windows 2003搭建虚拟主机教程全攻略

windows 2003搭建虚拟主机教程全攻略随着Internet 越来越普及，各种各样的虚拟主机也越来越多，由于虚拟主机需要同时向大量不同的用户提供安全的网络应用环境，因此搭建一个虚拟主机平台除了需

windows 2003搭建虚拟主机教程全攻略

随着Internet 越来越普及，各种各样的虚拟主机也越来越多，由于虚拟主机需要同时向大量不同的用户提供安全的网络应用环境，因此搭建一个虚拟主机平台除了需要架设WEB 和FTP 服务器，还涉及到一些虚拟主机环境所特有的问题。以下就对这些特有的问题进行归纳和分析。我个人认为在建立虚拟主机时主要需要注意以下三个大方面：

1．用户与磁盘空间和域名的绑定；

2．用户使用磁盘空间的容量限制（磁盘配额）；

3．IIS 和用户环境的安全问题（我使用的是Windows Server系统）；

下面我就以这三个方面在Windows 2003 Enterprise Server具体如何实现做一个详细的介绍。

一、用户与磁盘空间和域名的绑定

先打开计算机管理（要是服务器已经升成为AD 模式，就打开Active Directory用户与计算机），点击展开本地用户和组，右键单击用户模块分别创建两个用户帐号。我这里建立的用户帐号依次为test1、test2。注意，为了安全考虑，请在组的模块中新建一个组。把用于虚拟主机的用户归纳到里面，并把用户原来隶属于的User 组删除。（作为一个称职的管理员，需要注意的小细节是很多的，不然一个错误的细节就会引起灾难）如图1：

（图1）

建立好帐号后，就在FTP 空间目录下先建立一个LocalUser 文件夹。然后对应所使用的帐号建立子文件夹。如：要是FTP 空间指定的是D: WEB_Space文件夹，那就在这个文件夹下创建一个LocalUser 文件夹。接着建立两个子文件夹：test1、test2. 如图2：

（图2）

由于刚才我们建立用户帐号时，把它们单独的归纳到一个组中，这时就需要在FTP 空间根目录属性的安全选项卡中把这个组添加进去，用户将无法通过FTP 访问。如图3：

（图3）

接着我们需要建立FTP 用户隔离站点。这个功能是以前版本的IIS 中FTP 站点所没有的，FTP 用户隔离为 Internet 服务提供商 (ISP) 和应用服务提供商提供了解决方案，使他们可以为客户提供上载文件和 Web 内容的个人 FTP 目录。FTP 用户隔离通过将用户限制在自己的目录中，来防止用户查看或覆盖其他用户的 Web 内容。因为顶层目录就是 FTP 服务的根目录，用户无法浏览目录树的上一层。在特定的站点内，用户能创建、修改或删除文件和文件夹。FTP 用户隔离是站点属性，而不是服务器属性。无法为每个 FTP 站点启动或关闭该属性。所以在建立FTP 站点的时候就应该选择好，不然站点建立以后，将无法修改。

FTP 用户隔离共有三种模式：

不隔离用户：该模式不启用 FTP 用户隔离。该模式的工作方式与以前版本的 IIS 类似。由于在登录

到 FTP 站点的不同用户间的隔离尚未实施，该模式最适合于只提供共享内容下载功能的站点或不需要在用户间进行数据访问保护的站点。

隔离用户：该模式在用户访问与其用户名匹配的主目录前，根据本机或域帐户验证用户。所有用户的主目录都在单一 FTP 主目录下，每个用户均被安放和限制在自己的主目录中。不允许用户浏览自己主目录外的内容。如果用户需要访问特定的共享文件夹，您可以再建立一个虚拟根目录。该模式不使用 Active Directory 目录服务进行验证。 注意 当使用该模式创建了上百个主目录时，服务器性能会下降。

用 Active Directory 隔离用户：该模式根据相应的 Active Directory 容器验证用户凭据，而不是搜索整个 Active Directory，那样做需要大量的处理时间。将为每个客户指定特定的 FTP 服务器实例，以确保数据完整性及隔离性。当用户对象在 Active Directory 容器内时，可以将 FTPRoot 和 FTPDir 属性提取出来，为用户主目录提供完整路径。如果 FTP 服务能成功地访问该路径，则用户被放在代表 FTP 根位置的该主目录中。用户只能看见自己的 FTP 根位置，因此受限制而无法向上浏览目录树。如果 FTPRoot 或 FTPDir 属性不存在，或它们无法共同构成有效、可访问的路径，用户将无法访问。

打开Internet 信息服务（IIS ）管理器，点击展开服务器，右键单击FTP 站点，新建一个FTP 站点，在建立向导中，因为我的服务器不是Active Directory模式，所以我们选择隔离用户这个选项。如图4：

（图4）

完成建立向导后，开打新建立的FTP 站点属性，点击属性中的安全用户选项卡，把允许匿名连接关闭。确定后退出。

最后是域名的绑定，域名绑定有两种定义，第一种是直接使用完整域名绑定WEB 服务，如在服务器上提供www.test1.com 和www.test2.com 空间服务，第二种是开设子域名服务，如提供test1.yesky.com 和

test2.yesky.com 空间服务。这两种在工作原理上是一样的，但第二种在操作上有一些不同。需要自己服务器的DSN 支持。

首先我们让我们来了解一下关于域名（DNS ）的基本知识，在我们要了解DNS ，首先要了解几个名词：域名空间；根域；顶级域；二级域；主机名；区域。

域名空间：是DNS 名的结构统称，他的结构主要是由根域，顶级域，二级域和主机名组成。

根域：是处在整个结构的顶级，是用点（. ）表示的。由国外的几个公司管理的。55555没有我们的份~郁闷！！）

顶级域：是由2-3个英文字母组成，并且有着一定的意义，一般采用相对意义的英文单词缩写或相对代码。如：COM 是指商业机构，GOV 是指政府机构，CN 是指中国……

二级域：是由一些域名提供商出租给个人或企业、机构的服务。如www.yesky.com 这个域名中yesky 就属于二级域。

主机名：是用来表示Internet 或内部网的计算机名称，但大家注意一点，在Internet 上，有的时候主机名指代表一台服务器的IP 地址，而不是服务器的名称，这一点是和内部网有区别的！

区域：是域名空间中的一个离散部分。区域主要是用来把一个域名变成可管理的几个部分，如：www.yesky.com 这个域名我们可以把他划分成www 和yesky,com 这两个部分。这样，我们就可以利用yesky.com 这部分生成不同的主机名。如mail.yesky.com ；bbs.yesky.com 等等。这一点比较重要。

DSN 服务工作的流程我们可以把它称作名字解析过程，它共分为两种：正向搜索和反向搜索。正向搜索是把一个域名解析成一个IP ，我们这里就用Internet 上的www.yesky.com 域名做一个案例。我们先在IE 浏览器中输入www.yesky.com 这个域名，然后计算机将自动把这个域名传递给本地DNS 服务器（也就是指在本机网卡属性中TCP/IP协议的DSN 服务器输入框里输入的IP 地址所对应的服务器），DNS 服务器收到信息后，将在自己的区域表中搜索有没有该域名所对应的IP ！有则返回，若没有，它则会把搜索的信息传递给国外的几个根域DSN 服务器之一，请求解析该域名。根域DSN 服务器则返回一条对COM 域DNS 服务器的IP 地址给本地DNS 服务器引用（由于yesky.com 的顶级域是COM 所以返回COM 域DNS 服务器的IP 地址），本地DNS 服务器在根据IP 地址给COM 域DNS 服务器发送一条www.yesky.com 域名解析请求的信息，COM 域DNS 服务器返回一条对yeskyDSN 服务器的IP 地址指引，然后本地DNS 服务器再根据收到的IP 地址给yeskyDSN 服务器，发送一条www.yesky.com 域名解析请求的信息，yeskyDSN 服务器根据请求反馈给www 的IP 地址，本地服务器再把这个IP 反馈给我们。这时解析完成，我们也就打开了www.yesky.com 的网页。

反向搜索正好相反，它是把一个IP 地址解析成一个域名，常看见的诸如Windows 2003下的Nslookup 命令工具。由于DNS 服务是按域名而不是按IP 地址索引的，反向搜索一搜索就会搜索所有的信息，很消耗资源。为了避免这种情况，DNS 服务创建了一个叫in-addr.arpa 的特殊二级域，它使用的是与其他域名空间结构相同的方法，但它不采用域名，而是采用IP 地址。

注意，要想做Internet 上第二种虚拟主机，最好向域名提供商申请DNS 转移权，要求提供商把DNS 解析权指定到你的DNS 服务器上，这样你就能自己利用Windwos Server的DSN 服务随意开设子域名了，不然你每次要用一个新的子域名都要向域名提供商申请，那是很麻烦的，而且DSN 在自己的服务器上还有很多好处，如开设MAIL 服务等等。

先来打开DNS 管理器，点击展开服务器，在正向查找区域新建一个区域。选择创建主要区域，输入你申请的域名，注意，只要输入我上面所说的区域就可以了，如yesky.com 、sina.com.cn 。完成。如图5：

（图5）

创建好区域后，就在你创建的区域里创建主机。最好创建的主机名与你的用户名相同，这样方便管理。当然，如果你的系统已经升级到AD 模式，那这步可以跳过，因为在AD 模式下，你每创建一个帐户，就会自动的生成对应的主机名称。如图6：

（图6）

所有的主机都创建好了后，就打开Internet 信息服务（IIS ）管理器，在WEB 站点下创建新的WEB 站点。在站点创建向导的IP 地址和端口设置对话框中输入需要绑定的完整域名，如www.test.com 、test1.test.com 、test12.test.com ，创建完成后，域名就和空间绑定了。如图7：

（图7）

在DNS 中有多少个主机，就可以建立多少个子域名WEB 站点。也可以用域名提供商提供的直接指定IP 的域名。但这里需要注意的是，一旦服务器中Internet 信息服务（IIS ）管理器里出现了带主机头的站点后，有时将会导致没有主机头的站点出错，这个问题很奇怪，可是能DNS 映射引起的。

二、用户使用磁盘空间的容量限制（磁盘配额）

在配置之前，让我们先了解一下磁盘配额管理的一些基础知识，以便我们更容易理解它的工作方法。Windows 2003磁盘配额会跟踪每个用户在每个盘符中的使用情况。并根据用户的磁盘配额进行控制。因为配额是以每个用户做为单位进行跟踪的，所以不管用户在这个盘符下的任何地方储存文件都会被记录。磁盘配额共有二个比较显著的特点：

1. 根据每个用户所拥有的文件和文件夹来计算使用磁盘的空间量。当一个新建、复制、保存文件到开启了磁盘配额的盘符上，或获得盘符上某文件所有权时，系统就自动从磁盘配额管理所限定的空间中扣减该用户的空间容量。

2. 系统在计算用户使用磁盘空间时是忽略压缩的，它按照未压缩的字节计算用户使用的硬盘空间，而不管用户实际使用了多少磁盘空间。这样做是因为现在很多不同的文件类型在压缩的时候所压缩的比例不同。会造成文件长度的很大差异，给磁盘管理带来很大的工作负担。

注意，磁盘配额必须建立在NTFS 格式的盘符上。不然无法使用。

选择你FTP 空间所在的盘符，打开盘符的属性对话框，单击配额选项卡，选择启用配额管理复选框，开启磁盘配额管理。这是原本一些灰色不能使用的属性开始能使用了。请根据情况修改它们：如图8：

（图8）

拒绝将磁盘空间给超过配额限制的用户：选择这个复选框，当用户超过了分配的磁盘空间时，他们就会收到一个空间已用完的消息，而且不能在往空间里面写任何东西

不限制磁盘使用：当你不打算限制用户磁盘空间时，单击这个选项。

将磁盘空间限制为：配置用户可以使用的磁盘空间容量

将警告等级设置为：配置在用户登陆空间时，如果空间使用已经达到警告空间等级，将会发送一个信息给该用户，提醒用户空间快使用完了

配额项：单击这个按钮可以打开配额项对话框，在这个对话框中，可以通过配置菜单分别定制每个用户磁盘空间。也可以删除老用户空间配额限制。另外它的主界面就是一个用户配额监控器。如图9：

（图9）

三、IIS 和用户环境的安全问题

记得一位资深的安全人士曾经说过，从Windows 2000 Server开始，本身的系统漏洞和网络漏洞已经不是那么多了，甚至可以说Windows 本身安全系数已经超越了LINUX 系统本身，（这里我只是引用语句，希望不会引发Windows 和LINUX 向来的争论）但由于Windows 周边产品漏洞和不安全因数太多，尤其是IIS 服务。才导致人人说它不安全。

由于系统的安全问题实在是太过于庞大，所分的体系也非常多，不可能面面具到，所以我根据个人经验说几个和虚拟主机密切相关的安全问题，但由于这些问题要想得到彻底的解决说明的话，那需要太多的篇幅，这里我也只能指出这些问题，和解决这些问题的思路。

支持ASP 系统的IIS 安全问题：

在支持ASP 的IIS 系统中，主要问题有两个，一个是由于ASP 页面的输入框引起的安全攻击。在ASP 页面中，我们经常可以看见输入框，如登录帐号、密码、查询、手机等等.. 这些控件其实是很危险的，因为这些控件的后台往往是连接着数据库，（SQL 、Oracle 等）有经验的程序员可以通过这些输入框输入数据库命令，在通过系统本身的数据库执行后，得到数据库帐号和密码。那也意味着离得到SYSTEM 或

Administrator 帐号不远了。所以，一般在做ASP 页面时，我们在有这些输入框的窗口上都做一些限制，如最多只能输入多少个字符、哪些特殊字符不允许输入等等。但现在很少有网站能做到滴水不漏的，可能也是因为工作量太大的缘故吧：（ 第二个问题是FileSystemObject 这个组件为 ASP 提供了对默认的Windows Server 服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作。权限实在是太大。也导致一些恶意虚拟主机租借用户利用这个ASP 组件来攻击和控制系统。所以在不是必要的情况下，请不要启用它。太危险了。

基本系统设置安全问题：

一、端口设置。端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，由于做虚拟主机的系统一般不需要开太多的端口，所以可以在网卡属性、Internet 协议（TCP/IP）属性、高级、选项、TCP/IP筛选属性里进行添加。不过Windows Server TCP/IP筛选设置做的有点问题：只允许开哪些端口，不允许关哪些端口，郁闷吧。

二、IIS 设置：首先，把C 盘中的默认的IIS 目录Inetpub 彻底删掉，在Internet 信息服务（IIS ）管理器中将默认WEB 网站给停止，从新建立你所需要的WEB 发布站点，但注意，请把你要发布站点的目录建立在其他盘符，并不要给其命名一些相对简单或容易猜中的名字，如WEB 、IIS 、Inetpub 等。其次，在Internet 信息服务（IIS ）管理器中删除在你虚拟主机上不想用到的文件名映射，如，你的系统只需要支持ASP 和HTML 的话，那只要保留这个两个文件名映射就可以了，其他的都可以删除，步骤为在Internet 信息服务（IIS ）管理器中右击主机、属性、WWW 服务、编辑、主目录配置、应用程序映射，然后就开始一个个删吧。最后在的应用程序调试书签内将脚本错误消息改为发送文本就基本可以了。

三、预防DoS ： DOS ：即Denial Of Service，拒绝服务的缩写，原理就是生产出大量的数据包让服务器不停的处理，导致服务器不能对其他的数据产生响应。在注册表

HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS 攻击 SynAttackProtect REG_DWORD 2 EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime

REG_DWORD 300,000 PerFORMRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0

四、工作进程隔离：在虚拟主机上经常会出现由于某个用户WEB 站点的应用程序出错，进入无限循环，导致服务器资源大量消耗，最终死机的情况，这个问题在以往的IIS 中是很难解决的，有时还得借助第三方软件。

但现在，IIS 6.0 引入了工作进程隔离模式，该模式可以在隔离环境中运行所有的 Web 应用程序。当在工作进程隔离模式下运行 IIS 时，可以将应用程序配置成在单独的应用程序池中运行。每个应用程序池在逻辑上表示一个可配置的工作进程，并且链接到池中的应用程序。工作进程彼此独立运行；它们可能失败，但不会影响其他工作进程。应用程序池保护其中的应用程序免受支持其他应用程序池的工作进程的影响。这样，就可以避免应用程序相互影响。

在工作进程隔离模式下，超文本传输协议 (HTTP) 请求被直接路由到服务于已配置的应用程序的内核应用程序池队列。服务于应用程序池的工作进程会将请求直接从该队列中拉出，避免了进程切换的开销。为进一步保护 WWW 服务，IIS 6.0 会隔离关键的万维网发布服务组件，如 HTTP 协议堆栈和 WWW 服务管理和监控，避免其受到在工作进程中运行的第三方代码的影响。HTTP 协议堆栈接受 WWW 服务请求并将其排入队列。当工作进程处于不正常的状态并因此中断处理请求时，HTTP 协议堆栈会继续处理请求。同时，WWW 服务将检测不正常的工作进程并将其关闭。如果要求新工作进程为请求提供服务，WWW 服务会启动一个新工作进程以便从 HTTP 协议堆栈中获取队列中的请求。即使工作进程失败，WWW 服务仍会继续处理请求并保护用户免于丢失服务。打开 Internet 信息服务（IIS ）管理器，展开服务器，右键点击应用程序池，选择属性。就可以在弹出的对话框中根据自己的系统环境进行进程隔离设置了。如图10：

（图10）

由于系统环境比较多样化，所以很难有一个设置的标准，所以具体的设置请参考Windows 2003的帮助。

五、查看事件查看器：作为一个网管就应该时时刻刻的观察服务器的安全性，而事件查看器可以反映系统80的安全情况，这需要我们要养成每天分析事件查看器的习惯。一般情况是每天早晚各查看一次，并保留一个星期的日志。

当然关于安全的问题，这是一个永远也说不完的话题，希望本文能起到抛砖引玉的目的。谢谢！

注：本文一些名词解释和定义来自Microsoft 。

全能虚拟主机安装配置教程

让你的虚拟主机支持IIS PHP MySQL Zend Optimizer GD库 phpMyAdmin，可以全面支持ASP 、ASP.NET 、PHP 以及MYSQL 数据库，成为全能型的虚拟主机。建议在window 2003下实现。

一、软件准备：以下均为截止2005-4-20的最新正式版本

PHP （5.0.4）：http://cn.php.net/get/php-5.0.4-Win32.zip/from/a/mirror

MySQL （4.1.11）：http://www.skycn.com/soft/1262.html

Zend Optimizer（2.5.7）：

phpMyAdmin （2.6.2）：http://www.skycn.com/soft/10687.html

假设 C: 为你现在所使用操作系统的系统盘，如果你目前操作系统不是安装在 C: ，请自行修改。