正确安装IIS服务器的关键要点：避免常见错误与优化配置方法

正确安装IIS服务器的关键要点：避免常见错误与优化配置方法

安装前的准备工作

1. 明确需求，选择正确的Windows版本和组件：

   根据微软官方文档,不同版本的Windows（如Windows Server 2019, Windows 10/11）所包含的IIS功能集不同，Windows Server版本通常提供更完整的功能，你需要清楚你的应用需要什么，例如是否需要ASP.NET、FTP服务、WebDAV发布等，避免安装用不到的组件，减少潜在的安全风险。

2. 确保系统已更新：

   在安装IIS之前,通过Windows Update将操作系统更新到最新状态，这可以确保你安装的IIS包含了最新的安全补丁，避免因已知漏洞导致的安全问题。

安装过程中的关键选择

1. 使用“添加角色和向导”而非“启用或关闭Windows功能”：

   

   在Windows Server上，强烈建议使用服务器管理器中的“添加角色和向导”来安装IIS，这个过程会进行更严格的依赖项检查，并提供更清晰的配置选项，在Windows桌面版上，则使用“启用或关闭Windows功能”。

2. 谨慎选择功能模块（常见错误高发区）：

   • 应用程序开发功能： 这是最常见的错误来源，你必须根据你网站程序的技术选型来勾选，如果你的网站是使用ASP.NET Core开发的，你需要安装“.NET Core托管捆绑包”（这是一个独立的安装包，需从微软官网下载）以及IIS中的“ASP.NET 4.8”等相关模块，如果网站是PHP的，则需要安装PHP并正确配置处理程序映射，漏选会导致网站无法正常运行，报错如“HTTP 错误 404.3 - Not Found”或“HTTP 错误 500.19”。
   • 管理和工具： 建议勾选“IIS管理控制台”和“IIS管理脚本和工具”，以便后续通过图形界面或命令行进行管理。
   • 安全性： 根据需求选择，如“Windows身份验证”、“请求筛选”等，但初期可以按需最小化安装，后续再添加。

安装后的基本优化与安全配置

1. 应用程序池配置优化：

   

   • .NET CLR版本： 确保应用程序池使用的.NET版本与你的应用程序匹配，传统的ASP.NET应用可能选择“v4.0”，而纯静态网站或PHP网站应选择“无托管代码”。
   • 启动模式： 对于要求高响应速度的网站，可以设置为“AlwaysRunning”（始终运行），参考微软关于应用程序池初始化的文档，这样可以减少第一个用户访问时的延迟。
   • 回收设置： 默认配置可能不适用于所有场景，可以根据内存使用量或固定时间间隔来设置回收，避免应用程序因内存泄漏等问题变得不稳定，但过于频繁的回收也会影响性能。

2. 网站绑定配置：

   • 主机名： 如果服务器上托管多个网站，正确设置“主机名”字段是关键，这样才能通过不同的域名访问不同的网站，忽略这一点会导致所有域名都访问到默认网站。
   • 绑定类型（HTTPS）： 现在网站普遍要求HTTPS，你需要正确绑定SSL证书，常见的错误是证书绑定到了错误的端口（默认是443）或IP地址，或者忘记在防火墙上开放443端口。

3. 权限设置（安全核心）：

   • 遵循最小权限原则： 应用程序池标识（Application Pool Identity）是IIS的最佳实践，它让每个应用程序池以一个独立的、低权限的虚拟账户运行，这样即使一个网站被攻破，也不会影响到服务器上的其他网站或系统文件。
   • 文件系统权限： 只授予网站所在文件夹必要的权限，通常只需要给应用程序池标识（如IIS AppPool\你的应用程序池名称）和IIS_IUSRS组赋予“读取”和“执行”权限，对于需要上传文件的目录，可以单独赋予“修改”或“写入”权限，但绝不能给整个网站根目录写入权限。

4. 启用动态内容压缩：

   在IIS的“压缩”功能中，启用对动态内容（如ASPX页面输出）的压缩，这能显著减少网络传输的数据量，提高页面加载速度，尤其对带宽有限的服务器非常有效。

必须进行的检查

1. 防火墙设置： 安装完成后，确保Windows防火墙允许80（HTTP）和443（HTTPS）端口的入站连接，否则，外部用户将无法访问你的网站。
2. 功能委派（高级场景）： 如果在服务器上使用IIS中央证书库或共享配置等功能，需要注意“功能委派”设置，错误的委派可能导致配置无法生效。