Máy Tính

Cấu Hình IIS Trên Windows Server 2012: Hướng dẫn đầy đủ cài đặt, bảo mật và tối ưu

Posted on by admin
Cấu Hình IIS Trên Windows Server 2012: Hướng dẫn đầy đủ cài đặt, bảo mật và tối ưu
05
Th3

Internet Information Services (IIS) 8 trên Windows Server 2012 là nền tảng web server mạnh mẽ, hỗ trợ ASP.NET, PHP, FTP, WebSockets, SNI cho HTTPS, Dynamic IP Restrictions, CPU throttling và nhiều tính năng tối ưu bảo mật–hiệu năng. Bài viết này cung cấp hướng dẫn từng bước để bạn triển khai, cấu hình và tối ưu IIS phục vụ website sản xuất an toàn, ổn định.

Tổng quan nhanh về IIS 8 trên Windows Server 2012

  • Hỗ trợ SNI (Server Name Indication) để dùng nhiều chứng chỉ SSL trên cùng một IP.
  • Dynamic IP Restrictions giúp chống brute force và hạn chế số lần kết nối bất thường.
  • WebSockets, Application Initialization, CPU throttling nâng cao khả năng đáp ứng ứng dụng.
  • Centralized SSL Certificate Store (CCS) đơn giản hóa quản lý chứng chỉ ở quy mô lớn.
  • Tích hợp logging, compression, caching để giảm băng thông và tăng tốc độ tải trang.

Chuẩn bị trước khi cài đặt

  • Cập nhật Windows Server 2012 với các bản vá mới nhất.
  • Đặt IP tĩnh, DNS, hostname; mở port 80/443 trên firewall.
  • Chuẩn bị tên miền trỏ về IP máy chủ.
  • Xác định công nghệ ứng dụng: ASP.NET 4.5, PHP (FastCGI), static site, FTP.

Cài đặt IIS bằng Server Manager

Mở Server Manager, chọn Add Roles and Features, tiếp tục đến Role-based or feature-based installation, đánh dấu Web Server (IIS), thêm Management Tools và các Role Services cần thiết (Static Content, Default Document, Directory Browsing, HTTP Errors, ASP.NET 4.5, ISAPI, WebSockets, Logging, Request Filtering, Compression).

Trình Add Roles and Features trên Windows Server 2012 để cài đặt dịch vụ Web Server IIS 8Trình Add Roles and Features trên Windows Server 2012 để cài đặt dịch vụ Web Server IIS 8

Trong phần Role Services, đảm bảo:

  • Common HTTP Features: Static Content, Default Document, HTTP Errors, Directory Browsing.
  • Application Development: ASP.NET 4.5, .NET Extensibility 4.5, ISAPI Filters, ISAPI Extensions, CGI (nếu chạy PHP), WebSockets.
  • Security: Request Filtering, Basic Authentication/Windows Authentication (tùy nhu cầu), IP and Domain Restrictions.
  • Performance: Dynamic Content Compression, Static Content Compression.
  • Management Tools: IIS Management Console, IIS Management Service (nếu quản trị từ xa).

Chọn vai trò Web Server (IIS) và Role Services trong Server Manager trên Windows Server 2012Chọn vai trò Web Server (IIS) và Role Services trong Server Manager trên Windows Server 2012

Mẹo nhanh: có thể cài bằng PowerShell với lệnh Install-WindowsFeature Web-Server -IncludeManagementTools, rồi bổ sung từng Role Service khi cần.

Kiểm tra cài đặt IIS

Sau khi cài, mở trình duyệt trên máy chủ và truy cập http://localhost. Nếu thấy trang IIS mặc định, hệ thống đã hoạt động đúng.

Trang mặc định IIS trên Windows Server 2012 xác nhận cài đặt thành côngTrang mặc định IIS trên Windows Server 2012 xác nhận cài đặt thành công

Tạo website đầu tiên và cấu hình App Pool, Bindings

Thực hiện các bước:

  • Tạo thư mục site (ví dụ D:Sitesexample.comwwwroot) và cấp quyền đọc/execute cho IIS_IUSRS.
  • Tạo Application Pool mới, chọn .NET CLR (với ASP.NET) và Managed pipeline mode: Integrated.
  • Trong IIS Manager, tạo New Website, trỏ Physical Path đến thư mục site.
  • Bindings: thêm HTTP (port 80) và hostname; nếu dùng nhiều site, đảm bảo mỗi site có host header riêng.
  • Bật SNI khi thêm binding HTTPS (xem phần SSL bên dưới).

Phân quyền NTFS đúng cho tài khoản ứng dụng và thư mục logs/upload sẽ giúp tránh lỗi 401/403 khi chạy sản phẩm.

Cài đặt SSL/TLS: tạo CSR, cài chứng chỉ và bind HTTPS

Quy trình tiêu chuẩn:

  • Tạo CSR (Certificate Signing Request) trong IIS Manager hoặc MMC Certificates.
  • Gửi CSR tới nhà cung cấp SSL, nhận về chứng chỉ (CER/PFX).
  • Import chứng chỉ vào Server Certificates trong IIS và bind HTTPS cho website, bật SNI nếu có nhiều tên miền trên cùng IP.
  • Kiểm tra chuỗi chứng chỉ (intermediate/CA) để tránh cảnh báo bảo mật trên trình duyệt.

Tạo CSR trên IIS 8/8.5 để đăng ký chứng chỉ SSL cho websiteTạo CSR trên IIS 8/8.5 để đăng ký chứng chỉ SSL cho website

Import chứng chỉ bằng Server Certificates:

  • Chọn Import, nạp file PFX và mật khẩu.
  • Ánh xạ chứng chỉ với website qua Edit Bindings, chọn https, chỉ định certificate phù hợp.

Import chứng chỉ SSL vào mục Server Certificates trong IIS 8 để cấu hình HTTPSImport chứng chỉ SSL vào mục Server Certificates trong IIS 8 để cấu hình HTTPS

Chuyển hướng HTTP sang HTTPS với URL Rewrite

Cài đặt module URL Rewrite, tạo rule Redirect 301 từ http sang https:

  • Pattern: ^(.*)$
  • Action: Redirect to https://{HTTP_HOST}/{R:1}
  • Loại redirect: Permanent (301)
  • Áp dụng điều kiện khi {HTTPS} off để tránh vòng lặp.

Cấu hình URL Rewrite chuyển hướng 301 từ HTTP sang HTTPS trong IIS 8Cấu hình URL Rewrite chuyển hướng 301 từ HTTP sang HTTPS trong IIS 8

Bổ sung HSTS trong custom headers để tăng bảo mật: Strict-Transport-Security: max-age=31536000; includeSubDomains; preload.

Bảo mật IIS 8: các thiết lập khuyến nghị

  • Dynamic IP Restrictions: hạn chế theo số lần yêu cầu/địa chỉ IP, ngăn brute force.
  • Request Filtering: chặn extension và pattern nguy hiểm, giới hạn độ dài URL/headers.
  • TLS: tắt SSL 3.0/TLS 1.0, ưu tiên TLS 1.2; dùng công cụ IIS Crypto để cấu hình cipher suites.
  • Authentication: chỉ bật phương thức cần thiết (Basic/Windows/Anonymous), cấu hình Authorization Rules chặt chẽ.
  • Directory Browsing: tắt nếu không cần; kiểm soát MIME types cho file lạ.
  • Logging: bật W3C logging, xoay vòng log, giám sát bất thường; gửi log về hệ thống SIEM nếu có.

Tối ưu hiệu năng và độ ổn định

  • Compression: bật Static và Dynamic Content Compression để giảm băng thông.
  • Output Caching: cấu hình kernel-mode caching cho nội dung tĩnh thường truy cập.
  • Application Pool: đặt Recycling theo lịch; chế độ Start Automatically; cấu hình CPU throttling khi tải cao.
  • Keep-Alive: bật để giảm latency; cân chỉnh idle timeout phù hợp.
  • Monitor: theo dõi Worker Processes, Requests, và Failed Request Tracing.

Thiết lập giới hạn kết nối và kiểm soát tài nguyên trong IIS để ổn định hiệu năngThiết lập giới hạn kết nối và kiểm soát tài nguyên trong IIS để ổn định hiệu năng

Chạy PHP và WordPress trên IIS 8

  • Cài đặt CGI và FastCGI trong Role Services.
  • Cài PHP và PHP Manager for IIS (nếu sử dụng), tạo Handler Mappings cho .php.
  • Kiểm tra phpinfo(); bật URL Rewrite để hỗ trợ permalinks của WordPress.
  • Tối ưu upload_max_filesize, memory_limit, opcache; cấu hình file permissions an toàn.

Triển khai FTP trên IIS

  • Thêm FTP Server role service; tạo FTP Site, chọn thư mục gốc.
  • Cấu hình Authentication (Basic) và Authorization (Allow Specified Users/Groups).
  • Mở port 21 và cấu hình firewall; dùng FTPS (TLS) để bảo mật truyền tải.
  • Bật user isolation nếu cần phân tách thư mục người dùng.

Khởi tạo FTP Site cơ bản trên IIS trong Windows Server để chia sẻ tập tin an toànKhởi tạo FTP Site cơ bản trên IIS trong Windows Server để chia sẻ tập tin an toàn

Giám sát, sao lưu và tự động hóa

  • Logs: bật W3C logs cho từng site; dùng Log Parser hoặc công cụ phân tích để theo dõi.
  • Failed Request Tracing (FREB): bật cho site gặp lỗi, giúp chẩn đoán chi tiết.
  • Sao lưu: sao chép applicationHost.config (C:WindowsSystem32inetsrvconfig); lưu PFX chứng chỉ an toàn.
  • PowerShell/IISAdministration:
    • Install-WindowsFeature Web-Server -IncludeManagementTools
    • New-WebAppPool, Set-ItemProperty IIS:AppPools
    • New-Website -Name “” -PhysicalPath “” -Port 80 -HostHeader “”
    • New-WebBinding -Name “” -Protocol https -Port 443 -HostHeader “”
    • Import-PfxCertificate cho chứng chỉ vào LocalMachineMy

Xử lý lỗi thường gặp

  • 404.17 (extension chưa map): thêm Handler Mappings hoặc bật ASP.NET/CGI tương ứng.
  • 500.19 (web.config sai): kiểm tra cấu trúc XML, permissions thư mục cấu hình.
  • 401/403 (quyền truy cập): cấp quyền NTFS cho IIS_IUSRS/Identity của App Pool.
  • 503 (App Pool stopped): kiểm tra tài khoản App Pool, connection strings, thư viện phụ thuộc.
  • HTTPS cảnh báo: cài intermediate CA, kiểm tra hostname/certificate match, chuỗi tin cậy.

Checklist cấu hình nhanh

  • Cập nhật Windows, đặt IP tĩnh, mở port 80/443.
  • Cài IIS với Role Services cần thiết, bật logging–compression.
  • Tạo App Pool và Website, thiết lập bindings và host headers.
  • Tạo CSR, import SSL, bật SNI, redirect HTTP→HTTPS, thêm HSTS.
  • Bảo mật với Request Filtering, DIPR; tối ưu caching–recycling.
  • Thiết lập FTP/FTPS (nếu dùng), sao lưu cấu hình và chứng chỉ.

Câu hỏi thường gặp

  • IIS 8 có hỗ trợ nhiều SSL trên một IP không? Có, dùng SNI khi thêm HTTPS binding.
  • Làm sao chuyển toàn bộ HTTP sang HTTPS? Cài URL Rewrite và tạo rule 301 dựa trên {HTTPS} off.
  • Chạy PHP trên IIS có ổn định? Ổn định với FastCGI và cấu hình handler đúng; kiểm tra permissions và tham số PHP.
  • Tăng tốc website trên IIS như thế nào? Bật compression, kernel-mode caching, tối ưu App Pool recycling và logging.
  • Có nên bật Directory Browsing? Không, chỉ bật khi thực sự cần và có kiểm soát truy cập.

Với các bước và thiết lập trên, bạn có thể triển khai IIS 8 trên Windows Server 2012 cho nhiều loại ứng dụng web, đảm bảo an toàn, hiệu năng cao và dễ quản trị ở môi trường sản xuất.

admin