IIS 7.0
Idag har vi haft besök av två killar från corp som kört en heldag i IIS7 för några nyfikna åhörare. Eventet var toppen och för er som inte kunde närvara vill jag här ge en liten sammanfattning:
IIS7 erbjuder förbättringar inom främst fyra områden:
Ökad säkerhet
IIS 7.0 är inte installerad per default. När man installerar IIS7 är konfigurationen endast för att serva statiskt innehåll, html och bildfiler inkluderat. En kraftigt nedbantad installation är alltså satt som default, och det finn 40 installerbara komponenter som man kan kombinera efter behov. Genom att införa modulbaserad installation minskas den potentiella attackytan, därtill får vi färre saker att underhålla och patcha, och färre komponenter ger även ökad prestanda och tillförlitlighet. Tidigare har attacker ofta riktats mot kod som inte är i användning. Man kan även skriva sin egen modul och skriva över en existerande om man inte skulle vara nöjd med de som MS erbjuder.
Att delegera rättigheter görs enkelt med IIS7 och det på en väldigt finkornig nivå så ingen icke administratör får för fria händer.
En applikationspool är en grupp av URL's som servas av en arbetsprocess. Applikatiospooler sätter gränser för de applikationer som de innehåller och en applikationen som körs utanför poolen kan inte påverka appikationerna inom poolen. Detta leder till högre säkerhet då en applikation utanför inte kan komma åt tillgångar inom densamma. Isolering av applikationen gör också att om en skulle fallera påverkas inte de andra.
Lägre infrastrukturssupportkostnader (350 poäng i alfapet, minst!)
Genom att delegera hantering av web sites till site ägare och att accessa en server genom en säker remote HTTP/SSL förbindelse och automatisera komplexa uppgifter i .NEt eller VBScript med AppCmd.exe sparas en massa tid. I IIS7 finns även en ny API som visar all diagnostisk information. Man kan exempelvis lägga in tracing på all failed requests.
Lättare att underhålla
IIS7 manager är numera uppgiftsorienterad och ger ett mer intuitivt gränssnitt. Den som vill kan köra i classic mode och få samma look som i IIS6. Att automatisera komplexa uppgifter görs med Microsft.Web.Administration API som kan användas tillsammans med Powershell.
AppCmd.exe ger möjligheten att administrera web servern helt utan GUIt. Exempel på vad man kan göra från AppCmd.exe är skapa och konfigurera web sites, web applikationer och applikationspooler, starta och stoppa web sites, och se information om arbetsprocesser. Idag fick vi se exempel på när 2000 sites skapades på 6 sekunder!
jobba smarare och spara tid.
Felmeddelanden i IIS7 är helt enormt genomarbetade. De ger förslag på vad som kan vara problemet, likaså lösningen och hur det kan undvikas (problemet alltså). I IIS7 finns något som kallas för automatic failed request trace logging, så när ett fel uppstår och man ej är närvarande kan IIS7 automatiskt detektera ett "dåligt" tillstånd och logga allt som händer fram tills dess att felet inträffar. Man konfigurerar servern till att hålla upsikt över vissa tillstånd som man vet kan bli kritiska.
Övrigt
IIS har visat prov på sin skalbarhet och säkerhet. Det används av myspace.com, match.com och den mest attackerade siten som finns...tatatataa... Microsoft.com. 54% av Fortune 1000 använder sig av IIS. IIS7 är krångligare än sina föregångare på det sättet att admin har mer frihet att installera vad han/hon vill. Då gäller det att ha koll på vad man gör. De nya verktygen som stödjer scripting är också de mer krävande än förr. Jag ser det som ett sundhetstecken att MS har tagit till sig kritiken om att vara ett hämmande operativsystem och nu ger admins mer förtroende. Man vill ju inte se en film som inte ger utrymme för ens egen kreativa tankeprocess....fast det får ju inte gå överstyr som med exempelvis Mulholland Drive, jag funderar fortfarande..!
När jag pratar med de som tillhör det där andra lägret (Linuxare) och frågar varför de inte gillar Windows är det ofta icke-modulariteten som ses som ett problem. Att man måste installera all funktionalitet och att processer inte körs isolerade från varandra. Att man oftast loggar in som admin tas även det upp som en av Windows främsta svagheter (många Linux distros har haft user account control i alla tider). Det jag tagit upp i detta inlägget ang. isolerade processer och modulbaserad istallation löser den första invändningen mot Windows, User Account Control som frågar användaren om eleverade rättigheter varje gång en uppgift som kräver administrativa rättigheter skall utföras eliminerar den andra invändningen. Undrar vad som kommer att bli den största kritiken mot Windows nu? (förutom att vi tar betalt för det då förstås..!)
Maria
