IIS Insider

確かにこの場合混乱されるのは理解できます。IIS は明らかにファイル サーバーのように機能し、ネットワーク アプリケーション サーバーとして実行されます。IIS のその 2 つの働きを持った特長により、サーバーを適切にセットアップするのが少し難しいかもしれません。IIS が実行されているサーバーはアプリケーションサーバーとしてセットアップする必要があります。既定で、Windows 2000 サーバーはファイルサーバーとしてインストールされますが、アプリケーションサーバーとしてセットアップした場合のほうが、より高いパフォーマンスが得られます。これにより、より高度な SMP 拡張性、より高度なネットワーク パフォーマンス、Web アプリケーションでより多くの物理的メモリのサポートを利用することができます。サーバーは以下の方法でアプリケーションサーバーとして構成することができます。

図 1: [サーバーの最適化] タブ

パフォーマンスを向上させるその他のコツ :

もちろん、Web サーバーのパフォーマンス調整に関して、多くの情報を知る必要がありますが、これらの基本的な提案はスタート地点です。また新たなサーバーを追加してパフォーマンスおよび拡張性を向上させるほうが 1 台のサーバーを拡張するよりもよい場合があることを忘れないでください。マイクロソフトの Windows 2000 Advanced Server へのネットワークロードバランスの導入により、実装が容易で、パフォーマンスおよび信頼性が向上し、2 台目のサーバーを多くのサイトに導入することが容易になります。

これらのトピックに関しての詳細は以下のページをご覧ください。

もちろんこれは非常に大きなトピックで、1 つの Q&A のなかで十分に説明することができませんが、IIS Insider にこの種類の質問が多くの寄せられたため、この件に関しては、少なくとも言及し、いくつかのコツを提供する必要があると思いました。

最初に覚えておくべき点は、Web サーバー上での脆弱性の悪用の大部分は、既知の限定された脆弱性を悪用したものです。ここ数ヶ月に注目されたほとんどの攻撃は、その数ヶ月前に対策が取られていた脆弱性に関連しています。最近の admind / IIS ワーム (http://www.cert.org/advisories/CA-2001-11.html) は、多くの Web サイトが改ざんされた原因となりました。sadmind / IIS ワームは、2000 年 10 月から対策が取られていた既知の IIS 4 および IIS 5 の脆弱性を悪用したものです。(http://www.microsoft.com/japan/technet/security/bulletin/ms00-078.mspx)

Web サーバーをセキュリティで保護することは難しい問題ですが、いくつかのプロセスで、効果を上げることができます。

ほとんどの攻撃が容易に攻撃を実行できる標的を探す自動化されたシステムであるため、これだけのステップで攻撃のほとんどを防ぐことができます。

Web サーバーのセキュリティ保護に関するその他の情報は以下のサイトでご覧ください。(英語)

Web サーバーの NTFS のアクセス権を本質的に既定の設定に戻すための組み込みのユーティリティはありません。「既定のアクセス権に戻す」などといったメニュー項目はありません。考えてみれば、Web サーバーのファイル構造は、様々なドライバ、フォルダ、または他のサーバーにまでも分散され、サーバーを展開してからサーバーにインストールしたものがある可能性があるため、これはほとんど不可能なタスクであると言えます。

実行が困難ではありますが、NTFS のアクセス権を記録し、保守することができるツールがあります。

CALCS コマンドにより、サーバーの NTFS アクセス権の一覧を取得することができます。これは、アクセス権の開始状態を、後に比較する必要がある場合に、サーバーのアクセス権の開始状態を確認するために使用することができます。

IIS 5 には IIS アクセス許可ウィザードと呼ばれる有益な機能が含まれ、NTFS のアクセス権のみでなく Web サイトの認証および Web ベースのアクセス権限（読み取り、書き込み、IIS スナップインの実行許可のセット）も標準化することができます。これは、継承された変更されたサイトの構成を知る必要がない場合、Web サイトの設定を標準化に役に立ちます。Windows 2000 Server リソースキットにはユーザーの必要に応じ、独自のテンプレートを作成することができるツールが含まれています。

Small Wonders Software (http://www.smallwonders.com/) (英語) の Security Explorer と呼ばれる他のツールにより、NTFS および共有アクセス権のスナップショットを取り、それらをデータベースに保存し、必要に応じ、復元することができます。

ご使用のシステムは、他のサーバーに証明書を発行しているので、証明書サービスは問題なく動作していると考えられます。そのため、要求している証明書の詳細を調べる必要があります。証明書を要求する場合、証明書に含まれる、様々なフィールドに含むことができるデータとできないデータに関して適用する基準があります。たとえば、証明書を発行する団体に市および州を示す場合、省略した名称ではなく正確な名前のスペルを入力する必要があります。これは、ほとんどのシステムで厳密に強制されているわけではありませんが、技術的には、証明書は市または州の略称を使用している場合、適切にフォーマットされません。

しかし他のルールは厳密に従う必要があります。正しい証明書の要求には、要求のフィールドに A から Z または 0 から 9 の文字のみを入力することができます。主な要求の共通の名前にピリオド (.) を使用して、完全修飾ドメイン名 (FQDN) を指定することができます。証明書サービスが正しく動作し、証明書の要求に有効な文字のみが含まれていることを仮定して、証明書が発行されます。

詳細は以下のマイクロソフトサポート技術情報をご覧ください。

実行可能ファイルへのリンクにより、次に 2 つの方法で動作します。実行可能ファイルが含まれる Web サイト、フォルダ、仮想ディレクトリに、IIS 5 に [スクリプトおよび実行可能ファイル] という実行アクセス権または IIS 4 に[実行するために設定されるアクセス権] （スクリプトを含む）が設定されている場合の動作が表示されます。これらは両方 IIS スナップインの Web サイトの [ホームディレクトリ] タブ、仮想ディレクトリの [仮想ディレクトリ] タブ、またはディレクトリの [ディレクトリ] タブにあります。

設定を [なし]、または Scripts execute permissions に変更する場合、そのファイルをダウンロードするかどうかを確認する画面が表示されます。