如何讓IIS及其它web服務於一台伺服器上和平共處

本部份主要是針對IIS在啟動時是獨佔了0.0.0.0:80的狀態，因此在Windows平台上安裝了IIS之後
就無法再透過Apache(或其它的web service)去提供Web服務，若公司有兩種不同需求的Web服務
主機也有不足的問題，那麼我們該如何處理呢?

本文分以Windows 2008及Windows 2003分段討論，可透過下面的連結快速的連結到指定的OS版本的作法：

首先，我們先說明一下，在這個環境之下的需求：
1.一台web server上掛有兩個網路及不同的兩個IP
2.分配IP 10.10.10.1給Aache
3.指定IIS使用192.168.1.241

Windows 2008系列含R2

Windows 2008已經將httpcfg攻能以netsh取代了它的工能，並且內建於windows 2008之中，因此不需要另外進行安裝
欲將IIS 7.0(7.5)等指定成為只服務在單一的網卡上，這個部份就變的非常的簡單了，只需要一個簡單的指令即可：

首先我們先看一下，現在的80port是指定在那個IP，以netstat -na來進行查覽一下，可以看到80port是服務在0.0.0.0

1.首先於指令模式之中輸入netsh
2.於netsh>後輸入http(代表設定http的設定值)
3.接下來我們將現在IIS到底在那一個IP上做服務，輸入show iplisten(空白代表0.0.0.0)
4.接下來指定192.168.1.241指定為IIS服務聽取的IP，輸入add iplisten 192.168.1.241
5.我們再度的輸入show iplisten來看一下是不是成功的指定了

接下來將w3svc(web服務)重新的啟動，輸入net stop w3svc及net start w3svc

再次的以netstat -na來檢查一下，可以由下圖發現80port的服務已經被指定到192.168.1.241了，完成…!

Windows 2003系列含R2

由於Web service集中於Web伺服器上，因此為了解決IIS能與Apache相容，並且能IIS及其它web服務安裝於指定IP
並只針對指定IP聽取指定服務，必須透過安裝進階管理套件設定IIS http協定只聽取指定IP，而主機所有網卡(0.0.0.0:80)。

安裝進階管理套件

進階管理套件必須使用windows server 2003第一片光碟片，當您置入光碟片後會出現下列視窗，請直接點選『執行其它工作』。

選擇『瀏覽此CD』

在瀏覽CD的目錄下請點選SUPPORT目錄，並且進入該目錄中。

進入SUPPORT目錄後，請再點選TOOLS目錄

請於TOOLS目錄中執行SUPTOOLS.MSI，以開始安裝進階管理工具。

請在安裝精靈下直接點選『下一步』。

請點選I Agree後，點選下一步。

輸入好相關名稱及組織單位名稱，接下來點選下一步。

依照預設值進行安裝，並點選install now，進行安裝。

安裝完成後，按下finish以結束本工具的安裝程序。

設定http聽取指定IP

在安裝好進階管理套件後，請直接點選開始列->執行，並且於執行功能中輸入”cmd”以啟動指令模式。

接下來共分為三個步驟：設定聽取IP，確認設定，重新啟動http協定。
首先我們先來看一下原本的80 Port是指派給0.0.0.0

接下來於指令列輸入：httpcfg set iplisten -i 192.168.1.241
接下來請輸入httpcfg query iplisten，來檢查是否有列出設定聽取的IP
緊接著輸入net stop http /y，停止http服務
再輸入net start w3svc，重新啟動http服務

完成上述設定後，可以透過netstat –na來檢視80埠由192.168.1.241聽取服務

透過E-Mail執行典型的釣魚行為(實例)

今天Jason接獲客戶的電話，說有收到三封很奇怪的mail，寄件者是自已公司的mail address，但是並沒有這個mail的存在
內容寫著在某年某月系統有進行更新，請所有的user連結到這個網址來進行更新程式以免造成問題
客戶將這三封信以附件方式寄給我，請我看看到底是不是mail server出事了，我們習慣性的以原始檔的方式打開mail
馬上就看到它的寄發IP及傳遞的路徑，當然，那個釣魚的網址也是個很可笑的連結

我們來假設一個公司，它的Domain叫做jason.com.tw，而這個寄者件的mail就叫做 System-Administrator@jason.com.tw
而這個客戶的mail叫做god@jason.com.tw
這個內容如下：

- - - - - - - - - - - - - - - - 以下為郵件內容 - - - - - - - - - - - - - - - -

Attention!

On October 22, 2009 server upgrade will take place. Due to this the system may be offline for approximately half an hour.

The changes will concern security, reliability and performance of mail service and the system as a whole.
For compatibility of your browsers and mail clients with upgraded server software you should run SSl certificates update procedure.

This procedure is quite simple. All you have to do is just to click the link provided, to save the patch file and then to run it from your computer location. That's all.

http://updates.jason.com.tw.secure.1-upd.net/ssl/id=7178070-god@jason.com.tw-patch34008.exe

Thank you in advance for your attention to this matter and sorry for possible inconveniences.

System Administrator

- - - - - - - - - - - - - - - - 以上為郵件內容 - - - - - - - - - - - - - - - -

事件的省思

釣魚的手法已經不是什麼新聞了，而這個郵件最大的敗筆就敗在台灣的MIS英文不夠好，所以不會有管理者用英文通知
而更好笑的是，將這封信寄出來給Jason看是怎麼一回事的人，還是該公司的高階資訊主管，他想追根究底的問這到底是怎麼一回事
明明就不是公司的mail，為什麼會以公司的mail寄出，而且，網址上還帶有公司的位址，為什麼呢???
原來主管的迷思是：
1.我收到公司的mail而且是不存在的人寄出來的，公司是不是遭到攻擊入侵了?
2.信的內容中帶有公司的網址，但是公司並沒有updates的這台主機呀!是不是被徹底的入侵了?
3.我點了那個連結，他真的下載的到一個執行檔，點了它沒有反應，我的server真的被入侵了!

我的回答：
1.針對第一個問題，這個是常見的mail寄送的技巧，肉腳也可以辦的到。
2.信中帶的不是公司的網址它是DNS上的子網域名稱，真正的名稱是secure.1-upd.net，所以你沒看完，被它給唬了。
3.你點了連結，如果它沒有這麼惡意，了不起每天二三十封的垃圾郵件，但是你不止點了下載下來，還執行了n次…

我很無言了…台灣的資安教育只有防毒嗎?只有入侵嗎??眼睛生下來是用來幹嘛的，有沒有看仔細呢??
真的有待加強，資安團隊們，看來我們的路還很遠，下次煮水餃大會來討論一下吧!!!!

如何在Windows 2008 R2排除不相容問題，順利安裝Office SharePoint Server 2007!!!

這個問題也是Jason在工作上遇到的，因為公司的環境已經升級到windows 2008 R2
但是…手邊只有一片Office SharePoint Server 2007(就是最早的版本)，且2008又不認得它…(還真慘!!)
有鑑於自已曾經因為手頭上只有一片XP懶得再拿SP1, SP2, SP3的更新做安裝，所以…就以相同的原理進入光碟片看看其結構
果不出其然呀!裡面確實有一個目錄名稱為UpDate的目錄

順便查了一下Windows 2008 R2安裝Office SharePoint Server 2007(以下簡稱MOSS 2007)至少要是SP2版本
而且Windows SharePoint Service (以下簡稱WSS)也必須是v3.0 SP2以上的版本才可以順利安裝!

下載所需的Service Pack
因為不確認大家的環境是否與我的相同，所以把所需的Service Pack都列出來，基本上若拿到的是原生版本的話，就都必須要更新
※注意喲~~!如果你的光碟片是combo版本的(就是x64+x86的DVD)那麼就必須把Service Pack分別更新到x64\update和x86\update中。

MOSS 2007 SP1 x86
http://download.microsoft.com/download/2/9/0/2900c10a-b519-4f68-8763-6bf046c5dd6b/officeserver2007sp1-kb936984-x86-fullfile-zh-tw.exe
MOSS 2007 SP1 x64
http://download.microsoft.com/download/2/9/0/2900c10a-b519-4f68-8763-6bf046c5dd6b/officeserver2007sp1-kb936984-x64-fullfile-zh-tw.exe
MOSS 2007 SP2 x86
http://download.microsoft.com/download/1/3/2/1329FF62-B527-4992-B5E2-D943E8373CE3/officeserver2007sp2-kb953334-x86-fullfile-zh-tw.exe
MOSS 2007 SP2 x64
http://download.microsoft.com/download/1/3/2/1329FF62-B527-4992-B5E2-D943E8373CE3/officeserver2007sp2-kb953334-x64-fullfile-zh-tw.exe

WSS V3.0 SP1 x86
http://download.microsoft.com/download/1/a/f/1af0b911-592b-4634-81c3-62306a4ed768/wssv3sp1-kb936988-x86-fullfile-zh-tw.exe
WSS V3.0 SP1 x64
http://download.microsoft.com/download/1/a/f/1af0b911-592b-4634-81c3-62306a4ed768/wssv3sp1-kb936988-x64-fullfile-zh-tw.exe
WSS V3.0 SP2 x86
http://download.microsoft.com/download/3/8/1/3812FB57-2A8D-4AE9-AF4E-F0A129613987/wssv3sp2-kb953338-x86-fullfile-zh-tw.exe
WSS V3.0 SP2 x64
http://download.microsoft.com/download/3/8/1/3812FB57-2A8D-4AE9-AF4E-F0A129613987/wssv3sp2-kb953338-x64-fullfile-zh-tw.exe

解出Service Pack
當下載完畢後請先確定您有先安裝好IIS，以及有將.NetFrame Work升級到 3.5 SP1以上
接下來…請先將MOSS 2007的光碟片內容做成ISO檔或者是複製出來，假設路徑是D:\MOSS_Update\
光碟片的內容是複製到D:\MOSS_Update\CD\，而WSS則是以下列的指令進行解壓
(個人習慣會先將檔名簡化，像WSS SP1的SP檔，我會直接更名為WSS_SP1.exe)

D:\MOSS_Update\WSS_SP1.exe /extract:D:\MOSS_SP\WSS_SP1

※意思是說由D:\MOSS_Updata中剛剛下載的檔案更名為WSS_SP1.exe，並指定解壓到D:\MOSS_SP\WSS_SP1目錄中

而MOSS的Service Pack也一樣處理方式，指令如下：

D:\MOSS_Update\MOSS_SP1.exe /extract:D:\MOSS_SP\MOSS_SP1

接下來的WSS SP2及MOSS SP2比照辦理…

合併囉!!
若您的依照上面的做法處理的話，你的目錄中會有WSS_SP1, WSS_SP2, MOSS_SP1, MOSS_SP2及CD的目錄
接下來請將WSS_SP1, WSS_SP2, MOSS_SP1, MOSS_SP2目錄下的內容依照版本前後順序(由版本低的到高的)
全數複製到D:\MOSS_Update\CD\Update目錄中，combo版的是必須將x64及x86的檔案分開置放到個別的目錄中
依次完成後重新的執行安裝即可

以上是Jason的情急之計，若各位可以取得正版光碟，還是請您以正版光碟進行安裝。

Windows 2008 DFS(分散式檔案系統)實作及設定(無AD架構)

DFS是Microsoft在容錯架構中的一種解決方案，若各位有玩過多台web的架構，但是沒有錢可以再多買SAN或NAS
那麼就必須解決檔案同步的問題，也可建置成為檔案系統的HA，當大家的共用資料夾內的資料愈來愈多時
不難發現，MIS可能在備份政策上的調整可能愈來俞難，隨著大家的檔案愈來愈大，又得要提供好的備份政策
可能燒壞了不少腦袋，因此DFS自2003開始就提供了一種很便捷的方案。

本次實作的環境做個說明：
1.使用未在AD環境之下的伺服器直接建立
2.指定以2008環境建置(2003與2008雷同)
3.雙向同步的需求

運作說明
由於此說明是以進入點的概念來達成分散式檔案系統架構，因此會建立一個進入點
而這個進入點會自動的將檔案指向兩個不同的網路目錄之中，問題來了，若這個進入點的名稱所在的伺服器不可用時
這個DFS則不會運作，若是要將兩個不同的目錄做複寫，那麼則必須要指定複寫功能來達成複寫
本項實作的概念如下圖所示：

※這個架構之下，所有的使用者都是連接到WIN2K8-A，雖然透過命名空間將這個空間連結至之下的兩個目錄
但只要WIN2K8-A發生無法服務的狀況則整個服務都會失效，但可以達成即時備份的目標。

在安裝過程進行設定

於伺服器管理員中啟動『新增角色』功能

啟動新增角色精靈後，選擇『檔案服務』，並且點選下一步

接下來會出現提示，告訴你該注意的地方。請再點選下一步

在檔案伺服器的角色上再加以點選『分散式檔案系統』，此時會自動核選『DFS命名空間』及『DFS複寫』兩項功能。

在此部份，可以在安裝過程中直接進行設定命名空間，或者是先設定好DFS再進行本部份的設定
本步驟若要直接在安裝過程設定命名空間，則可直接連入空間名稱，在此以JasonSpace為其命名空間。

在命名空間類型中若有在網域架構之下，還可以加入以多個命名空間做處理，較有彈性
若只是為了把兩個web目錄做雙向的同步，還必須架一台AD不是太浪費設備了嗎?
因此在此例中，以只有兩台設備以不架構AD的方式來建置，直接可以點選下一步。

在已完成命名空間類型之後，可以指定各個以相同名稱的分享資料夾做為其關聯的共用資料夾。
本部份因另一台伺服器尚未設定完成，因此待後續再做處理。

在完成上面的確認後，會出現確認畫面供管理者設定及確認。

安裝過程…

接下來我們可以在開始功能列上的系統管理工具中找到『DFS管理』，隨即完成本項安裝設定。

在安裝完成後才設定
安裝完成之後，進入命名空間的區域中，按右鍵新增命名空間。

伺服器就是輸入要進入的載點，在此可以設定多台伺服器都安裝指定，如此一來，一台被新增會自動的新增到其它伺服器之上
在本例上我是指定由WIN2K8-A為進入點，若想設定多台則每台指定為自已的伺服器名稱。

在此可以指定乙組命名空間，可以自行設置，我在此設定為JasonSpace。

一如上列的安裝設定，若有AD則有網域可以選擇。

接下來會顯示你的設定資訊，按下建立即完成設定。

指定指向的目錄

完成上面的步驟後(二者擇其一)即可馬上設定要對映的目錄，在已完成的命名空間上按右鍵選擇『新資料夾』

在此我以Data為其名稱，並加上對映的資料夾。分別設定為\\WIN2K8-A\JasonSpace\Data及\\WIN2K8-B\JasonSpace\Data

完成後如下圖所示

測試

當我們直接連結到命名空間之中後，直接把檔案丟入，同時於兩個關連資料夾都會產生相同的檔案

完成…

以上的作法是適用在多個伺服器提供相同的服務時，需要同步的檔案發送
此時對於沒有AD的環境即可達成檔案同時發散的目的，希望以上對大家有所幫助
若您所需要的是複寫的功能，那麼…還是必須以AD架構去建置DFS。