Centre de Recherche sur les Matériaux à Haute Température

- Home - News - Conseils - SécuritéMise à jour  -  Liens  -  Accès  -

Centre de Recherche sur les Matériaux à Haute Température

Internet Information Services version 5.0, Livre blanc

Présentation technique des services Web intégrés de Windows 2000.

http://www.microsoft.com/france/technet/produits/Win2000S/info/info.asp?mar=/france/technet/produits/Win2000S/info/2000_iis5.html

Résumé

Ce document propose aux professionnels des technologies de l'information une présentation technique des nouvelles fonctions de Internet Information Services 5.0, les services Web intégrés de Microsoft Windows 2000. Ces fonctions améliorent la fiabilité et les performances notamment lors du redémarrage, la protection des applications et le support des clusters.

De plus, ce document traite longuement de la sécurité et présente de nouveaux protocoles de sécurité gérés par IIS 5.0, notamment TLS (Transport Layer Security) et l'authentification «Digest». Pour ceux qui partagent les informations sur Internet, la fonction WebDAV (Web Distributed Authoring and Versioning) est aussi présentée.

Les développeurs d'applications trouveront les descriptions d'un certain nombre d'améliorations au niveau des pages ASP (Active Server Pages).

Sommaire

Introduction

Dans la mesure où les entreprises ont de plus en plus recours à Internet, des services Web intégrés au système d'information sont de plus en plus nécessaires. Pour répondre à ce besoin, Windows 2000 Server offre une nouvelle version d'Internet Information Services (IIS), appelée IIS 5.0.
Comme le montre l'illustration 1, Internet Information Services fonctionne comme un service d'entreprise dans Windows 2000. Il utilise d'autres services offerts par Windows 2000, notamment des services de sécurité et le service d'annuaire Active Directory.

Cette version améliore la fiabilité, les performances, la gestion, la sécurité ainsi que les services d'application du serveur Web. La plupart de ces améliorations résultent de la façon dont IIS 5.0 incorpore les nouvelles fonctions système de Windows 2000.

Internet Information Services fonctionne comme un service d'entreprise dans Windows 2000

Services de Windows 2000 Server

Avec IIS 4.0, Microsoft avait concentré ses efforts de développement sur la sécurité, l'administration, la programmation et l'intégration des normes Internet. IIS 5.0 y ajoute les fonctions nécessaires à l'élaboration de sites Web critiques dans un environnement professionnel de plus en plus centré sur Internet.
Il rend d'autant plus facile l'utilisation des technologies offertes dans les versions précédentes.

En particulier, IIS 5.0 présente des améliorations dans les quatre principaux domaines suivants :

Fiabilité et performances

Pour faciliter et accélérer le redémarrage d'IIS, la fonction de redémarrage d'IIS 5.0 permet à un administrateur de redémarrer les services Web sans avoir besoin de réamorcer l'ordinateur. Pour augmenter la fiabilité, la fonction de protection d'application offre la possibilité d'exécuter des applications dans un espace mémoire différent de celui utilisé par les services Web.

Les nouvelles fonctions de contrôle de la bande passante affectée à un site Web et de regroupement de sockets d'IIS 5.0 peuvent également accroître la fiabilité.

Quant aux développeurs, ils peuvent améliorer les performances d'un site Web grâce à de nouvelles fonctions, telles que le traitement des pages ASP sans script, l'autoréglage ASP et des objets ASP plus performants.

Gestion

IIS 5.0 est plus facile à installer et à utiliser. Un certain nombre de fonctions tirent parti de cette facilité de maintenance accrue. IIS 5.0 intègre notamment une procédure d'installation simplifiée, de nouveaux assistants de sécurité, la possibilité de calculer le temps utilisé par les processus, une administration à distance plus souple et la possibilité de créer des messages d'erreur personnalisés.

Sécurité

IIS 5.0 gère les principaux protocoles de sécurité standard, notamment l'authentification Digest, Server Gated Cryptography, le protocole d'authentification Kerberos v5, Transport Layer Security et Fortezza. En outre, trois nouveaux assistants permettent aux administrateurs de gérer plus facilement les paramètres de sécurité d'un site.

Environnement de développement d'applications

Les développeurs découvriront que IIS 5.0 améliore l'environnement de développement d'application du serveur Web en tirant parti des nouvelles technologies offertes par Windows 2000 Server. Ces dernières sont Active Directory et le modèle COM+ (modèle étendu de composants objets).
De plus, des améliorations des pages ASP d'IIS, telles que le traitement de pages ASP sans script et une meilleure gestion du contrôle de flux et des erreurs, permettent aux développeurs de créer des applications Web plus performantes.

Fiabilité et performances

IIS 5.0 est plus fiable et plus performant. En interne, des perfectionnements du code ont accru la vitesse du moteur IIS 5. La nouvelle fonction de redémarrage sécurisé permet aux administrateurs de système de redémarrer les services IIS plus rapidement. Cette version comporte des fonctions utiles pour améliorer la vitesse et la fiabilité des sites Web.

Une des améliorations les plus importantes d'IIS 5.0 est l'intégration de la protection des applications Web par le biais de la prise en charge d'applications regroupées hors du processus du moteur IIS. Pour mieux contrôler la consommation des ressources, de nouvelles fonctions d'accélération (basées sur la nouvelle fonction d'objet tâche de Windows 2000) permettent aux administrateurs de répartir plus facilement la puissance processeur disponible entre les différents processus, et la bande passante réseau disponible entre les sites.

En outre, la nouvelle fonction de regroupement de sockets permet à plusieurs sites partageant un même port de partager plusieurs sockets. Avec Windows 2000 Advanced Server, vous pouvez augmenter encore plus la fiabilité de votre site en utilisant les fonctions de clusters et de réplication.

Protection d'application

Les systèmes d'exploitation basés sur Windows exécutent des services et des applications dans des zones mémoires appelées processus. Dans IIS 5.0, la protection d'application désigne le processus du système d'exploitation dans lequel s'exécutent les applications.

Dans les versions précédentes d'IIS, toutes les applications ISAPI (Internet Server API), y compris la technologie ASP, partageaient les ressources et la mémoire du processus de serveur. Bien que cela permette des performances rapides, des composants instables pouvaient provoquer une panne du serveur, ce qui compliquait le développement et le débogage de nouveaux composants. De plus, des composants internes du processus ne pouvaient pas être déchargés sans redémarrer le serveur.

En d'autres termes, la modification de composants existants pouvait avoir un impact négatif sur tous les sites partageant le même serveur, qu'ils soient directement concernés par la mise à niveau ou non.
Dans un premier effort pour résoudre ces problèmes, IIS 4.0 a permis aux applications de s'exécuter, soit dans le même processus que les services Web (Inetinfo.exe), soit dans un processus différent (DLLHost.exe). IIS 5.0 offre une troisième option : Les applications peuvent être exécutées dans un processus de groupe différent des services Web.

Ces trois options fournissent plusieurs niveaux de protection, chacun influant sur les performances. Vous pouvez avoir une plus grande protection aux dépens des performances.

Protection d'application

Illustration 2. Protection d'application

Par défaut, les services Web (Inetinfo.exe) s'exécutent dans leur propre processus et les autres applications s'exécutent dans un groupe de processus distinct (DLLHost.exe). Si l'une des applications du groupe (ou pool) aboutit à un échec, elle provoque l'arrêt de toutes les autres, mais le serveur Web continue de s'exécuter. Pour protéger les applications importantes, il est possible de les isoler en leur associant une priorité élevée (en utilisant une autre instance de DLLHost.exe).

S'agissant des performances, les applications exécutées dans le processus des services Web (inetinfo.exe) s'exécutent plus rapidement, mais le risque qu'une application défectueuse rende les services Web indisponibles devient important. La méthode recommandée consiste à exécuter inetinfo.exe dans son propre processus, les applications stratégiques également dans leurs propres processus et les autres applications dans un autre processus de groupe partagé, comme le montre l'illustration 2 ci-dessus.

Remarque : en raison de l'impact sur les performances, il est préférable de ne pas exécuter plus de 10 applications distinctes dans un même processus.
Si vous décidez d'exécuter votre application séparément ou avec d'autres applications dans un même processus de groupe, vous devrez sélectionner Elevée (Isolé) ou Moyenne (En file d'attente) dans la liste déroulante Protection d'application de la page de propriétés Répertoire de base ou Répertoire virtuel. Si ce n'est pas déjà fait, vous devez tout d'abord créer un répertoire de point de départ pour votre application. Les composants qui s'exécuteront dans le nouveau processus doivent être installés dans l'application COM appropriée.

Remarque : la protection d'application ne peut être définie que dans le répertoire de départ d'une application. Vous pouvez définir les options de processus pour ses composants dans l'outil d'administration Services de composants.

top

Redémarrage fiable d'IIS

En cas d'arrêt du système, IIS doit pouvoir être remis en état de marche le plus rapidement possible. Par le passé, le réamorçage du système était une façon acceptable, à défaut d'être optimale, de redémarrer IIS. Pour redémarrer IIS de manière fiable, un administrateur devait initialiser quatre services différents après chaque arrêt et avoir des connaissances spécifiques, notamment sur la syntaxe de la commande Net.
Pour éviter cela, Windows 2000 intègre une fonction de redémarrage sécurisé d'IIS. Il s'agit d'un processus de redémarrage en une seule opération, plus rapide, plus facile et plus souple.

Pour redémarrer IIS, l'administrateur doit cliquer avec le bouton droit sur un élément dans la console MMC (Microsoft Management Console) ou utiliser une application de ligne de commande.
Pour plus de souplesse, l'application en mode de ligne de commande peut également être exécutée par d'autres outils Microsoft ou tiers (tels que HTTP-Mon et le Planificateur de tâches de Windows 2000 ). Si le processus INETINFO s'arrête subitement, IIS utilisera la fonction Gestionnaire de contrôle des services de Windows 2000 pour redémarrer automatiquement les services IIS.

Partage de sockets entre sites Web

Dans un autre domaine, IIS 5.0 accroît les performances en permettant d'optimiser l'accès à votre site Web. Un socket est l'identificateur d'un nœud particulier sur un réseau. Le socket comprend une adresse de nœud et un numéro de port, identifiant le service. Par exemple, le port 80 sur un nœud Internet représente un serveur Web.

Dans IIS 4.0, chaque site Web était lié à une adresse IP distincte. En d'autres termes, chaque site avait son propre socket, non partagé avec les autres sites, puisqu'ils utilisaient eux-mêmes d'autres adresses IP. Ces sockets sont créés au démarrage du site et consomment beaucoup de mémoire non paginée (RAM). Cette consommation de mémoire limite le nombre de sites liés à des adresses IP pouvant être créés sur une seule machine.
Pour IIS 5.0, ce processus a été modifié afin de pouvoir lier des sites à différentes adresses IP tout en partageant le même numéro de port et le même ensemble de sockets. En définitive, IIS 5.0. permet de lier plus de sites à une seule adresse IP sur la même machine que ne l'autorisait IIS 4.0. Dans IIS 5.0, ces sockets partagés sont utilisés de manière flexible entre tous les sites initialisés, réduisant ainsi la consommation de ressources.

Pour diminuer l'utilisation de la mémoire et augmenter les performances, le regroupement de sockets a été activé par défaut pour tous les sites utilisant le même port mais liés à des adresses IP différentes. En règle générale, ce comportement ne doit pas être modifié. Toutefois, il se peut que vous souhaitiez désactiver le regroupement de sockets sur des sites stratégiques, s'ils partagent leur port avec d'autres sites moins importants.
Dans ce cas, le changement ne doit être effectué qu'au niveau du site, pour que les autres sites puissent continuer à bénéficier de la fonction de regroupement de sockets.

Hébergement multi-sites

Pour améliorer l'évolutivité d'IIS, Windows 2000 Server peut héberger plusieurs sites Web sur un même serveur. Cela peut induire un gain de temps et d'argent pour une entreprise souhaitant héberger des sites pour différents services, ou pour un fournisseur de services Internet hébergeant plusieurs sites pour différents clients.

Pour héberger plusieurs sites sur un même serveur, il est nécessaire de pouvoir les distinguer.
Pour ce faire, il existe divers moyens, chacun d'eux utilisant l'identification du site Web.
Chaque site Web a une identité unique en trois parties, qu'il utilise pour recevoir les requêtes et y répondre : un numéro de port, une adresse IP (Internet Protocol) et un nom d'hôte.
Avec IIS 5.0, les entreprises peuvent héberger plusieurs sites Web sur un seul serveur en appliquant trois techniques : en assignant des ports, des adresses IP ou des noms d'en-tête d'hôte différents.

Numéros de port - Si vous ajoutez des numéros de port, vous n'avez besoin que d'une seule adresse IP pour héberger plusieurs sites. Pour accéder à votre site, les clients doivent ajouter un numéro de port à la fin de l'adresse IP statique (hormis pour le site Web par défaut, qui utilise le port 80).
Par exemple, si l'adresse de votre site principal est http://172.28.114.10:80, vous pouvez créer des sites supplémentaires en ajoutant un numéro de port (par exemple : http://172.28.114.10:1050). Cette approche présente un inconvénient : cette méthode d'hébergement multi-sites oblige les clients à taper la véritable adresse IP numérique suivie d'un numéro de port.

Adresses IP multiples - Au lieu d'utiliser plusieurs numéros de port, vous pouvez utiliser plusieurs adresses IP affectées à un seul ordinateur. Pour ce faire, vous pouvez lier plusieurs adresses IP à une même carte réseau ou ajouter une carte réseau supplémentaire pour chaque adresse IP. Pour utiliser plusieurs adresses IP, vous devez également ajouter le nom d'hôte et l'adresse IP correspondante à votre système de résolution des noms (DNS).
Ainsi, pour atteindre votre site Web, les clients n'ont qu'à taper le nom du site dans le navigateur.

Remarque - Si vous utilisez cette méthode d'hébergement multi-sites sur Internet, vous déclarer enregistrer les noms de site sur InterNIC.

Noms d'hôte multiples - Pour héberger plusieurs sites, vous pouvez utiliser des noms d'hôte différents correspondant à une même adresse IP statique. Le nom d'hôte est indiqué en entête de tout URL. Il est indiqué immédiatement après "htpp://" et désigne de manière unique le système hébergeant le site Web. La prise en charge des en-têtes d'hôte permet à une entreprise d'héberger plusieurs sites Web sur un seul ordinateur utilisant Microsoft Windows 2000 Server avec une seule adresse IP (par exemple : http://172.28.114.10).
Cela permet aux fournisseurs de services Internet et aux serveurs intranet d'entreprise d'héberger plusieurs sites Web sur un seul système, tout en offrant des domaines utilisateurs différents pour chaque site. Comme avec la méthode précédente, vous devez ajouter les noms d'hôte à votre système de résolution des noms. La différence est la suivante : dès la réception d'une requête, IIS 5.0 utilise le nom d'hôte indiqué dans l'en-tête HTTP pour déterminer le site demandé par un client. Si vous utilisez cette méthode d'hébergement multi-sites sur Internet, vous devrez également enregistrer les noms de site sur InterNIC.

Remarque - Vous ne pouvez pas utiliser les noms d'hôte multiples avec SSL (Secure Sockets Layer), car les requêtes HTTP utilisant SSL sont cryptées. Les noms d'hôte font partie de la requête cryptée et ne peuvent être ni interprétés ni dirigés vers le site voulu. En outre, sachez que les anciens navigateurs sont incapables de retransmettre les noms d'hôte à IIS.
Internet Explorer 3.0, Netscape Navigator 2.0 et les versions plus récentes de ces deux navigateurs prennent en charge l'utilisation de noms d'hôte, contrairement aux versions plus anciennes. Les utilisateurs disposant de navigateurs plus anciens atteindront le site Web par défaut lié à l'adresse IP et auront besoin d'une prise en charge supplémentaire pour atteindre le site voulu.

Services de haute disponibilité

Pour améliorer la fiabilité et la disponibilité des sites Web, vous pouvez relier plusieurs ordinateurs entre eux. Deux options se présentent : dans le premier scénario, un deuxième ordinateur peut fonctionner comme unité de secours, prêt à continuer le travail si le premier tombe en panne ; dans le second, des ordinateurs reliés peuvent se répartir une charge de travail.

Deux services présents dans Windows 2000 Advanced Server et Windows 2000 Datacenter Server permettent l'utilisation de ces deux fonctions de haute disponibilité avec IIS : la répartition de charge réseau et le regroupement de serveurs en clusters.

La répartition de charge réseau offre une meilleure évolutivité et une accessibilité avancée pour un maximum de 32 serveurs.

Le regroupement de serveurs en clusters apporte une grande disponibilité par le biais de la fonction de reprise entre deux serveurs connectés. Selon vos besoins et vos ressources disponibles, vous pouvez utiliser IIS avec la répartition de charge réseau entre plusieurs serveurs (pour optimiser l'évolutivité et l'accessibilité) ou dans un cluster de serveurs contenant deux nœuds (pour l'accessibilité avancée seulement mais avec des fonctions de reprise avancées).

Les fontions de haute disponibilité permettent à plusieurs serveurs d'être connectés par un logiciel intégré au système d'exploitation, de manière à apparaître comme un seul ordinateur pour les utilisateurs du site Web. Cette connexion leur permet d'utiliser des fonctions non disponibles avec les nœuds de serveur autonomes, tels que la reprise (prise en charge du travail d'un serveur en panne) et l'équilibrage de charge (répartition de la charge réseau entre les serveurs).

Les clusters de serveurs augmentent la tolérance aux pannes d'un site, dans la mesure où si un nœud de serveur cesse de fonctionner, un autre nœud peut prendre en charge immédiatement les requêtes, afin de minimiser l'interruption du service aux utilisateurs. Les clusters de serveurs peuvent aussi partager les disques avec clusters contenant des informations importantes, telles qu'une base de données.

L'équilibrage de charge permet à plusieurs serveurs de gérer une grande activité en répartissant la charge des requêtes entre eux, afin qu'aucun nœud de serveur ne soit submergé ou sous-exploité. Les clusters de serveurs permettent un équilibrage de charge statique, en affectant des sites Web ou FTP à un nœud serveur spécifique, soit manuellement, soit par programmation.

La répartition de la charge réseau permettent d'équilibrer la charge en distribuant les connexions des clients entre plusieurs nœuds. En général, les clusters sont configurés de façon à équilibrer la charge et à assurer une certaine tolérance aux pannes.

Services regroupés par clusters

Illustration 3. Services regroupés par clusters

La création de clusters augmente la fiabilité dans la mesure où il est possible de transférer les processus d'un serveur à l'autre en cas de panne et d'équilibrer la charge entre les serveurs. Le schéma ci-dessus montre la configuration d'un cluster de serveurs simple.
Chaque nœud serveur dispose d'un disque local contenant des informations spécifiques sur le nœud. Les deux nœuds partagent les ressources d'un disque dur, même si un seul nœud à la fois peut y accéder. Soit les nœuds sont configurés pour utiliser une interconnexion privée destinée à la communication entre les clusters, soit toutes les communications de réseau (notamment les communications internes des clusters et des clients) s'effectuent sur la même connexion réseau.

Cette configuration (sans l'interconnexion privée) est requise pour toutes les fonctions de réplication et de gestion de clusters disponibles lorsque IIS est déployé dans un cluster de serveurs. La structuration par clusters permet la répartition de charge et la reprise.

Réplication

Si vous utilisez des clusters de serveurs, vous voulez parfois copier le contenu d'un serveur sur un autre ordinateur. La réplication consiste à copier le contenu et les paramètres de configuration d'un serveur sur d'autres serveurs, de façon que tous puissent offrir les même ressources aux utilisateurs. Vous devez répliquer les paramètres de configuration pour tous les clusters, qu'ils partagent des ressources ou non.
Il n'est pas nécessaire de répliquer le contenu pour les clusters partageant un périphérique de stockage de données, tel qu'un lecteur de bandes. Plusieurs applications de gestion de clusters prennent en charge la réplication du contenu et des paramètres de configuration. IIS 5.0 permet de répliquer les paramètres de configuration d'un ordinateur sur d'autres ordinateurs, quel qu'en soit le nombre.

Internet Information Services (IIS) est conçu de façon à pouvoir s'intégrer au service de clusters de Windows 2000 Advanced Server. IIS propose un utilitaire de ligne de commande (Iissync.exe) pour répliquer la métabase IIS et les autres paramètres de configuration (notamment ceux des applications) d'un nœud serveur sur d'autres serveurs (La métabase IIS est une structure hiérarchique destinée à stocker les paramètres de configuration d'IIS.
Elle est apparue dans IIS 4.0 pour faciliter l'administration et réduire l'espace disque utilisé par le registre). Cet utilitaire permet de dupliquer ces paramètres manuellement.

Au cas où vous auriez besoin de répliquer à la fois le contenu et les paramètres, vous pouvez utiliser le service de déploiement de contenu (anciennement connu sous le nom de système de réplication de contenu ou SRC) pour répliquer des données sur plusieurs machines dans un cluster Web. Le déploiement de contenu est une fonction de Site Server.

Partage des ressources

Limitation de la charge processeur Si vous gérez plusieurs sites Web contenant principalement des pages HTML sur un même ordinateur, ou que d'autres applications s'exécutent sur le même ordinateur que votre serveur Web, vous pouvez limiter le temps processeur consacré aux applications d'un site Web. Cela permet de réserver les ressources du processeur pour d'autres sites Web ou des applications non liées au Web.

La nouvelle fonction d'IIS 5.0 permettant de contrôler le temps processeur est appelée la limitation de processus (On parle également de limites de processus, de limites de la charge processeur ou de limites d'objet tâche). La limitation de processus permet aux administrateurs de serveur de limiter l'utilisation du processeur par des applications hors processus.
Une application hors processus est une application exécutée dans un espace mémoire séparé du processus IIS central. Ainsi, une application ne répond pas ou n'est pas disponible, elle n'empêche pas le serveur Web de répondre aux requêtes.

Limitation de bande passante par site Web Si la connexion réseau ou Internet utilisée par votre serveur Web est également utilisée par d'autres services, tels que la messagerie électronique ou les bulletins d'information (news), vous pouvez limiter la bande passante utilisée par le serveur afin d'en libérer pour d'autres services.
Une nouvelle fonction d'IIS 5.0, appelée "limitation de bande passante par site Web", permet aux administrateurs de réguler la bande passante utilisée par chaque site en limitant la bande passante disponible pour la carte réseau. Par exemple, un fournisseur de services Internet peut ainsi garantir une quantité de bande passante définie à l'avance pour chaque site. Tout comme la limitation de processus, la limitation de bande passante n'affecte que les fichiers HTML statiques et non les fichiers ASP dynamiques ou autre type de contenu dynamique.

Remarque : si vous utilisez le regroupement des sockets (voir ci-dessus) activé par défaut, et que vous limitez la bande passante d'un site, celle de tous les autres sites partageant le même numéro de port est également limitée.

Gestion

Alors que IIS 4.0 intégrait un certain nombre de nouvelles technologies, l'un des principaux objectifs de la conception d'IIS 5.0 consiste à faciliter l'utilisation du serveur Web pour les administrateurs. Par exemple, pour certains administrateurs, IIS 4.0 est difficile à installer. En revanche, avec IIS 5.0, le processus d'installation est intégré directement dans celui de Windows 2000 Server.

En outre, pour faciliter la configuration des paramètres de sécurité, il existe trois nouveaux assistants de sécurité. De plus, cette version comprend des scripts d'administration en mode de ligne de commande améliorés, ainsi que des scripts de gestion supplémentaires intégrés.

Installation et mise à niveau intégrées
La procédure d'installation d'IIS 5.0 est intégrée à celle des produits de la famille Windows 2000 et IIS 5.0 s'installe par défaut comme un service réseau de Windows 2000 Server. Un assistant d'installation facilite l'installation d'une nouvelle copie d'IIS 5.0 ou la mise à niveau d'une version précédente.
Lors de l'installation de Windows 2000 Server, IIS crée un site Web par défaut ainsi qu'un site FTP. Pour ajouter ou supprimer IIS, ou sélectionner des composants supplémentaires, vous pouvez utiliser l'application Ajout/Suppression de programmes dans le Panneau de configuration.
IIS 5.0 est disponible avec toutes les versions de Windows 2000. Si vous mettez à niveau le système d'exploitation Windows 95 ou Windows 98 vers Windows 2000, IIS 5.0 mettra à niveau les sites Web existants sur Windows 95, Windows 98, Windows NT Server 3.51, Windows NT Server 4.0 et Windows NT Workstation 4.0.
Lors de la mise à jour vers Windows 2000, les systèmes qui utilisent Windows NT Server 3.51 ou 4.0 seont automatiquement mis à niveau avec les nouveaux services Web de Windows 2000 Server et pourront bénéficier des nouvelles fonctions et des nouveaux services de Windows 2000 Server et d'IIS 5.0.

Administration centralisée
IIS 5.0 est géré par un composant logiciel enfichable de la MMC (Microsoft Management Console) d'IIS. Cet outil d'administration d'IIS 5.0 est intégré aux autres fonctions d'administration de Windows 2000. (Dans les versions précédentes, cet outil s'appelait Gestionnaire de services Internet). Pour accéder au composant logiciel enfichable d'IIS, vous pouvez cliquer sur Outils d'administration, puis sur Gestion de l'ordinateur et le sélectionner dans Applications et services serveur.
L'outil d'administration basé sur le navigateur (Gestionnaire de services Internet), ne figure plus dans le groupe de programmes Outils d'administration, mais il est encore disponible pour vous permettre de gérer IIS à distance via une connexion HTTP. En outre, vous pouvez utiliser les services Terminal Server de Windows 2000 Server pour gérer différents serveurs IIS de manière centralisée.

Administration à distance
IIS 5.0 possède des outils d'administration basés sur le Web permettant la gestion à distance d'un serveur, à partir d'un navigateur depuis la plupart des plates-formes. Deux méthodes existent pour gérer IIS 5.0 à distance : l'une basée sur le navigateur et l'autre via un composant logiciel enfichable MMC (L'utilisation à distance d'un composant logiciel enfichable de la MMC nécessite l'installation de Windows 2000 sur le client distant ainsi qu'un paramétrage adéquat du pare-feu Internet).
Le Gestionnaire de services Internet basé sur le navigateur (HTMLA) vous permet de gérer à distance certaines fonctions IIS à travers Internet ou un serveur proxy. Outre ces deux options, vous pouvez également utiliser les services Terminal Server pour accéder aux outils d'administration MMC ou HTMLA.
Dans ce cas, les services Terminal Server de Windows 2000 doivent être installés sur chacun des serveurs IIS 5.0 à administrer ; sur le poste de travail utilisé pour l'accès à distance, il possible d'utiliser Internet Explorer si le logiciel client avancé des services Terminal Server (TSAC – Terminal Services Advanced Client) est installé sur le serveur ; à défaut, il faudra installer le logiciel client Terminal Server sur ce poste pour permettre le support du protocole spécifique utilisé par les services Terminal Server pour assurer le déport de l'affichage.

Administration déléguée
Pour faciliter la répartition des tâches administratives, IIS 5.0 permet aux administrateurs de créer des comptes d'administration appelés Opérateurs de sites Web avec des privilèges d'administration restreints sur les sites Web. Par exemple, un fournisseur de services Internet hébergeant les sites d'un certain nombre d'entreprises peut choisir un délégué dans chaque entreprise pour jouer le rôle d'opérateur de site Web. Les opérateurs ne peuvent gérer que les propriétés de leur propre site. Ils n'ont pas accès aux propriétés touchant IIS, le serveur Windows hébergeant IIS ou le réseau. Cela permet aux administrateurs système ou aux fournisseurs de services Internet hébergeant plusieurs sites Web sur un seul serveur de déléguer la gestion quotidienne des sites Web, tout en gardant le contrôle total de l'administration.

Surveillance des processus
La surveillance des processus (qui utilise des indicateurs d'utilisation du processus et des objets tâches) est une nouvelle fonction intégrée dans IIS 5.0 permettant aux administrateurs de superviser et de consigner la façon dont les sites Web utilisent les ressources du processeur sur le serveur. Les fournisseurs de services Internet peuvent utiliser ces informations pour identifier les sites qui utilisent les ressources du processeur de façon trop intensive, ou utilisent des scripts ou des procédures CGI (Common Gateway Interface) défaillants. Les responsables informatiques peuvent utiliser ces informations pour refacturer le coût qu'implique l'hébergement d'un site Web et/ou d'une application à la division appropriée de l'entreprise.
La fonction de surveillance des processus est activée serveur par serveur et enregistre les informations séparément pour chaque site Web, mais n'offre pas d'informations sur l'utilisation du processeur par les applications individuelles ou CGI. La fonction de surveillance des processus ne peut enregistrer que les informations concernant les applications hors processus (celles qui ne partagent pas le même processus que le serveur Web). La surveillance des processus n'est disponible que pour les sites Web et non pour les sites FTP.
La surveillance des processus ajoute des champs au fichier journal étendu du W3C. Ces champs ne sont enregistrés que lorsque le format du fichier journal étendu du W3C est sélectionné. Les données de surveillance des processus sont ajoutées à d'autres informations dans le fichier journal. Les administrateurs peuvent utiliser les informations issues de la surveillance des processus afin de préciser si la limitation de processus (décrite précédemment) doit être activée sur un site Web.

Scripts d'administration améliorés en mode de ligne de commande
IIS 5.0 intègre des scripts exécutables en mode de ligne de commande permettant d'automatiser la gestion des tâches de serveur Web courantes. Les scripts d'administration automatisent un certain nombre de tâches administratives parmi les plus courantes. Vous pouvez les utiliser pour créer et contrôler des sites Web, des applications, des répertoires, etc. Les administrateurs peuvent également créer des scripts personnalisés pour automatiser la gestion d'IIS.
Les scripts d'administration (il s'agit de scripts Microsoft Visual Basic Scripting Edition ou VBScript) sont destinés à être utilisés avec l'utilitaire de ligne de commande d'écriture de scripts Cscript.exe. Ils fonctionnent mieux si Cscript est enregistré de manière à exécuter les fichiers .vbs. Pour exécuter les scripts d'administration, vous pouvez utiliser les fichiers VBScript de Microsoft installés par défaut dans le répertoire Inetpub\adminscripts.
Pour améliorer les performances, vous pouvez également recourir à une version exécutable du fichier adsutil.vbs (adsutil.exe est lui-même installé par défaut dans le répertoire Inetpub\adminscripts).
Cette version accepte les mêmes paramètres que adsutil.vbs. Adsutil.exe est un modèle démontrant la façon dont la métabase doit être manipulée avec les interfaces Active Directory Service (ADSI) en C/C++ (Adsutil.exe peut lire les commandes d'un fichier, contrairement à adsutil.vbs).

Sauvegarde et restauration d'IIS
Le composant logiciel enfichable MMC d'IIS comprend des options permettant de sauvegarder votre configuration d'IIS ; vous pouvez sauvegarder les paramètres de la métabase IIS 5.0 pour restaurer une configuration antérieure fonctionnelle.
Cette méthode vous permet de sauvegarder et de restaurer la configuration de votre serveur Web, mais pas les fichiers de votre contenu ni les paramètres contenus dans le registre. Cette technique ne fonctionnera pas si vous réinstallez IIS. Les fichiers de sauvegarde qui en résultent ne peuvent pas être utilisés pour restaurer une configuration IIS sur d'autres ordinateurs exécutant Windows 2000. Vous pouvez sauvegarder IIS grâce au Gestionnaire de services Internet (HTML) basé sur un navigateur, mais vous devez utiliser le composant logiciel enfichable IIS pour restaurer votre configuration.

Messages d'erreurs personnalisés
Lorsqu'un utilisateur tente de se connecter à un site Web et qu'une erreur HTTP est signalée, un message générique est envoyé au navigateur client avec une description succincte de ce qui s'est passé lors de la tentative de connexion. Avec IIS 5.0, vous pouvez envoyer des messages d'erreur plus détaillés aux clients suite à une erreur ASP ou HTML sur votre site. Vous pouvez créer vos propres messages d'erreur personnalisés ou utiliser ceux d'IIS 5.0.
Tous les messages d'erreurs personnalisés d'IIS 5.0 affichent des codes HTTP standard assurant la cohérence avec les messages d'erreur HTTP 1.1. Par exemple, si un utilisateur tente de se connecter à un site Web ayant atteint le nombre de connexions maximum, une erreur HTTP apparaîtra sous la forme d'une page HTML contenant le message "Trop d'utilisateurs".

Vous pouvez utiliser la page de propriétés Erreurs personnalisées d'IIS pour personnaliser ces erreurs HTTP génériques :
Code d'erreur Message d'erreur

    400 Mauvaise requête
    401.1 Echec de l'identification
    401.2 Impossible d'établir la connexion en raison de la configuration du serveur
    401.3 Accès aux ressources interdit par les listes de contrôle d'accès
    401.4 Echec d'autorisation par le filtre
    401.5 Echec d'autorisation par l'application ISAPI/CGI
    403.1 Exécution interdite
    403.2 Lecture interdite
    403.3 Ecriture interdite
    403.4 SSL obligatoire
    403.5 SSL 128 obligatoire
    403.6 Adresse IP incorrecte
    403.7 Certificat client obligatoire
    403.8 Accès refusé
    403.9 Trop d'utilisateurs
    403.10 Configuration incorrecte
    403.11 Modification du mot de passe
    403.12 Accès au mappeur refusé
    403.13 Certificat client résilié
    403.14 Listage du répertoire refusé
    403.15 Licences CAL obligatoires
    403.16 Certificat client erroné ou incorrect
    403.17 Le certificat client a expiré ou n'est plus valable
    404 Introuvable
    404.1 Site introuvable
    405 Méthode non autorisée
    406 Non acceptable
    407 Authentification proxy requise
    412 Echec de la condition préalable
    414 URL trop longue
    500 Erreur interne du serveur
    500.12 Redémarrage de l'application
    500.13 Serveur occupé
    500.15 Requêtes pour Global.asa non autorisées
    500-100.asp Erreur ASP
    501 Non implémenté
    502 Passerelle incorrecte

Prise en charge des extensions serveur de FrontPage
Windows 2000 Server permet aux administrateurs d'utiliser les fonctions de création de contenu et de gestion Web de Microsoft FrontPage® pour déployer et gérer des sites Web. Avec les extensions serveur de FrontPage, les administrateurs peuvent afficher et gérer un site Web dans une interface graphique. En outre, il est possible de créer, d'éditer et d'envoyer des pages Web aux services IIS à distance. Le composant logiciel enfichable MMC de Microsoft FrontPage est un programme servant à gérer les extensions serveur de FrontPage et les sites Web développés avec FrontPage.

Systèmes de fichiers WebDAV (Web Distributed Authoring and Versioning)

Le Web est un outil fabuleux pour publier des documents, mais aujourd'hui encore, les organisations ont du mal à utiliser Internet pour permettre aux utilisateurs de travailler ensemble sur des documents. En effet, bien qu'il soit facile de lire des documents stockés sur un site Web, les utilisateurs ont des difficultés pour apporter des modifications à ces documents. Par exemple, les intranets pourraient être beaucoup plus utiles avec une telle possibilité.
Pour répondre à ce besoin, IIS 5.0 est totalement compatible avec la norme WebDAV (Web Distributed Authoring and Versioning). Il s'agit d'une extension de la norme HTTP 1.1 utilisée pour afficher des supports de stockage tels qu'un système de fichiers, via une connexion HTTP.

En installant un répertoire WebDAV sur votre serveur Web, vous permettez aux utilisateurs de partager des documents via Internet ou un intranet. Le support WebDAV intégré dans IIS 5.0 utilise les fonctions de sécurité et d'accès aux fichiers offertes par Windows 2000 ; vous pouvez verrouiller et déverrouiller des ressources pour permettre à plusieurs personnes de lire un fichier (notez qu'une seule personne à la fois peut le modifier).

La version de WebDAV intégrée dans IIS 5.0 permet aux créateurs distants de déplacer, de rechercher, d'éditer, ou de supprimer des fichiers ou des répertoires (et leurs propriétés) sur votre serveur. WebDAV est configuré à l'aide des paramètres d'autorisation de serveur Web. WebDAV résout certains problèmes, notamment concernant les autorisations d'accès aux fichiers, le travail hors connexion, l'intégrité des fichiers et la résolution des conflits lorsque plusieurs personnes tentent de modifier un document en même temps. Dans la mesure où WebDAV est intégré dans IIS 5.0, vous pouvez faire ce qui suit :

- Manipuler des ressources dans un répertoire de publication WebDAV sur votre serveur. Par exemple, à l'aide de cette fonction, les utilisateurs ayant les autorisations requises peuvent copier et déplacer les fichiers à l'intérieur d'un répertoire WebDAV ;
- Modifier des propriétés associées à certaines ressources. Par exemple, vous pouvez écrire et extraire des informations sur les propriétés d'un fichier ;
- Verrouiller et déverrouiller des ressources pour que plusieurs utilisateurs puissent lire un fichier simultanément, mais qu'une seule personne à la fois puisse le modifier ;
- Rechercher le contenu et les propriétés des fichiers dans un répertoire WebDAV. Une fois connecté au répertoire WebDAV, vous pouvez rechercher rapidement un contenu ou des propriétés dans les fichiers de ce répertoire. Par exemple, vous pouvez rechercher tous les fichiers contenant le mot table ou tous ceux écrits par Fred.

Il est aussi simple de créer un répertoire de publication WebDAV sur votre serveur qu'un répertoire virtuel par le biais d'un composant logiciel enfichable IIS. Une fois le répertoire de publication défini, les utilisateurs ayant les autorisations requises peuvent publier des documents sur le serveur et manipuler des fichiers dans le répertoire (Avant d'installer un répertoire WebDAV, vous devez installer Windows 2000 Professionnel, Windows 2000 Server ou Windows 2000 Advanced Server).

Partage de documents à l'aide de WebDAV

Illustration 4. Partage de documents à l'aide de WebDAV

Vous pouvez accéder à un répertoire de publication WebDAV à partir du client, par le biais d'un des produits Microsoft décrits dans la liste suivante ou via un tout autre client gérant le protocole WebDAV standard.
- Windows 2000 se connecte à un serveur WebDAV à l'aide de l'Assistant Ajout d'un favori réseau et affiche le contenu d'un répertoire WebDAV comme s'il faisait partie du même système de fichiers sur votre ordinateur local. Une fois la connexion établie, vous pouvez effectuer un glisser-déplacer des fichiers, récupérer et modifier des propriétés de fichier et procéder à d'autres tâches sur les systèmes de fichiers ;

Les utilisateurs peuvent se connecter à un répertoire WebDAV à l'aide de l'Assistant Ajout d'un favori réseau de Windows 2000

Illustration 5. Les utilisateurs peuvent se connecter à un répertoire WebDAV à l'aide de l'Assistant Ajout d'un favori réseau de Windows 2000

- Microsoft Internet Explorer 5 se connecte à un répertoire WebDAV et vous permet d'effectuer les mêmes tâches sur les systèmes de fichiers que Windows 2000 ;
- Microsoft Office 2000 permet de créer, publier, éditer et sauvegarder des documents directement dans le répertoire WebDAV, à l'aide d'une application Office 2000 quelconque.

WebDAV utilise les fonctions de sécurité de Windows 2000 et IIS 5.0. Ces fonctions comprennent les autorisations d'IIS spécifiées dans le composant logiciel enfichable IIS et les listes de contrôle d'accès (ACL) du système de fichiers NTFS.

Dans la mesure où les clients ayant les autorisations requises peuvent écrire dans un répertoire WebDAV, il est vital que vous puissiez contrôler à tout moment l'accès à votre répertoire. Pour mieux contrôler l'accès, IIS 5.0 améliore la procédure d'authentification intégrée dans Windows en lui ajoutant la prise en charge du protocole d'authentification Kerberos version 5.

En sélectionnant l'authentification intégrée dans Windows, vous êtes assuré que seuls les clients autorisés ont accès en écriture au répertoire WebDAV de votre intranet. En outre, IIS 5.0 introduit un nouveau type d'authentification appelé l'authentification Digest.

Créé pour les serveurs de domaine Windows, ce type d'authentification offre une meilleure sécurité pour les mots de passe et la transmission de données via Internet (Pour plus d'informations sur l'authentification, consultez la section "Sécurité" de ce document).

Dossiers Web
Les dossiers Web et les dossiers HTTP sont des raccourcis vers des fichiers partagés créés à l'aide de WebDAV (décrit ci-dessus) et stockés sur des serveurs Web. Les raccourcis sont créés automatiquement dans Favoris réseau, chaque fois que vous ouvrez des ressources sur un serveur compatible WebDAV, si vous avez des autorisations en lecture/écriture sur le serveur. Vous pouvez également utiliser l'Assistant Ajout d'un favori réseau pour créer des raccourcis vers les serveurs Web et les autres ordinateurs.

La prise en charge des dossiers Web permet aux utilisateurs d'accéder à un serveur et d'afficher le contenu d'un dossier comme s'il faisait partie du même espace de noms que le système local. Les utilisateurs peuvent effectuer un glisser-déplacer des fichiers, extraire ou modifier des informations sur les propriétés d'un fichier et procéder à d'autres tâches sur les systèmes de fichiers. Les dossiers Web permettent aux utilisateurs de garder une image et une impression cohérentes entre le système de fichiers local, un lecteur réseau et un site Web. Toutefois, lorsque vous affichez le contenu d'un dossier Web, une liste de fichiers et de dossiers apparaît avec les adresses Internet associées.

Système de fichiers DFS
IIS 5.0 utilise le système de fichiers distribués (DFS) de Windows 2000. Ce système permet de réunir les fichiers d'ordinateurs différents dans un seul espace de noms. A l'aide de DFS, les administrateurs système peuvent établir une vue hiérarchisée unique de plusieurs serveurs de fichiers et de partages de serveur de fichiers sur le réseau. Ainsi, les utilisateurs peuvent accéder à des fichiers physiquement distribués sur le réseau et les gérer plus facilement. Vous pouvez présenter aux utilisateurs une unique vue de fichiers répartis sur plusieurs serveurs comme s'ils étaient au même emplacement sur le réseau. Les utilisateurs n'ont plus besoin de connaître et de spécifier le véritable emplacement physique des fichiers pour y accéder.

Le système de fichiers distribués est toujours hébergé sur Windows NT Server 4.0 ou Windows 2000 Server, soit dans le format FAT (File Allocation Table), soit dans le format NTFS.
Pour utiliser Microsoft DFS comme système de fichiers pour IIS 5.0, vous pouvez sélectionner la racine du site Web comme racine DFS. Cela permet de déplacer des ressources dans l'arborescence DFS sans effets sur les liens HTML (Le contenu des services Windows Media peut également être stocké dans l'arborescence DFS).

Compression HTTP
La compression HTTP permet de transférer des pages plus rapidement entre le serveur et les clients utilisant la compression de fichiers. Cela est utile lorsque la bande passante est limitée. Selon le contenu que vous hébergez, votre espace de stockage et la vitesse de connexion du visiteur type de votre site Web, la compression HTTP permet de transférer des pages plus rapidement entre le serveur Web et les navigateurs utilisant la compression de fichiers.

Si votre serveur génère un volume important de contenu dynamique, il est préférable de savoir si vous pouvez couvrir le coût de traitement supplémentaire lié à la compression. Si la valeur de l'indicateur % Temps processeur (accessible en sélectionnant Moniteur système) est déjà très élevée (80 pour cent ou plus), la compression serait probablement trop lourde pour votre système.

FTP (File Transfer Protocol)
Le service de protocole FTP (File Transfer Protocol), un protocole standard servant à publier des informations sur un serveur Web, est intégré dans Windows 2000 Server. Dans IIS 5.0, le protocole FTP Restart est également pris en charge par Windows 2000 Server.
Il s'agit d'un moyen plus rapide et plus facile pour télécharger des informations à partir d'Internet. En effet, si un transfert de données d'un site FTP est interrompu, un téléchargement peut reprendre à partir de son point d'interruption, sans devoir télécharger le fichier entier une nouvelle fois.

Sécurité

Les fonctions de sécurité constituent une amélioration essentielle d'IIS 5.0, qui bénéficie déjà des fonctions de sécurité Internet standard entièrement intégrées dans Windows 2000. Cette présentation de la sécurité d'IIS 5.0 est divisée en trois grandes sections. La première concerne les protocoles de sécurité Internet pris en charge par IIS 5.0.
Pour vous aider à comprendre comment les nouveaux protocoles s'intègrent dans l'infrastructure de la sécurité, cette section décrit aussi brièvement les protocoles déjà pris en charge par les versions précédentes d'IIS. La prise en charge de nouvelles normes, telles que Fortezza, TLS (Transport Layer Security), l'authentification Digest et le protocole d'authentification Kerberos v5, constitue un aspect particulièrement intéressant d'IIS 5.

Les normes de sécurité sont utilisées conjointement avec une procédure à plusieurs étapes destinée à sécuriser les sites Web. Pour mieux expliquer la façon dont les nouvelles fonctions optimisent la sécurité d'IIS 5.0, la deuxième section décrit chaque nouvelle fonction dans le cadre de ces procédures de sécurité.
La dernière section de cette partie sur la sécurité présente les nouveaux assistants de tâches d'IIS 5.0 qui permettent aux administrateurs de configurer plus facilement la sécurité.

Normes de sécurité

Microsoft s'engage à travailler avec les communautés d'utilisateurs d'ordinateurs et de l'Internet pour faciliter la structuration et la mise en place de normes de sécurité fiables. Les protocoles de sécurité d'IIS 5.0 sont les suivants :

- Fortezza. Récemment intégré dans IIS 5.0, Fortezza prend en charge les normes de sécurité du gouvernement américain. Fortezza repose sur l'architecture DMS (Defense Message System) et utilise un mécanisme de cryptage (chiffrement). Celui-ci permet de protéger la confidentialité, l'intégrité, l'authentification ainsi que la non-répudiation et de contrôler l'accès aux messages et aux composants et aux systèmes. Ces fonctions sont installées avec les logiciels du serveur et du navigateur et les cartes PCMCIA (Personal Computer Memory Card International Association).

- Secure Sockets Layer (SSL 3.0). Les protocoles de sécurité SSL sont largement utilisés par les navigateurs et les serveurs Internet pour l'authentification, l'intégrité de messages et la confidentialité. Vous pouvez configurer les fonctions de sécurité SSL de votre site Web pour vérifier l'intégrité de vos contenus ainsi que l'identité des utilisateurs et crypter les transmissions réseau. Le protocole SSL repose sur l'utilisation de certificats, lesquels sont décrits ci-dessous.

- Transport Layer Security (TLS). TLS est basé sur SSL. Il permet une authentification cryptographique de l'utilisateur et permet à des programmeurs indépendants d'écrire un code TLS. Ce dernier sera ensuite capable d'échanger des informations cryptées avec une autre procédure sans qu'un programmeur ait besoin de connaître le code des autres programmeurs. En outre, TLS est destiné à fournir un cadre pour les nouvelles méthodes de cryptage en bloc et de clé publique, au fur et à mesure qu'elles émergent. TLS se concentre également sur l'amélioration des performances en réduisant le trafic réseau et en offrant un nouveau système optionnel de mise en antémémoire des sessions, qui permet de diminuer le nombre de connexions établies.

- PKCS #7. Ce protocole décrit le format des données cryptées, notamment les signatures ou les enveloppes numériques, contenant des informations sécurisées. Les deux sont des fonctions de certificat d'IIS.

- PKCS #10. Ce protocole décrit le format des requêtes de certificats soumises aux autorités de certification.

- Authentification de base. L'authentification de base fait partie de la spécification HTTP 1.0. Elle envoie des mots de passe au format encodé Base64 via les réseaux. L'authentification de base est une méthode standard très utilisée pour collecter des informations sur les noms d'utilisateur et sur les mots de passe. L'avantage de l'authentification de base est qu'elle fait partie de la spécification HTTP et qu'elle est prise en charge par la plupart des navigateurs. L'inconvénient est que les navigateurs Web utilisant l'authentification de base transmettent des mots de passe non cryptés. Une personne surveillant les communications sur votre réseau pourrait facilement intercepter et déchiffrer ces mots de passe à l'aide d'outils disponibles dans le commerce. C'est pourquoi l'authentification de base n'est conseillée que si vous êtes certain que la connexion entre l'utilisateur et votre serveur Web est sûre, comme c'est le cas pour une connexion directe par câble ou via une ligne spécialisée.

- Authentification Digest. Une nouvelle fonction d'IIS 5.0, l'authentification Digest, offre les mêmes fonctions que celles de l'authentification de base mais utilise une méthode différente pour transmettre les autorisations d'authentification. Les autorisations d'authentification subissent une procédure unilatérale, souvent appelée hachage. Le résultat de cette procédure est une hachure, ou digestion de message ; le texte original ne peut pas être déchiffré à partir de la hachure.

Le serveur génère des informations supplémentaires qui sont ajoutées au mot de passe avant le hachage, de façon que personne ne puisse capturer le hachage du mot de passe et l'utiliser pour se faire passer pour le vrai client. Cette méthode est plus sûre que l'authentification de base, au cours de laquelle le mot de passe peut être intercepté et utilisé par une personne non autorisée.

L'authentification Digest est conçue pour être utilisée par les serveurs proxy et d'autres applications de pare-feu et fait partie du protocole WebDAV (Web Distributed Authoring and Versioning). Dans la mesure où l'authentification Digest est une nouvelle fonction HTTP1.1, tous les navigateurs ne la prennent pas en charge. Si un navigateur non compatible fait une requête sur un serveur nécessitant l'authentification Digest, le serveur rejettera la requête et enverra un message d'erreur au client. L'authentification Digest n'est prise en charge que pour les domaines dotés d'un contrôleur de domaine Windows 2000. En outre, elle ne fonctionne qu'avec Internet Explorer version 5 ou ultérieure.

Pour plus d'informations sur la sécurisation d'un contrôleur de domaine, consultez le kit de ressources de Microsoft Windows 2000 Server.

Mécanismes de sécurité

Les cinq principaux mécanismes de sécurité utilisés dans IIS 5.0 sont les suivants :
- Authentification, pour vérifier l'identité des utilisateurs ;
- Certificats, pour envoyer et recevoir en toute sécurité des informations sur l'identité d'un site ;
- Contrôle d'accès, pour protéger l'accès au contenu ;
- Cryptage (chiffrement), pour empêcher une falsification du contenu ;
- Audits, pour surveiller l'activité liée à la sécurité sur votre site.

Authentification
L'authentification vous permet de confirmer l'identité de toute personne demandant l'accès à vos sites Web. Les authentifications prises en charge par IIS 5.0 sont les suivantes :
- Authentification anonyme. Cette méthode permet aux utilisateurs d'accéder aux domaines publics de votre site Web ou FTP sans leur demander de nom d'utilisateur ou de mot de passe. Si l'authentification anonyme est activée, IIS essaiera toujours, dans un premier temps, d'authentifier avec cette technique, même si d'autres méthodes sont également activées. Lorsqu'un utilisateur tente de se connecter à votre site Web ou FTP, votre serveur Web lui affecte un compte d'utilisateur Windows nommé IUSR_nom_ordinateur, dans lequel nom_ordinateur est le nom du serveur IIS.

Si vous disposez de plusieurs sites sur votre serveur ou que certains domaines de votre site nécessitent des privilèges d'accès différents, vous pouvez créer plusieurs comptes anonymes, un pour chaque site Web ou FTP, répertoire ou fichier. En accordant diverses autorisations d'accès à ces comptes ou en les affectant à des groupes d'utilisateurs Windows distincts, vous pouvez donner aux utilisateurs l'accès anonyme aux différents domaines de votre site Web ou FTP.
- Authentification FTP de base. Pour établir une connexion FTP avec votre serveur Web par l'intermédiaire de l'authentification FTP de base, les utilisateurs doivent se connecter avec un nom d'utilisateur et un mot de passe correspondant à un compte d'utilisateur Windows valide. Si le serveur FTP ne peut pas vérifier l'identité d'un utilisateur, le serveur envoie un message d'erreur. L'authentification FTP n'est pas très sûre dans la mesure où l'utilisateur transmet le mot de passe et le nom d'utilisateur sur le réseau sous forme non cryptée.
- Authentification FTP anonyme. Vous pouvez configurer votre serveur FTP pour accorder l'accès anonyme aux ressources FTP. Si l'authentification FTP anonyme est activée, IIS essaiera toujours, dans un premier temps, d'utiliser cette technique, même si l'authentification de base est activée. Si vous sélectionnez l'authentification anonyme pour une ressource, toutes les requêtes visant cette ressource seront acceptées sans que l'utilisateur ait besoin d'un nom d'utilisateur ou d'un mot de passe.
- Authentification intégrée dans Windows. Les administrateurs peuvent accorder des autorisations d'authentification à différents ordinateurs Windows. Grâce aux services d'authentification intégrés dans Windows, les utilisateurs peuvent s'authentifier en toute sécurité auprès d'un site Web Windows 2000 Server. Ils n'ont pas besoin de subir une seconde authentification (connexion) pour utiliser les autres ressources.

Connue sous l'appellation d'authentification par question/réponse Windows NT ou NTLM dans les versions précédentes, l'authentification intégrée de Windows est une méthode sûre, dans la mesure où le nom d'utilisateur et le mot de passe ne sont pas envoyés sur le réseau. Au lieu de cela, le navigateur de l'utilisateur prouve qu'il connaît le mot de passe par le biais d'un échange cryptographique avec votre serveur Web. Pour échanger des informations, vous pouvez utiliser le protocole d'authentification Kerberos v5.

Kerberos v5 est une fonction de l'architecture de services distribués de Windows 2000. Les services Web de Windows 2000 Server sont intégrés dans l'infrastructure de sécurité Kerberos. Kerberos v5 permet une connexion rapide et unique à Windows 2000 Server et remplace NTLM comme premier protocole de sécurité, pour accéder aux ressources à l'intérieur ou entre des domaines Windows 2000. Pour améliorer l'authentification Kerberos v5, le client et le serveur doivent établir une connexion sécurisée avec le centre KDC (Key Distribution Center) et être compatibles avec Active Directory.

L'authentification intégrée Windows peut utiliser le protocole d'authentification Kerberos v5 comme son propre protocole d'authentification par question/réponse. Si le service d'annuaire Active Directory est installé sur le serveur et que le navigateur est compatible avec Kerberos v5, les deux protocoles (Kerberos v5 et protocole par question/réponse) sont utilisés. Sinon, seul le protocole par question/réponse est utilisé.

Bien que l'authentification intégrée Windows soit sûre, elle présente deux limites. D'une part, seul Microsoft Internet Explorer version 2.0 ou ultérieure prennent en charge cette méthode d'authentification. D'autre part, l'authentification intégrée Windows ne fonctionne pas avec les connexions Proxy HTTP. C'est pourquoi l'authentification intégrée Windows convient mieux à un contexte intranet dans lequel les ordinateurs de l'utilisateur et du serveur Web font partie du même domaine, et dans lequel les administrateurs peuvent vérifier que chaque utilisateur possède Microsoft Internet Explorer version 2.0 ou une version plus récente.

Certificats
Dans la procédure d'authentification, un mécanisme doit permettre de vérifier l'identité des utilisateurs. Les certificats sont des documents d'identification numériques permettant au serveur et au client de s'authentifier mutuellement. Les navigateurs du serveur et du client en ont besoin pour établir une connexion SSL par laquelle des informations cryptées seront envoyées. Les certificats de serveur contiennent généralement des informations sur votre entreprise et sur l'autorité qui a délivré le certificat. Les certificats de client, quant à eux, contiennent en général des informations sur l'utilisateur et sur l'autorité de certification.
Les fonctions SSL basées sur les certificats et intégrées dans IIS comprennent un certificat de serveur, un certificat de client facultatif et diverses clés numériques. Vous pouvez créer ces certificats avec les services de certificats Microsoft ou les obtenir auprès d'une autorité tierce sécurisée, appelée "autorité de certification" (AC).
Authentification par certificat. Vous pouvez utiliser les fonctions de sécurité SSL (Secure Sockets Layer) de votre serveur Web pour deux types d'authentification. Vous pouvez recourir à un certificat d'utilisateur pour permettre aux utilisateurs d'authentifier votre site Web avant de transmettre des informations personnelles, notamment un numéro de carte de crédit. Vous pouvez également utiliser des certificats de client pour authentifier les utilisateurs demandant des informations sur votre site Web. Pour procéder à l'authentification, SSL vérifie le contenu d'une identification numérique cryptée, soumise par le serveur Web de l'utilisateur lors de la connexion.

Mappage de certificats client. Vous pouvez associer ou mapper des certificats client avec des comptes d'utilisateur Windows sur votre serveur Web. Après avoir créé et activé un mappage de certificats, chaque fois qu'un utilisateur se connecte avec un certificat client, votre serveur Web associe automatiquement cet utilisateur au compte d'utilisateur Windows correspondant. De cette façon, vous pouvez authentifier automatiquement les utilisateurs qui se connectent avec des certificats de client, sans recourir à l'authentification de base, Digest ou l'authentification intégrée Windows. Vous pouvez mapper un ou plusieurs certificats de client avec un même compte d'utilisateur Windows. Par exemple, si vous avez plusieurs entreprises ou des services différents sur votre serveur, chacun ayant son propre site Web, vous pouvez mapper tous les certificats de client de chaque service ou entreprise à son propre site Web. Ainsi, chaque site réserve l'accès à ses propres clients uniquement.

Stockage des certificats. Le stockage des certificats IIS est désormais intégré au stockage CryptoAPI de Windows. Le Gestionnaire de certificats de Windows offre un point d'entrée unique permettant aux administrateurs de stocker, de sauvegarder et de configurer les certificats de serveur.

Contrôle d'accès
Après avoir vérifié l'identité d'un utilisateur, vous voudrez contrôler l'accès aux ressources sur votre serveur. IIS 5.0 utilise deux niveaux de contrôle d'accès : les autorisations Web et NTFS. Les autorisations Web s'appliquent à tous les clients HTTP et déterminent quels sont les verbes HTTP pouvant être utilisés pour accéder aux ressources du serveur. Les autorisations NTFS définissent le niveau d'accès aux répertoires et aux fichiers du serveur pour chaque compte d'utilisateur.
Par exemple, si une entreprise décide de publier son catalogue sur votre serveur Web, vous devez créer un compte d'utilisateur Windows pour cette entreprise, puis configurer des autorisations pour ce site Web, un répertoire ou un fichier spécifique. Avec ces autorisations, seuls l'administrateur du serveur et le propriétaire de l'entreprise peuvent mettre à jour le contenu du site Web. En outre, ces autorisations permettent aux utilisateurs publics d'afficher le site Web sans en modifier le contenu.

Pour permettre aux utilisateurs d'accéder à un site Web et d'en modifier le contenu, IIS 5.0 applique la norme WebDAV (décrite plus haut), une extension du protocole HTTP 1.1 qui facilite la manipulation des fichiers et des répertoires via une connexion HTTP. Par le biais des verbes ou des commandes WebDAV, vous pouvez ajouter et lire des propriétés dans des fichiers et des répertoires. Ceux-ci peuvent également être créés, supprimés, déplacés ou copiés à distance. Un contrôle d'accès supplémentaire peut être configuré à l'aide des autorisations de serveur Web et de NTFS.

Cryptage
Après avoir contrôlé l'accès aux informations, vous devez les protéger dans la mesure où elle circulent sur Internet. Vous pouvez permettre aux utilisateurs d'échanger des informations privées (des numéros de carte de crédit ou de téléphone) avec votre serveur en toute sécurité, en utilisant le cryptage. Le cryptage brouille les informations avant qu'elles soient envoyées et le décryptage les déchiffre après réception. Le protocole SSL 3.0 constitue la base de ce cryptage dans IIS, dans la mesure où il permet d'établir en toute sécurité une communication cryptée avec les utilisateurs. SSL confirme l'authenticité de votre site Web et, éventuellement, l'identité des utilisateurs accédant aux sites Web protégés.

Les certificats (voir plus haut) contiennent des clés cryptées destinées à établir une connexion SSL sécurisée. Une clé est une valeur unique utilisée pour authentifier le serveur et le client au cours de l'établissement d'une connexion SSL. La clé publique et la clé privée forment une paire de clés SSL. Votre serveur Web utilise cette paire pour négocier une connexion sécurisée avec le navigateur Web de l'utilisateur et ainsi déterminer le niveau de cryptage requis pour sécuriser les communications.
Pour ce type de connexion, votre serveur Web et le navigateur de l'utilisateur doivent intégrer des fonctions de cryptage et de décryptage compatibles. Lors de l'échange, une clé de cryptage (ou clé de session) est créée. Votre serveur et le navigateur Web utilisent une clé de session pour crypter et décrypter les informations transmises. Le degré (ou puissance) de cryptage d'une clé de session est mesuré en bits. Plus le nombre de bits de la clé de session est important, plus le niveau de cryptage et la sécurité sont grands. Bien qu'un plus haut degré de cryptage des clés offre une meilleure sécurité, il nécessite également plus de ressources du serveur. En général, la clé de session de votre serveur Web contient 40 bits, mais elle peut contenir 128 bits selon le niveau de sécurité que vous désirez (reportez-vous à la section "SGC" (Server Gated Cryptography) ci-après).
SGC (Server-Gated Cryptography) est une extension de SSL permettant d'utiliser un chiffrement élevé utilisant des clés de 128 bits. Bien que les fonctions SGC soient intégrées dans IIS 5.0, un certificat SGC spécial est demandé pour pouvoir les utiliser. Ce certificat est intégré au High Encryption Pack pour Windows 2000 qui permet d'activer le chiffrement à 128 bits. Celui-ci peut être téléchargé à cette adresse.

Vous pouvez configurer votre serveur Web pour demander un chiffrement sur 128 bits minimum, plutôt que la puissance par défaut de 40 bits, pour toutes les sessions de communication SSL sécurisées. Les utilisateurs tentant d'établir un canal de communications sécurisées avec votre serveur devront alors utiliser un navigateur capable de communiquer avec une clé de session de 128 bits.
Important :
- Pour télécharger le High Encryption Pack de Windows 2000, utilisez le lien suivant
- Lorsque vous définissez les propriétés de sécurité d'un site Web spécifique, vous définissez automatiquement les mêmes propriétés de sécurité pour les répertoires et les fichiers appartenant à ce site, à moins qu'elles aient été définies préalablement.
- Lorsque vous tentez de redéfinir les propriétés de sécurité de votre site Web, celui-ci vous demande de prouver votre autorisation pour redéfinir les propriétés de chaque répertoire et de chaque fichier. Si vous décidez de redéfinir ces propriétés, vos paramètres de sécurité précédents seront remplacés par les nouveaux. La même condition s'applique lorsque vous définissez les propriétés de sécurité d'un répertoire contenant des sous-répertoires ou des fichiers dont les propriétés ont été définies au préalable.
- Si vous sélectionnez Cryptage 128 bits pour un site Web dont le certificat de serveur utilise des clés inférieures à 128 bits, l'accès à ce site sera désactivé.

Audits
La dernière étape pour garantir la sécurité consiste à surveiller régulièrement l'utilisation de votre site. Les administrateurs peuvent utiliser des techniques d'audit de sécurité pour surveiller différents utilisateurs et l'activité de sécurité du serveur Web. La procédure d'audit consiste à créer des stratégies de surveillance pour l'accès aux fichiers et aux répertoires ou pour les événements du serveur. Elle consiste également à surveiller les journaux de sécurité afin de détecter toute tentative d'accès par des personnes non autorisées.
Vous pouvez configurer les journaux de sécurité pour enregistrer les informations soit sur l'accès aux répertoires et aux fichiers, soit sur les événements du serveur, soit sur les deux. Il est préférable de vérifier périodiquement la configuration de votre serveur afin de détecter les zones où les ressources peuvent faire l'objet d'un accès non autorisé ou d'une falsification. Vous pouvez recourir aux utilitaires intégrés dans Windows, aux fonctions de journalisation d'IIS 5.0 ou aux applications ASP pour créer vos propres journaux d'audit.

Vous pouvez surveiller les tentatives d'accès aux répertoires ou aux fichiers, qu'elles réussissent ou non. Cela comprend les événements tels que lire le fichier, le mettre à jour et parcourir un répertoire. Vous pouvez choisir les événements que vous souhaitez surveiller pour tout fichier ou répertoire. Le système de fichiers de votre serveur doit être au format NTFS afin de pouvoir utiliser les fonctions d'audit.
Vous pouvez surveiller tous les événements du serveur, tels que les processus de connexion et de déconnexion du serveur Web, de modification des stratégies de sécurité du serveur Web et de fermeture du serveur. Les événements sont vérifiés pour tout l'ordinateur et non uniquement pour certains répertoires ou fichiers. Pour définir le niveau d'audit, utilisez les Stratégies d'audit de MMC (Microsoft Management Console). Vous pouvez également surveiller les tentatives d'accès à votre site Web ou FTP, à vos répertoires virtuels ou à vos fichiers, qu'elles réussissent ou non.
Cela inclut des événements tels que la lecture ou la mise à jour du fichier. Vous pouvez choisir les événements que vous souhaitez vérifier pour tout site, répertoire virtuel ou fichier. Pour définir ce niveau d'audit, utilisez le composant logiciel enfichable d'IIS.

Assistants de sécurité

Pour simplifier la création et la gestion des paramètres de sécurité, IIS 5.0 comporte trois nouveaux assistants pour les tâches de sécurité :

- L'Assistant Certificat simplifie les tâches d'administration de certificat, notamment les demandes de certificat et la gestion du cycle de vie d'un certificat. La sécurité SSL (Secure Sockets Layer) est une condition requise de plus en plus courante pour les sites Web offrant un service de commerce électronique et l'accès à des données commerciales sensibles. Le nouvel assistant facilite la création de sites Web SSL avec Windows 2000 Server. De plus, il simplifie la création et la gestion de procédures de cryptage SSL et l'authentification des certificats client.
Pour obtenir, configurer et renouveler des certificats serveur, vous pouvez désormais utiliser une unique interface dans l'Assistant Certificat de serveur Web. Cet assistant permet de savoir si un certificat de serveur a déjà été installé et, le cas échéant, s'il va bientôt expirer. De plus, il permet de remplacer le certificat serveur par un autre certificat délivré par une autorité de certification standard ou en ligne (tel que les services de certificat de Microsoft), ou encore, issu d'un fichier obtenu préalablement dans le Gestionnaire de clés. Vous pouvez également réaffecter un certificat d'un site Web à un autre.

- Remarque : les requêtes de certificats de serveur en ligne ne peuvent être adressées qu'aux serveurs de certificats d'entreprise. L'Assistant Certificat de serveur Web d'IIS ne reconnaîtra pas un serveur de certificats autonome sur le même ordinateur. Pour enregistrer la requête dans un fichier, puis la traiter comme une requête hors connexion, utilisez une requête de certificats hors connexion. L'inscription en ligne par le biais d'un serveur de certificats d'entreprise local n'est pas concernée par cet aspect.
Si vous n'avez pas recours à une autorité de certification en ligne, vous devrez enregistrer sur un disque le fichier de requête généré par l'Assistant Certificat de serveur Web et l'envoyer à une autorité de certification. Après réception de la réponse, vous pouvez activer l'assistant qui poursuivra la procédure interrompue précédemment. Si vous remplacez un certificat, IIS continuera d'utiliser l'ancien certificat jusqu'à ce que la nouvelle requête soit terminée.

- L'Assistant Autorisations guide les administrateurs dans les tâches de définition des autorisations et de l'accès authentifié sur un site Web IIS, en facilitant la création et la gestion d'un site Web dont l'accès au contenu doit être authentifié.
L'Assistant Autorisations adopte une approche reposant sur des scénarios pour définir des autorisations Web et FTP, des autorisations d'accès NTFS et des modèles d'authentification. Au lieu d'utiliser une interface utilisateur distincte pour définir chaque zone, vous devez sélectionner la configuration qui reflète le plus les besoins de votre site et l'assistant se charge de définir toutes les autorisations d'accès et les modèles d'authentification à votre place. Grâce à l'assistant, vous êtes sûr que les autorisations Web (ou FTP) et NTFS sont correctement coordonnées et que le bon modèle d'authentification est utilisé, ce qui constitue un avantage unique. Tous les paramètres peuvent être changés dans le composant logiciel enfichable d'IIS. Les configurations sont les suivantes :

- Site Web public. Il s'agit de la configuration la plus courante, dans laquelle les informations du site sont destinées à une consommation publique sur Internet. Elle utilise l'authentification anonyme et permet aux utilisateurs d'afficher tous les fichiers et d'accéder aux applications ASP présentes sur votre serveur Web. En outre, elle permet aux administrateurs de contrôler totalement le site.

- Site Web sécurisé. Cette configuration est utilisée pour les extranets d'entreprise, c'est-à-dire des intranets accessibles via Internet. Les informations présentes sur le site sont destinées à une consommation limitée. Elle utilise l'authentification de base, Digest, ou l'authentification intégrée Windows. Grâce à cette configuration, seuls les utilisateurs autorisés peuvent afficher tous les fichiers et accéder aux applications ASP de votre serveur Web. De plus, elle offre aux administrateurs le contrôle total du site.

- L'Assistant Liste de certificats de confiance permet aux administrateurs de configurer les listes de certificats de confiance. Il s'agit de listes d'autorités de certification sécurisées, destinée à un répertoire particulier. La configuration de votre liste de certificats de confiance vous permet d'autoriser l'utilisation des certificats délivrés par une autorité de certification déterminée, et d'interdire celle de certificats délivrés par d'autres autorité de certification. Ces listes sont particulièrement utiles aux fournisseurs de services Internet hébergeant plusieurs sites Web sur leur serveur et ayant besoin d'une liste d'autorités de certification approuvées distincte pour chaque site. Les listes de certificats de confiance ne sont pas disponibles pour les sites FTP, mais exclusivement pour les sites Web.

Environnement de Développement d'applications

IIS 5.0 ajoute des améliorations de performances pour faciliter le développement des applications Web. Associée aux services de composants et d'accès aux données de Windows 2000 Server, la technologie ASP (Active Server Pages) intégrée à IIS constitue un environnement d'application bien conçu.
Avec cette version, l'optimisation du contrôle de débit et de la gestion d'erreurs, les composants script de Windows et d'autres améliorations permettent aux créateurs de scripts et aux développeurs d'applications Web d'utiliser plus facilement l'environnement ASP. En outre, des fonctions telles que les pages ASP sans script, l'autoréglage ASP et des objets ASP plus performants, ainsi que des améliorations dans le système d'exploitation Windows 2000, peuvent augmenter la vitesse des applications ASP.

Nouveautés d'ASP

ASP est un environnement de script global côté serveur que vous pouvez utiliser pour créer et exécuter des applications Web dynamiques et interactives. Avec ASP, vous pouvez combiner des pages HTML, des commandes de script et des objets COM (Component Object Model) pour créer des pages Web interactives ou des applications Web faciles à déployer et à modifier. Il existe un certain nombre de nouvelles fonctions ASP dans IIS 5.0, notamment de nouvelles fonctions de contrôle de débit et de gestion d'erreurs, permettant d'écrire et de contrôler plus facilement le comportement des applications Web. D'autres nouvelles fonctions, telles que le traitement des pages ASP sans script, améliorent les performances des pages ASP.

Fonctions de contrôle de débit
De nouvelles fonctions de contrôle de débit permettent aux développeurs Web d'écrire des applications basées sur les pages ASP plus performantes, en réduisant le nombre d'allers-retours entre un client et le serveur.
Aujourd'hui, utiliser la méthode Response.Redirect pour rediriger un navigateur nécessite un aller-retour vers le serveur. En effet, le serveur envoie une réponse HTTP au navigateur et lui indique l'emplacement d'une nouvelle adresse URL. Le navigateur quitte automatiquement la file d'attente de requêtes du serveur et envoie une nouvelle requête HTTP à cette adresse URL. Puis le serveur ajoute cette requête à la file d'attente avec celles des autres clients arrivées entre temps. Pour les sites Web occupés, les allers-retours peuvent gaspiller de la bande passante et réduire les performances du serveur (surtout lorsque le navigateur est redirigé vers un fichier situé sur le même serveur.
Désormais, l'objet Server ASP dispose de deux méthodes pour contrôler le débit des programmes :
Server.Transfer et Server.Execute. Comme le montre l'illustration 6, vous pouvez appliquer la méthode Server.Transfer (au lieu de la méthode Response.Redirect) pour transmettre des informations depuis un fichier ASP vers un autre fichier situé sur le même serveur. Avec la méthode Server.Transfer, vous pouvez transmettre directement des requêtes de fichiers ASP, sans même quitter la file d'attente de requêtes du serveur, et ainsi supprimer les allers-retours qui nécessitent beaucoup de ressources.

La méthode Server

Illustration 6. La méthode Server

Transfer permet d'économiser des allers-retours vers le serveur, lorsqu'une adresse URL est redirigée vers une autre page ASP sur le même serveur.
ASP propose également la méthode Server.Execute pour transmettre un fichier, exécuter son contenu, puis retourner au fichier ayant initialisé le transfert. Si vous connaissez VBScript, vous pouvez considérer Server.Execute comme l'équivalent d'un appel de procédure (la différence étant qu'au lieu d'exécuter une procédure, vous exécutez un fichier ASP complet).

Composant Browser Capabilities
Pour rendre les applications Web plus réactives à un navigateur particulier, ASP dispose d'une nouvelle fonction permettant de déterminer les fonctionnalités précises d'un navigateur. Lorsqu'un navigateur envoie un cookie décrivant ses fonctionnalités (un tel cookie peut être installé en utilisant un simple script côté client), les développeurs peuvent créer une instance du composant Browser Capabilities qui permet de récupérer les propriétés du navigateur telles qu'elles sont transmises par le cookie. Vous pouvez utiliser cette fonction pour déterminer les fonctionnalités d'un navigateur et adapter votre application en conséquence.
Le composant Browser Capabilities crée un objet BrowserType permettant d'offrir à vos scripts une description des fonctions du navigateur Web du client. Lorsqu'un navigateur se connecte au serveur Web, il envoie automatiquement un en-tête d'agent utilisateur HTTP. Cet en-tête est une chaîne ASCII permettant d'identifier le navigateur et son numéro de version. L'objet BrowserType compare l'en-tête avec les entrées du fichier Browscap.ini. S'il trouve une correspondance, l'objet BrowserType prend les propriétés du navigateur correspondant à l'en-tête d'agent utilisateur. Si l'objet ne trouve pas de correspondance dans le fichier Browscap.ini, il recherche celle qui se rapproche le plus en utilisant les caractères génériques * et ?. Si aucune correspondance n'est trouvée même avec les caractères génériques, l'objet utilisera les paramètres du navigateur par défaut, s'ils ont été définis dans le fichier Browscap.ini. Si aucune correspondance n'est trouvée et que les paramètres du navigateur par défaut n'ont pas été définis dans le fichier Browscap.ini, l'objet affecte la valeur UNKNOWN (inconnu) à chaque propriété.
Pour ajouter des propriétés ou des définitions de nouveaux navigateurs à ce composant, il vous suffit de mettre à jour le fichier Browscap.ini.

Gestion d'erreurs Désormais, ASP intègre une nouvelle fonction de gestion d'erreurs pour vous aider à détecter les erreurs dans vos applications Web. Cette fonction vous permet de bloquer les erreurs dans un fichier ASP de messages d'erreur personnalisé. Vous pouvez appliquer le nouvelle méthode Server.GetLastError pour afficher des informations utiles, telles que la description d'une erreur ou le numéro de ligne où l'erreur est détectée. Vous pouvez utiliser l'objet ASPError pour obtenir des informations sur une condition d'erreur dans le script d'une page ASP. L'objet ASPError est renvoyé par la méthode Server.GetLastError. L'objet ASPError affiche les propriétés en lecture seule.

Pages ASP sans script
Dans les versions précédentes, les pages ASP étaient traitées comme si elles contenaient un script. En effet, même les pages sans script passaient automatiquement par l'analyseur syntaxique ASP avant d'être envoyées au client, même si elles n'avaient pas besoin de traitement côté serveur. En général, les pages HTML statiques étaient traitées plus rapidement, dans la mesure où elles ne devaient pas aller jusqu'au serveur. Si les développeurs voulaient éviter un appel inutile à l'analyseur syntaxique ASP, ils devaient coder des pages sans script en pages HTML et utiliser une extension .asp uniquement pour celles comprenant un script.
Pour résoudre ce problème, IIS 5.0 ajoute une première étape qui consiste à examiner une page ASP afin de déterminer si elle comporte un script côté serveur, avant de l'envoyer à l'analyseur syntaxique. Si une page est sans script, elle est servie sans passer par l'analyseur syntaxique. Bien que les pages HTML soient toujours traitées plus rapidement que les pages ASP, IIS 5.0 permet de servir les pages ASP sans script plus rapidement que par le passé. De plus, il n'est pas nécessaire d'effectuer le suivi de deux types de fichiers différents.

Objets plus performants
Pour améliorer la rapidité des applications Web, ASP IIS 5.0 intègre des versions plus performantes de ses composants installables courants, ce qui augmente la fiabilité de nombreux environnements de publication sur le Web. Ces composants, dont les performances ont été améliorées, sont utilisés pour effectuer des tâches courantes indispensables, notamment pour faire tourner des annonces publicitaires (adrot.dll) et déterminer les capacités d'un navigateur (browscap.dll).

Autoréglage d'ASP Désormais, ASP détecte le moment où les ressources externes bloquent une requête en cours d'exécution. Si vous activez la propriété ASPThreadGateEnabled dans la métabase d'IIS 5.0, ASP offrira automatiquement un plus grand nombre d'unités d'exécution pour exécuter d'autres requêtes simultanément et pour poursuivre un traitement normal. Si le processeur est surchargé, ASP réduit le nombre d'unités d'exécution. Cela permet de limiter le basculement constant occasionné lorsqu'un nombre trop élevé de requêtes non bloquantes sont exécutées en même temps.
Pour répondre à différentes conditions de charge, IIS fait office de portail d'unités d'exécution pour contrôler de manière dynamique le nombre d'unités d'exécution s'exécutant simultanément. Les paramètres par défaut de la propriété ASPThreadGateEnabled et des autres propriétés de portail d'unités d'exécution sont conçus pour s'adapter à un grand nombre de configurations de serveur et de conditions de trafic. Une modification de ces propriétés peut entraîner une dégradation notable des performances.
Le paramètre du service Web pour la propriété ASPThreadGateEnabled est applicable aux nœuds de toutes les applications internes et hors processus regroupées, quel que soit le niveau. Les paramètres de la métabase au niveau du serveur Web ou à un niveau inférieur seront ignorés pour les applications regroupées hors processus et internes du processus. Toutefois, les paramètres au niveau du serveur Web ou à un niveau inférieur seront appliqués si ce nœud est une application hors processus distincte des autres.

Intégration XML
Tout comme HTML vous permet de décrire le format d'un document Web, le langage XML (Extensible Markup Language) vous permet de décrire d'un point de vue sémantique la structure complexe de données ou de documents qui peuvent ensuite être partagés par des applications, des clients et des serveurs divers. En utilisant l'analyseur syntaxique Microsoft XML, compris dans Internet Explorer version 4.0 ou ultérieure, vous pouvez créer des applications côté serveur et ainsi permettre à votre serveur Web d'échanger des données au format XML avec Internet Explorer version 4.0 ou ultérieure, ou avec d'autres serveurs intégrant des fonctions d'analyseur syntaxique XML.

Composants script de Windows
ASP prend en charge la nouvelle technologie de script de Microsoft, les composants script de Windows. Cette technologie permet aux développeurs de transformer les procédures script de logique de gestion en composants COM réutilisables dans le cadre des applications Web et dans des programmes compatibles COM.
Les composants script de Windows permettent de créer facilement des composants COM à l'aide de langages de script, tels que VBScript et d'autres langages compatibles avec la spécification de langage ECMA 262 (notamment Microsoft JScriptâ 2.0 et JavaScript 1.1). Vous pouvez utiliser les composants script comme composants COM dans des applications telles que IIS, Microsoft Windows Scripting Host (WSH) et toute autre application prenant en charge les composants COM.

Inclusion de composants côté serveur avec attribut SRC Les inclusions de composants côté serveur vous permettent d'ajouter du texte dynamique, notamment la date courante, dans des documents Web. Pour inclure des composants côté serveur dans IIS 5.0, vous pouvez utiliser l'attribut SRC de l'élément HTML SCRIPT. Lorsque vous utilisez le composant SRC pour définir un chemin d'accès relatif ou virtuel et l'attribut RUNAT=SERVER pour indiquer l'exécution côté serveur, vous pouvez obtenir les mêmes fonctionnalités qu'avec l'instruction #Include.

Scripts de pages ASP encodées
Traditionnellement, les développeurs Web n'ont jamais pu empêcher les tiers de déchiffrer la logique de leurs propres scripts. Aujourd'hui, ASP prend en charge un nouvel utilitaire d'encodage de script intégré dans VBScript et dans JScript 5.0. Les développeurs Web peuvent appliquer un modèle d'encodage aux scripts côté serveur et côté client, qui transforme la logique de programmation en caractères ASCII illisibles. Une fois décodée, la logique apparaît en caractères ASCII standard. Les scripts encodés sont décodés au moment de l'exécution par le moteur de script : un utilitaire séparé est donc inutile. Bien que cette fonction ne soit pas une solution de cryptage sûre, elle peut empêcher la plupart des utilisateurs indésirables de naviguer dans les scripts ou de les copier.

IIS et les services de composants

IIS 5.0 et les services de composants (COM+) intégrés dans Windows 2000 Server s'associent pour former une architecture de base dédiée à la création d'applications Web. Dans IIS version 4.0, Microsoft Transaction Server (MTS) prend en charge les transactions. Dans IIS 5.0 et dans Windows 2000, les services de composants offrent cette prise en charge des transactions de MTS, en plus d'un certain nombre de fonctions de déploiement et de développement de composants. IIS utilise cette fonction offerte par les services de composants pour :
- Isoler les applications dans des processus distincts ;
- Gérer la communication entre les composants COM (comprenant les objets ASP intégrés) ;
- Coordonner le traitement des transactions pour les applications ASP transactionnelles.

IIS et Active Directory

Intégré dans Windows 2000 Server, Active Directory sert à stocker et à gérer les informations sur les ressources réseau. Grâce à un stockage centralisé pour les informations vitales, Active Directory simplifie la gestion du réseau et la recherche de ressources pour les utilisateurs. En outre, il permet aux développeurs d'écrire plus facilement des applications nécessitant la dernière version des informations vitales.

Les interfaces Active Directory Service (ADSI) de Microsoft forment un modèle de service d'annuaire COM permettant aux applications client compatibles ADSI d'accéder à divers protocoles d'annuaire, notamment Active Directory, LDAP et NDS, tout en utilisant un seul ensemble d'interfaces standard. ADSI sépare l'application client des données d'installation et d'exécution du magasin de données ou du protocole sous-jacent.
Une application appelée fournisseur ADSI est disponible pour les applications client ADSI. Les données du fournisseur sont organisées dans un espace de noms personnalisé, défini par le fournisseur. Outre l'installation des interfaces définies par ADSI, le fournisseur peut également mettre en œuvre le schéma ADSI. Le schéma est destiné à fournir les métadonnées sur les objets et la structure de l'espace de noms offerts par le fournisseur ADSI. Les administrateurs et les développeurs d'application peuvent intégrer des méthodes, des propriétés et des objets personnalisés au fournisseur ADSI, ce qui permet aux administrateurs de configurer des sites d'une manière plus souple.

Actuellement, IIS stocke la plupart des données de configuration de sites Internet dans la métabase IIS. IIS affiche une interface DCOM de bas niveau permettant aux applications d'accéder à la métabase et de la manipuler. Pour faciliter l'accès à la métabase, IIS intègre également un fournisseur ADSI regroupant la plupart des fonctions offertes par l'interface DCOM et le met à disposition de toute application client compatible ADSI.

Conclusion

IIS 5.0 intègre des améliorations en termes de performances et de fiabilité permettant au serveur Web de mieux prendre en charge un certain nombre de besoins. En cas de panne, il est plus facile de redémarrer le serveur ; les sites peuvent ainsi être sauvegardés et s'exécuter plus rapidement. Une nouvelle protection des applications augmente la fiabilité. Par le passé, pour protéger le serveur d'une application défectueuse, vous deviez exécuter chaque application dans un processus séparé, ce qui pouvait diminuer les performances.
Aujourd'hui, pour mieux équilibrer le compromis entre les performances et la protection, vous pouvez regrouper les applications moins importantes dans un seul processus et n'exécuter que les applications essentielles séparément. Pour optimiser la fiabilité, vous pouvez même utiliser des services de clusters disponibles dans Windows 2000 Advanced Server. Pour améliorer l'évolutivité, vous pouvez utiliser l'hébergement multi-sites, qui permet de gérer plusieurs sites Web sur le même serveur.

Un certain nombre d'améliorations permettent aux administrateurs d'installer et de gérer IIS plus facilement. Par le passé, l'installation d'IIS était relativement complexe. Aujourd'hui, IIS 5.0 s'installe au cours de la procédure d'installation de Windows 2000. Les tâches de maintenance sont simplifiées de différentes façons : vous pouvez accéder aux utilitaires d'administration à partir d'un emplacement centralisé, il existe plusieurs options d'administration à distance et les administrateurs peuvent déléguer leurs tâches à des utilisateurs spécifiques. Grâce à la prise en charge de WebDAV, IIS 5.0 permet aux utilisateurs d'accéder à des documents stockés sur un serveur Web et de les modifier, optimisant ainsi la capacité d'une entreprise à utiliser Internet ou un intranet comme moyen de collaboration.

La prise en charge de nouveaux protocoles de sécurité, notamment l'authentification Digest, Kerberos et Fortezza, permet à des utilisateurs IIS de bénéficier de conditions de sécurité Internet de plus en plus strictes. La prise en charge de ces protocoles étend les environnements dans lesquels les développeurs peuvent déployer des applications basées sur Internet en toute sécurité.

Les développeurs d'application remarqueront que IIS 5.0 tire parti des versions précédentes du serveur Web Microsoft, en intégrant des technologies facilitant la création de sites et d'applications Web plus souples et plus fonctionnels. Les améliorations comprennent un meilleur contrôle de débit ASP et un traitement des pages ASP sans script plus rapide.
L'utilisation combinée de Windows 2000 et d'IIS 5.0 permet de créer un large éventail de sites Internet et intranet bénéficiant des technologies déjà en place.

Ressources Complémentaires

Site Web de Windows 2000 :
http://www.microsoft.com/france/windows/server/

Présentation des fonctions d’IIS 5.0 :
http://www.microsoft.com/windows/server/Overview/features/web.asp

Bibliothèque MSDN (Microsoft Developer Network) en ligne IIS SDK :
http://msdn.microsoft.com/library/sdkdoc/iisref/sdkt69f8.htm.

Site TechNet IIS de Microsoft :
http://www.microsoft.com/technet/iis/default.htm

Extrait de Microsoft Interactive Developer Journal : Internet Information Services 5.0 :
http://www.microsoft.com/Mind/0499/IIS5/IIS5.HTM

 

Page Up Updated 24 septembre, 2003 Hervé Chaudret
C.N.R.S.

-   Home   -  News   -   Conseils   -   Sécurité   -   Mise à jour   -   Liens   -   Accès   -

C.N.R.S.