IIS全栈配置指南：从基础部署到安全运维

一、IIS服务架构与核心组件

作为Windows Server系统原生集成的网络服务组件，IIS（Internet Information Services）提供完整的Internet/Intranet解决方案。其核心架构包含三大层级：

协议处理层：支持HTTP/HTTPS（Web）、FTP（文件传输）、SMTP（邮件）、NNTP（新闻组）、RTSP（流媒体）等协议
服务管理层：通过MMC（Microsoft Management Console）实现统一管理界面
安全防护层：集成Windows身份验证、IP地址限制、SSL加密等安全机制

典型部署场景包括企业门户网站、内部文件共享平台、邮件中继服务、视频点播系统等。相较于行业常见技术方案，IIS的优势在于与Windows系统的深度集成，显著降低多服务协同的配置复杂度。

二、环境准备与基础安装

2.1 系统环境要求

操作系统：Windows Server 2012 R2及以上版本（推荐使用最新长期服务版本）
硬件配置：建议4核CPU+8GB内存起步，磁盘I/O性能直接影响并发处理能力
依赖组件：需提前安装.NET Framework 4.8及更高版本

2.2 安装流程详解

通过服务器管理器添加角色：

# 使用PowerShell安装IIS基础组件
Install-WindowsFeature -name Web-Server -IncludeManagementTools
# 扩展功能模块（示例：安装FTP服务）
Install-WindowsFeature -name Web-FTP-Server

安装完成后需验证服务状态：

Get-Service -Name W3SVC, MSFTPSVC | Select-Object Name, Status

三、Web服务核心配置

3.1 网站创建与管理

基础配置：
- 绑定协议：支持HTTP/HTTPS双协议栈
- 端口分配：默认80（HTTP）、443（HTTPS），建议为不同业务分配独立端口
- 主机头设置：实现单IP多站点部署
虚拟目录配置：
```
# 创建虚拟目录示例
New-WebVirtualDirectory -Site "Default Web Site" -Name "Assets" -PhysicalPath "D:\WebAssets"
```
关键参数说明：
- -PhysicalPath：必须使用绝对路径
- -Application：设置为True时可创建独立应用池

3.2 应用池优化

建议配置项：

托管管道模式：Integrated（推荐）或 Classic
.NET版本：根据应用需求选择v2.0/v4.0/无托管代码

回收策略：

<!-- 配置示例（修改applicationHost.config） -->
<recycling>
  <periodicRestart memory="1024" privateMemory="1024" time="00:00:00" />
</recycling>

四、FTP服务高级配置

4.1 虚拟FTP站点创建

# 创建隔离模式的FTP站点
Install-WindowsFeature Web-FTP-Server
New-Item -Path "FTPSite:" -ItemType Directory -Force
New-WebFtpSite -Name "DataFTP" -Port 21 -PhysicalPath "D:\FTPRoot" -FTPAuthorizationRule "Allow|All Users|Read,Write"

4.2 安全配置要点

数据传输加密：
- 启用FTP over SSL（FTPS）
- 证书管理：使用自签名证书或CA机构证书
用户隔离模式：
- 域用户隔离：/usr/username目录结构
- FTP用户隔离：LocalUser\username目录结构

五、邮件服务集成方案

5.1 SMTP服务部署

基础配置：
- 智能主机设置：转发至企业邮件网关
- 反向DNS解析：配置PTR记录提升邮件送达率

安全加固：

# 限制匿名中继
Set-TransportService -Identity "SMTP" -RelayDomainList "*.company.com"

5.2 客户端配置指南

配置项	推荐值
服务器地址	内部DNS记录或IP地址
端口	25（明文）/587（STARTTLS）
身份验证	Windows集成认证

六、流媒体服务实现

6.1 发布点类型选择

类型	适用场景	带宽要求
点播发布	视频点播系统	高
广播单播	实时直播（低并发）	中
多播广播	企业内网培训直播	低

6.2 编码配置建议

视频编码：H.264（兼容性最佳）
音频编码：AAC（立体声支持）
封装格式：MP4/FLV（根据播放器适配）

七、安全防护体系

7.1 基础防护措施

请求过滤：

<requestFiltering>
  <hiddenSegments applyToWebDAV="true">
    <add segment="web.config" />
  </hiddenSegments>
</requestFiltering>

IP限制：

# 添加允许列表
New-WebApplication -Name "SecureApp" -Site "Default Web Site" -PhysicalPath "D:\Secure"
Set-WebConfigurationProperty -Filter /system.webServer/security/ipSecurity -Name allowUnlisted -Value $false -PSPath "IIS:\" -Location "SecureApp"

7.2 SSL证书管理

证书申请流程：
- 生成CSR请求文件
- 提交至CA机构审核
- 安装返回的证书链

强制HTTPS跳转：

<rewrite>
  <rules>
    <rule name="HTTP to HTTPS redirect" stopProcessing="true">
      <match url="(.*)" />
      <conditions>
        <add input="{HTTPS}" pattern="^OFF$" />
      </conditions>
      <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="Permanent" />
    </rule>
  </rules>
</rewrite>

八、性能监控与调优

8.1 关键指标监控

请求处理时间（Request Execution Time）
内存占用率（Private Bytes）
并发连接数（Current Connections）

8.2 优化建议

静态内容缓存：

<caching>
  <profiles>
    <add extension=".jpg" policy="CacheUntilChange" kernelCachePolicy="CacheUntilChange" duration="00:00:00" />
  </profiles>
</caching>

动态压缩：

# 启用动态压缩
Set-WebConfigurationProperty -Filter /system.webServer/urlCompression -Name doDynamicCompression -Value $true -PSPath "IIS:\"

通过系统化的配置管理，IIS可构建出满足企业级应用需求的高可用服务平台。建议运维人员定期进行安全审计（建议每月一次）和性能基准测试（每季度一次），持续优化服务架构。对于高并发场景，可考虑结合负载均衡器实现横向扩展，或采用对象存储服务分担静态资源压力。