Введение

Наличие Интернета не только существенно изменило способы ведения бизнеса во многих компаниях, но и открыло новые возможности для конкуренции на рынке. С появлением новых web-технологий и увеличением числа клиентов, получающих доступ к ресурсам глобальной сети возникла и потребность в улучшении масштабируемости, обеспечении доступности и надежности и упрощении работы с приложениями. Работа приложений должна основываться на системах, которые обеспечивают длительную работоспособность, более быструю обработку запросов, параллельную работу сразу нескольких приложений, лучшее соотношение цена-качество и лучшее качество обслуживания. По сравнению с другими эти системы стоят на порядок выше.

Web-фермы (кластеры серверов) – это программы, которые обеспечивают работу более масштабных, но в то же время доступных и легких в управлении приложений. Они стали своеобразным эталоном, а все благодаря тому, что такие системы распределяют нагрузку между выполнением различных операций.  Говоря более конкретно, главный принцип работы web-ферм и распределения баланса загрузки – это именно определение атрибутов приложений. С помощью web-фермы организация может значительно увеличить число своих базовых пользователей, которые могут одновременно работать с данным приложением и его ресурсами.

Кластер сервера обеспечивает более легкий доступ к приложению, так как загрузка распределена между несколькими компьютерами. Кластер также ведет статистику пользователей, работающих с приложением в данный конкретный момент времени. Кроме того кластер сервера обеспечивает более легкое управление. Он без труда контролирует использование и управление архитектурой web-фермы, не допуская при этом перегрузок.

Краткий обзор

Цель данного руководства – рассмотреть компоненты общей централизованной глобальной конфигурации. Эти компоненты установлены на web-сервере IIS 7.0 для поддержки работы однородных web-ферм. На каждом компьютере в группе серверов заданы одинаковые параметры конфигурации. В web-фермах версии IIS 7.0 тот аспект был доработан: с помощью ресурса UNC добавили параметры централизованной конфигурации. Изменение файла конфигурации на главном компьютере автоматически (т.е. без дополнительного оборудования и программной установки) распространиться на другие машины в группе серверов.

В первой главе данного руководства вы найдете информацию о том, какие этапы администрирования при работе с новой версией IIS 7.0 должен выполнить пользователь, чтобы разрешить и использовать общую конфигурацию. Во второй главе вы узнаете, как это можно сделать с помощью командной строки.

Содержание руководства:

• Системные требования
• Централизованная конфигурация: работа с интерфейсом пользователя
• Работа с командной строкой
• Поддержка текущей конфигурации applicationHost.config
• Разрешение доступа к ресурсу UNC для изменения параметров конфигурации
• Создание учетной записи UNC для доступа к централизованной конфигурации и содержимому сервера
• Разрешение доступа учетной записи пользователя к ресурсу UNC, на котором хранятся параметры централизованной конфигурации и данные
• Изменение параметров конфигурации
• Испытание конфигурации
• Заключение
• Приложение 1. Доступ к файлу конфигурации Redirection.config программным путем для считывания значений
• Приложение 2. Доступ к файлу конфигурации Redirection.config программным путем для выписывания значений
• Приложение 3. Работа с машинозависимыми зашифрованными файлами

Что НЕ является целью данного руководства 

Успешная работа среды web-фермы зависит от многих факторов. Например, управляемость, доступность, масштабируемость, наличие специализированной технической поддержки и т.д.

Общая конфигурация затрагивает лишь вопрос управления конфигурацией web-фермы. Параметры общей конфигурации распространяются на все компьютеры в системе. Есть определенные инструменты и другие механизмы, которые копируют данные, используют различные модули, синхронизируют двоичный интерфейс многих приложений, выбирают программы-посредники и делают управление компьютерами в системе более легким благодаря особым инструментам или интерфейсам пользователей. Работа и использование всех этих инструментов, механизмов и аспектов в данном руководстве не затронуто. 

В руководстве речь идет только об управлении конфигурацией через главный файл конфигурации в системе компьютеров.

Поэтому обратите внимание, что общая конфигурация позволяет компьютеру получить доступ к файлу конфигурации с сервера, как будто это и есть его локальная конфигурация. Это подразумевает следующий ключевой сценарий: изменяя конфигурацию через пользовательский интерфейс Web-сервера, соответственно, изменяются параметры конфигурации и на других компьютерах сети. Этот сценарий прекрасно подходит для обновления параметров конфигурации, которые могут быть поняты системой.

Это очень важно принимать во внимание и другие ситуации (например, установка программ-посредников или добавление настроек конфигурации). Также важно включать такие свойства, которые будут понятны только одному компьютеру (для этого он должен содержать двоичные файлы и значить алгоритм работы с ними). В противном случае такой сценарий может повредить другие компьютеры.

Чтобы не допустить возникновения этой проблемы в однородных web-фермах: 1) удалите в кластере параметры общей конфигурации2) обновите файл applicationHost (он должен стать точной копией файла на другом узле сети)3) используйте и обновите модули и параметры конфигурации на одном компьютере4) и наконец, повторно разрешите общую конфигурацию на той машине. После выполнения описанных выше шагов вам только лишь останется использовать и обновить двоичные файлы и модули на остальных компьютерах сети. В затем вновь разрешить общую конфигурацию.

Примечание: Доменная и non-доменная среда

Одни администраторы используют кластеры web-сервера в доменной среде, а другие – в non-доменной (групповой). В этом руководстве рассматриваются оба эти варианта, а также преимущества и недостатки каждого из них. Обратите внимание, что рекомендуемый способ настройки IIS 7.0 в кластере контролируют провайдеры Active Directory с помощью контролера доменов. Но так как non-доменные (групповые) среды также широко распространены, в данном руководстве вы найдете рекомендации по установке параметров конфигурации и в таких средах.

Системные требования

Для продолжения работы с данным руководством убедитесь в следующем:

1. Установите IIS 7.0 на центральном компьютере в сети. (везде далее: web-сервер).
2. Вы должны иметь доступ ко второму компьютеру, на которой и будет располагаться ресурс. Доступ к этому ресурсу и его данным, а также получение параметров конфигурации возможно только по учетной записи пользователя. (везде далее: файловый сервер).
3. Переходить к следующему пункту данного руководства можно лишь после выполнения предыдущего. Действия выполняйте строго в указанном порядке.
4. Некоторые действия можно выполнить через пользовательский интерфейс. Но не выполняйте одно действие двумя способами, выберете какой-то один. Если в руководстве указано, каким именно способом необходимо выполнить то или иное действие, то следуйте инструкции.

Централизованная конфигурация: работа с интерфейсом пользователя

В новой версии IIS 7.0 администрирование интерфейса пользователя предполагает и изменение конфигурации. Интерфейс пользователя позволяет также перемещать файлы конфигурации и ключи шифрования в определенную папку.

Ниже приведен алгоритм перемещения необходимых файлов и изменения параметров настройки конфигурации. 

Алгоритм:

1. Запустите файл InetMgr.exe. Для этого нажмите кнопку Пуск, наберите в поле поиска Inetmgr.exe и нажмите Enter.

2. Откроется интерфейс пользователя. В файловой структуре выберите серверное соединение, для которого вы хотите изменить параметры настройки конфигурации.

3. Выберете значок «Общая конфигурация».

4. Чтобы переместить необходимые файлы конфигурации с локального компьютера на другой (к примеру, на компьютер, который содержит ресурс UNC), в окне «Действия» (Actions) кликните "Экспортировать конфигурацию» (Export Configuration).

5. Откроется диалоговое окно Экспорта конфигурации. В поле введите путь к папке, в которую вы хотите переместить файлы конфигурации. Вам также необходимо ввести пароль, который защищает ключи шифрования. Эти ключи шифрования также будут перемещены в указанную папку. Нажмите ОК для перемещения файлов конфигурации и защищенных паролем ключей шифрования.

6. Затем, разрешите изменение параметров настройки конфигурации. Поставьте флажок в поле «Разрешить общую конфигурацию» (Enable shared configuration).

7. Перед тем как нажать кнопку «Применить» (Apply), введите путь к папке, в которую вы переместили файлы конфигурации и ключи шифрования, и определите параметры доступа к этой папке. Нажмите «Войти под именем» (Connect As) и введите свои данные.

8. После того, как вы задали путь к папке и ввели свои данные, нажмите кнопку "Применить" (Apply), чтобы сохранить изменения в настройках. Интерфейс пользователя проверяет, что необходимые файлы находятся в указанной пользователем папке. После чего он попросит ввести пароль, который защищает ключи шифрования.

9. Введите пароль и нажмите OK, чтобы закончить настройку изменений параметров конфигурации.

С помощью вышеописанных действий можно переместить файлы конфигурации, а также установить централизованную конфигурацию на компьютеры сети. Переместить файлы конфигурации вам необходимо лишь один раз. А шаги 6–9 повторите на каждом последующем компьютере, который будет подключен к централизованной конфигурации.

Несколько замечаний по работе с интерфейсом пользователя

Есть несколько важных моментов, на которых необходимо остановиться, говоря о работе с интерфейсом пользователя при изменении параметров настройки конфигурации. При изменении параметров настройки конфигурации, интерфейс пользователя ожидает, что он сам будет перемещать файлы конфигурации, а затем работать с ними. Причина заключается в следующем. Интерфейс пользователя экспортирует и импортирует файлы (например, защищенные паролем ключи шифрования), переводя их в особых формат.

Если бы вы вручную скопировали и переместили файлы administration.config и applicationHost.config, а затем вручную экспортировали ключи шифрования (см: Приложение 3: Работа с машинозависимыми зашифрованными файлами), то интерфейс пользователя не смог бы работать с этими файлами и не смог бы изменить настройку параметров конфигурации, так как экспортированные ключи шифрования не соответствовали бы необходимому формату.

Работа с командной строкой

В этой главе для выполнения определенных действий вам необходимо использовать только командную строку. Мы рекомендуем использовать дополнительные возможности командной строки, так как выполнение многих команд в обычном режиме будет невозможно. Установление дополнительных возможностей командной строки:

1. Откройте меню Пуск.
2. Выберете «Все программы».
3. Стандартные
4. Затем, правой кнопкой мыши вызовите контекстное меню команды «Командная строка» и выберете «Запуск от имени администратора» (Run as administrator). Далее следуйте указаниям мастера настройки.

Поддержка текущей конфигурации applicationHost.config

При изменении признаков или настроек конфигурации, всегда желательно осуществлять поддержку текущего файла конфигурации applicationHost.config.

Алгоритм:

1. Откройте командную строку. Для этого нажмите сочетание клавиш Windows + R. В появившемся диалоговом окне введите CMD.

2. Перейдите в Директорию IIS 7.0. По умолчанию она расположена в %WINDIR%\System32\InetSrv. Файлы конфигурации находятся в папке InetSrv\Config. Копируйте файл applicationHost.config, создав резервную копию при помощи команды APPCMD в командной строке.

Примечание: Инструмент APPCMD находится в папке InetSrv. Если путь к инструменту не добавлен к параметрам системной среды, вы должны открыть его из папки InetSrv.

3. Эта команда создаст резервную копию, который будет включать файл applicationHost.config и существующий файл метабазы (для SMTP и других параметров настройки non-web-сервера). Она эти файла будут находится в резервной папке. Отметьте путь к резервной папке и убедитесь, что она содержит создана.

Чтобы заменить текущий файл конфигурации его резервной копией, выполните следующие действия:

1. Откройте командную строку. Для этого нажмите сочетание клавиш Windows + R. В появившемся диалоговом окне введите CMD.

2. Перейдите в Директорию IIS 7.0. По умолчанию она расположена в InetSrv. Замените файл конфигурации его резервной копией с помощью команды APPCMD

Разрешение доступа к ресурсу UNC для изменения параметров конфигурации

В доменной среде учетную запись вам предоставляет другой системный администратор или же вы создаете ее сами. В данном руководстве мы не будем рассматривать процедуру создания учетной записи в Active Directory.

Но как бы то ни было, учетная запись с разрешением доступа к ресурса UNC должна быть. В сценарии работы в non-доменной среде, на обоих компьютерах должна быть учетная запись локального пользователя, у которого есть право доступа к данным. Имя пользователя и пароль на всех компьютерах сети должны быть одинаковыми, иначе установка будет невозможна. Следующие шаги помогут создать учетную запись пользователя на том ресурсе, где установлена и общая конфигурация.

Алгоритм: Non-доменные среды

1. Откройте командную строку. Для этого нажмите сочетание клавиш Windows + R. В появившемся диалоговом окне введите CMD.

2. На компьютере web-сервера (т.е. главном компьютере, на котором установлен сервер IIS 7.0) задайте имя пользователя ConfigUser1 и пароль ConfigPass1 на машине сервера сети (машина переднего конца, где IIS 7.0 серверов установлен).

3. То же самое проделайте и на втором компьютере. На компьютере файлового сервера (т.е. второстепенном компьютере, на котором будет установлена централизованная конфигурация) задайте имя пользователя ConfigUser1 и пароль ConfigPass1.

Создание учетной записи UNC для доступа к централизованной конфигурации и содержимому сервера

Данный ресурс UNC содержит единый файл конфигурации applicationHost.config для всех компьютеров сети.

Алгоритм:

1. Откройте командную строку на компьютере файлового сервера. Для этого нажмите сочетание клавиш Windows + R. В появившемся диалоговом окне введите CMD.

2. Перейдите в корневой каталог диска. Создайте папку для конфигурации и затем сделайте ее доступной. Убедитесь, что вы разрешили пользователям доступ к этой папке, чтобы они могли читать содержимое и добавлять новые данные.

Примечание: Эта команда автоматически разрешила доступ этой группы пользователей группе к этому ресурсу. Локальный пользователь, которого мы выбрали для работы в non-доменной среде, может автоматически изменить разрешение на доступ или при необходимости ограничить его. Что касается работы в доменной среде, то разрешения на доступ также должны быть указаны. Также можно разрешить доступ лишь части группы пользователей системы.

3. Non-доменные среды: Чтобы повысить степень безопасности доступа к ресурсу, замените часть команды Users,Change на ConfigUser1,Change. Таким образом, доступ к системе имеет только один пользователь.

4. Доменные среды: Чтобы повысить степень безопасности доступа к ресурсу, замените часть команды Users,Change на \user,Change. Таким образом, удаленный доступ к системе имеет только один конкретный пользователь.

Примечание: Разрешения на доступ к ресурсу предполагают как удаленные, так и локальные разрешения файловой системы. Следующий шаг руководства (настройка разрешений на доступ к папке) следует выполнить только при работе в доменной среде, чтобы настройка конфигурации прошла успешно.

Разрешение доступа учетной записи пользователя к ресурсу UNC, на котором хранятся параметры централизованной конфигурации и данные

Выполнение этого шага гарантирует, что у учетной записи пользователя, который имеет доступ к конфигурации, есть разрешение на доступ. IIS 7.0 использует эту учетную запись для доступа к ресурсу UNC так же, как и при доступе к ресурсу, расположенному на виртуальном диске. Разрешения на доступ эффективны в случае доступа только к данному ресурсу. После этого, всякий раз, когда IIS 7.0 считывает файл конфигурации, он снова возвращается к идентификации пользователя: Это или прикладной программный интерфейс, или используемый инструмент администрирования, или пользователь, зарегистрированный в данный момент.

Примечание: Учетная запись ConfigUser1 (или ее эквивалент для считывания конфигурации) и учетная запись за задание параметров конфигурации это не одно и то же. Эти учетные записи не обязательно должны иметь разрешения на доступ к ресурсу или файлу конфигурации.

Алгоритм: Доменные среды

1. Если домен является частью локальной группы пользователей и пользователи изначально получили доступ к ресурсу, то следующие шаги выполнять не нужно. Однако, так как зачастую домен, к которому мы хотим открыть общий доступ, не является частью локальной группы пользователей, то выполнение следующих шагов необходимо.

2. Откройте командную строку на компьютере файлового сервера. Для этого нажмите сочетание клавиш Windows + R. В появившемся диалоговом окне введите CMD.

3. Разрешите доступ к домену, Чтобы можно было открыть папку с файлами конфигурации.

Алгоритм: Non-доменные и доменные среды

Как для доменных, так и для non-доменных сред имя пользователя должно содержать параметры пакетной конфигурации. В Windows Server® 2008 нельзя задать значение по умолчанию. Его надо ввести вручную на компьютере web-сервера.

Пуск –> Администрирование (Administrative Tools) –> Локальная политика безопасности (Local Security Policy)

В меню «Локальные политики» (Local Policies) выбираем «Назначение прав пользователя» (User Rights Assignment).

Дважды нажмите левую кнопку мыши на «Зарегистрироваться в пакетном режиме» (Logon as a batch job) и добавьте недавно созданную учетную запись пользователя ресурса UNC.

Изменение параметров конфигурации

Введение

Web-сервер функционален. Главный web-сервер должен по умолчанию обслуживать web-сайт с помощью рабочей станции, на которой работает пользователь.

Теперь мы научимся перемещать его конфигурацию в централизованную базу. Цель данной главы –  показать свойства общей конфигурации через изменение ее параметров. Это свойство позволяет задать имя главного файла конфигурации для сети компьютеров и сохранить его на ресурсе UNC. Изменение этого файла обеспечит и обновит конфигурацию сразу всех машин сети.

Алгоритм:

1. Скопируйте файлы applicationHost.config и administration.config из директории %windir %\system32\inetsrv\config на главный компьютер web-сервера, чтобы потом установить их и на второстепенный компьютер сети.  Если данный зарегистрированный пользователь имеет доступ к второстепенному компьютеру, то можно просто переместить файлы в указанную директорию. В противном случае убедитесь, что у вас есть доступ к второстепенному компьютеру. Иначе вы не сможете завершить установку.

2. На главном компьютере откройте существующий XML файл с измененными настройками конфигурации, который находится в следующей директории: 

А. С помощью программы Windows Explorer перейдите в директорию %windir%\ system32\inetsrv\config

Б. Откройте файл redirection.config. Этот файл и его содержимое создаются, когда web-сервер настроен для работы с инструментами и прикладными программными интерфейсами, чтобы обеспечить доступ к этому файлу и определить, разрешена или нет данная операция.

3. Откройте файл redirection.config. Задайте следующие параметры конфигурации. Убедитесь, что вы указали нужное имя компьютера, имя пользователя и пароль для вашей среды.

4. Схранитете файл redirection.config. Вы теперь опять можете получить доступ к сайтам, но конфигурация теперь находится на ресурсе UNC.

Испытание конфигурации

Специального для случаев, когда конфигурация находится на вспомогательном компьютере, разработаны два ключевых сценария. Это способы обновления конфигурации на главных Web-серверах.

Первый сценарий: редактировать файл applicationHost.config непосредственно в файлообменнике. Как только это сделано, поступает уведомление об изменениях, и web-серверы начинают работать с уже измененными файлами конфигурации.

Второй сценарий: отправить второй файл applicationHost.config на вспомогательный файлообменник и изменить файл конфигурации web-сервера (redirection.config), чтобы он соответствовал новой версии файла. Это особенно удобно при откатах или внедрении новых систем.

Заключение

Данного руководства познакомило вас с  компонентами новой централизованной конфигурации. Этот компонент помогает администраторам однородных кластеров среды web-ферм. Он облегчает процесс установки и внедрения конфигурации на все компьютеры сети.

Как только этот компонент установлен (это или изменения файла в ресурсе UNC, или изменение местоположения сервера), Web-сервер тотчас же реагирует на эти изменения. Перезагрузка системы понадобится лишь в том случае, если серьезные изменения затронули сразу несколько сайтов или приложений. Но если изменения локальны, то перезагрузка всех остальных сайтов и приложений не понадобится. Есть несколько аспектов и методов работы с конфигурацией и данными, их представлением, изменением и внедрением. Данное руководство затронула лишь вопрос о централизованной конфигурации.

Приложение 1: Доступ к файлу конфигурации Redirection.config программным путем для считывания значений

Здесь представлен пример доступа к файлу redirection.config программным путем с помощью новой команды COM AHADMIN API. Воспользуйтесь этой командой, чтобы ввести в действие внутренний код прикладного программного интерфейса, скрипт или управляемый код.

Алгоритм:

1. Создайте текстовый файл и сохраните его с расширением .js. Этот скрипт является образцом, как  следует  правильно читать атрибуты, название компьютера, имя пользователя и пароль для вашей среды.

2. Сохраните файл redirection.js. Теперь благодаря Windows Script Host (WSH) вы сможете запустить этот файл в командной строке Windows. .  

Приложение 2: Доступ к файлу конфигурации Redirection.config программным путем для считывания значений

Здесь представлен пример доступа к файлу redirection.config программным путем с помощью новой команды COM AHADMIN API. Воспользуйтесь этой командой, чтобы ввести в действие внутренний код прикладного программного интерфейса, скрипт или управляемый код объекта COM.

Алгоритм:

1. Создайте текстовый файл и сохраните его с расширением .js. Этот скрипт является образцом, как  следует  правильно писать атрибуты, название компьютера, имя пользователя и пароль для вашей среды.

2. Сохраните файл redirection.js.

3. Теперь благодаря Windows Script Host (WSH) вы можете запустить этот файл с командной строки.

Приложение 3. Работа с машинозависимыми зашифрованными файлами

По умолчанию IIS 7.0 включает двух главных провайдера по работе с защищенными паролем файлами. Эти провайдеры отражены в секции файла конфигурации applicationHost.config, секции <configProtectedData>. Они определены как <providers>.

AesProvider работает исключительно с шифровкой и декодированием тех свойств, которые находятся на участке system.webServer.

А IISWASOnlyRsaProvider работает исключительно с шифровкой и декодированием тех свойств, которые находятся на участке system.applicationHost.

Эти ключи находятся в ключевых контейнерах iisConfigurationKey и iisWasKey. Это машинозависимые ключи. Согласно сценарию web-фермы если требуется шифрование, то ключ от одного компьютера (обычно того, где был создан файл конфигурации applicationHost.config) экспортируется и приносится на другие компьютеры. Таким образом, чтобы свойства безопасности могут быть расшифрованы и использованы web-сервером.

Алгоритм:

1. Откройте вашу командную строку. Выберите программную директиву. По умолчанию она расположена в %windir%\Microsoft.NET\Framework|v2.0.50727\.

Примечание: Для справки: системные ключи компьютера находятся в %ALLUSERSPROFILE %\Microsoft\Crypto\RSA\MachineKeys\.

2. Используйте инструмент aspnet_regiis , чтобы экспортировать ключ. Ниже представлена команда для перемещения ключа конфигурации. Расширение px показывает, что вы хотите экспортировать ключевую пару RSA. Расширение pri показывает, что вы также хотите включить закрытые и открытый ключи.

Такая идентификация необходима для осуществления как шифрования, так и декодирования. В противном случае экспортированным ключем вы сможете только расшифровать данные. Параметр после расширения -px – это название экспортируемого ключевого контейнера. В нашем случае ключевой контейнер называется «iisConfigurationKey». Другой ключевой контейнер, который использует IIS 7.0 – "iisWasKey".

3. Инструмент подтверждает, что перемещение прошло успешно. Скопируйте файл XML на другой компьютер сети, чтобы подготовить импорт файла ключа.

4. Выберете программную директиву и воспользуйтесь инструментом aspnet_regiis, чтобы импортировать ключ из файла XML. Ниже представлена команда для перемещения ключа конфигурации.

Параметр после расширения -pi – это название импортируемого ключевого контейнера. В нашем случае ключевой контейнер называется «iisConfigurationKey». Другой ключевой контейнер, который использует IIS 7.0 – "iisWasKey".