de aplicaciones. Si el grupo de aplicaciones utiliza más CPU que el máximo establecido, IIS generará un error en el registro de sucesos de Windows. 4. En el cuadro Actualizar los indicadores de uso de CPU (en minutos), haga clic en las flechas arriba y abajo para establecer la frecuencia de actualización. 5. En el cuadro de lista Acción realizada cuando el uso de CPU supera el máximo, haga clic en la acción correspondiente para el grupo de aplicaciones especificado.
Si desea que, cuando el grupo de aplicaciones alcance el uso máximo de la CPU, IIS escriba un suceso en el registro del sistema sin cerrar el grupo de aplicaciones, haga clic en Ninguna acción. Para que se cierre el grupo de aplicaciones además de escribirse un suceso en el registro del sistema, haga clic en Apagar. La opción predeterminada es Ninguna acción.
Al cerrar el grupo de aplicaciones se cerrarán todos los procesos de trabajo que den servicio a ese grupo de aplicaciones. 6. Haga clic en Aplicar y, después, en Aceptar. 4.3.12 Habilitar la supervisión de la CPU desde la línea de comandos Para habilitar la supervisión de la CPU desde la línea de comandos se requieren tres pasos:
Establecer la propiedad CPULimit de la metabase, que limita los procesos de trabajo de un grupo de aplicaciones específico a un porcentaje del tiempo de la CPU. Establecer la propiedad CPUResetInterval de la metabase, que especifica el intervalo de tiempo de supervisión de la CPU. Establecer la propiedad CPUAction de la metabase, que especifica el tipo de medida que tomará IIS, como escribir en el registro de sucesos o cerrar los procesos de trabajo que excedan el límite de la CPU.
Establecer el límite de la CPU: La propiedadCPULimitconfigura el porcentaje máximo de tiempo de CPU que pueden utilizar los procesos de trabajo de un grupo de aplicaciones durante el período de tiempo establecido por la propiedad CPUResetInterval. Si se supera el límite establecido por la propiedad CPULimit, se escribirá un suceso en el registro de sucesos y se podrá desencadenar un conjunto de sucesos opcional, según lo determine la propiedad CPUAction. Si se establece el valor de CPULimit en cero, se deshabilita la supervisión de la CPU. Para que se inicie la supervisión de la CPU para un grupo de aplicaciones, establezca la propiedad CPULimit en un valor mayor que cero. Para calcular el valor que debe establecer, determine el porcentaje máximo del tiempo de CPU que desea que utilicen los procesos de trabajo de un grupo de aplicaciones; por ejemplo, el 50 por ciento, que es el valor predeterminado. Después, multiplique ese porcentaje por 1.000 (50 1.000 = 50.000). Por tanto, para limitar el uso de la CPU al 50 por ciento, establezca un valor de 50000 como límite de la CPU.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 55/84
UNED. Administración de Sitios Web. Código 3102.
2009
Para establecer el límite de la CPU para la supervisión de la CPU mediante Adsutil.vbs 1. En el cuadro de diálogo Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar. 2. En el símbolo del sistema, escriba: cscript %raízDelSistema%\Inetpub\AdminScripts\adsutil.vbs W3SVC/AppPools/nombreDelGrupoDeAplicaciones/CPULimit n
set
Sustituya n por el porcentaje máximo de uso de la CPU que desea conceder al grupo de aplicaciones, expresado en una milésima parte del porcentaje. Definir el intervalo de restablecimiento de la CPU Después de activar la supervisión de la CPU para la aplicación, utilice Adsutil.vbs para establecer el valor de la propiedad CPUResetInterval, que especifica el período de restablecimiento (en minutos) de la supervisión de la CPU y los límites de los procesos en el grupo de aplicaciones. Cuando el número de minutos transcurridos desde el último restablecimiento de la supervisión de la CPU es igual al número especificado por esta propiedad, IIS restablece los contadores de la CPU para los intervalos de registro y límite. El valor predeterminado es de cinco minutos. Si se establece el valor de esta propiedad en cero, se deshabilita la supervisión de la CPU. El valor de la propiedad CpuResetInterval debe ser superior al tiempo entre operaciones de registro, de lo contrario, IIS restablecerá los contadores antes de que se produzca el registro y la supervisión de la CPU no se producirá. Para definir el intervalo de restablecimiento de la supervisión de la CPU mediante Adsutil.vbs 1. En el cuadro Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar. 2. En el símbolo del sistema, escriba: cscript %unidadDelSistema%\Inetpub\AdminScripts\adsutil.vbs W3SVC/AppPools/nombreDelGrupoDeAplicaciones/CPUResetInterval n
set
Sustituya n por el número de minutos del intervalo de restablecimiento. Para deshabilitar la supervisión de la CPU, escriba 0. Establecer la acción de la CPU Por último, establezca la propiedad CPUAction, que configura las acciones que realiza IIS cuando se ejecutan objetos de trabajo de Microsoft® Windows NT®. Solamente existe un objeto de trabajo de Windows NT por grupo de aplicaciones, por lo que la propiedad CPUAction se debe configurar por separado para cada grupo de aplicaciones. Si no se establece la propiedad CPUAction de la metabase, IIS asigna el valor predeterminado, que es cero (sólo registro de sucesos). Para establecer el valor de CPUAction mediante Adsutil.vbs 1. En el cuadro Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar. 2. En el símbolo del sistema, escriba: cscript %unidadDelSistema%\Inetpub\AdminScripts\adsutil.vbs W3SVC/AppPools/nombreDelGrupoDeAplicaciones/CPUAction valorDeAcción
set
Sustituya valorDeAcción por el valor correspondiente: 0 registra un error sin cerrar el proceso, mientras que 1 registra un error y cierra el proceso. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 56/84
UNED. Administración de Sitios Web. Código 3102.
2009
4.3.13 Configurar el límite de longitud de la cola de un grupo de aplicaciones El límite de longitud de la cola del grupo de aplicaciones evita que se envíen a la cola demasiadas peticiones y se sobrecargue el servidor. Cuando se habilita el límite de longitud de la cola del grupo de aplicaciones, IIS supervisa el número de peticiones en la cola de un grupo de aplicaciones antes de poner en ella una nueva petición. Si se supera la capacidad de la cola al agregar una petición nueva, el servidor rechaza la petición y envía un mensaje de error 503 no personalizable al cliente. a. Para cambiar el límite de longitud de la cola de un grupo de aplicaciones mediante el Administrador IIS 1. En el Administrador IIS, expanda el equipo local, la carpeta Grupos de aplicaciones, haga clic con el botón secundario del mouse en la aplicación y, después, haga clic en Propiedades. 2. Haga clic en la ficha Rendimiento. 3. En la sección Límite de la cola de peticiones, active la casilla de verificación Limitar la cola de peticiones de kernel a y haga clic en las flechas arriba y abajo en el cuadro peticiones para establecer el número máximo de peticiones en la cola. Si desactiva la casilla de verificación Limitar la cola de peticiones de kernel a o si establece la propiedad de la metabase AppPoolQueueLength en cero, IIS no aplica ningún límite de peticiones de núcleo. Si no hay un límite para las peticiones de núcleo, IIS podría poner en la cola un número de peticiones ilimitado y el servidor podría quedarse sin memoria. Por esta razón, se recomienda establecer límites para la cola de peticiones de núcleo en todos los servidores de producción. 4. Haga clic en Aplicar y, después, en Aceptar. 4.3.14 Escalabilidad
La escalabilidad es la capacidad de ampliar fácilmente una pieza de hardware o software para satisfacer futuras necesidades de computación. Cada versión de los IIS se ha diseñado para proporcionar mayor rendimiento y escalabilidad que la anterior. Sin embargo, la escalabilidad puede verse afectada por las configuraciones de hardware y por cuellos de botella en aplicaciones Web de diseño deficiente o que no se probaron correctamente. Los administradores pueden mejorar considerablemente la escalabilidad de su entorno de servidor IIS mediante la elaboración cuidadosa de planes y la evaluación de su infraestructura, lo que incluye al hardware, las aplicaciones distribuidas y los componentes personalizados. 4.3.15 Configurar el almacenamiento en caché por fecha de última modificación Con el fin de ofrecer una mayor escalabilidad para los sistemas de almacenamiento basados en UNC, IIS 6.0 implementa un nuevo algoritmo de almacenamiento en caché por fecha de última modificación para los archivos estáticos y ASP. El nuevo algoritmo de almacenamiento en caché no requiere que se notifiquen los cambios para cada estructura de directorios, sino que solicita la fecha de última modificación del archivo almacenado en caché. Si el archivo es nuevo, el nuevo contenido se actualiza en la entrada de la caché y se proporciona. Si el archivo no ha cambiado, IIS ofrece la versión del archivo almacenada en la caché. De manera predeterminada, IIS comprueba la fecha de última modificación de los archivos estáticos y ASP si han transcurrido más de cinco segundos desde la última vez que se comprobó el archivo. De lo contrario, IIS asume que el archivo no ha cambiado y ofrece el contenido existente.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 57/84
UNED. Administración de Sitios Web. Código 3102.
2009
El controlador del archivo de directivas include de servidor (SSI), Ssinc.dll, utiliza la caché de archivos estáticos, por lo que este comportamiento es propio de los archivos .stm, .shtml y los que se asignen a esta DLL. IIS 6.0 utiliza el algoritmo de almacenamiento en caché por fecha de última modificación de manera predeterminada. Para especificar el almacenamiento en caché por notificación de cambios o para cambiar el valor TTL de los archivos almacenados en caché, debe editar el Registro. No modifique el Registro a menos que no tenga otra alternativa. El Editor del Registro pasa por alto las medidas de seguridad estándar y, por tanto, admite configuraciones que pueden dañar el sistema o incluso hacer necesaria la reinstalación de Windows. Si debe editar el registro, realice primero una copia de seguridad del mismo y vea la IIS 6.0 Registry Reference. a. Para establecer el seguimiento de la notificación de cambios o TTL para los archivos estáticos 1. En el menú Inicio, haga clic en Ejecutar. 2. En el cuadro Abrir, escriba Regedit.exe y, a continuación, haga clic en Aceptar. 3. Vaya a la siguiente HKLM\System\CurrentControlSet\Services\Inetinfo\Parameters
subclave:
4. Realice una de las acciones siguientes, o ambas:
Para habilitar el almacenamiento en caché por notificación de cambios, modifique el valor de la entrada de registro DoDirMonitoringForUnc estableciéndolo en 1. Para cambiar el valor TTL predeterminado de cinco segundos, cambie el valor de la entrada FileAttributeCheckThreshold del Registro al número de segundos que desee utilizar. 5. Cierre el Editor del Registro. Cuando el servidor Web proporciona contenido obsoleto a pesar de que dicho contenido se ha actualizado en el servidor de archivos remoto, puede deshabilitar la caché del servidor Web para intentar aislar el problema. b. Para deshabilitar la caché de archivos estáticos 1. Vaya a la siguiente subclave del Registro: HKLM\System\CurrentControlSet\Services\Inetinfo\Parameters 2. Agregue DisableMemoryCache, un valor DWORD, y establézcalo en 1. Después, deshabilite la caché de archivos ASP para deshabilitar por completo la caché del servidor Web. 4.4 Registrar la actividad del sitio Es posible recopilar información acerca de la actividad de los usuarios si habilita registros para los sitios Web. El registro de información en los servicios de Internet Information Server (IIS) supera el ámbito de las características de registro de sucesos o de supervisión del rendimiento de Microsoft ® Windows®. Los registros pueden incluir información referente a quién ha visitado el sitio, qué ha visto el visitante y cuándo se vio la información por última vez. Puede utilizar los registros para evaluar la popularidad del contenido o identificar los cuellos de botella de la información.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 58/84
UNED. Administración de Sitios Web. Código 3102.
2009
4.4.1 Habilitar el registro Puede elegir un formato y habilitar el registro para cada sitio Web y cada sitio FTP. Después de habilitar el registro en un sitio Web o sitio FTP, todo el tráfico dirigido al sitio (incluidos los directorios virtuales) se escriben en el archivo correspondiente de cada sitio. a. Para habilitar el registro de un sitio Web o FTP 1. En el Administrador IIS, haga doble clic en el equipo local, haga doble clic en la carpeta Sitios Web o Sitios FTP, haga clic con el botón secundario del mouse en el sitio Web o sitio FTP para el que desea habilitar el registro y, a continuación, haga clic en Propiedades. 2. En la ficha Sitio Web o Sitio FTP, active la casilla de verificación Habilitar registro. 3. Haga clic en un formato del cuadro Formato de registro activo. De forma predeterminada, es el Formato de archivo del registro extendido W3C. Si selecciona el registro ODBC, haga clic en Propiedades y escriba el Nombre de origen de datos (DSN) ODBC y el nombre de la tabla de la base de datos en los cuadros de texto. Si se requiere un nombre de usuario y una contraseña para el acceso a la base de datos, escriba las credenciales necesarias y haga clic en Aceptar. En IIS FTP no se admite el registro en recursos compartidos UNC. La ubicación de los archivos de registro FTP debe configurarse en una ruta de acceso del equipo local. 4. Haga clic en Aplicar y, después, en Aceptar. 4.4.2 Guardar archivos de registro De forma predeterminada, IIS crea un nuevo archivo de registro para cada sitio Web en el directorio raízDelSistema\System32\LogFiles. No obstante, puede especificar el directorio en el que se guardan los archivos de registro y puede establecer el momento en el que se inician los nuevos archivos de registro. Para proteger los datos del registro, establezca el Controlar el acceso con IIS 6.0 apropiado en el directorio del archivo de registro. Considere permitir sólo al administrador y al grupo IIS_WPG el acceso al directorio de archivos de registro. a. Para configurar opciones para guardar archivos de registro 1. En el Administrador IIS, expanda el equipo local, el directorio de Sitios FTP o Web, haga clic con el botón secundario del mouse en el sitio FTP o Web y haga clic en Propiedades. 2. En la ficha Sitio Web o Sitio FTP, haga clic en Propiedades junto al cuadro de lista Formato de registro activo. 3. Seleccione el programa de registro que va a utilizar cuando inicie un nuevo archivo de registro. Medianoche” hace referencia a la hora local para la medianoche para todos los formatos de archivo de registro excepto para el formato extendido W3C. Para el formato de archivo de registro extendido W3C, "medianoche" es la hora del meridiano de Greenwich (GMT) de la medianoche, de forma predeterminada, pero se puede cambiar a la hora local de la medianoche. Para abrir registros en formato extendido W3C con la hora local, active la casilla de verificación Use la hora local para nombrar archivos y para conversión. El nuevo registro se inicia a la medianoche de la hora local, pero el tiempo se sigue registrando en los archivos de registro según la hora GMT. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 59/84
UNED. Administración de Sitios Web. Código 3102.
2009
4. En Directorio del archivo de registro, escriba el directorio en el que se deben guardar los archivos de registro. 5. Haga clic en Aplicar y, después, haga clic dos veces en Aceptar. 4.4.3 Códigos de error de subestado en los archivos de registro Cuando se habilitan, los códigos de error de subestado se escriben en los archivos de registro de IIS siempre que se produce un error en una petición del cliente. a. Para registrar códigos de error de subestado 1. En el Administrador IIS, expanda el equipo local, la carpeta Sitios Web, haga clic con el botón secundario del mouse en el sitio Web y haga clic en Propiedades. 2. En la ficha Sitio Web, asegúrese de que está activada la casilla de verificación Habilitar registro. 3. En el cuadro de lista Formato de registro activo, haga clic en Formato de archivo del registro extendido W3C. 4. Haga clic en Propiedades. 5. Haga clic en la ficha Avanzado y, bajo Propiedades extendidas, active la casilla de verificación Subestado del protocolo. 6. Haga clic en Aceptar dos veces. 4.5 Mensajes de error de IIS 6.0 Puede configurar Servicios de Internet Information Server (IIS) para que envíe los mensajes de error predeterminados de HTTP 1.1, en lugar de mensajes de error personalizados. Los mensajes personalizados pueden asignarse a un nombre de archivo o a una dirección URL. HTTP.sys, el controlador en modo de núcleo, no dispone de errores personalizados. Si una solicitud no alcanza el modo de usuario, HTTP.sys devuelve mensajes de error estándar de HTTP 1.1 al explorador. HTTP.sys puede devolver mensajes de error estándar para los siguientes errores, incluso aunque se haya especificado un mensaje de error personalizado:
400: No se puede resolver la petición. 414: La dirección URL de la petición es demasiado larga y, por lo tanto, no se acepta en el servidor Web. 501: Los valores de encabezado especifican una configuración que no está implementada.
Para obtener información detallada acerca de los motivos por los que HTTP.sys ha devuelto uno de estos mensajes de error estándar, vea los registros de errores HTTP. De forma predeterminada, los registros de errores HTTP se crean en la siguiente ubicación: systemroot\System32\LogFiles\HTTPERR.
4.5.1 Habilitar los mensajes de error estándar de HTTP 1.1 De forma predeterminada, IIS envía mensajes de error personalizados porque contienen más información para ayudar a los usuarios a comprender porqué han recibido un error. No obstante, IIS se puede configurar para enviar mensajes de error estándar o predeterminados de HTTP 1.1. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 60/84
UNED. Administración de Sitios Web. Código 3102.
2009
a. Para habilitar los mensajes de error estándar de HTTP 1.1 1. En el Administrador IIS, haga doble clic en el equipo local, haga clic con el botón secundario en el sitio Web, directorio virtual, directorio o archivo en el que desea habilitar los mensajes de error estándar de HTTP 1.1 y, después, haga clic en Propiedades. 2. Haga clic en la ficha Errores personalizados. 3. En la lista Mensajes para errores HTTP, haga clic en los errores que desea cambiar a errores estándar de HTTP 1.1, haga clic en Predeterminado y, a continuación, haga clic en Aceptar. 4.5.2 Configurar mensajes de error personalizados IIS puede enviar mensajes de error HTTP 1.1 estándar o mensajes de error personalizados. Los mensajes de error personalizados proporcionan información más detallada o descriptiva que los estándar. De manera predeterminada, IIS está configurado para enviar los mensajes de error personalizados desde un archivo almacenado en la carpeta raízDelSistema\Help\IisHelp\Common. También se puede configurar IIS para que devuelva la dirección URL de un mensaje de error personalizado. a. Para configurar mensajes de error personalizados 1. En el Administrador IIS, haga doble clic en el equipo local, haga clic con el botón secundario del mouse en la carpeta Sitios Web, en una carpeta de sitio Web individual, un directorio virtual o un archivo, y, a continuación, haga clic en Propiedades. 2. Haga clic en la ficha Errores personalizados. 3. En la lista Mensajes para errores HTTP, haga clic en el mensaje de error HTTP que desea cambiar y, a continuación, haga clic en Modificar. Los siguientes mensajes de error no se pueden personalizar: 400, 403.9, 411, 414, 500, 500.11, 500.14, 500.15, 501, 503 y 505. 4. En el cuadro de lista Tipo de mensaje, haga clic en Archivo para que se devuelva un archivo de mensaje de error personalizado o en Dirección URL para remitir la solicitud a una dirección URL de mensaje de error personalizado en el equipo local. Si el mensaje de error personalizado es una página .ASP, debe seleccionar Dirección URL. Si no selecciona Dirección URL, corre el riesgo de que se devuelva código fuente .ASP al cliente. 5. Si seleccionó Archivo, escriba la ruta de acceso al archivo o haga clic en Examinar para buscarlo. Los mensajes de error personalizados se instalan en la carpeta raízDelSistema\Help\IisHelp\Common de manera predeterminada. Los nombres de los archivos son números que corresponden a mensajes de error HTTP específicos; por ejemplo, 400.htm, 401-1.htm, etc. O bien Si seleccionó Dirección URL, escriba la ruta de acceso al sitio Web o directorio virtual. La dirección URL debe ser un sitio Web o directorio virtual ubicado en el equipo local. Además, la dirección URL del mensaje de error personalizado debe existir en el grupo de aplicaciones que le remite la solicitud. Si almacena las páginas de mensajes de error personalizados en un directorio virtual, éste debe ejecutarse en el mismo grupo de Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 61/84
UNED. Administración de Sitios Web. Código 3102.
2009
aplicaciones que el resto del sitio Web. De lo contrario, el proceso de trabajo no podrá ofrecer la página del mensaje de error personalizado cuando se solicite. 6. Haga clic en Aceptar y, de nuevo, en Aceptar. Si actualizó IIS 4.0 y ya había creado anteriormente sus propios archivos de mensajes de error personalizados o había modificado los que IIS 4.0 instaló en la carpeta raízDelSistema\Help\Common, sus archivos de mensajes de error personalizados se habrán movido a la carpeta raízDelSistemaHelp\IisHelp\Common y ahora tendrán la extensión de archivo .bak. Puede recuperar sus mensajes de error personalizados y volver a utilizarlos. Por ejemplo, el archivo de mensaje de error personalizado 400.htm que instaló IIS 4.0 ahora tiene el nombre 400.bak y se encuentra en la carpeta raízDelSistema\Help\IisHelp\Common (junto con los nuevos archivos de mensajes de error personalizados de IIS). 4.5.3 Habilitar el procesamiento de errores de ASP De forma predeterminada, el sitio Web predeterminado transfiere el procesamiento de los errores de Páginas Active Server (ASP) al archivo 500-100.asp. Si crea un sitio Web, los errores de ASP devuelven códigos de estado de HTTP estándar (llamados Predeterminados en el Administrador IIS). Si desea personalizar errores de ASP, puede asignar los errores 500-100 al archivo 500-100.asp o crear un archivo ASP de procesamiento de errores propio. Si crea su propio archivo de procesamiento de errores de ASP, deberá habilitar el archivo de errores personalizados mediante el Administrador IIS. a. Para habilitar el procesamiento de errores ASP mediante su asignación a una dirección URL 1. Cree un archivo que contenga el mensaje de error personalizado y guárdelo en un directorio virtual. 2. En el Administrador IIS, haga doble clic en el equipo local, haga clic con el botón secundario del mouse en el sitio Web, el directorio virtual, el directorio o el archivo para el que desee habilitar el procesamiento de errores de ASP y, después, haga clic en Propiedades. 3. Haga clic en la ficha Errores personalizados. 4. En la lista Mensajes para errores HTTP, haga clic en el error de HTTP que desee cambiar y, a continuación, haga clic en Modificar. 5. En el cuadro de lista Tipo de mensaje, haga clic en Dirección URL. 6. En el cuadro Dirección URL, escriba la dirección URL que apunta al mensaje de error personalizado; para ello, escriba la ruta de acceso a la dirección URL empezando por el nombre del directorio virtual. 7. Haga clic en Aceptar y, después, otra vez en Aceptar. 4.5.4 Deshabilitar mensajes descriptivos de los errores HTTP en Internet Explorer Internet Explorer muestra mensajes descriptivos de los errores cuando encuentra problemas durante la comunicación con un servidor HTTP. Los mensajes descriptivos de los errores son adecuados para el usuario final. No obstante, pueden impedir que los administradores vean los códigos de error de HTTP literales y las explicaciones, lo que puede complicar, si no imposibilitar, la solución de problemas. Durante la fase de descubrimiento de la solución de problemas, puede reunir y registrar los errores de HTTP que se han producido si ha deshabilitado los mensajes descriptivos. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 62/84
UNED. Administración de Sitios Web. Código 3102.
2009
a. Para deshabilitar los mensajes descriptivos de los errores HTTP en Internet Explorer 1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet. 2. Haga clic en la ficha Opciones avanzadas. 3. En la lista de opciones de Examinar, desactive la casilla de verificación Mostrar mensajes descriptivos de los errores HTTP. 4. Haga clic en Aplicar y, después, en Aceptar. 4.6 Guía de aplicaciones Web En esta sección se incluye información acerca de la configuración de aplicaciones Web mediante Microsoft® ASP.NET. En esta sección encontrará información acerca de la configuración, la seguridad y la implementación. 4.6.1 Acerca de .NET Framework
Esta característica no está disponible en Windows XP 64-Bit Edition ni en las versiones de 64 bits de la familia de Windows Server™ 2003. Microsoft .NET Framework es una nueva plataforma informática que simplifica el desarrollo de aplicaciones en un entorno distribuido como es Internet. .NET Framework se ha diseñado para proporcionar un entorno de programación orientado a objetos que garantice la ejecución segura de código y para eliminar los problemas de rendimiento de los entornos cifrados. .NET Framework tiene dos componentes principales: Common Language Runtime y la biblioteca de clases de .NET Framework. Microsoft ASP.NET aloja el motor de tiempo de ejecución para proporcionar servicios básicos, como la administración de memoria, la administración de subprocesos y el servicio remoto, a la vez que impone una seguridad estricta de tipos y otras formas de precisión de código que garanticen la seguridad y solidez. La administración de código es un principio fundamental del motor de tiempo de ejecución; el código que se centra en el tiempo de ejecución se denomina código administrado, mientras que el código que no se centra en el tiempo de ejecución se denomina código no administrado. La biblioteca de clases de .NET Framework es una completa recopilación orientada a objetos de tipos reutilizables que los programadores pueden utilizar para crear aplicaciones ASP.NET.
4.6.1.1 Funciones de Common Language Runtime Common Language Runtime (CLR) administra la memoria, la ejecución de subprocesos, la ejecución de código, la comprobación de la seguridad del código, la compilación y otros servicios del sistema. Estas funciones son propias del código administrado que se ejecuta en el componente Common Language Runtime que alberga ASP.NET. Se pueden conceder distintos grados de confianza a los componentes administrados en función de un número de factores, entre los que se incluye el origen (como Internet, red de la compañía o equipo local). Dependiendo de estos factores, un componente administrado puede ser o no capaz de realizar funciones delicadas, incluso si se está utilizado en la misma aplicación activa. CLR impone la seguridad en el acceso al código. Las aplicaciones pueden obtener acceso a recursos específicos, pero no pueden tener acceso a ningún recurso fuera de estos límites. Además, CLR impone la solidez del código mediante la implementación de una estructura estricta de comprobación de tipos y código denominada Common Type System (CTS). CTS garantiza que todo el código administrado proporciona información por sí mismo, lo que Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 63/84
UNED. Administración de Sitios Web. Código 3102.
2009
significa que el código administrado puede consumir otros tipos e instancias sin tener en cuenta el compilador de lenguaje utilizado para desarrollar el software. Además, el entorno administrado de CLR elimina muchos problemas de software comunes. Por ejemplo, CLR controla automáticamente la disposición de los objetos, administra las referencias a éstos y los libera cuando ya no se utilizan. Esta administración de memoria automática resuelve los dos errores de las aplicaciones más comunes: las pérdidas de memoria y las referencias de memoria no válidas. CLR está diseñado para mejorar el rendimiento. Aunque CLR proporciona muchos servicios estándar de motor de tiempo de ejecución, el código administrado nunca se interpreta. La compilación JIT ( Just-In-Time) permite ejecutar todo el código administrado en el lenguaje máquina nativo del sistema en el que se ejecuta. Mientras, el administrador de memoria mejora todavía más el rendimiento. 4.6.1.2 Funciones de la biblioteca de clases de .NET Framework La biblioteca de clases de .NET Framework es una colección de tipos reutilizables que se integran estrechamente con CLR. La biblioteca de clases está orientada a objetos, lo que proporciona tipos de los que las aplicaciones pueden derivar funciones adicionales. Esta orientación a objetos hace que los tipos de .NET Framework sean fáciles de utilizar y reduce el tiempo asociado al aprendizaje de nuevas funciones de .NET Framework. Además, los componentes de otros proveedores se pueden integrar sin dificultades con las clases de .NET Framework. Los tipos de .NET Framework permiten realizar una gama de tareas de programación comunes, como la administración de cadenas, la recopilación de datos, la conectividad con bases de datos y el acceso a archivos. Además, la biblioteca de clases incluye tipos que admiten una variedad de escenarios de desarrollo especializados. 4.6.2 Acerca de ASP.NET Esta característica no está disponible en Windows XP 64-Bit Edition ni en las versiones de 64 bits de la familia de Windows Server™ 2003. Microsoft ASP.NET es algo más que la siguiente generación de páginas Active Server (ASP). Proporciona un modelo de programación completamente nuevo para la creación de aplicaciones de red que aprovechen los recursos de Internet. En esta sección se muestra información acerca de la configuración, la seguridad y la implementación de las aplicaciones ASP.NET. Las Extensiones de servidor de FrontPage no admiten nombres de directorio con contenido Unicode o la creación y control de versiones distribuidos en Web (WebDAV). Los nuevos servidores virtuales con Extensiones de servidor de FrontPage deben asignarse al grupo de aplicaciones MSSharePointPool. Además, no deben hacerse cambios en la configuración del grupo de aplicaciones MSSharePointPool. Si dispone de un sitio Web que utilice Sharepoint™ Team Services (STS) de Microsoft, los tipos de páginas que se indican a continuación no funcionarán a menos que se excluya el directorio virtual que contiene las páginas del filtro de ISAPI de STS:
Páginas Páginas Páginas Páginas
ASP ASP.NET PHP PerlScript
a. Para que estos tipos de páginas funcionen en el sitio Web STS 1. En el sitio Web Central Administration (Administración central) de STS, elija Manage (Administrar) el directorio virtual o sitio Web. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 64/84
UNED. Administración de Sitios Web. Código 3102.
2009
2. En Defined Managed Paths (Rutas administradas definidas), escriba la ruta de acceso al directorio virtual que contiene las páginas excluidas (por ejemplo, \MisPáginasASP) y seleccione Exclude (Excluir). 4.6.2.1 Introducción a ASP.NET ASP.NET es una plataforma de aplicaciones Web unificada que proporciona los servicios necesarios para crear e implementar aplicaciones Web de clase empresarial. ASP.NET ofrece un modelo e infraestructura nuevos para programar aplicaciones más estables, escalables y seguras que pueden servir para cualquier explorador o dispositivo. ASP.NET forma parte de Microsoft .NET Framework, un entorno informático que simplifica el desarrollo de aplicaciones en un entorno altamente distribuido como es Internet. .NET Framework incluye Common Language Runtime (CLR), que proporciona servicios básicos como la administración de la memoria, la administración de los subprocesos y la seguridad del código. También incluye la biblioteca de clases de .NET Framework, una completa recopilación de tipos orientada a objetos que los programadores pueden utilizar para crear aplicaciones. ASP.NET ofrece las siguientes ventajas:
Facilidad de uso: ASP.NET utiliza un sistema de configuración jerárquico basado en texto que simplifica la aplicación de valores en el entorno del servidor y en las aplicaciones Web. Como la información de configuración se almacena como texto sin formato, la nueva configuración se puede aplicar sin ayuda de herramientas de administración locales. Los cambios en los archivos de configuración se detectan y se aplican automáticamente a la aplicación. Seguridad: ASP.NET proporciona esquemas de autenticación y autorización predeterminados para las aplicaciones Web. Los programadores pueden agregar, quitar o reemplazar fácilmente estos esquemas en función de las necesidades de la aplicación.. Facilidad de implementación: Para implementar una aplicación ASP.NET en un servidor, simplemente hay que copiar los archivos necesarios en el servidor. No es necesario reiniciar el servidor, ni siquiera al implementar o reemplazar código compilado en ejecución. Rendimiento mejorado: ASP.NET es código compilado que se ejecuta en el servidor. A diferencia de las páginas Active Server (ASP) tradicionales, ASP.NET puede aprovechar los servicios de enlace en tiempo de compilación, de compilación just-in-time (JIT), de optimización nativa y los servicios inmediatos de almacenamiento en caché para mejorar el rendimiento.. Almacenamiento flexible de resultados en caché: ASP.NET puede almacenar en caché datos de una página, partes de una página o páginas enteras, en función de las necesidades de la aplicación. Los elementos almacenados en caché pueden depender de archivos o de otros elementos de la caché, o pueden actualizarse de acuerdo con una directiva de caducidad. Internacionalización: ASP.NET utiliza Unicode internamente para representar datos de peticiones y de respuestas. Los valores de la internacionalización se pueden configurar en cada equipo, cada directorio o cada página. Compatibilidad con dispositivos móviles: ASP.NET admite cualquier explorador o dispositivo. Los programadores utilizan las mismas técnicas de programación para los dispositivos móviles nuevos que para los exploradores de escritorio tradicionales. Escalabilidad y disponibilidad: ASP.NET se ha diseñado para que sea escalable, con funciones especialmente confeccionadas para mejorar el rendimiento en los entornos organizados en clústeres y en los entornos con varios procesadores. Además, los procesos están administrados y supervisados por los Servicios de Internet Information Server (IIS) y el CLR de ASP.NET, de manera que si uno de estos procesos deja de
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 65/84
UNED. Administración de Sitios Web. Código 3102.
2009
funcionar correctamente, se crea un nuevo proceso en su lugar, lo que ayuda a mantener la aplicación disponible para administrar peticiones. Seguimiento y depuración: ASP.NET proporciona servicios de seguimiento que pueden habilitarse durante la depuración de aplicaciones y páginas. Puede optar por ver la información en una página o mediante la herramienta del visor de seguimiento de la aplicación. ASP.NET admite la depuración local y remota con las herramientas de depuración de .NET Framework, tanto durante el desarrollo como cuando la aplicación está en producción. Cuando una aplicación está en producción, las instrucciones de seguimiento pueden dejarse en el código de producción sin que se vea afectado el rendimiento. Integración con .NET Framework Como ASP.NET forma parte de .NET Framework, la eficacia y la flexibilidad de toda la plataforma está disponible en las aplicaciones Web. Se puede obtener acceso sin problemas desde el Web tanto a la biblioteca de clases .NET como a las soluciones de mensajería y acceso a datos. ASP.NET es independiente del lenguaje, por lo que los programadores pueden seleccionar el lenguaje que se ajusta mejor a la aplicación. Además, la interoperabilidad de CLR mantiene las inversiones existentes en el desarrollo basado en COM. Compatibilidad con aplicaciones ASP existentes: ASP y ASP.NET pueden ejecutarse simultáneamente en un servidor Web de IIS sin que se produzcan interferencias, por lo que no es posible dañar una aplicación ASP existente al instalar ASP.NET. ASP.NET solamente procesa los archivos con extensión .aspx. Los archivos con extensión .asp continúan siendo procesados por el motor de ASP. Sin embargo, debe tener en cuenta que las páginas ASP y ASP.NET no comparten el estado de la sesión ni el estado de la aplicación. ASP.NET habilita dos características para las aplicaciones distribuidas: Formularios Web y servicios Web XML. Estas dos características son compatibles con la misma infraestructura de depuración y configuración.
La tecnología de los formularios Web permite crear páginas Web basadas en formularios muy eficaces. Las páginas de formularios Web utilizan componentes personalizados o integrados reutilizables para simplificar el código de una página. Los servicios Web XML que se crean utilizando ASP.NET le permiten tener acceso a los servidores de forma remota. Con los servicios Web XML, las empresas pueden proporcionar interfaces de programación a sus datos o lógica empresarial, que, a su vez, se pueden obtener y manipular mediante las aplicaciones de cliente y servidor. Los servicios XML Web permiten el intercambio de datos en escenarios cliente-servidor o servidor-servidor mediante estándares como los servicios de mensajería XML y HTTP a través de servidores de seguridad. Todos los programas, independientemente del lenguaje en el que están escritos y del sistema operativo en el que se ejecutan, pueden llamar a los servicios Web XML.
4.6.2.2 Razones para utilizar ASP.NET Microsoft ASP.NET es algo más que la siguiente generación de Páginas Active Server (ASP, Active Server Pages). Proporciona un modelo de programación completamente nuevo para la creación de aplicaciones de red que aprovechen los recursos de Internet. Escalabilidad y rendimiento mejorados
Ejecución compilada: ASP.NET es mucho más veloz que las aplicaciones ASP clásicas, pero conserva el modelo de actualización rápida de ASP. No es necesario realizar la compilación explícitamente. ASP.NET detecta de forma automática cualquier cambio, compila los archivos dinámicamente si es necesario y almacena los resultados
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 66/84
UNED. Administración de Sitios Web. Código 3102.
2009
compilados para volver a utilizarlos en peticiones posteriores. La compilación dinámica garantiza que la aplicación esté siempre actualizada y la ejecución compilada la hace más rápida. La mayoría de las aplicaciones migradas desde las aplicaciones ASP clásicas a ASP.NET experimentan un incremento de tres a cinco veces mayor en el envío de páginas. Almacenamiento eficaz de resultados en caché: El almacenamiento de los resultados en memoria caché de ASP.NET mejora considerablemente el rendimiento y la escalabilidad de las aplicaciones. Cuando está habilitado el almacenamiento en caché en una página, ASP.NET ejecuta la página una vez y guarda el resultado en la memoria antes de enviarla al usuario. Cuando otro usuario solicita la misma página, ASP.NET envía el resultado almacenado en caché desde la memoria sin volver a ejecutar la página. El almacenamiento de resultados en memoria caché se puede configurar, y se puede utilizar para almacenar regiones individuales o páginas enteras. Estado de sesión de conjunto de servidores Web: El estado de sesión de ASP.NET le permite compartir datos de la sesión entre todos los equipos de un conjunto de servidores Web. Ahora es posible que un usuario envíe varias peticiones a distintos servidores de un conjunto de servidores Web y que siga teniendo acceso completo a los datos de la sesión.
Confiabilidad mejorada
Pérdida de memoria, interbloqueo y protección contra bloqueo: ASP.NET detecta y corrige automáticamente los errores, como interbloqueos y pérdidas de memoria, para garantizar que la aplicación esté siempre disponible. Por ejemplo, cuando se detecta una pérdida de memoria, ASP.NET inicia automáticamente una nueva copia del proceso de trabajo de ASP.NET y dirige todas las peticiones nuevas a este nuevo proceso. Cuando el antiguo proceso termina de procesar las peticiones pendientes, se elimina sutilmente y la memoria perdida se libera.
Implementación sencilla:
Implementación automática de aplicaciones: Con ASP.NET, puede distribuir una aplicación entera copiándola en el servidor. Los parámetros de configuración se almacenan en un archivo XML de la aplicación. Actualización dinámica de aplicaciones en ejecución: ASP.NET permite actualizar componentes compilados sin tener que reiniciar el servidor Web. A diferencia de los componentes COM clásicos, que requerían que el servidor Web se reiniciara manualmente cuando se implementaba una actualización, ASP.NET detecta automáticamente los cambios y se inicia utilizando el nuevo código. Ruta de migración sencilla: ASP.NET se ejecuta simultáneamente en IIS con las aplicaciones ASP clásicas de Microsoft Windows® 2000 y Windows XP y en miembros de la familia de Windows Server 2003. Puede migrar las aplicaciones una por una y hasta páginas individuales. ASP.NET le permite incluso seguir utilizando los antiguos componentes empresariales de COM existentes.
Nuevos modelos de aplicación
Servicios Web XML: Los servicios Web XML permiten a las aplicaciones comunicarse y compartir datos a través de Internet, independientemente del sistema operativo o del lenguaje de programación. ASP.NET simplifica la exposición e invocación de los servicios Web XML. Compatibilidad con dispositivos Web móviles: Los controles móviles de ASP.NET le permiten controlar 80 dispositivos Web móviles utilizando ASP.NET. Escriba la aplicación una vez y los controles móviles generarán automáticamente páginas para el dispositivo que lo solicita.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 67/84
UNED. Administración de Sitios Web. Código 3102.
2009
Productividad del programador
Modelo de programación sencillo: ASP.NET convierte la creación de aplicaciones Web para el mundo real en una tarea mucho más sencilla gracias a los controles de servidores, que le permiten crear grandes páginas con mucho menos código que en las aplicaciones ASP clásicas. Opciones de lenguaje flexibles. ASP.NET no sólo es compatible con Microsoft Visual Basic Scripting Edition (VBScript) y Microsoft JScript, sino también con más de 25 lenguajes de .NET, además de la compatibilidad integrada con Visual Basic .NET, Microsoft C# y JScript .NET. Amplio marco de clases: La biblioteca de clases de .NET Framework ofrece más de 4.500 clases que contienen una gran variedad de funciones, como XML, acceso a datos, carga de archivos, expresiones regulares, generación de imágenes, registro y supervisión del rendimiento, transacciones, cola de mensajes y correo SMTP.
4.6.2.3 Introducción a los servicios Web XML creados con ASP.NET Un servicio Web XML es una entidad programable que proporciona una determinada función, como la lógica de aplicación, a la que los sistemas pueden tener acceso mediante estándares de Internet, como XML, HTTP y SOAP. Todas las aplicaciones, independientemente del lenguaje en el que están escritas y del sistema operativo en el que se ejecutan, pueden llamar a los servicios Web XML. Un servicio Web XML puede utilizarse internamente mediante una aplicación o exponerse externamente en Internet mediante varias aplicaciones. Dado que a través de una interfaz estándar se puede tener acceso a un servicio Web XML, éste permite que sistemas distintos trabajen conjuntamente como un conjunto Web. Una de las características básicas de un servicio Web XML es el alto grado de abstracción existente entre la implementación y el consumo de un servicio. Como un servicio Web XML se crea y se tiene acceso a él mediante un servicio de mensajería basado en XML, el proveedor y el cliente del servicio Web XML no necesitan conocer nada más el uno del otro que las entradas, las salidas y la ubicación. La infraestructura de los servicios Web XML proporciona un mecanismo de descubrimiento para localizar servicios Web XML, una descripción del servicio para definir el modo en que se utilizan estos servicios y formatos de conexión estándar para la comunicación.
Descubrimiento es el proceso de localizar uno o varios documentos que describen un
determinado servicio Web XML mediante el Lenguaje de descripción de servicios Web (WSDL). Cuando se encuentra el servicio, el documento WSDL proporciona una descripción de las interacciones compatibles con el servicio. Los servicios Web XML se comunican mediante formatos de conexión abiertos, que son protocolos que puede comprender cualquier sistema compatible con los estándares Web más utilizados. SOAP es el protocolo principal para la comunicación de servicios Web XML. ASP.NET le permite crear y publicar servicios Web XML mediante las mismas construcciones de programación que se utilizan para crear y publicar páginas Web de ASP.NET. Los servicios Web XML creados mediante ASP.NET emplean los estándares enumerados en la tabla siguiente.
Estándar
Uso en servicios Web XML creados mediante ASP.NET
XML
Formato de texto utilizado en la comunicación con los servicios Web XML mediante SOAP. XML se usa para codificar las respuestas en la comunicación con servicios Web XML que utilizan los protocolos HTTP-GET y HTTP-POST.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 68/84
UNED. Administración de Sitios Web. Código 3102.
2009
SOAP
Protocolo de intercambio de mensajes basado en XML utilizado para llevar a cabo la comunicación entre los servicios Web XML y sus clientes.
Lenguaje de descripción de servicios Web (WSDL,
Describe el contrato de los mensajes que un servicio Web XML puede interpretar al comunicarse con un cliente de servicios Web XML.
Lenguaje de definición de esquemas XML (XSD, XML Schema Definition)
Proporciona un sistema universal de tipos que permite la definición de tipos de datos y su transmisión entre plataformas. En un servicio Web XML, XSD define la estructura y los tipos de datos del código XML concentrados en un mensaje SOAP enviado y recibido por un servicio Web XML.
application/x-www-formurl encoded
Tipo MIME utilizado para codificar parámetros en una dirección URL. Dicha codificación se utiliza en parámetros de peticiones para servicios Web XML que utilizan los protocolos HTTP-GET y HTTP-POST.
Web Services Description Language)
4.6.3 Aplicaciones 4.6.3.1 Acerca de la configuración de aplicaciones Al crear una aplicación, el Administrador IIS se usa para designar el directorio de punto de inicio de la aplicación, también denominado raíz de la aplicación, en el sitio Web. Puede haber más de una aplicación por cada sitio Web. El sitio Web predeterminado creado al instalar IIS es un punto de inicio de aplicaciones. Cada archivo y subdirectorio ubicado en este directorio del sitio Web se considera parte de la aplicación hasta llegar al directorio de punto de inicio de otra aplicación. Por tanto, los límites de los directorios permiten definir el alcance de las aplicaciones. Para ayudar a reducir la superficie vulnerable del servidor, IIS 6.0 no se instala en Windows Server 2003 de forma predeterminada. Cuando se instala por primera vez IIS 6.0, éste se bloquea, lo que significa que sólo se habilita la característica de tratamiento de solicitud de páginas Web estáticas, y sólo se instala el Servicio de publicación World Wide Web (servicio WWW). Ninguna de las características que se asienta sobre IIS está activada, incluidas ASP, ASP.NET, las secuencias de comandos CGI, las Extensiones de servidor de FrontPage® 2002 de Microsoft y la Publicación en WebDAV. Si no habilita estas características, IIS devolverá un error 404. Se pueden habilitar estas características mediante el nodo Habilitar extensiones de servicio Web en el Administrador IIS.. IIS 6.0 admite muchos tipos de aplicaciones y sus opciones de configuración. Puede crear y configurar las aplicaciones para obtener un rendimiento y depuración óptimos, definir un lenguaje de secuencias de comandos predeterminado, habilitar el almacenamiento en caché y en búfer, habilitar rutas de acceso primarias y asociar una extensión de nombre de archivo a un tipo de programa. Estas opciones se pueden configurar mediante el Administrador IIS o la metabase. Un cambio importante de IIS 6.0 que podría afectar a las aplicaciones de Páginas Active Server (ASP) consiste en que las rutas de acceso primarias no están habilitadas de forma predeterminada para las aplicaciones ASP.. 4.6.3.2 Modos de aplicación
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 69/84
UNED. Administración de Sitios Web. Código 3102.
2009
IIS 6.0 se puede ejecutar en dos modos de funcionamiento distintos: modo de aislamiento de procesos de trabajo y modo de aislamiento de IIS 5.0. El código de aplicación se ejecuta en un entorno aislado, pero sin la pérdida de rendimiento de las versiones anteriores de IIS. El aislamiento de aplicaciones es la separación de las aplicaciones mediante límites de procesos que impiden que las aplicaciones afecten unas a otras. El aislamiento de aplicaciones se configura de manera diferente en cada uno de los dos modos de aislamiento de IIS. De manera predeterminada, después de una instalación completa de IIS 6.0, IIS se ejecuta en el modo de aislamiento de procesos de trabajo. En el modo de aislamiento de procesos de trabajo, tiene la opción de agrupar los procesos de las aplicaciones. Además, en las aplicaciones ASP.NET, la configuración de las aplicaciones se define mediante los archivos Web.config o Machine.config. Si ejecuta IIS en el modo de aislamiento de procesos de trabajo, debe configurar los atributos definidos en el archivo Machine.config mediante IIS. 4.6.3.3 Crear aplicaciones en IIS 6.0 Para crear una aplicación, debe designar primero un directorio como punto de inicio para la aplicación, llamado también raíz de la aplicación. A continuación, puede establecer las propiedades de la aplicación. Cada aplicación puede tener un nombre descriptivo. Este nombre aparece en el Administrador IIS y proporciona una forma de distinguir unas aplicaciones de otras. El nombre de la aplicación sólo se utiliza en este punto. Los sitios Web son aplicaciones de nivel raíz de forma predeterminada. Cuando se crea un sitio Web, se crea una aplicación predeterminada al mismo tiempo. Puede utilizar esta aplicación del nivel raíz, quitarla o reemplazarla con otra aplicación. Puede quitar un directorio de los límites de la aplicación, de manera que las peticiones a los archivos en ese directorio y sus subdirectorios no puedan iniciar la aplicación. Si quita un directorio de los límites de una aplicación, no está eliminando el directorio del sitio Web ni del disco duro del equipo. Para crear una aplicación 1. En el Administrador IIS, expanda el equipo local, haga clic con el botón secundario del mouse en el directorio de punto de inicio de la aplicación que está creando y, después, haga clic en Propiedades. 2. Haga clic en la ficha correspondiente: Directorio principal, Directorio virtual o Directorio. 3. En el área Configuración de aplicación, haga clic en Crear. 4. En el cuadro Nombre de la aplicación, escriba un nombre para la aplicación. 5. En el cuadro de lista Permisos de ejecución, establezca los permisos realizando una de las acciones siguientes:
Haga clic en Ninguno para impedir la ejecución de todos los programas o secuencias de comandos. Haga clic en Sólo secuencias de comandos para permitir la ejecución de las aplicaciones asignadas a un motor de secuencias de comandos en este directorio, sin tener permisos establecidos para ejecutables. Establecer permisos en Sólo secuencias de comandos es más seguro que establecerlos en Sec. comandos y ejecutables ya que permite limitar las aplicaciones que se pueden ejecutar en el directorio. Haga clic en Sec. comandos y ejecutables para permitir la ejecución de cualquier aplicación en este directorio, incluso las aplicaciones asignadas a motores de secuencias de comandos y archivos binarios de Windows (archivos .dll y .exe).
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 70/84
UNED. Administración de Sitios Web. Código 3102.
2009
6. Haga clic en Aceptar. Si ve el botón Quitar en lugar del botón Crear, es debido a que ya se ha creado una aplicación. b. Para quitar un directorio de la aplicación 1. En el Administrador IIS, expanda el equipo local, haga clic con el botón secundario del mouse en el directorio que desee quitar y después haga clic en Propiedades. 2. Haga clic en la ficha correspondiente: Directorio principal, Directorio virtual o Directorio. 3. En el área Configuración de aplicación, haga clic en Quitar. Para detener una aplicación y descargarla de la memoria, haga clic en Descargar. Si el botón Descargar aparece atenuado, significa que no se encuentra en el directorio que sirve como punto de inicio de la aplicación.
4.6.3.4 Establecer asignaciones para la aplicación en IIS 6.0 Existen muchos lenguajes de programación y secuencias de comandos que puede utilizar para desarrollar aplicaciones Web. IIS utiliza la extensión del nombre de archivo de un recurso solicitado en el sitio Web para determinar el programa API de servidor Internet (ISAPI) o CGI (Common Gateway Interface) que se va a ejecutar para procesar la petición. Por ejemplo, la petición de un archivo con la extensión .aspx hace que el servidor Web inicie el programa ASP.NET (aspnet_isapi.dll) para procesar la petición. La asociación de una extensión de archivo a un programa ISAPI o CGI recibe el nombre de asignación de aplicación. IIS 6.0 está configurado para permitir las asignaciones de aplicaciones comunes. Puede agregar o quitar asignaciones para todas las aplicaciones de un sitio Web o para una aplicación individual. a. Para asignar una extensión a una o varias aplicaciones 1. En el Administrador IIS, haga doble clic en el equipo local, haga clic con el botón secundario del mouse en la carpeta Sitios Web o en una carpeta de sitio Web individual y, a continuación, haga clic en Propiedades. Nota La configuración que se realiza en la carpeta Sitios Web la heredan todos los sitios Web del servidor. Puede omitir la herencia si configura el sitio individual o el elemento del sitio.
2. Haga clic en la ficha correspondiente: Directorio principal, Directorio virtual o Directorio. 3. En el área Configuración de aplicación, haga clic en Configuración y, después, haga clic en la ficha Asignaciones. 4. En la ficha Asignaciones , haga clic en Agregar. 5. En el cuadro Ejecutable, escriba la ruta de acceso del programa ISAPI o CGI que procesará el archivo. Debe especificar un programa en un directorio local del servidor Web.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 71/84
UNED. Administración de Sitios Web. Código 3102.
2009
6. En el cuadro Extensión, escriba la extensión del nombre archivo que desea asociar al programa ISAPI o CGI. Cuando el servidor Web reciba una dirección URL que identifique un archivo con esta extensión, iniciará el programa asociado para procesar la petición. 7. Para permitir el procesamiento de archivos de este tipo en un directorio con el permiso de secuencia de comandos, active la casilla de verificación Motor de secuencias de comandos. Si un directorio tiene establecido el permiso de secuencia de comandos (en lugar del permiso de ejecución), sólo se podrán procesar en el directorio los archivos asociados a aplicaciones que sean motores de secuencias de comandos designados. 8. Active la casilla de verificación Comprobar si el archivo existe para permitir que el servidor compruebe que la secuencia de comandos existe antes de asignar una extensión a una aplicación. En la ficha Asignaciones está la columna Verbos, que se llamaba Exclusiones en IIS 4.0. El cambio al encabezado verbos se debe al problema de compatibilidad en el futuro, cuando se agreguen más palabras HTTP al Protocolo de transferencia de hipertexto. b. Para quitar una asignación de aplicación 1. En el Administrador IIS, haga doble clic en el equipo local y haga clic en el directorio de punto de inicio de la aplicación que desee. 2. Haga clic con el botón secundario del mouse en la carpeta Sitios Web y seleccione Propiedades. 3. Haga clic en la ficha correspondiente: Directorio principal, Directorio virtual o Directorio. 4. En el área Configuración de aplicación, haga clic en Configuración y, después, haga clic en la ficha Asignaciones. 5. En la ficha Asignaciones, haga clic en Quitar. Las peticiones de archivos con esta extensión ya no se procesarán en este sitio Web o en este directorio. 4.6.4 Configurar extensiones ISAPI Si establece varias configuraciones que están asociadas con las extensiones ISAPI (archivos DLL de ISAPI) que se ejecutan en el servidor, puede ajustar el rendimiento del servidor. El registro de datos de uso, como el número de peticiones o el momento en que se efectúan, puede ayudarle a determinar la forma de realizar los ajustes. Para minimizar la vulnerabilidad del servidor, IIS 6.0 no se instala de manera predeterminada en Windows Server 2003. Cuando IIS 6.0 se instala por primera vez, está bloqueado; es decir, sólo se instala con la característica de tratamiento de petición para páginas Web estáticas habilitada y con el Servicio de publicación de World Wide Web (servicio WWW). Ninguna de las características que se superponen a IIS están activadas, como ASP, ASP.NET, secuencias de comandos CGI, Extensiones de servidor de FrontPage® 2002 de Microsoft y publicación WebDAV. Si no se habilitan estas características, IIS devuelve un error 404. Se pueden habilitar estas características mediante el nodo Habilitar extensiones de servicio Web en el Administrador IIS.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 72/84
UNED. Administración de Sitios Web. Código 3102.
2009
4.6.4.1 Almacenar en caché las extensiones ISAPI Los archivos DLL de ISAPI se pueden cargar y almacenar en caché para que las peticiones posteriores puedan procesarse sin tener que llamarlas de nuevo. De lo contrario, los archivos DLL se descargarán después de su ejecución. El almacenamiento en caché reduce el tiempo que espera el usuario a que se cargue el archivo DLL y la mayor parte de las extensiones ISAPI se benefician del almacenamiento en caché. Debe desactivar esta opción únicamente en circunstancias especiales, como al depurar extensiones ISAPI. Para habilitar el almacenamiento en caché 1. En el Administrador IIS, expanda el equipo local y, a continuación, haga clic en el directorio de punto de inicio de la aplicación que desee. 2. Haga clic con el botón secundario del mouse (ratón) en el directorio y, después, haga clic en Propiedades. 3. Haga clic en la ficha correspondiente: Directorio principal, Directorio virtual o Directorio. 4. En el área Configuración de aplicación, haga clic en Configuración y, después, haga clic en la ficha Asignaciones. 5. En la ficha Asignaciones, active la casilla de verificación Almacenar en caché extensiones ISAPI. 4.6.4.2 Trabajar con filtros ISAPI Al igual que las extensiones API de servidor Internet (ISAPI), los filtros ISAPI son programas que responden cuando el servidor de la aplicación recibe una petición HTTP. Sin embargo, a diferencia de las extensiones ISAPI, los filtros ISAPI siempre se ejecutan en el proceso del servidor. Los filtros ISAPI se diferencian de las aplicaciones en que están controlados por sucesos del servidor Web en lugar de por peticiones de clientes. Puede asociar un filtro ISAPI a un suceso específico del servidor Web; el filtro recibirá una notificación cada vez que se produzca el suceso asociado. Por ejemplo, un filtro puede recibir una notificación cuando se produzca un suceso de lectura o escritura, y cifrará, a continuación, los datos que se van a devolver al cliente. Si una petición HTTP desencadena un suceso para el que el filtro está registrado, éste recibirá los datos contenidos en la petición, independientemente de si la petición es para un archivo, una aplicación CGI o una extensión ISAPI. Instalar filtros ISAPI Puede instalar filtros para todos los sitios de un servidor de aplicaciones (filtros globales) y también puede instalar filtros para sitios Web individuales (filtros de sitio). Si instala filtros globales y filtros de sitio, se combinarán las dos listas de filtros para el sitio. Cuando se han registrado varios filtros para el mismo suceso, se les llama secuencialmente. Los filtros con mayor prioridad se ejecutan antes que los de menor prioridad. Si varios filtros tienen la misma prioridad, los filtros globales establecidos en las propiedades principales se ejecutan antes que los establecidos para el sitio. Los filtros que tienen la misma prioridad con el mismo grado de herencia se ejecutan según el orden en que se cargaron. Puede cambiar el orden de carga de los filtros ajustando las propiedades del servidor Web o del sitio Web. Para agregar un filtro a un servidor Web o a un sitio Web 1. En el Administrador IIS, expanda el equipo local, haga clic con el botón secundario del mouse (ratón) en el servidor Web o sitio Web al que desea agregar un filtro y, después, haga clic en Propiedades. 2. Haga clic en la ficha Filtros ISAPI y después en Agregar. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 73/84
UNED. Administración de Sitios Web. Código 3102.
2009
Si agrega filtros a un sitio Web, no verá ningún filtro global heredado de las propiedades principales del servidor Web. Sólo verá los filtros instalados para el sitio Web, incluso aunque ambos conjuntos de filtros estén en ejecución. 3. En el cuadro de texto Nombre del filtro, escriba el nombre del filtro. 4. En el cuadro de texto Ejecutable, escriba el nombre del archivo DLL o haga clic en Examinar para ir a su ubicación y, después, haga clic en Aceptar. 5. Haga clic en la flecha hacia arriba o hacia abajo para cambiar el orden de carga de un filtro. Sólo puede cambiar el orden de carga de los filtros que tengan la misma prioridad. 6. Si ha agregado o cambiado un filtro global, debe detener y reiniciar el servidor Web para cargar en memoria los filtros nuevos. 4.6.4.3 Comprobar el estado de un filtro ISAPI Cuando se agrega un filtro ISAPI a un sitio en IIS 6.0, la columna Estado de la lista de filtros está vacía. El estado del filtro no se conoce hasta que se realiza una petición para el sitio y un intento de cargar el filtro. Una vez realizada la petición, el estado del filtro se muestra como una flecha roja si no se ha cargado o como una flecha verde si se ha cargado correctamente. Este comportamiento difiere de IIS 5.0, donde el filtro se cargaba dinámicamente tan pronto como se agregaba al sitio, aunque no se realizara una petición al sitio. Para comprobar el estado de un filtro ISAPI 1. En el Administrador IIS, haga clic con el botón secundario en el sitio Web o servidor virtual donde está instalado el filtro ISAPI y, a continuación, haga clic en Propiedades. 2. Haga clic en la ficha Filtros ISAPI y, en la columna Estado, compruebe el estado del filtro ISAPI. Una flecha verde indica que el último filtro ISAPI se instaló correctamente. Una flecha roja indica que se produjo un error en un filtro la última vez que se inició el proceso de trabajo 4.6.4.4 Instalar asignaciones de aplicación de comodines EnIIS 6.0, los administradores pueden configurar un sitio Web o un directorio virtual para que ejecuten una aplicación API de servidor Internet (ISAPI) al comienzo de todas las peticiones que reciban dicho sitio Web o directorio virtual, independientemente de la extensión que tenga el archivo solicitado. Cuando un servidor Web de IIS recibe una petición de un cliente, el servidor Web observa la extensión del archivo mencionado en la petición para determinar la aplicación ISAPI o CGI (Common Gateway Interface) que controla ese archivo. Por ejemplo, si se recibe una petición para una página Web llamada Default.asp, IIS sabe, por la lista de asignaciones de aplicaciones, que la aplicación ISAPI Asp.dll controla la página solicitada. Si desea que ciertas tareas se ejecuten para todas las peticiones de los clientes, antes de que la página solicitada se envíe a la aplicación que tiene asignada, puede escribir un filtro ISAPI que intercepte las peticiones cuando se reciban. Con todo, los filtros ISAPI tienen las siguientes limitaciones:
no pueden tener acceso al cuerpo de una petición, sólo a los encabezados sólo se pueden configurar por sitio, no por directorio virtual
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 74/84
UNED. Administración de Sitios Web. Código 3102.
2009
no deben contener operaciones de ejecución prolongada, porque los filtros ISAPI son síncronos son menos flexibles porque la API de los filtros ISAPI tiene menos funcionalidad que la API de la extensión ISAPI, que se utiliza para escribir las aplicaciones ISAPI son complicados de administrar en el transcurso de un período de tiempo los controlan los sucesos
Mediante la utilización de asignaciones de aplicación de comodines, puede interceptar todas las peticiones antes de que se envíe la página solicitada a la aplicación que tiene asignada. El resultado equivale a tener Instalar asignaciones de aplicación de comodines que controlan todas las extensiones de nombres de archivo. Por eso esta característica se denomina con el término comodín. Sólo las aplicaciones ISAPI pueden utilizar las asignaciones de aplicación de comodines. Las peticiones de los clientes siguen esta ruta:
Los filtros ISAPI existentes instalados en el sitio Web raíz controlan las peticiones entrantes. Los filtros ISAPI se ejecutan en orden. La petición se envía a cualquiera de las aplicaciones de asignaciones de comodines existentes, que también se ejecutan en orden. Si la petición entrante es para un archivo Web que se encuentra en un directorio virtual y hay asignaciones de aplicación de comodines instalados en dicho directorio y en el sito Web raíz, sólo se ejecutan las asignaciones de aplicación de comodines instaladas en el directorio virtual. Si no hay asignaciones de aplicación de comodines instaladas en el directorio virtual, se ejecutan las que estén instaladas en el sitio Web. Es decir, las asignaciones de aplicación de comodines sólo se heredan si no hay ninguna aplicación en el lugar en que reside el archivo Web solicitado. El servidor IIS estudia la tabla de asignaciones de aplicación para determinar la aplicación ISAPI o secuencia de comandos CGI concreta que procesa el archivo solicitado. la respuesta se puede adjuntar a cada una de las etapas y, después, enviar al cliente.
4.6.4.5 Utilizar asignaciones de aplicación de comodines Las asignaciones de aplicación de comodines se pueden utilizar en las siguientes situaciones:
Aplicaciones Web de seguridad alta, como las aplicaciones de los bancos, que necesitan que cada usuario que haga una petición se autentique en una base de datos de nombres de usuario, contraseñas y números de cuenta. Por ejemplo, una vez que el usuario es autenticado, se crean ciertas reglas que especifican la información a la que el usuario puede tener acceso. Si la asignación de aplicación de comodines determina que el usuario no tiene derechos, puede impedir que la petición avance o puede enviarla a otra página Web en lugar de la solicitada. Este esquema de autorización y autenticación personalizado se puede implementar en una aplicación ISAPI e instalar como asignación de aplicación de comodines. Así, todos los usuarios deben pasar por la autenticación, independientemente de la extensión de nombre de archivo que soliciten. Sitios Web de comercio electrónico que muestran anuncios dirigidos a usuarios individuales. Por ejemplo, cuando los usuarios solicitan una página más de una vez, una aplicación de asignaciones de aplicación de comodines puede examinar su identidad y buscar aquellos elementos que han estudiado o comprado anteriormente. Una vez que la asignación de secuencia de comandos de comodines transfiere el control a la página solicitada, se puede mostrar un anuncio adecuado para ese usuario.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 75/84
UNED. Administración de Sitios Web. Código 3102.
2009
Insertar asignaciones de aplicación de comodines Al insertar la asignación de aplicación de comodines, puede indicar a IIS que permita que las aplicaciones ISAPI que se denominan interceptores intercepten y examinen cada petición antes de que la página solicitada se envíe a la aplicación que se le ha asignado. El resultado es una asignación de aplicación que controla todas las extensiones de nombres de archivo. Para agregar una asignación de aplicación de comodines a un servidor o sitio Web 1. En el Administrador IIS, expanda el equipo local, expanda la carpeta Sitios Web, haga clic con el botón secundario del mouse en el sitio Web o directorio virtual que desee y, después, haga clic en Propiedades. 2. Haga clic en la ficha correspondiente: Directorio principal, Directorio virtual o Directorio. 3. En el área Configuración de aplicación, haga clic en Configuración y, después, haga clic en la ficha Asignaciones. 4. Para instalar una asignación de aplicación de comodines, haga lo siguiente:
En la ficha Asignaciones, haga clic en Insertar. Escriba la ruta de acceso del archivo DLL en el cuadro de texto Ejecutable o haga clic en Examinar para desplazarse hasta él, active la casilla de verificación Motor de aplicación si el archivo DLL es un motor de secuencia de comandos y haga clic en Aceptar. 5. Para editar o eliminar una asignación de aplicación de comodines, haga lo siguiente: 6. En la lista Extensiones de aplicación, haga clic en la asignación de secuencia de comandos que desea cambiar. 7. Haga clic en Modificar para modificar la asignación de secuencia de comandos o en Quitar para eliminarla. 8. Para cambiar el orden de ejecución de las asignaciones de aplicación de comodines, cambie el orden en que aparecen en el cuadro Mapas de aplicación de comodines (orden de implementación) haciendo clic en los botones Subir o Bajar hasta que estén en el orden de ejecución que desea. 4.6.5 Configurar las aplicaciones para el uso de servicios COM+ COM+ proporciona una serie de servicios que pueden utilizar las aplicaciones de páginas Active Server (ASP) y proporciona un servicio, el procesamiento de transacciones, que pueden utilizar las páginas ASP. Para las identidades de aplicación COM+ activadas en el servidor se requiere el inicio de sesión por lotes. COM+ agrega esta característica automáticamente cuando se especifica una nueva cuenta para la identidad de una aplicación COM+ mediante la interfaz de usuario. El inicio de sesión por lotes permite que la aplicación ejecute código entre servidores, pero no permite que la cuenta inicie sesión en el servidor principal de manera interactiva. 4.6.6 Habilitar los ensamblados verticales mediante el Administrador IIS Los ensamblados verticales (SxS) permiten que las aplicaciones ASP especifiquen la versión de DLL del sistema compatible con SxS que se debe usar, como MSVCRT, MSXML, COMCTL, GDIPLUS, etc. Por ejemplo, si la aplicación ASP está basada en MSVCRT versión 2.0, puede garantizar que sigue utilizando la versión 2.0 de MSVCRT incluso después de aplicar service packs al servidor. Aunque se instalen versiones nuevas de MSVCRT, la aplicación seguirá Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 76/84
UNED. Administración de Sitios Web. Código 3102.
2009
utilizando la versión 2.0, que permanece en el equipo. Las DLL compatibles con SxS se almacenan en %WINDIR%\WinSxS. La configuración de ensamblados SxS requiere que se conozca la ruta de acceso a la DLL y que el archivo de manifiesto de COM+ exista en todos los directorios virtuales que necesiten utilizarla. El manifiesto de COM+ es un archivo XML que contiene información acerca de dónde está instalada una DLL. IIS no comprueba la existencia del manifiesto. Puede habilitar los ensamblados verticales en el equipo de IIS mediante programación o utilizando el Administrador IIS. Para habilitar los ensamblados verticales en IIS mediante el Administrador IIS 1. En el Administrador IIS, haga clic con el botón secundario del mouse en un sitio Web o directorio virtual y, después, haga clic en Propiedades. 2. Haga clic en la ficha Directorio virtual y, después, en Configuración. 3. Si el botón de configuración no está disponible es que no ha creado ninguna aplicación para este directorio virtual. Haga clic en Crear para crear una aplicación. 4. En el cuadro de diálogo Configuración de aplicación, haga clic en la ficha Opciones. 5. Active la casilla de verificación Habilitar ensamblados verticales. 6. En el cuadro Nombre de archivo de manifiesto, escriba el nombre del archivo de manifiesto de COM+. 7. Haga clic en Aceptar dos veces. 4.6.6.1 Configurar permisos de inicio para objetos de servidor COM+ Los cambios en los servicios del Modelo de objetos componentes (COM) de Windows Server 2003 e IIS 6.0 tienen implicaciones para la seguridad de los objetos COM+ en las páginas ASP, las extensiones ISAPI o cualquier otra aplicación que se ejecute en IIS. Para reducir al mínimo los riesgos para la seguridad, el nuevo modelo de procesamiento para IIS 6.0 requiere que todos los procesos se ejecuten bajo una identidad distinta de la de LocalSystem. Si la identidad del proceso de trabajo no dispone de permisos de inicio para ese objeto, el objeto se creará de manera satisfactoria. Debe conceder suficientes derechos de usuario para permitir que el proceso de trabajo de IIS cree satisfactoriamente el objeto sin conceder un número tal de derechos que la identidad llegue a suponer un riesgo para la seguridad. En Windows Server 2003, se crean cuentas IUSR_ nombreDeEquipo e IWAM_nombreDeEquipo que conceden permisos de inicio a componentes DCOM de manera predeterminada al instalar IIS. En el Service Pack 1 (SP1) de Windows Server 2003, se siguen creando cuentas, pero ya no conceden permisos a componentes DCOM de manera predeterminada al instalar IIS. Si tenía instalado IIS antes de actualizar a SP1, no se cambiarán los permisos. Si embargo, si instala IIS después de actualizar a SP1, los objetos COM no se podrán iniciar en las cuentas IUSR_nombreDelEquipo y IWAM_nombreDelEquipo si la aplicación utiliza permisos de inicio predeterminados para esas cuentas. En este caso, obtendrá un error de acceso denegado. Utilice el procedimiento descrito a continuación para conceder permisos de inicio explícitos a usuarios o grupos concretos con el fin de iniciar objetos COM en lugar de utilizar permisos de inicio predeterminados. Las siguientes recomendaciones pueden ofrecer simultáneamente una seguridad suficiente y una menor carga administrativa:
En lugar de agregar usuarios individuales directamente a los permisos de inicio de un objeto, cree un grupo en el equipo en el que se ejecuta el objeto COM+ y, después, agregue usuarios individuales a ese grupo. A continuación, agregue este grupo a los permisos de inicio del objeto.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 77/84
UNED. Administración de Sitios Web. Código 3102.
2009
Si se creó un objeto COM+ a partir del método GetExtensionVersion de una extensión ISAPI, a partir de un filtro ISAPI, o a partir de una extensión ISAPI que se ejecuta como identidad del proceso actual, agregue el grupo IIS_WPG a los permisos de inicio del objeto.
No es posible utilizar este enfoque con objetos COM+ que se ejecutan en proceso. a. Para configurar permisos de inicio para aplicaciones Web distribuidas 1. Haga clic en Inicio y, a continuación, en Panel de control. 2. Haga doble clic en Herramientas administrativas y, a continuación, haga clic en Servicios de componente. 3. En el panel izquierdo de Servicios de componente, haga doble clic en Servicios de componente, haga doble clic en Equipos y, a continuación, haga clic en Mi PC. 4. Haga clic en la carpeta Configuración DCOM. 5. En el panel de detalles, busque el objeto para el que desea modificar los permisos de inicio predeterminados, haga clic con el botón secundario del TAGmouseTAG (ratón) en el icono del objeto y, a continuación, haga clic en Propiedades. 6. Haga clic en la ficha Seguridad. 7. En Permisos de inicio, haga clic en Personalizados y, a continuación, en Modificar. No debe modificar los permisos de inicio predeterminados de una aplicación. 4.6.7 Sincronizar la ruta de acceso de la aplicación de un sitio Web Si utiliza el modo de estado de sesión SqlServer o StateServer, es posible que se pierda el estado de sesión al ejecutar una aplicación Web de ASP.NET en un clúster de servidores de equilibrio de carga de red. Para mantener el estado de sesión en los distintos servidores Web del clúster, la ruta de acceso de la aplicación del sitio Web (por ejemplo, \LM\W3SVC\2) en la metabase de IIS debe ser la misma para todos los servidores Web del clúster. Puede cambiar el Id. de instancia del sitio Web si modifica manualmente la metabase en cada servidor Web o utiliza la secuencia de comandos Moveinstance.vbs tal como se describe en esta sección. Para sincronizar la ruta de acceso de la aplicación de un sitio Web 1. Cree un archivo de texto y asígnele el nombre Moveinstance.vbs. Agregue el siguiente código de secuencia de comandos a Moveinstance.vbs. Este código modifica los Id. de instancia de los sitios Web para que sean los mismos: Dim WebService Dim oldstr Dim newstr Dim args Set args = WScript.Arguments If args.Count < 1 Then Wscript.Echo "Must have original instance id and new instance id" & chr(13) & _ "usage: moveinstance.vbs 1 5" & chr(10) & chr(13) & _ "Moves instance 1 to instance 5" WScript.Quit() End If Set WebService = GetObject("IIS://LocalHost/W3SVC") Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
chr(10) &
Clave ME-ASW01
Página 78/84
UNED. Administración de Sitios Web. Código 3102.
2009
oldstr = args(0) 'old instance newstr = args(1) 'new instance WebService.MoveHere oldstr,newstr WebService.SetInfo Set WebService = nothing Set args=nothing WScript.echo "DONE" 2. Guarde Moveinstance.vbs. 3. En el mismo directorio en que guardó Moveinstance.vbs, ejecute la secuencia de comandos desde el símbolo del sistema. Por ejemplo, en el símbolo del sistema, escriba lo siguiente: cscript moveinstance.vbs 1 5 y luego presione ENTRAR. De este modo cambia el Id. de instancia de un sitio a Web de 1 a 5 en la metabase. Cuando utilice el modo StateServer, asegúrese de que la sección [machineKey] del archivo Machine.config file tiene las mismas claves en cada servidor del conjunto de servidores Web.
4.6.8 Configurar servidores para aplicaciones En la programación Web, el sitio Web y el código de aplicaciones son complejos y están en constante cambio. Los sitios y aplicaciones Web cambian con mucha frecuencia, tanto como todas las semanas o todos lo meses. Por ello, son necesarios servicios de alojamiento que controlen activamente el entorno de tiempo de ejecución, a la vez que protegen las aplicaciones y controlen el rendimiento. En esta sección se explica cómo utilizar el Administrador IIS para configurar el servidor para la administración y ejecución de aplicaciones basadas en Web.
4.6.8.1 Acerca de la configuración de servidores para aplicaciones Los Servicios de Internet Information Server (IIS) 6.0 proporcionan servicios de alojamiento Web a través de una arquitectura ajustable que puede utilizar para administrar recursos de servidor y obtener estabilidad, eficacia y rendimiento mejorados. IIS organiza las aplicaciones en grupos aislados y detecta automáticamente pérdidas de memoria, procesos defectuosos y recursos sobreutilizados. Cuando se produce algún problema, IIS lo soluciona cerrando y reasignando los recursos defectuosos y conectando los procesos con errores a herramientas de análisis. IIS 6.0 se puede ejecutar en uno de dos modos de funcionamiento excluyentes:
Modo de aislamiento de procesos de trabajo. Es el modo predeterminado de IIS 6.0. Aísla componentes clave del servicio de publicación World Wide Web (servicio WWW) de los efectos de aplicaciones erróneas y protege a una aplicación de las demás utilizando el componente de procesos de trabajo. Utilice el modo de aislamiento de procesos de trabajo a menos que haya un problema de compatibilidad concreto que haga necesario el uso del modo de aislamiento de IIS 5.0. Los sitios Web que ofrecen contenido estático o aplicaciones ASP sencillas se pueden mover a IIS 6.0, cuando se ejecuta en el modo de aislamiento de procesos de trabajo, con muy pocas modificaciones o ninguna.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 79/84
UNED. Administración de Sitios Web. Código 3102.
2009
Modo de aislamiento de IIS 5.0. En este modo puede ejecutar aplicaciones incompatibles con el modo de aislamiento de procesos de trabajo porque se desarrollaron en versiones anteriores de IIS. Las aplicaciones que se ejecutan correctamente en IIS 5.0 se deben ejecutar sin problema en IIS 6.0 en el modo de aislamiento de IIS 5.0.
El modo de aislamiento de procesos de trabajo proporciona una mayor seguridad predeterminada para la ejecución de aplicaciones Web que el modo de aislamiento de IIS 5.0. De manera predeterminada, los procesos de trabajo se ejecutan con la identidad del servicio de red. La cuenta del servicio de red tiene menos derechos de acceso que la cuenta predeterminada del modo de aislamiento de IIS 5.0. Las aplicaciones Web que se ejecutan en proceso en el modo de aplicación de IIS 5.0 se ejecutan como LocalSystem. La cuenta de LocalSystem puede leer, ejecutar y cambiar la mayor parte de los recursos del equipo. El modo de aislamiento predeterminado tras la instalación de IIS 6.0 depende de si se trata de una instalación completa o una actualización.
Después de una instalación completa de IIS 6.0, IIS se ejecuta en el modo de aislamiento de procesos de trabajo. Tras una actualización desde una versión anterior de IIS 6.0, el modo de aislamiento es el mismo que esté configurado en dicha versión anterior. Tras una actualización desde IIS 5.0 o IIS 4.0, IIS 6.0 se ejecuta en el modo de aislamiento de IIS 5.0 de manera predeterminada para mantener la compatibilidad con las aplicaciones existentes.
4.6.8.2 Modo de aislamiento de procesos de trabajo IIS 6.0 introduce el modo de aislamiento de procesos de trabajo, en el que todas las aplicaciones Web se ejecutan en un entorno aislado. Cuando se ejecuta IIS en modo de aislamiento de procesos de trabajo, las aplicaciones se pueden configurar de forma que se ejecuten en distintos grupos de aplicaciones. Cada grupo de aplicaciones es una representación lógica de un proceso de trabajo configurable y se vincula a las aplicaciones del grupo. Los procesos de trabajo funcionan independientemente unos de otros y pueden experimentar errores sin que los demás procesos se vean afectados. La agrupación de aplicaciones protege las aplicaciones de los efectos de los procesos de trabajo que admiten otros grupos de aplicaciones. De esta forma, las aplicaciones quedan protegidas unas de otras. En el modo de aislamiento de trabajo, las peticiones del Protocolo de transferencia de hipertexto (HTTP) se enrutan directamente a una cola en el núcleo del grupo de aplicaciones que da servicio a la aplicación configurada. Los procesos de trabajo que dan servicio a un grupo de aplicaciones extraen las peticiones directamente de la cola, evitando la sobrecarga por cambio de proceso. Para proteger todavía más el servicio WWW, IIS 6.0 aísla los componentes críticos del servicio de publicación World Wide Web (servicio WWW), como la pila del protocolo HTTP (HTTP.sys) y la Administración y supervisión del servicio WWW, de los efectos del código de otros fabricantes que se ejecute en los procesos de trabajo. HTTP.sys recibe y pone en cola las peticiones de los servicios WWW. Cuando un proceso de trabajo se encuentra en un estado poco estable y, por lo tanto, deja de procesar peticiones, HTTP.sys continúa procesándolas. Mientras tanto, el servicio WWW detecta que el proceso de trabajo no es estable y lo cierra. Si existe demanda para que otro proceso de trabajo dé servicio a las peticiones (HTTP.sys tiene las peticiones en cola), el servicio WWW inicia un nuevo proceso de trabajo para que se haga cargo de las peticiones en cola de HTTP.sys. Aunque se haya producido un error en un proceso de trabajo, el servicio WWW sigue procesando peticiones y protege al usuario contra la pérdida de servicio. Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 80/84
UNED. Administración de Sitios Web. Código 3102.
2009
El modo de aislamiento de procesos de trabajo de IIS 6.0 ofrece las siguientes mejoras concretas respecto a las versiones anteriores de IIS:
Rendimiento eficaz El aislamiento impide que las aplicaciones y los sitios Web tengan efecto unos sobre otros o sobre el servicio WWW. Se evitan los reinicios del sistema operativo y el servicio WWW. Solución automática La administración automática proporciona el reinicio automático de los procesos de trabajo con errores y el reinicio periódico de los procesos de trabajo que se están deteriorando. Escalabilidad Los hospedajes multiproceso en una única máquina permiten que los procesos de trabajo den servicio al mismo grupo de aplicaciones. Afinidad de procesos Habilita la conexión de procesos de trabajo en procesadores concretos de servidores con varios procesadores. Depuración automática La característica de depuración habilita la asignación automática de procesos de trabajo con errores a herramientas de depuración. Limitación de CPU Esta característica de supervisión permite controlar la cantidad de recursos de CPU que consume un grupo de aplicaciones en un período de tiempo configurado.
4.6.8.3 Configurar los modos de aislamiento Puede ejecutar IIS 6.0 en uno de los modos siguientes: modo de aislamiento de procesos de trabajo o modo de aislamiento de IIS 5.0. El modo de aislamiento de procesos de trabajo es el predeterminado, es decir, es el modo en que se ejecuta el servidor a partir de una instalación completa. Puede utilizar el modo de aislamiento de IIS 5.0 para ejecutar aplicaciones desarrolladas para versiones anteriores de IIS que se ha determinado son incompatibles con el modo de aislamiento de procesos de trabajo. Configurar IIS para el modo de aislamiento de procesos de trabajo. El modo de aislamiento de procesos de trabajo es el modo de servicio predeterminado en IIS. El modo de aislamiento de procesos de trabajo proporciona todos los beneficios de la nueva arquitectura de IIS 6.0: eficaz agrupación de aplicaciones, reinicios automáticos, escalabilidad, depuración y ajuste del rendimiento muy preciso. Las aplicaciones Web se ejecutan con la identidad del servicio de red, lo que proporciona una ventaja de seguridad: la cuenta del servicio de red dispone de menos privilegios de acceso que LocalSystem. Utilice el modo de aislamiento de procesos de trabajo a menos que tenga que ejecutar aplicaciones que podrían entrar en conflicto con él, como se indica más abajo en "Configurar IIS para el modo de aislamiento de IIS 5.0". Para llevar a cabo el procedimiento siguiente, debe reiniciar IIS, lo que interrumpirá temporalmente el servicio de publicación World Wide Web (servicio WWW). Para configurar IIS para el modo de aislamiento de procesos de trabajo 1. En el Administrador IIS, expanda el equipo local, haga clic con el botón secundario del mouse en Sitios Web y, después, haga clic en Propiedades. 2. Haga clic en la ficha Servicio, desactive la casilla de verificación Ejecutar el servicio WWW en el modo de aislamiento de IIS 5.0 y después haga clic en Aceptar. 3. Para iniciar el servicio WWW, haga clic en Sí. Si el cambio al modo de aislamiento de procesos de trabajo se realiza correctamente, aparece una carpeta llamada Grupos de aplicaciones en la lista Administrador IIS del equipo local. Siempre puede determinar en qué modo de aislamiento se está ejecutando IIS por la presencia Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 81/84
UNED. Administración de Sitios Web. Código 3102.
2009
(en el modo de aislamiento de procesos de trabajo) o la ausencia (en el modo de aislamiento de IIS 5.0) de la carpeta Grupos de aplicaciones. Configurar IIS para el modo de aislamiento de IIS 5.0 Debe utilizar el modo de aislamiento de IIS 5.0 para las aplicaciones incompatibles con el modo de aislamiento de procesos de trabajo, hasta que se modifiquen dichas aplicaciones. Las siguientes características producen conflictos con el modo de aislamiento de procesos de trabajo:
Dependencia de Inetinfo.exe: si la aplicación se debe ejecutar en el proceso Inetinfo.exe, es necesario ejecutarla en el modo de aislamiento de IIS 5.0, porque las aplicaciones no se pueden ejecutar en Inetinfo.exe en el modo de aislamiento de procesos de trabajo. Requiere filtros de lectura de datos sin formato: los filtros de lectura de datos sin formato sólo están disponibles en el modo de aislamiento de IIS 5.0. Requiere Dllhost.exe: las aplicaciones que se deben ejecutar en un entorno de Dllhost.exe sólo se pueden ejecutar en el modo de aislamiento de IIS 5.0, porque Dllhost.exe no está disponible en el modo de aislamiento de procesos de trabajo. Si el servicio IIS 6.0 se ejecuta en el modo de aislamiento de procesos de trabajo (modo predeterminado de IIS 6.0) y debe ejecutar aplicaciones que no satisfacen los requisitos del modo de aislamiento de procesos de trabajo, cambie al modo de aislamiento de IIS 5.0. Esto quiere decir que no podrá aprovechar las ventajas y las características del aislamiento de procesos de trabajo. Una vez que haya completado el procedimiento siguiente, debe reiniciar el servicio WWW, lo que interrumpirá el servicio temporalmente. Para configurar IIS para el modo de aislamiento de IIS 5.0 1. En el Administrador IIS, expanda el equipo local, haga clic con el botón secundario del mouse en Sitios Web y, después, haga clic en Propiedades. 2. Haga clic en la ficha Servicio, active la casilla de verificación Ejecutar el servicio WWW en el modo de aislamiento de IIS 5.0 y después haga clic en Aceptar. 3. Para iniciar el servicio WWW, haga clic en Sí. Configurar IIS para un modo de aplicación mediante Adsutil.vbs También puede configurar IIS para un modo de aislamiento de aplicaciones estableciendo la propiedad de la metabase IIs5IsolationModeEnabled en true o false. Utilice el siguiente procedimiento para configurar esta propiedad de la metabase desde una línea de comandos. Para configurar IIS para un modo de aislamiento de aplicaciones mediante Adsutil.vbs 1. En el cuadro de diálogo Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar. 2. Para configurar el modo de aislamiento de aplicaciones, escriba uno de los siguientes comandos en el símbolo del sistema:
Para configurar el servidor de manera que se ejecute en el modo de aislamiento de procesos de trabajo, escriba: cscript %SystemDrive%\Inetpub\AdminScripts\adsutil.vbs set W3SVC/IIs5IsolationModeEnabled FALSE
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 82/84
UNED. Administración de Sitios Web. Código 3102.
2009
Para configurar el servidor de manera que se ejecute en el modo de aislamiento de IIS 5.0, escriba: cscript %SystemDrive%\Inetpub\AdminScripts\adsutil.vbs set W3SVC/IIs5IsolationModeEnabled TRUE
Si configuró el servidor para que se ejecutara en el modo de aislamiento de IIS 5.0, tendrá que configurar el nivel de protección de las aplicaciones, o el aislamiento, de cada aplicación que se ejecute en el servidor. 3. Para reiniciar IIS, en el símbolo del sistema, escriba: iisreset /noforce. Para comprobar si ha cambiado satisfactoriamente el modo de aislamiento de procesos de trabajo, compruebe si aparece una carpeta llamada Grupos de aplicaciones al abrir el Administrador IIS en el equipo local. Siempre puede determinar en qué modo de aislamiento se está ejecutando IIS por la presencia (en el modo de aislamiento de procesos de trabajo) o la ausencia (en el modo de aislamiento de IIS 5.0) de la carpeta Grupos de aplicaciones. No confunda el grupo de aplicaciones DefaultAppPool, que aparece de manera predeterminada al configurar un equipo para que se ejecute en el modo de aislamiento de procesos de trabajo, con el grupo de aplicaciones MSSharePointAppPool, que aparece de manera predeterminada al instalar las extensiones de servidor de FrontPage 2002 o los servicios del equipo SharePoint™ de Microsoft. No utilice, elimine ni realice ningún cambio en el grupo de aplicaciones MSSharePointAppPool. Alberga archivos que son usados internamente por las extensiones de servidor de FrontPage y los servicios del equipo SharePoint.
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 83/84
UNED. Administración de Sitios Web. Código 3102.
2009
REFERENCIAS Gonzalez Ivan (2003). El Rincón del Programador. IIS 6.0 - Nuevas características mejoran el
rendimiento, fiabilidad y escalabilidad de su serviidor WEB.
http://www.elrincondelprogramador.com/default.asp?pag=articulos/leer.asp&id=59.(consultado (11/06/2009) TechNet (2009). http://technet.microsoft.com/es-es/library/cc785089(WS.10).aspx. (Consultado 02/06/2009). Wikipedia(2009).http://es.wikipedia.org/wiki/IIS. (Consultado 11/06/2009)
Elaboró MBA. Kattia Morales Navarro
Revisó Lic. Enrique Gómez Jiménez
Autorizó MBA Nuria Rodríguez Sama
Versión 1.0
Clave ME-ASW01
Página 84/84