IIS常见问题及解答以及故障分析（4）

10.问：当我从一个客户工作站进行访问时，怎样做才能在IIS 4.0（Windows NT 4.0 Service Pack 6a）中访问IISADMIN虚拟目录而不会导致服务器重新启动呢？
   
答：  因为IIS 4.0是在Windows NT 4.0 Service Pack 6a（SP6a）之前发布的，所以一定要在安装完IIS 4.0后重新安装SP6a和所有必需的即时修补程序.

11.问：在Windows 2000 Professional中，我怎样做才能让域用户来管理虚拟目录，以便域用户能够创建和管理他们自己的虚拟目录？
   
答：  你需要做的最后事情就是将域用户加入到Power Users组中，因为这样就可以为域中任何一个拥有用户帐号的人赋予经过提升的权限。如果你信任域中的每一个成员都可以对系统进行很好的管理，这样做不会有什么问题，但是对于大多数计算机用户来说，这样的信任级别是不合适的。
为了在IIS中创建一个虚拟目录，用户需要有管理员权限。之所以这样设计，是因为任何能在Web站点上创建虚拟目录的人也能对虚拟目录进行删除、重命名、重定向或其它管理工作。
认识到这点后，你可能希望不为用户提供管理员身份就能获得类似的权力，在IIS插件中有一个特性（“操作员”标签），能让你指定一个Web站点操作员（不是管理员），为Web站点创建虚拟目录。这个特性只有在Windows 2000 Server、Windows 2000 Advanced Server和Windows 2000 Datacenter Server中是可用的。相同的特性也可应用于IIS 4.0。
另外，你还可以在IIS Web站点内部创建一个虚拟目录，并将它映射到％systemroot％\％systemdir％\inetsrv\iisadmin。你应该保护这个虚拟目录的安全，否则那些访问这个站点的人就能够管理这个Web站点。还要注意，这只有在Windows 2000 Server，Windows 2000 Advanced Server，和Windows 2000 Datacenter Server (以及IIS 4.0)上面是可行的。
当你发现你自己根据操作系统的限制将扩展权限授予了其他人或别的工作组，并且试图将你的工作站当作服务器时，你可能需要安装一个服务器操作系统。

12.问：在Windows 2000 Server上，当一个站点需要SSL时，我怎样才能在相同的站点上使用主机头？
   
答：  让我们回顾一下SSL和主机头的问题，因为对IIS来说，它的问题一直在常见问题解答的头五个中。
当客户发出一个到IIS服务器的HTTP连接请求时，这个客户的请求包括一个叫做HOST:的字段，它包括了URL中的Web服务器请求。例如，如果你的请求将h**p://www.microsoft.com作为目的地，则浏览器将其发送到服务器，并一同提交HTTP头中的其它信息，HOST: h**p://www.microsoft.com。因为此字段的名称是“HOST”，并且它在客户的HTTP头中，所以我们把它称作“主机头”。
如果客户请求建立一个SSL连接，主机头字段仍然会包括在请求当中，只不过它被包含在这个包的加密部分里（在应用层中），因此Web服务器无法对其进行解密，以确定应该将请求发送到哪一个Web站点。
这就产生了一条定律：当使用SSL时，不能使用主机头来作为识别一个Web站点的主要手段。
如果你确实想使用带有主机头的SSL，那么会发生什么情况呢？考虑一下这个情况。你有两个Web站点，其中一个不使用主机头，另一个则使用。两个站点都使用相同的IP地址，并且都配置成使用证书。当你利用SSL访问使用主机头的站点时，第一个Web站点会对此做出响应。之所以发生这种情况是因为：我们使用IP地址来识别你希望用来建立连接的站点，而不是主机头。因为第一个站点对IP地址和HTTPS有反应，所以它接受了请求。如果第一个Web站点需要主机头，并且在不同的IP地址上，或者没有证书，那么连接将会失败。
因此，请考虑你的配置，在你需要SSL的相同站点上，只要不使用主机头，你就可以做任何想做的事情。