S小魚仔S Server 2008 大大小小事

「Jason的電腦健身房」-「如何修改Windows Server 2008網域的名稱、NetBIOS名稱」

S小魚仔S Windows 搭配 IIS 開發 PHP & MySQL 相關事項

透過，「Windows」開發「PHP」網頁、「MySQL」資料庫，有幾樣是需要注意事項

====================================================================

如何修改「php.ini」?

「C:\Program Files\php\php.ini」

修改完成「php.ini」，如何啟用「設定值」?

「Win+R」=>「iisreset」

PS.

「Microsoft」在安裝「IIS」的時候，同時安裝了一個工具，叫「iisreset」,可以在「C:\Widows\System32」 中找到，使用「命令提示字元」搭配使用，下面列出「常用參數」

「Win+R」=>「cmd」

「iisreset  /RESTART」-  「停止後啟動 IIS」

「iisreset  /START」-  「啟動IIS」 (如果停止)

「iisreset  /STOP」-  「停止IIS」 (如果啟動)

「iisreset  /REBOOT」-  「重啟電腦」

「iisreset  /REBOOTONERROR」-  「如果停止IIS失敗重啟電腦」

====================================================================

「MySQL」預設安裝路徑位置在哪裡 ?

「C:\ProgramData\MySQL\MySQL Server 5.x」

PS.

「C:\ProgramData」為「隱藏資料夾」，需要設定「顯示隱藏檔案」。
若您想要使用「偷吃步」的「方式」備份「MySQL」，建議要先停止「MySQL」服務，備份完畢後，重新啟用「MySQL」即可。

「MySQL」服務，如何 「啟用」、「停用」 ?

「Win+R」=>「cmd」

啟用「net start mysql」

停用「net stop mysql」

PS.

「Windows」不能直接「重新啟動」(restart)，只能先「停止」，再「啟動」

====================================================================

參考資料:
「百度文庫」-「解决MySQL不允许从远程访问的方法」

S小魚仔S IIS 7 架設 FTP Server

透過「Windows」=>「程式和功能」=>新增「IIS」和「FTP 伺服器」

新增「完畢後」，點選「預設站台」( Default Web Site )=>「新增 FTP 發行」

設定「IP」連結，設定「連接埠」，勾選「自動啟動 FTP 站台」

PS. 

基本上，採用「預設值」即可

勾選「匿名」與「基本」

授權選擇「所有使用者」

設定「權限」

PS.

「匿名」與「基本」驗證，請參考「IIS 7 安全性 認證 筆記」

新增完畢「FTP」 ^_^"

新增「完畢以後」，就會多了一樣「項目」為「FTP」，表示您啟用「FTP Server」功能

點選「預設站台」，檢查「編輯聯繫」

檢查「連接埠」，有沒有「啟用」連接埠「21」

如果您有啟用「防火牆」，記得設定，允許「FTP 伺服器」防火牆規則

開啟「命令提示字元」，輸入「netstat -an」檢查「FTP」的「通訊埠」( TCP 21 Port )，有沒有「開啟」

進行「FTP」連結「測試」，可以成功「瀏覽」

建立「資料夾」時，出現「550 Access is denied」，Why ???

點選「預設站台」，檢查「FTP」驗證

設定「FTP」時，同時啟用「匿名驗證」與「基本驗證」，所以會以「基本驗證」為準，需要透過「帳戶」才能做「新增、刪除、修改」

在「本機使用者和群組」，建立「FTP」專用「帳戶」

點選「帳戶」=>「內容」

檢查「群組」，隸屬於「Users」群組

設定「FTP」分享「資料夾」位置，找到「Users」群組，發現「權限」只有「瀏覽」、「讀取」、「寫入」

設定「Users」群組，點選「編輯」

勾選「完全控制」

登入「FTP」進行測試，滑鼠「右鍵」=>「登入身分」

輸入「帳戶」、「密碼」

PS.

您可以在連接「FTP」時，輸入「ftp://帳號:密碼@IP」格式，可以省略，上一步驟。

新增「資料夾」

成功 ^_^"

如何限制「FTP Server」「流量」及「連線人數」

如何架設「FTP Over SSL」

「FTP」服務支援「FTP Over SSL」( FTPS )，讓「FTP」用戶端，可以利用「SSL」安全連線與「FTP」伺服器溝通，不過必須替「FTP Server」申請「SSL 安全連線憑證」和「安裝憑證」，請參考「IIS 7 設定 SSL 憑證 攻略」。

建立「FTP」站台，SSL 選擇「必須使用」SSL 憑證

1. 點選「預設站臺」

2. 點選「FTP SSL 設定」

SSL 原則項目，選擇「允許 SSL」連線

當您完成上述設定之後，您需要透過「FileZilla Client」，連線「FTP」站台，並且完成下面設定，才能夠啟用「FTPS」，「IE 7」 與 「IE 8」與「Windows 檔案總管」目前都不支援「FTPS」

PS.

「FTPS」分為「兩種模式運作」，「Explicit SSL」和「Implicit SSL」。

預設 使用「TCP 21 Port」進行連接，就是使用「Explicit SSL」。

若您  使用「TCP 990 Port」進行連接，就是使用「Implicit SSL」。

設定「FileZilla」，在「加密」模式，選擇「需要透過外顯式 TLS 的 FTP」，就是採用「Explicit SSL」

 設定「FileZilla」，在「加密」模式，選擇「需要透過隱含式 TLS 的 FTP」，就是採用「Implicit SSL」

連接以後，就會出現「憑證」資訊，相信可以幫助大家解決「Windows」架設上的「困難」

靜思語: 脾氣嘴巴不好，心地再好也不能算好人。 話多不如話少，話少不如話好 。

S小魚仔S IIS 7 安全性 認證 筆記

新增「IIS」遇到「認證」時，總是會有許多「困惑」，這回我還是做做筆記吧，相信使用「Windows」系統，架設「IIS」遇到「安全性」功能時，裡面都有這三樣「Windows 驗證」、「基本驗證」、「摘要式驗證」。

PS.

當您新增「IIS」預設會啟用「匿名驗證」

到底這四種「認證關係」有什麼樣的差別呢?

 我知道各位一定很好奇，因為我也很好奇，好奇之前，要花時間將下面看完。

「匿名驗證」

若「網站」啟用「匿名驗證」方法，則任何使用者都可以直接利用「匿名」來連接「網站」，不需要輸入「帳戶」與「密碼」，「Windows Server 2008 R2」 內建一個名稱為「IUSR」的「特殊群組帳戶」，當使用「匿名驗證」連接「網站」同時，網站則是使用「IUSR」，來代表這個「使用者」，因為使用者的「權限」就是與「IUSR」權限相同。

「基本驗證」

「基本驗證」會要求「使用者」輸入「使用名稱」與「密碼」，絕大部份瀏覽器都支援此「方法」，但是「傳送給」「網站」的「使用者名稱」與「密碼」並沒有被「加密」，因此容易被居心不良者「攔截」資料，故若要使用「基本驗證」的話，應該要搭配「SSL」( Secure Sockets Layer ) 連線。

「Windows 驗證」

「Windows」驗證，也會要求，輸入「使用名稱」與「密碼」，而且「使用者名稱」與「密碼」在透過「網路傳送前」，也會經過「雜湊」處理 (hashed)，因此可以確保「安全性」。

Windows 驗證 支援以下「兩種」驗證通訊協定:

「Kerberos v5」 驗證

如果「IIS」電腦是「Active Directory」網域成員，而且用戶端也支援「Kerberos v5」驗證的話，則「IIS」網站會採用「Kerberos v5」驗證方法。一般來說，「 Kerberos」 會被防火牆阻擋。

「NTLM」驗證

如果「IIS」電腦不是「Active Directory」網域成員 或 用戶端不支援「Kerberos v5」驗證的話，則「IIS」網站，會採用「NTLM」驗證方法。一般來說，代理伺服器 ( Proxy Server ) 不支援「NTLM」。

由於「Kerberos」會被「防火牆」阻擋且「代理伺服器」不支援「NTLM」，因此「Windows 驗證」，比較適合用來「連接內部」網路。用戶端利用「Windows 驗證」，來連接「內部」網站時，會自動利用「目前」的「使用者」與「密碼」，連接「網站」，因此若「使用者」沒有「權利」連接網站的話，就會要求「使用者」自行另外輸入「使用者名稱」與「密碼」。

「摘要式驗證」

「摘要式驗證」也會要求使「帳戶」與「密碼」，不過它比「基本驗證」更為安全，因為「使用者」的「帳戶」與「密碼」會經過「MD5」演算來處理，然後將處理後所產生的「雜湊」值 ( hash ) 傳送到網站。攔截此「雜湊」值得人，並無法從「雜湊」值得知「帳戶」與「密碼」。

必須具備以下條件，才可以使用「摘要式驗證」

* 瀏覽器必須支援 「HTTP 1.1」，例如 Internet Explorer 5.0 (含) 以上的版本。

* IIS 電腦必須是 「Active Directory」 網域的「成員伺服器」或「網站控制站」

* 使用帳戶必須是「Active Directory」網域使用者，而且此帳戶必須與「IIS」電腦位於同一個「網域」，或是「信任」的「網域」

各種驗證方法的比較

驗證方法	安全等級	如何傳送密碼	是否可通過防火牆或代理伺服器	用戶端的要求
匿名驗證	無		是	任何瀏覽器皆可
基本驗證	低	明文 (未加密)	是	大部分的瀏覽器
摘要式驗證	中	雜湊處理	是	Internet Explorer5 (含)以上
Windows驗證	高	Kerberos: Kerberos  ticket NTLM: 雜湊處理	Kerberos: 可通過代理伺服器，但會被防火牆阻擋 NTLM: 可通過防火牆，但是無法通過代理伺服器	Kerber: Windows 2000以後的系統，且使用Internet Explorer5 (含)以上 NTLM: Internet Explorer 2.0(含)以上

靜思:  世上有兩件事不能等「孝順」與「行善」。

參考資料:

「戴有煒」-「Windows Server 2008 R2 網路管理與架站」

S小魚仔S IIS 7 設定 SSL 憑證 攻略

使用「IIS」「憑證設定」之前，需要「新增」下列「服務」

「新增」=>「World Wide Web 服務」=>「 安全性」=>「IIS 用戶端憑證對應驗證」

開啟「IIS」設定「伺服器憑證」

點選「建立自我簽署憑證」
PS. 
「IIS」 可以自行產生「憑證」，但是此「憑證」，並非「公信單位」授權。

輸入「憑證」的「檔案名稱」

「設定」完成後，「伺服器」憑證，就會「自動」產生

「選擇」=>「網站」=>「繫結」

點選「新增」

1. 選擇「https」類型
2. 「SSL 憑證」，選擇「BookStory」
PS. 
剛剛 建立 的「憑證」

確認「Windows 防火牆」，有沒有開啟「HTTPS」通訊埠 ( 443 )

若您不放心，可以使用「命令提示字元」輸入「netstat -an」，檢查「通訊埠」有沒有「開放」「443」

開啟「瀏覽器」輸入「Https://IP」或「Https://domain」，會出現「以下提示」
PS. 
這是因為「憑證」的「來源」並非「公信單位」申請，而是透過「IIS」「自行建立」，所以會出現此訊息，點選「扔要繼續」

透過「Google Chrome」可以發現「憑證」顯示「X」

點開來觀察一下「發現」網站「身分未經驗證」，但是具有 TLS 1.0「加密」功能

點選「憑證資訊」

透過「複製到檔案」可以將「憑證」( .cer )，進行「匯出」

點選「下一步」

選擇「憑證」匯出「格式」，採用「預設值」

選擇「匯出路徑」

匯出「憑證」完成

接著「打開」，匯出「憑證」( .cer ) ，檢查一下發現「此訊息」，不會有任何「影響」
PS.
因為「憑證」的「來源」並非「公信單位」申請，而是透過「IIS」「自行建立」，所以會出現此訊息。

我應該如何，設定「公信單位」申請的「憑證」，請看「參考資料」，內有「保哥 (Will) 」完整設定。

靜思語:  時時好心，就是時時好日。

參考資料:

「Microsoft Technet」-「購買與安裝 SSL 憑證完全攻略 (以 IIS 7.0 為例)」