Web-Server (IIS) unter Windows 10 installieren und konfigurieren

Die Internet Information Services liegen als optionale Komponente des Betriebssystems vor, die sich auf dem Client über die System­steuerung unter Programme => Windows-Features aktivieren und deaktivieren => Internet­informations­dienste installieren lassen.

Im Vergleich zu anderen Features erfolgt die Installation sehr granular, so dass man viele Funktionen gezielt hinzufügen oder entfernen kann. In den meisten Fällen will man den Web-Server lokal verwalten, so dass man zuerst die IIS-Verwaltungskonsole im Abschnitt Webverwaltungstools auswählen muss.

Begnügt man sich mit einer Standard­installation, dann reicht es, wenn man die Kästchen vor Allgemeine HTTP-Features, Leistungsfeatures, Sicherheit sowie Systemzustand und Diagnose anhakt. Das Applet der System­steuerung wählt dann in jedem Abschnitt automatisch einige empfohlene Komponenten aus.

Redirects, Authentifizierung, Autorisierung

Darüber hinaus kann man sich natürlich noch Gedanken machen, welche weiteren Funktionen sinnvoll erscheinen. Wenn man etwa einen Redirect für bestimmte Seiten konfigurieren möchte, dann braucht man dafür die HTTP-Umleitung.

Weitere sinnvolle Ergänzungen sind die Windows-Authentifizierung und IP-Sicherheit im Abschnitt Sicherheit, wo standardmäßig nur die Anforderungsfilter aktiviert sind (damit lassen sich bestimmte Dateitypen ausschließen oder URLs auf eine gewisse Länge beschränken).

Möchte man zudem den Zugriff auf bestimmte Seiten einschränken, dann sollte man auch URL-Autorisierung auswählen.

Wer den Web-Server für die Web-Programmierung braucht, wird in der Regel wissen, welche Komponenten er unter Anwendungs­entwickler­features benötigt. Will man etwa noch PHP installieren, dann sollte man die Option CGI aktivieren, weil sie auch FastCGI umfasst.

Eine detaillierte Beschreibung sämtlicher Optionen der WWW-Services findet sich auf dieser TechNet-Seite.

Web-Server testen

Nach Bestätigung der Auswahl installiert Windows die WWW-Dienste und startet danach automatisch den Web-Server. Dessen Funktions­tüchtigkeit sollte sich zeigen, wenn man auf dem betreffenden Rechner den Browser öffnet und die URL http://localhost aufruft.

Standardmäßig ist die neue Website auch von anderen Geräten im Netz erreichbar, weil die Installation der WWW-Dienste auch gleich die passenden Firewall-Regeln aktiviert und die Ports für HTTP und HTTPS öffnet.

Sollten dennoch Verbindungs­probleme auftreten, dann kann man erst mit

netstat -a -p tcp -n

prüfen, ob der HTTP-Server auf Port 80 lauscht. Darüber hinaus kann man versuchen, sich via telnet mit Port 80 des betreffenden Rechners zu verbinden.

Eine Ursache für Probleme könnte darin bestehen, dass man den Dienst an eine bestimmte IP-Adresse oder einen spezifischen Hostnamen gebunden hat. Bei einem frisch installierten IIS scheidet diese Erklärung jedoch aus.

Konfiguration mit IIS-Manager

Liefert der Web-Server die voreingestellte Begrüßungs­seite, dann kann man sich an seine Konfiguration machen. Dafür sieht Microsoft unter Systemsteuerung => System und Sicherheit => Verwaltung den IIS-Manager vor. Dieser bietet für fast jedes Feature, das man bei der Installation auswählen kann, ein eigenes Applet.

Der eben eingerichtete Web-Server verfügt über eine einzige Website, nämlich die Default Web Site. Ihr Stamm­verzeichnis befindet sich unter %SystemDrive%\inetpub\wwwroot. Dieser Pfad lässt sich im Bereich Aktionen über den Befehl Grund­einstellungen ändern.

Wenn man möchte, kann man zusätzlich beliebige Verzeichnisse in das HTML-Root einhängen und so über die Website zugänglich machen. Dazu legt man ein neues virtuelles Verzeichnis an, indem man einem physikalischen Verzeichnis einen logischen Pfad (aus der Sicht des Browsers) zuordnet.

Directory Listing erlauben

Ruft man im Web-Browser eine URL auf, die keinen Dateinamen, sondern nur einen Verzeichnispfad enthält, dann sucht der Web-Server standard­mäßig nach Dateien mit den Namen default.htm, default.asp, index.htm, index.html und iistart.htm.

Diese Liste lässt sich umsortieren, um die Suchreihenfolge zu ändern, sowie um neue Einträge ergänzen. Zuständig dafür ist das Applet Standarddokument.

Enthält ein Verzeichnis keine dieser Dateien, dann gibt der WWW-Dienst einen Fehler 403 aus, wonach das Anzeigen des Inhalts verboten ist. Möchte man das Directoy Listing erlauben, dann muss man das entsprechende Feature Verzeichnis durchsuchen installieren und die Verzeichnisse mit Hilfe des gleichnamigen Applets dafür konfigurieren.

Zugriff für authentifizierte Benutzer einrichten

Will man schließlich verhindern, dass die neue Website nach der Installation weiterhin für jedermann offensteht, dann muss man die Authentifizierung und die Zugriffsrechte für URLs anpassen. Im Applet Authentifizierung ist per Vorgabe die anonyme Anmeldung aktiviert, die Windows-Authentifizierung dagegen deaktiviert.

Dreht man diese Einstellung um, dann erzwingt der Web-Server eine Anmeldung mit den Zugangsdaten für Windows. Ist der Rechner Mitglied in einer Domäne, dann kann man sich auch mit einem AD-Konto anmelden.

Sobald nur mehr bekannte User Zugriff auf die Website haben, kann man gezielt Rechte für bestimmte Ressourcen vergeben. Dies ließe sich zwar auch durch die Änderung der NTFS-Berechtigungen erreichen, aber die IIS sehen dafür einen eigenen Mechanismus vor.

Dieser erwartet die Definition so genannter Autori­sierungs­regeln im gleich­namigen Applet. Sie erlauben entweder allen oder nur ausgewählten Benutzern bzw. Gruppen den Zugriff auf eine bestimmte Ressource.