Я пытаюсь настроить высокодоступный IIS для общедоступных веб-сайтов, и мне сложно найти информацию о лучшем и наиболее безопасном методе настройки разрешений, правильной настройке IIS и проверке оптимальности моего плана настройки .
После долгих исследований я остановился на этой настройке:
Я пришел к общему мнению, что не следует использовать SOFS для IIS, поэтому это стандартная настройка файлового сервера как SMB Share - Application. Starwind использовался, потому что в двухузловой системе нет единой точки отказа, а репликация является синхронной. У данных будут регулярные резервные и теневые копии, а у виртуальных машин будут реплики на другом хосте.
В настоящее время мои проблемы возникают из-за понимания разрешений и пользователей, необходимых для настройки общих данных IIS.
В настоящее время данные являются локальными для сервера и имеют разрешения для встроенных пользователей, системы, администраторов, доверенного установщика, а IUSR настроен для разрешений на запись в определенные папки. ApplicationPoolIdentiy используется с сквозной аутентификацией. Для анонимной аутентификации установлено значение IUSR.
Что касается общих данных, я заставил свои веб-сайты работать только после настройки пула приложений для использования пользователя домена и настройки анонимной аутентификации для использования ApplicationPoolIdentity. Я добавил пользователя домена, чтобы иметь полные разрешения на общий ресурс SMB. Я также видел некоторые рекомендации по добавлению учетной записи компьютера в разрешения и сохранению локальных системных учетных записей для пулов приложений, за исключением того, что IUSR по-прежнему необходимо изменить на appidentity для анонимной аутентификации. Один метод предпочтительнее? Какие разрешения NTFS и SMB необходимы и кому нужен доступ на запись, если IUSR использовался ранее?
Кроме того, есть ли проблемы с общими файлами в IIS? Можно ли делиться журналами, кешированием и папками сеанса php? В настоящее время у меня возникают ошибки разрешения на запись в журналы и кеширование, несмотря на предоставление полных разрешений.
Будем признательны за любую помощь, мысли и мнения!
Разрешения NTFS / SMB для общего хранилища IIS подробно описаны в руководстве ms: https://docs.microsoft.com/en-us/iis/web-hosting/configuring-servers-in-the-windows-web-platform/configuring-share-and-ntfs-permissions
Если у вас есть несколько веб-приложений / скриптов, которые должны записывать данные в папку на файловом сервере, вам следует настроить соответствующие разрешения для этой папки.
Конфигурацию веб-фермы лучше хранить на общем диске. Вот ссылка:
Что касается данных, не относящихся к содержанию (журналы, сеансы кеширования и т. Д.), Вы не получите большого преимущества, если будете хранить их в общем доступе. Так что решать вам.