| Artículos | 01 DIC 2006

Internet Information Services 7: Microsoft se supera a sí mismo (y II)

Tags: Histórico
Continuamos analizando las mejoras de la nueva versión del servidor Web de Microsoft
Iván González.
El mes pasado iniciábamos esta serie de reportajes sobre las mejoras de Internet Information Services 7. Ahora, tras repasar las nuevas posibilidades en el núcleo del servidor web, la configuración y la extensibilidad, queremos detenernos en la administración, despliegue, seguridad y resolución de problemas.

Administración
La nueva versión de IIS incluye un extenso conjunto de herramientas administrativas, incluyendo una nueva interfaz de administración, una nueva herramienta en línea de comandos, y nuevas API para scripts y código manejado, que simplifican las tareas del día a día de desarrolladores y administradores.
La nueva herramienta de administración de IIS 7, IIS Manager, ofrece una forma más eficiente de gestionar el servidor web. De hecho, proporciona soporte para la configuración tanto de IIS como de ASP.NET, información de usuarios, roles, e información de diagnóstico en tiempo de ejecución. Esta nueva interfaz también permite a aquellos que hospedan o administran sitios web, delegar el control administrativo a los desarrolladores o a los propietarios de los contenidos, reduciendo costes de gestión y la carga de trabajo sobre el administrador. Pero, además de esto, existen otros aspectos interesantes de esta nueva interfaz:
• Incluye un framework de extensibilidad para introducir nuevas características en el UI usando .NET Framework.
• Soporta para credenciales Windows y no Windows para la delegación de la administración.
• Descarga e instalación automática de los nuevos módulos de UI en el cliente
• Administración remota sobre HTTP/SSL.
La delegación del control administrativo resuelve por fin una antigua demanda y caballo de batalla de muchos ISP y del servidor IIS, ya que ahora no hará falta un panel de control desarrollado ad-hoc, o tener a un administrador al teléfono para que un propietario de un sitio web pueda realizar tareas sencillas (por ejemplo, cambiar su página por defecto).
Por otra parte, IIS7 incluye el API Microsoft.Web.Administration para administrar de forma programática el servidor Web. Esta API en código administrado hace fácil, por ejemplo, aprovisionar de forma programática nuevos sitios web, acceder a información importante de estado y diagnóstico, o configurar el servidor web. Además, también se incluye un nuevo proveedor WMI que proporciona acceso a la información de configuración y al estado del servidor a los programadores de scripts VBScript y JScript.
Por otro lado, AppCmd.exe es una nueva herramienta de línea de comandos, que permite leer y escribir los valores de configuración, acceder a la información de estado de los sitios o los grupos de aplicaciones, entre otros, de forma que puede ser utilizada en nuestros Shell Scripts.

Despliegue
El diseño de la instalación IIS7 es completamente modular y permite un control absoluto sobre la huella del servidor web. Las opciones en la interfaz, desde línea de comandos o de forma desatendida, hacen fácil la gestión de aquellos módulos o características que deseamos instalar, recordemos que el setup de IIS7 incluye más de 40 características instalables.
La nueva arquitectura en forma de pipeline del núcleo de IIS7 proporciona un alto nivel de granularidad de los componentes; y esa granularidad se palpa en la lista de componentes seleccionables para su instalación. Ahora, en la instalación de IIS7, tenemos la capacidad de seleccionar justo aquellos módulos que necesitamos, permitiéndonos desplegar servidores muy ligeros, destinados a tareas específicas, al tiempo que bloqueamos funcionalidades que no vamos a usar, lo que era hasta ahora imposible.  

Seguridad
IIS7 se ha construido sobre la base sólida de IIS6 en lo que a seguridad se refiere y añade mejoras importantes de tres aspectos:

Reduce la superficie de ataque. IIS6 introdujo el concepto de seguridad por defecto, lo que suponía un avance significativo con respecto a versiones anteriores de IIS, que instalaban y habilitaban todas las características por defecto, obteniendo como resultado un servidor web totalmente funcional, pero expuesto a más riesgos de los necesarios. En IIS6, varias características fueron eliminadas de la instalación por defecto, y muchas otras, aunque se instalaban, estaban deshabilitadas por defecto.
IIS7 lleva este principio al extremo, introduciendo la instalación mínima por defecto. Como hemos visto anteriormente, IIS7 se ha divido en aproximadamente 40 componentes. En la instalación, únicamente los mínimos componentes necesarios son instalados y habilitados, lo que proporciona una serie de ventajas:
• Tener menos componentes instalados reduce la superficie de ataque disponible para un atacante.
• También significa tener menos aspectos que gestionar, actualizar y mantener.
• Por último, tener menos componentes en memoria aumenta el rendimiento, escalabilidad y fiabilidad, optimizando el hardware que tengamos.

Gestión más sencilla de la seguridad. IIS7 introduce varias simplificaciones importantes en la gestión de la seguridad, lo que permite tener un servidor seguro con menos esfuerzo. Estas mejoras incluyen:
• Soporte para la delegación de la administración, permitiendo que determinadas tareas de configuración y administración puedan ser delegadas a roles no administradores de una forma sencilla y segura.
• Gestión unificada de la autenticación y la autorización, permitiendo gestionar todos los tipos de autenticación y autorización desde un único lugar para todos los tipos de contenidos. Con esto se pone fin a las diferencias entre la autenticación de IIS y la de ASP.NET.
• Se han creado dos nuevas cuentas incorporadas (built-in). La cuenta de usuario IUSR reemplaza a la cuenta IUSR_MachineName, y se crea sólo cuando instalamos el servidor FTP. El grupo IIS_IUSRS reemplaza al grupo IIS_WPG. El motivo de este cambio es que estas nuevas cuentas son incorporadas, con lo cual, su SID es único para cualquier instalación de IIS 7. Con el sistema anterior no podíamos, por ejemplo copiar directamente el fichero metabase.xml de una máquina a otra, porque las cuentas, aún con el mismo nombre, al ser cuentas locales, tienen diferentes SID. Este nuevo sistema simplifica la gestión de ACL NTFS y el sandboxing, y la gestión de identidades de los grupos de aplicaciones.
Otra novedad interesante es el filtrado de peticiones (Request Filtering), que permite filtrar peticiones al vuelo en base al verb, la extensión del fichero, el tamaño, el espacio de nombres la secuencia y mucho más.

Diagnóstico y resolución de problemas
IIS7 quiere conseguir que la resolución de problemas en el servidor Web sea una tarea más fácil que nunca, ofreciendo soporte para el diagnostico y las trazas, permitiéndonos mirar dentro del servidor web y ver información detallada sobre lo que está sucediendo.

Runtime Status & Control API (RSCA). Otra característica importante que permite mejorar el soporte a la resolución de problemas es la Runtime Status and Control API (RSCA). Esta API, está diseñada para dar información detallada, en tiempo de ejecución, de lo que sucede en el interior de IIS7. Con RSCA es posible inspeccionar y manejar varias entidades como sitios, grupos de aplicaciones e incluso dominios de aplicación (applications domains) de .NET. Por peti

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información