在使用 IIS 的 Windows 上裝載 ASP.NET Core

  • 發行項

Internet Information Services (IIS) 是裝載 Web 應用程式 (包括 ASP.NET Core) 的彈性、安全且可管理的 Web 服務器。

支援的平台

以下為支援的作業系統:

  • Windows 7 或更新版本
  • Windows Server 2012 R2 或更新版本

支援針對 32 位元 (x86) 或 64 位元 (x64) 部署發行的應用程式。 使用 32 位元 (x86) .NET Core SDK 部署 32 位元應用程式,除非應用程式:

  • 需要提供給 64 位元應用程式使用的較大虛擬記憶體位址空間。
  • 需要較大的 IIS 堆疊大小。
  • 有 64 位元原生相依性。

安裝 ASP.NET Core 模組/裝載套件組合

使用下列連結下載最新的安裝程式:

目前的 .NET Core 裝載套件組合安裝程式 (直接下載)

如需如何安裝 ASP.NET Core 模組、或安裝不同版本的更多詳細指示,請參閱安裝 .NET Core 裝載套件組合

若要下載舊版主機套件組合,請參閱此 GitHub 問題 \(英文\)。

開始使用

如需在 IIS 上裝載網站的使用者入門,請參閱我們的使用者入門指南

如需在 Azure App Services 上裝載網站的使用者入門,請參閱我們的部署至 Azure App Service 指南

組態

如需設定指引,請參閱進階設定

IIS 系統管理員的部署資源

重疊回收

一般而言,建議您針對零停機部署使用類似藍綠部署的模式。 重疊回收協助等功能,但不保證您可以執行零停機部署。 如需詳細資訊,請參閱這個 GitHub 問題。

選擇性用戶端憑證

如需必須使用憑證來保護應用程式子集的應用程式相關資訊,請參閱選擇性用戶端憑證

其他資源

如需將 ASP.NET Core 應用程式發佈至 IIS 伺服器的教學課程體驗,請參閱將 ASP.NET Core 應用程式發佈到 IIS

安裝 .NET Core 裝載套件組合

支援的作業系統

以下為支援的作業系統:

  • Windows 7 或更新版本
  • Windows Server 2012 R2 或更新版本

HTTP.sys 伺服器 (先前稱為 WebListener) 不適用搭配 IIS 的反向 Proxy 設定。 使用 Kestrel 伺服器

如需在 Azure 中裝載的相關資訊,請參閱將 ASP.NET Core 應用程式部署至 Azure App Service

如需疑難排解指引,請參閱針對 ASP.NET Core 專案進行疑難排解和偵錯

支援的平台

支援針對 32 位元 (x86) 或 64 位元 (x64) 部署發行的應用程式。 使用 32 位元 (x86) .NET Core SDK 部署 32 位元應用程式,除非應用程式:

  • 需要提供給 64 位元應用程式使用的較大虛擬記憶體位址空間。
  • 需要較大的 IIS 堆疊大小。
  • 有 64 位元原生相依性。

針對 32 位元 (x86) 發佈的應用程式必須為其 IIS 應用程式集區啟用 32 位元。 如需詳細資訊,請參閱建立 IIS 網站一節。

使用 64 位元 (x64) .NET Core SDK 來發行 64 位元應用程式。 主機系統上必須有 64 位元執行階段存在。

裝載模型

同處理序主控模型

使用同處理序裝載,ASP.NET Core 應用程式會在與其 IIS 工作者處理序相同的處理序中執行。 因為要求未透過回送介面卡 (將連出網路流量傳回同一部電腦的網路介面) 進行 proxy 處理,所以同處理序裝載會提供優於跨處理序裝載的效能。 IIS 透過 Windows 處理序啟用服務 (WAS) 來執行處理程序管理。

ASP.NET Core 模組

  • 執行應用程式初始化。
    • 載入 CoreCLR
    • 呼叫 Program.Main
  • 處理 IIS 原生要求的存留期。

下圖說明 IIS、ASP.NET Core 模組和同處理序裝載應用程式之間的關聯性:

ASP.NET Core Module in the in-process hosting scenario

  1. 要求會從 Web 到達核心模式的 HTTP.sys 驅動程式。
  2. 驅動程式會在網站設定的連接埠上將原生要求路由至 IIS,此連接埠通常是 80 (HTTP) 或 443 (HTTPS)。
  3. ASP.NET Core 模組會接收原生要求,並將其傳遞至 IIS HTTP 伺服器 (IISHttpServer)。 IIS HTTP 伺服器是 IIS 的同處理序伺服程式實作,可將要求從原生轉換為受控。

在 IIS HTTP 伺服器處理要求之後:

  1. 要求會傳送至 ASP.NET Core 中介軟體管線。
  2. 中介軟體管線會處理要求,並將其作為 HttpContext 執行個體傳遞至應用程式的邏輯。
  3. 應用程式的回應會透過 IIS HTTP 伺服器傳回 IIS。
  4. IIS 會將回應傳送到起始該要求的用戶端。

選擇對現有的應用程式加入同處理序裝載。 ASP.NET Core Web 範本會使用同處理序裝載模型。

CreateDefaultBuilder 會透過呼叫 UseIIS 方法來啟動 CoreCLR 以新增 IServer,並在 IIS 工作者處理序 (w3wp.exeiisexpress.exe) 內裝載應用程式。 效能測試指出,相較於將 .NET Core 應用程式裝載於處理序外,並將要求 Proxy 處理至 Kestrel,裝載於處理序內可提供明顯更高的要求輸送量。

發佈為單一檔案可執行檔的應用程式無法由同處理序裝載模型載入。

跨處理序裝載模型

因為 ASP.NET Core 應用程式執行所在的處理序會與 IIS 工作者處理序分開,所以 ASP.NET Core 模組會執行處理程序管理。 此模組會在第一個要求到達時啟動 ASP.NET Core 應用程式的處理序,並在應用程式關閉或損毀時將它重新啟動。 此行為基本上與執行同處理序,並由 Windows 處理序啟用服務 (WAS) 所管理的應用程式相同。

下圖說明 IIS、ASP.NET Core 模組和跨處理序裝載應用程式之間的關聯性:

ASP.NET Core Module in the out-of-process hosting scenario

  1. 要求會從 Web 到達核心模式的 HTTP.sys 驅動程式。
  2. 驅動程式會在網站設定的通訊埠上將要求路由至 IIS。 設定的通訊埠通常是 80 (HTTP) 或 443 (HTTPS)。
  3. 此模組會在應用程式的隨機通訊埠上將要求轉送至 Kestrel。 隨機通訊埠並不是 80 或 443。

ASP.NET Core 模組會在啟動時透過環境變數指定通訊埠。 UseIISIntegration 擴充功能會將伺服器設定為在 http://localhost:{PORT} 上接聽。 將會執行額外檢查,不是源自模組的要求都會遭到拒絕。 模組不支援 HTTPS 轉送。 即使由 IIS 透過 HTTPS 接收,要求還是會透過 HTTP 轉送。

Kestrel 收取來自模組的要求之後,要求會被轉送至 ASP.NET Core 中介軟體管線。 中介軟體管線會處理要求,並將其作為 HttpContext 執行個體傳遞至應用程式的邏輯。 IIS Integration 新增的中介軟體會更新配置、遠端 IP 和帳戶路徑基底,以將要求轉送至 Kestrel。 應用程式的回應會傳回 IIS,而 IIS 會將其轉送回起始要求的 HTTP 用戶端。

如需 ASP.NET Core 模組設定指引,請參閱適用於 IIS 的 ASP.NET Core 模組 (ANCM)

如需代管的詳細資訊,請參閱在 ASP.NET Core 中代管

應用程式設定

啟用 IISIntegration 元件

CreateHostBuilder (Program.cs) 中建置主機時,呼叫 CreateDefaultBuilder 以啟用 IIS 整合:

public static IHostBuilder CreateHostBuilder(string[] args) =>
    Host.CreateDefaultBuilder(args)
        ...

如需關於 CreateDefaultBuilder 的詳細資訊,請參閱 ASP.NET Core 中的 .NET 泛型主機

IIS 選項

同處理序主控模型

若要設定 IIS 伺服器選項,請在 ConfigureServices 中加入 IISServerOptions 的服務設定。 下列範例會停用 AutomaticAuthentication:

services.Configure<IISServerOptions>(options => 
{
    options.AutomaticAuthentication = false;
});
選項 預設 設定
AutomaticAuthentication true 若為 true,IIS 伺服器會設定由 Windows 驗證所驗證的 HttpContext.User。 若為 false,則伺服器僅會對 HttpContext.User 提供身分識別,並在 AuthenticationScheme 明確要求時回應挑戰。 必須在 IIS 中啟用 Windows 驗證以讓 AutomaticAuthentication 作用。 如需詳細資訊,請參閱 Windows 驗證
AuthenticationDisplayName null 設定使用者在登入頁面上看到的顯示名稱。
AllowSynchronousIO false 是否要針對 HttpContext.RequestHttpContext.Response 允許同步 I/O。
MaxRequestBodySize 30000000 取得或設定 HttpRequest 的要求本文大小上限。 請注意,IIS 本身具有限制 maxAllowedContentLength,此限制將在 IISServerOptions 中設定 MaxRequestBodySize 時處理。 變更 MaxRequestBodySize 將不會影響 maxAllowedContentLength。 若要增加 maxAllowedContentLength,請在 web.config 中新增項目,以將 maxAllowedContentLength 設定為較高的值。 如需更多詳細資料,請參閱組態

跨處理序裝載模型

若要設定 IIS 選項,請在 ConfigureServices 中加入 IISOptions 的服務設定。 下列範例會防止應用程式填入 HttpContext.Connection.ClientCertificate

services.Configure<IISOptions>(options => 
{
    options.ForwardClientCertificate = false;
});
選項 預設 設定
AutomaticAuthentication true 若為 trueIIS 整合中介軟體會設定由 Windows 驗證所驗證的 HttpContext.User。 如果為 false,則驗證中介軟體僅針對 HttpContext.User 提供身分識別,並在游 AuthenticationScheme 提出明確要求時回應挑戰。 必須在 IIS 中啟用 Windows 驗證以讓 AutomaticAuthentication 作用。 如需詳細資訊,請參閱 Windows 驗證主題。
AuthenticationDisplayName null 設定使用者在登入頁面上看到的顯示名稱。
ForwardClientCertificate true 如果為 trueMS-ASPNETCORE-CLIENTCERT 要求標頭已存在,則會填入 HttpContext.Connection.ClientCertificate

Proxy 伺服器和負載平衡器案例

IIS 整合中介軟體和 ASP.NET Core 模組設定為轉送:

  • 配置 (HTTP/HTTPS)。
  • 發出要求的遠端 IP 位址。

IIS 整合中介軟體會設定轉送標頭中介軟體。

其他 Proxy 伺服器和負載平衡器後方託管的應用程式可能需要其他設定。 如需詳細資訊,請參閱設定 ASP.NET Core 以處理 Proxy 伺服器和負載平衡器

web.config 檔案

web.config 檔案是用來設定 ASP.NET Core 模組。 發佈專案時,由 MSBuild 目標 (_TransformWebConfig) 處理 web.config 檔案的建立、轉換及發佈。 此目標存在於 Web SDK 目標 (Microsoft.NET.Sdk.Web)。 SDK 設定在專案檔的頂端:

<Project Sdk="Microsoft.NET.Sdk.Web">

如果專案中沒有 web.config 檔案,則系統會使用正確的 processPatharguments 建立該檔案以設定 ASP.NET Core 模組,並將該檔案移至已發佈的輸出

如果專案中沒有 web.config 檔案,則系統會使用正確的 processPatharguments 轉換該檔案以設定 ASP.NET Core 模組,並將該檔案移至已發佈的輸出。 轉換不會修改檔案中的 IIS 組態設定。

web.config 檔案可提供能控制作用中 IIS 模組的額外 IIS 組態設定。 如需能處理 ASP.NET Core 應用程式要求之 IIS 模組的相關資訊,請參閱 IIS 模組主題。

為防止 Web SDK 轉換 web.config 檔案,請使用專案檔中的 <IsTransformWebConfigDisabled> 屬性:

<PropertyGroup>
  <IsTransformWebConfigDisabled>true</IsTransformWebConfigDisabled>
</PropertyGroup>

使 Web SDK 無法轉換檔案時,應該由開發人員手動設定 processPatharguments。 如需詳細資訊,請參閱適用於 IIS 的 ASP.NET Core 模組 (ANCM)

web.config 檔案位置

為了正確設定 ASP.NET Core 模組web.config 檔案必須存在於已部署應用程式的內容根路徑 (通常是應用程式基底路徑)。 這是與提供給 IIS 的網站實體路徑相同的位置。 應用程式的根目錄需有 web.config 檔案,才能使用 Web Deploy 發行多個應用程式。

敏感性檔案存在於應用程式的實體路徑上,例如 {ASSEMBLY}.runtimeconfig.json{ASSEMBLY}.xml (XML 文件註解) 和 {ASSEMBLY}.deps.json,其中預留位置 {ASSEMBLY} 是組件名稱。 當 web.config 檔案存在且網站正常啟動時,如果有人要求機密檔案,IIS 不會予以提供。 若 web.config 檔案遺失或沒有正確命名,或是無法設定網站以正常啟動,IIS 可能會公開提供機密檔案。

web.config 檔案必須持續存在於部署之中、已正確命名,並能夠設定網站以正常啟動。 無論在任何情況下,請都不要從生產環境部署移除 web.config 檔案。

轉換 web.config

如果您需要在發佈時轉換 web.config,請參閱轉換 web.config。您可能需要在發佈時轉換 web.config,以根據組態、設定檔或環境來設定環境變數。

IIS 組態

Windows Server 作業系統

啟用網頁伺服器 (IIS) 伺服器角色,並建立角色服務。

  1. 使用來自 [管理] 功能表的 [新增角色及功能] 精靈,或是 [伺服器管理員] 中的連結。 在伺服器角色步驟中,核取 [網頁伺服器 (IIS)] 方塊。

    The Web Server IIS role is selected in the Select server roles step.

  2. 在 [功能] 步驟之後,[角色服務] 步驟會針對網頁伺服器 (IIS) 進行載入。 選取所需的 IIS 角色服務或接受所提供的預設角色服務。

    The default role services are selected in the Select role services step.

    Windows 驗證 (選擇性)
    若要啟用 Windows 驗證,請展開下列節點:[網頁伺服器]>[安全性]。 選取 [Windows 驗證] 功能。 如需詳細資訊,請參閱 Windows 驗證<windowsAuthentication>設定 Windows 驗證

    WebSocket (選擇性)
    WebSocket 由 ASP.NET Core 1.1 或更新版本所支援。 若要啟用 WebSocket,請展開下列節點:[網頁伺服器]>[應用程式開發]。 選取 [WebSocket 通訊協定] 功能。 如需詳細資訊,請參閱 WebSockets

  3. 透過確認步驟繼續作業,安裝網頁伺服器角色和服務。 安裝網頁伺服器 (IIS) 角色之後,不需要重新啟動伺服器/IIS。

Windows 桌面作業系統

啟用 [IIS 管理主控台] 和 [World Wide Web 服務]

  1. 瀏覽到 [控制台]> [程式]> [程式和功能]>[開啟或關閉 Windows 功能] \(畫面左側\)。

  2. 開啟 [Internet Information Services] 節點。 開啟 [Web 管理工具] 節點。

  3. 核取 [IIS 管理主控台] 方塊。

  4. [World Wide Web Services] (全球資訊網服務) 核取方塊。

  5. 接受全球資訊網服務的預設功能,或自訂 IIS 功能。

    Windows 驗證 (選擇性)
    若要啟用 Windows 驗證,請展開下列節點:[World Wide Web 服務]>[安全性]。 選取 [Windows 驗證] 功能。 如需詳細資訊,請參閱 Windows 驗證 <windowsAuthentication>設定 Windows 驗證

    WebSocket (選擇性)
    WebSocket 由 ASP.NET Core 1.1 或更新版本所支援。 若要啟用 WebSocket,請展開下列節點:[World Wide Web 服務]>[應用程式開發功能]。 選取 [WebSocket 通訊協定] 功能。 如需詳細資訊,請參閱 WebSockets

  6. 若 IIS 安裝需要重新啟動,請重新啟動系統。

IIS Management Console and World Wide Web Services are selected in Windows Features.

安裝 .NET Core 裝載套件組合

在主控系統上安裝 .NET Core 裝載套件組合。 套件組合會安裝 .NET Core 執行階段、.NET Core 程式庫和 ASP.NET Core 模組。 此模組可讓 ASP.NET Core 應用程式在 IIS 背後執行。

重要

若裝載套件組合在 IIS 之前安裝,則必須對該套件組合安裝進行修復。 請在安裝 IIS 之後,再次執行裝載套件組合安裝程式。

如果在安裝 64 位元 (x64) 版本的 .NET Core 後才安裝裝載套件組合,那麼可能會遺漏 SDK (未偵測到 .NET Core SDK)。 若要解決此問題,請參閱針對 ASP.NET Core 專案進行疑難排解和偵錯

直接下載 (目前版本)

使用下列連結下載安裝程式:

目前的 .NET Core 裝載套件組合安裝程式 (直接下載)

安裝程式的先前版本

若要取得安裝程式的先前版本:

  1. 瀏覽至下載 .NET Core 頁面。
  2. 選取所需的 .NET Core 版本。
  3. 在 [執行應用程式 - 執行階段] 欄中,尋找想要的 .NET Core 執行階段版本列。
  4. 使用 [裝載套件組合] 連結下載安裝程式。

警告

某些安裝程式包含已達到期生命週期結束 (EOL) 的發行版本,這些發行版本已不受 Microsoft 支援。 如需詳細資訊,請參閱支援原則 \(英文 \)。

安裝裝載套件組合

  1. 在伺服器上執行安裝程式。 從系統管理員命令殼層執行安裝程式時,有 下列參數可用:

    • OPT_NO_ANCM=1:跳過安裝 ASP.NET Core 模組。
    • OPT_NO_RUNTIME=1:跳過安裝 .NET Core 執行階段。 當伺服器只裝載自封式部署 (SCD) 時使用。
    • OPT_NO_SHAREDFX=1:跳過安裝 ASP.NET 共用架構 (ASP.NET 執行階段)。 當伺服器只裝載自封式部署 (SCD) 時使用。
    • OPT_NO_X86=1:跳過安裝 x86 執行階段。 當您確定不會裝載 32 位元應用程式時,請使用此參數。 如果將來有可能同時裝載 32 位元和 64 位元應用程式,請不要使用此參數並安裝這兩個執行階段。
    • OPT_NO_SHARED_CONFIG_CHECK=1:停用使用 IIS 共用設定 (當共用設定 (applicationHost.config) 位於與 IIS 安裝相同的機器上時) 進行檢查。 只在 ASP.NET Core 2.2 或更新版本的裝載套件組合安裝程式上可用。 如需詳細資訊,請參閱適用於 IIS 的 ASP.NET Core 模組 (ANCM)

  2. 重新啟動 IIS 將能偵測到由安裝程式對系統路徑 (此為環境變數) 所做出的變更。 若要重新啟動網頁伺服器,請停止 Windows Process Activation Service (WAS),然後重新啟動 World Wide Web Publishing Service (W3SVC)。 重新啟動系統,在提升權限的命令殼層中執行下列命令:

    net stop was /y
net start w3svc

ASP.NET Core 不會針對共用架構套件的修補程式版本採用向前復原行為。 藉由安裝新的裝載套件組合升級共用架構之後,請重新啟動系統,在提升權限的命令殼層中執行下列命令:

net stop was /y
net start w3svc

注意

如需 IIS 共用組態的資訊,請參閱使用 IIS 共用組態的 ASP.NET Core 模組

使用 Visual Studio 發佈時安裝 Web Deploy

將應用程式部署到具有 Web Deploy 的伺服器時,請在伺服器上安裝最新版的 Web Deploy。 若要安裝 Web Deploy,請使用 Web Platform Installer (WebPI) 或從 Microsoft 下載中心直接取得安裝程式。 慣用的方法是使用 WebPI。 WebPI 提供獨立的安裝程式和組態以裝載提供者。

建立 IIS 網站

  1. 在主控系統上,請建立資料夾以容納應用程式的已發行資料夾和檔案。 在下列步驟中,您提供資料夾路徑給 IIS,作為應用程式的實體路徑。 如需應用程式的部署資料夾和檔案配置的相關詳細資訊,請參閱 ASP.NET Core 目錄結構

  2. 在 [IIS 管理員] 中,於 [連線] 面板中開啟伺服器的節點。 以滑鼠右鍵按一下 [網站] 資料夾。 從操作功能表選取 [新增網站]

  3. 提供網站名稱,並將實體路徑設定為應用程式的部署資料夾。 透過選取 [確定] 來提供繫結設定並建立網站:

    Supply the Site name, physical path, and Host name in the Add Website step.

    警告

    使用最上層萬用字元繫結 (http://*:80/http://+:80)。 最上層萬用字元繫結可能暴露您的應用程式安全性弱點。 這對強式與弱式萬用字元皆適用。 請使用明確主機名稱,而非萬用字元。 若您擁有整個父網域 (與具弱點的 *.com 相對) 的控制權,則子網域萬用字元繫結 (例如 *.mysub.com) 就沒有此安全性風險。 如需詳細資訊,請參閱 RFC 9110:HTTP 語意 (第 7.2 節:主機和 :authority)

  4. 在伺服器的節點之下,選取 [應用程式集區]

  5. 以滑鼠右鍵按一下網站的應用程式集區,然後從操作功能表選取 [基本設定]

  6. 在 [編輯應用程式集區] 視窗中,將 [.NET CLR 版本] 設定為 [沒有受控碼]

    Set No Managed Code for the .NET CLR version.

    ASP.NET Core 會在不同的處理序中執行,並管理執行階段。 ASP.NET Core 不仰賴載入桌面 CLR (.NET CLR)。 會使用 .NET Core 的核心通用語言執行平台 (CoreCLR) 來開機,以在背景工作處理序中裝載應用程式。 將 [.NET CLR 版本] 設定為 [沒有受控碼] 是選擇性的,但建議這樣做。

  7. ASP.NET Core 2.2 或更新版本

    • 針對使用同處理序裝載模型 32 位元 SDK 發佈的 32 位元 (x86) 自封式部署,請啟用 32 位元的應用程式集區。 在 [IIS 管理員] 中,瀏覽至 [連線] 資訊看板中的 [應用程式集區]。 選取應用程式的應用程式集區。 在 [動作] 資訊看板中,選取 [進階設定]。 將 [啟用 32 位元應用程式] 設定為 True

    • 對於使用同處理序主控模型的 64 位元 (x64) 自封式部署,會停用 32 位元 (x86) 處理序的應用程式集區。 在 [IIS 管理員] 中,瀏覽至 [連線] 資訊看板中的 [應用程式集區]。 選取應用程式的應用程式集區。 在 [動作] 資訊看板中,選取 [進階設定]。 將 [啟用 32 位元應用程式] 設定為 False

  8. 確認處理序模型身分識別具有適當的權限。

    如果您將應用程式集區的預設身分識別 ([處理序模型]>Identity) 從 ApplicationPoolIdentity 變更為其他身分識別,請確認新的身分識別具有必要權限,可存取應用程式的資料夾、資料庫和其他必要的資源。 例如,應用程式集區需要針對應用程式讀取和寫入檔案的資料夾取得讀取和寫入權限。

Windows 驗證設定 (選擇性)
如需詳細資訊,請參閱設定 Windows 驗證主題。

部署應用程式

將應用程式部署至在建立 IIS 網站一節中所建立的 IIS 實體路徑資料夾。 Web Deploy 是建議的部署機制,但有數個選項可將應用程式從專案的 publish 資料夾移動至主機系統的部署資料夾。

使用 Visual Studio 的 Web Deploy

請參閱適用於 ASP.NET Core 應用程式部署的 Visual Studio 發行設定檔主題,了解如何建立搭配 Web Deploy 使用的發行設定檔。 如果主機服務提供者提供或支援建立發行設定檔,請下載其設定檔,並使用 Visual Studio 的 [發行] 對話方塊匯入其設定檔:

Publish dialog page

Visual Studio 外部的 Web Deploy

透過命令列也可以在 Visual Studio 外部使用 Web Deploy。 如需詳細資訊,請參閱 Web 部署工具

Web Deploy 的替代項目

使用數種方法的其中一種將應用程式移到主機系統,例如手動複製、XcopyRobocopyPowerShell

如需 IIS 的 ASP.NET Core 部署詳細資訊,請參閱 IIS 系統管理員的部署資源一節。

瀏覽網站

應用程式部署到主機系統之後,請向其中一個應用程式的公用端點發出要求。

在下列範例中,網站繫結至 IIS 上的連接埠80,其主機名稱www.mysite.com。 對 http://www.mysite.com 發出要求:

The Microsoft Edge browser has loaded the IIS startup page.

已鎖定的部署檔案

當應用程式執行時,會鎖定部署資料夾中的檔案。 無法於部署期間覆寫已鎖定的檔案。 若要釋放部署中的已鎖定檔案,請使用下列其中一種方法停止應用程式集區:

  • 使用 Web Deploy 並參考專案檔中的 Microsoft.NET.Sdk.Webapp_offline.htm 檔案是放在 Web 應用程式目錄的根目錄中。 當檔案存在時,ASP.NET Core 模組會正常關閉應用程式,並在部署期間提供 app_offline.htm 檔案。 如需詳細資訊,請參閱 ASP.NET Core 模組組態參考

  • 在伺服器上的 IIS 管理員中手動停止應用程式集區。

  • 使用 PowerShell 卸除 app_offline.htm (需要 PowerShell 5 或更新版本):

    $pathToApp = 'PATH_TO_APP'

# Stop the AppPool
New-Item -Path $pathToApp app_offline.htm

# Provide script commands here to deploy the app

# Restart the AppPool
Remove-Item -Path $pathToApp app_offline.htm

資料保護

ASP.NET Core 資料保護堆疊是由數個 ASP.NET Core 中介軟體所使用,包括用於驗證的中介軟體。 即使資料保護 API 不是由使用者程式碼呼叫,仍應使用部署指令碼或是在使用者程式碼中設定資料保護,以建立持續性的密碼編譯金鑰存放區。 如不設定資料保護,金鑰會保留在記憶體中,並於應用程式重新啟動時捨棄。

如果 Keyring 儲存在記憶體中,則當應用程式重新啟動時:

  • 所有以 cookie 為基礎的驗證權杖都會失效。
  • 當使用者提出下一個要求時,需要再次登入。
  • 所有以 Keyring 保護的資料都無法再解密。 這可能會包含 CSRF 權杖ASP.NET Core MVC TempData cookie

若要在 IIS 下設定資料保護以保存 Keyring,請使用下列其中一種方法:

  • 建立資料保護登錄機碼

    ASP.NET Core 應用程式所使用的資料保護金鑰會儲存在應用程式外部的登錄中。 若要保存指定應用程式的金鑰,請為應用程式集區建立登錄機碼。

    若為獨立的非Web 伺服陣列 IIS 安裝,請針對搭配使用 ASP.NET Core 應用程式的每個應用程式集區,使用資料保護 Provision-AutoGenKeys.ps1 PowerShell 指令碼。 此指令碼會在 HKLM 登錄中建立登錄機碼,只有應用程式之應用程式集區的背景工作處理序帳戶可以存取它。 在待用期間使用 DPAPI 和全電腦金鑰加密金鑰。

    在 Web 伺服陣列案例中,應用程式可以設定成使用 UNC 路徑來儲存其資料保護 Keyring。 根據預設,資料保護金鑰不予加密。 請確保網路共用的檔案權限僅限於執行應用程式的 Windows 帳戶。 可以使用 X509 憑證來保護待用的金鑰。 請考慮下列讓使用者上傳憑證的機制:將憑證放入使用者的受信任憑證存放區,並確保在執行使用者應用程式的所有電腦上都能使用這些憑證。 如需詳細資訊,請參閱設定 ASP.NET Core 資料保護

  • 設定 IIS 應用程式集區載入使用者設定檔

    此設定位在應用程式集區 [進階設定] 下的 [處理序模型] 區段中。 將 [載入使用者設定檔] 設為 True。 當設定為 True 時,金鑰會儲存在使用者設定檔目錄中,且使用具有使用者帳戶專屬金鑰的 DPAPI 保護。 金鑰會保存到 %LOCALAPPDATA%/ASP.NET/DataProtection-Keys 資料夾。

    應用程式集區的 setProfileEnvironment 屬性也必須啟用。 setProfileEnvironment 的預設值為 true。 在某些情況下 (例如 Windows OS),setProfileEnvironment 會設為 false。 如果金鑰並未如預期地儲存在使用者設定檔目錄中:

    1. 瀏覽至 %windir%/system32/inetsrv/config 資料夾。
    2. 開啟 applicationHost.config 檔案。
    3. 找到 <system.applicationHost><applicationPools><applicationPoolDefaults><processModel> 項目。
    4. 確認 setProfileEnvironment 屬性不存在 (其預設值為 true),或明確地將屬性值設為 true

  • 將檔案系統當作 Keyring 存放區使用

    調整應用程式程式碼,以將檔案系統當作 Keyring 存放區使用。 使用 X509 憑證來保護 Keyring,並確保憑證是受信任的憑證。 如果憑證為自我簽署,請將憑證放在受信任的根存放區。

    在 Web 伺服陣列中使用 IIS 時:

    • 請使用所有電腦都可以存取的檔案共用。
    • 將 X509 憑證部署到每一部電腦。 設定程式碼中的資料保護

  • 設定資料保護的全電腦原則

    針對取用資料保護 API 的所有應用程式,資料保護系統僅支援有限的預設全電腦原則設定。 如需詳細資訊,請參閱 ASP.NET Core 資料保護概觀

虛擬目錄

ASP.NET Core 應用程式不支援 IIS 虛擬目錄。 應用程式能以子應用程式的形式裝載。

子應用程式

ASP.NET Core 應用程式能以 IIS 子應用程式的形式裝載。 子應用程式的路徑會成為根應用程式 URL 的一部分。

子應用程式內的靜態資產連結應該使用波狀符號與斜線 (~/) 標記法。 波狀符號與斜線標記法會觸發標記協助程式以將子應用程式的路徑基底附加到轉譯的相對連結前面。 針對位於 /subapp_path 的子應用程式,使用 src="~/image.png" 連結的影像會轉譯為 src="/subapp_path/image.png"。 根應用程式的靜態檔案中介軟體不會處理靜態檔案要求。 要求會由子應用程式的靜態檔案中介軟體處理。

若靜態資產的 src 屬性是設定為絕對路徑 (例如,src="/image.png"),會以不使用子應用程式路徑基底的方式轉譯連結。 根應用程式的靜態檔案中介軟體會嘗試從根應用程式的 webroot 提供資產,這會導致「404 - 找不到」回應 (除非根應用程式可存取靜態資產)。

裝載 ASP.NET Core 應用程式做為另一個 ASP.NET Core 應用程式下的子應用程式:

  1. 為子應用程式建立應用程式集區。 將 [.NET CLR 版本] 設定為 [沒有受控碼],因為會將核心通用語言執行平台 (CoreCLR) 開機以在背景工作處理序中裝載應用程式,而非在桌面 CLR (.NET CLR) 中裝載。

  2. 使用根網站下資料夾中的子應用程式在 IIS 管理員中新增根網站。

  3. 以滑鼠右鍵按一下 IIS 管理員中的子應用程式資料夾,然後選取 [轉換成應用程式]

  4. 在 [新增應用程式] 對話方塊中,使用 [應用程式集區] 的[選取] 按鈕來指派您為子應用程式建立的應用程式集區。 選取 [確定]。

將不同的應用程式集區指派給子應用程式是使用同處理序裝載模型。

如需有關同處理序裝載模型與如何設定 ASP.NET Core 模組的詳細資訊,請參閱適用於 IIS 的 ASP.NET Core 模組 (ANCM)

使用 web.config 的 IIS 組態

在對使用了 ASP.NET Core 模組的 ASP.NET Core 有作用的 IIS 情境下,設定會受 web.config<system.webServer> 區段影響。 舉例來說,IIS 設定對動態壓縮有作用。 如果在伺服器層級將 IIS 設為使用動態壓縮,應用程式 web.config 檔案中的 <urlCompression> 元素則可為 ASP.NET Core 應用程式予以停用。

如需詳細資訊,請參閱下列主題:

若要設定在隔離的應用程式集區中執行之個別應用程式的環境變數 (支援 IIS 10.0 或更新版本),請參閱 IIS 參考文件的環境變數 <environmentVariables> 主題的 AppCmd.exe 命令一節。

ASP.NET Core 未使用的區段

ASP.NET Core 應用程式的設定不使用 web.config 中 ASP.NET 應用程式的設定區段:

  • <system.web>
  • <appSettings>
  • <connectionStrings>
  • <location>

使用其他組態提供者設定的 ASP.NET Core 應用程式。 如需詳細資訊,請參閱組態.NET Core 執行階段組態設定

應用程式集區

應用程式集區隔離取決於裝載模型:

  • 同處理序裝載:應用程式必須在分開的應用程式集區中執行。
  • 跨處理序裝載:建議藉由在各自的應用程式集區中執行每個應用程式,以將應用程式互相隔離。

IIS [新增網站] 對話方塊預設每個應用程式皆為單一應用程式集區。 當提供網站名稱時,文字會自動轉移至 [應用程式集區] 文字方塊。 新增網站時,會使用該網站名稱建立新的應用程式集區。

應用程式集區 Identity

應用程式集區身分識別帳戶可讓應用程式在唯一的帳戶下執行,不必建立及管理網域或本機帳戶。 在 IIS 8.0 或更新版本中,IIS 管理背景工作處理序 (WAS) 會使用新的應用程式集區名稱建立虛擬帳戶,並預設在此帳戶下執行應用程式集區的背景工作處理序。 在 IIS 管理主控台中,於應用程式集區的 [進階設定] 下,確定 Identity 設定為使用 ApplicationPoolIdentity

Application pool advanced settings dialog

IIS 管理程序會在 Windows 安全系統中,以應用程式集區的名稱建立安全識別碼。 可使用此身分識別來保護資源。 不過,此身分識別不是真正的使用者帳戶,也不會顯示在 Windows 使用者管理主控台中。

如果 IIS 背景工作處理序需要提升應用程式的存取權限,請修改包含應用程式的目錄存取控制清單 (ACL):

  1. 開啟 Windows 檔案總管,巡覽至目錄。

  2. 以滑鼠右鍵按一下目錄並選取 [屬性]

  3. 依序選取 [安全性] 索引標籤下的 [編輯] 按鈕和 [新增] 按鈕。

  4. 選取 [位置] 按鈕,並確定選取系統。

  5. 在 [輸入要選取的物件名稱] 區域中輸入 IIS AppPool\{APP POOL NAME} (其中預留位置 {APP POOL NAME} 是應用程式集區名稱)。 選取 [檢查名稱] 按鈕。 針對 [DefaultAppPool],請使用 IIS AppPool\DefaultAppPool 檢查名稱。 選取 [檢查名稱] 按鈕時,DefaultAppPool 的值便會顯示於物件名稱區域中。 您無法直接將應用程式集區名稱輸入至物件名稱區域。 檢查物件名稱時,請使用 IIS AppPool\{APP POOL NAME} 格式 (其中預留位置 {APP POOL NAME} 是應用程式集區名稱)。

    Select users or groups dialog for the app folder: The app pool name of

  6. 選取 [確定]。

    Select users or groups dialog for the app folder: After selecting

  7. 默認應授與讀取和執行許可權。 請視需要提供其他權限。

也可使用 ICACLS 工具透過命令提示字元授與存取權限。 使用 DefaultAppPool 做為範例,將會使用下列命令:

ICACLS C:\sites\MyWebApp /grant "IIS AppPool\DefaultAppPool":F

如需詳細資訊,請參閱 icacls 主題。

HTTP/2 支援

在下列 IIS 部署案例中,ASP.NET Core 支援 HTTP/2

  • 同處理序
    • Windows Server 2016/Windows 10 或更新版本;IIS 10 或更新版本
    • TLS 1.2 或更新版本連線
  • 跨處理序
    • Windows Server 2016/Windows 10 或更新版本;IIS 10 或更新版本
    • 公開 Edge Server 連線使用 HTTP/2,但是對 Kestrel 伺服器的反向 Proxy 連線使用 HTTP/1.1。
    • TLS 1.2 或更新版本連線

針對建立 HTTP/2 連線時的同處理序部署,HttpRequest.Protocol 會回報 HTTP/2。 針對建立 HTTP/2 連線時的跨處理序部署,HttpRequest.Protocol 會回報 HTTP/1.1

如需有關同處理序和跨處理序主控模型的詳細資訊,請參閱適用於 IIS 的 ASP.NET Core Module (ANCM)

HTTP/2 預設為啟用。 如果 HTTP/2 連線尚未建立,連線會退為 HTTP/1.1。 如需使用 IIS 部署之 HTTP/2 設定的詳細資訊,請參閱 IIS 上的 HTTP/2

CORS 預檢要求

此節只適用於以 .NET Framework 為目標的 ASP.NET Core 應用程式。

針對以 .NET Framework 為目標的 ASP.NET Core 應用程式,在 IIS 中OPTIONS 要求預設不會傳遞到應用程式。 若要了解如何在 web.config 中設定應用程式的 IIS 處理常式以傳遞 OPTIONS 要求,請參閱在 ASP.NET Web API 2 中啟用跨原始來源要求:CORS 的運作方式

應用程式初始化模組與閒置逾時

在 IIS 中由 ASP.NET Core 模組版本 2 裝載時:

應用程式初始化模組

套用到應用程式裝載同處理序與非同處理序。

IIS 應用程式初始化是一項 IIS 功能,可在應用程式集區啟動或回收時,將 HTTP 要求傳送給應用程式。 要求會觸發應用程式啟動。 根據預設,IIS 會發出應用程式根 URL (/) 的要求以初始化應用程式 (如需有關設定的詳細資訊,請參閱額外資源)。

確認已啟用「IIS 應用程式初始化」角色功能:

在 Windows 7 或更新的電腦系統上,當在本機使用 IIS 時:

  1. 瀏覽到 [控制台]> [程式]> [程式和功能]>[開啟或關閉 Windows 功能] \(畫面左側\)。
  2. 開啟 [網際網路資訊服務]>[World Wide Web 服務]>[應用程式開發功能]
  3. 選取 [應用程式初始化] 的核取方塊。

在 Windows Server 2008 R2 或更新版本上:

  1. 開啟「新增角色與功能精靈」
  2. 在 [選取角色服務] 面板中,開啟 [應用程式開發] 節點。
  3. 選取 [應用程式初始化] 的核取方塊。

使用下列任一方式為網站啟用應用程式初始化模組:

  • 使用 IIS 管理員:

    1. 選取 [連線] 面板中的 [應用程式集區]
    2. 以滑鼠右鍵按一下清單中應用程式的應用程式集區,然後選取 [進階設定]
    3. 預設的 [啟動模式] 是 [OnDemand]。 將 [啟動模式] 設定為 [AlwaysRunning]。 選取 [確定]。
    4. 開啟 [連線] 面板中的 [站台] 節點。
    5. 以滑鼠右鍵按一下應用程式,然後選取 [管理網站]> [進階設定]
    6. 預設 [預先載入已啟用] 設定是 [False]。 將 [預先載入已啟用] 設定為 [True]。 選取 [確定]。

  • 使用 web.config,新增 <applicationInitialization> 元素並將 doAppInitAfterRestart 設定為 true 至應用程式 web.config` 檔案中的 <system.webServer> 元素:

    <?xml version="1.0" encoding="utf-8"?>
<configuration>
  <location path="." inheritInChildApplications="false">
    <system.webServer>
      <applicationInitialization doAppInitAfterRestart="true" />
    </system.webServer>
  </location>
</configuration>

閒置逾時

僅適用於應用程式裝載同處理序。

若要防止應用程式閒置,請使用 IIS 管理員設定應用程式集區的閒置逾時:

  1. 選取 [連線] 面板中的 [應用程式集區]
  2. 以滑鼠右鍵按一下清單中應用程式的應用程式集區,然後選取 [進階設定]
  3. 預設 [閒置逾時 (分鐘)]20 分鐘。 將 [閒置逾時 (分鐘)] 設定為 0 (零)。 選取 [確定]。
  4. 回收背景工作處理序。

若要防止應用程式裝載非同處理序逾時,請使用下列任一方式:

應用程式初始化模組與閒置逾時額外資源

IIS 系統管理員的部署資源

其他資源

如需將 ASP.NET Core 應用程式發佈至 IIS 伺服器的教學課程體驗,請參閱將 ASP.NET Core 應用程式發佈到 IIS

安裝 .NET Core 裝載套件組合

支援的作業系統

以下為支援的作業系統:

  • Windows 7 或更新版本
  • Windows Server 2008 R2 或更新版本

HTTP.sys 伺服器 (先前稱為 WebListener) 不適用搭配 IIS 的反向 Proxy 設定。 使用 Kestrel 伺服器

如需在 Azure 中裝載的相關資訊,請參閱將 ASP.NET Core 應用程式部署至 Azure App Service

如需疑難排解指引,請參閱針對 ASP.NET Core 專案進行疑難排解和偵錯

支援的平台

支援針對 32 位元 (x86) 或 64 位元 (x64) 部署發行的應用程式。 使用 32 位元 (x86) .NET Core SDK 部署 32 位元應用程式,除非應用程式:

  • 需要提供給 64 位元應用程式使用的較大虛擬記憶體位址空間。
  • 需要較大的 IIS 堆疊大小。
  • 有 64 位元原生相依性。

使用 64 位元 (x64) .NET Core SDK 來發行 64 位元應用程式。 主機系統上必須有 64 位元執行階段存在。

ASP.NET Core 隨附 Kestrel 伺服器,其為預設的跨平台 HTTP 伺服器。

在使用 IISIIS Express 時,應用程式會執行於從 IIS 背景工作處理序中分離出的處理序 (跨處理序),並搭配 Kestrel 伺服器

因為 ASP.NET Core 應用程式執行所在的處理序會與 IIS 工作者處理序分開,所以此模組會執行處理程序管理。 此模組會在第一個要求到達時啟動 ASP.NET Core 應用程式的處理序,並在應用程式關閉或損毀時將它重新啟動。 此行為基本上與執行同處理序,並由 Windows 處理序啟用服務 (WAS) 所管理的應用程式相同。

下圖說明 IIS、ASP.NET Core 模組和跨處理序裝載應用程式之間的關聯性:

ASP.NET Core Module

要求會從 Web 到達核心模式的 HTTP.sys 驅動程式。 驅動程式會在網站設定的通訊埠上將要求路由至 IIS,此通訊埠通常是 80 (HTTP) 或 443 (HTTPS)。 此模組會在應用程式的隨機通訊埠上將要求轉送至 Kestrel,而且不會是通訊埠 80 或 443。

此模組在啟動時透過環境變數指定連接埠,而 IIS 整合中介軟體則會設定伺服器來接聽 http://localhost:{port}。 將會執行額外檢查,不是源自模組的要求都會遭到拒絕。 此模組不支援 HTTPS 轉送,因此即使由 IIS 透過 HTTPS 接收,要求還是會透過 HTTP 轉送。

Kestrel 收取來自模組的要求之後,要求會被推送至 ASP.NET Core 中介軟體管線。 中介軟體管線會處理要求,並將其作為 HttpContext 執行個體傳遞至應用程式的邏輯。 IIS Integration 新增的中介軟體會更新配置、遠端 IP 和帳戶路徑基底,以將要求轉送至 Kestrel。 應用程式的回應會傳回 IIS,而 IIS 會將其推送回起始要求的 HTTP 用戶端。

CreateDefaultBuilder 會將 Kestrel 伺服器設為網頁伺服器,並設定 ASP.NET Core 模組的基底路徑與通訊埠來啟用 IIS 整合。

ASP.NET Core 模組會產生要指派給後端處理序的動態連接埠。 CreateDefaultBuilder 會呼叫 UseIISIntegration 方法。 UseIISIntegration 會將 Kestrel 設定為在位於 localhost IP 位址 (127.0.0.1) 的動態通訊埠上接聽。 若動態通訊埠是 1234,則 Kestrel 會在 127.0.0.1:1234 接聽。 此設定會取代由下列項目提供的其他 URL 設定:

在使用模組時不需要呼叫 UseUrls 或 Kestrel 的 Listen API。 若呼叫 UseUrlsListen,Kestrel 只會接聽未使用 IIS 執行應用程式時指定的連接埠。

如需 ASP.NET Core 模組設定指引,請參閱適用於 IIS 的 ASP.NET Core 模組 (ANCM)

如需代管的詳細資訊,請參閱在 ASP.NET Core 中代管

應用程式設定

啟用 IISIntegration 元件

CreateWebHostBuilder (Program.cs) 中建置主機時,呼叫 CreateDefaultBuilder 以啟用 IIS 整合:

public static IWebHostBuilder CreateWebHostBuilder(string[] args) =>
    WebHost.CreateDefaultBuilder(args)
        ...

如需關於 CreateDefaultBuilder 的詳細資訊,請參閱 ASP.NET Core Web 主機

IIS 選項

選項 預設 設定
AutomaticAuthentication true 若為 true,IIS 伺服器會設定由 Windows 驗證所驗證的 HttpContext.User。 若為 false,則伺服器僅會對 HttpContext.User 提供身分識別,並在 AuthenticationScheme 明確要求時回應挑戰。 必須在 IIS 中啟用 Windows 驗證以讓 AutomaticAuthentication 作用。 如需詳細資訊,請參閱 Windows 驗證
AuthenticationDisplayName null 設定使用者在登入頁面上看到的顯示名稱。

若要設定 IIS 選項,請在 ConfigureServices 中加入 IISOptions 的服務設定。 下列範例會防止應用程式填入 HttpContext.Connection.ClientCertificate

services.Configure<IISOptions>(options => 
{
    options.ForwardClientCertificate = false;
});
選項 預設 設定
AutomaticAuthentication true 若為 trueIIS 整合中介軟體會設定由 Windows 驗證所驗證的 HttpContext.User。 如果為 false,則驗證中介軟體僅針對 HttpContext.User 提供身分識別,並在游 AuthenticationScheme 提出明確要求時回應挑戰。 必須在 IIS 中啟用 Windows 驗證以讓 AutomaticAuthentication 作用。 如需詳細資訊,請參閱 Windows 驗證主題。
AuthenticationDisplayName null 設定使用者在登入頁面上看到的顯示名稱。
ForwardClientCertificate true 如果為 trueMS-ASPNETCORE-CLIENTCERT 要求標頭已存在,則會填入 HttpContext.Connection.ClientCertificate

Proxy 伺服器和負載平衡器案例

用來設定轉送標頭中介軟體及 ASP.NET Core 模組的 IIS 整合中介軟體會設定為轉送配置 (HTTP/HTTPS) 與發出要求的遠端 IP 位址。 其他 Proxy 伺服器和負載平衡器後方託管的應用程式可能需要其他設定。 如需詳細資訊,請參閱設定 ASP.NET Core 以處理 Proxy 伺服器和負載平衡器

Web.config 檔案

web.config 檔案是用來設定 ASP.NET Core 模組。 發佈專案時,由 MSBuild 目標 (_TransformWebConfig) 處理 web.config 檔案的建立、轉換及發佈。 此目標存在於 Web SDK 目標 (Microsoft.NET.Sdk.Web)。 SDK 設定在專案檔的頂端:

<Project Sdk="Microsoft.NET.Sdk.Web">

如果專案中沒有 web.config 檔案,則系統會使用正確的 processPatharguments 建立該檔案以設定 ASP.NET Core 模組,並將該檔案移至已發行的輸出

如果 web.config 檔案存在於專案中,則系統會使用正確的 processPatharguments 來轉換該檔案以設定 ASP.NET Core 模組,然後將它移至已發行的輸出。 轉換不會修改檔案中的 IIS 組態設定。

web.config 檔案可提供能控制作用中 IIS 模組的額外 IIS 組態設定。 如需能處理 ASP.NET Core 應用程式要求之 IIS 模組的相關資訊,請參閱 IIS 模組主題。

為防止 Web SDK 轉換 web.config 檔案,請使用專案檔中的 <IsTransformWebConfigDisabled> 屬性:

<PropertyGroup>
  <IsTransformWebConfigDisabled>true</IsTransformWebConfigDisabled>
</PropertyGroup>

使 Web SDK 無法轉換檔案時,應該由開發人員手動設定 processPatharguments。 如需詳細資訊,請參閱適用於 IIS 的 ASP.NET Core 模組 (ANCM)

web.config 檔案位置

為了正確設定 ASP.NET Core 模組web.config 檔案必須存在於已部署應用程式的內容根路徑 (通常是應用程式基底路徑)。 這是與提供給 IIS 的網站實體路徑相同的位置。 應用程式的根目錄需有 web.config 檔案,才能使用 Web Deploy 發行多個應用程式。

機密檔案存在於應用程式的實體路徑上,例如 <組件>.runtimeconfig.json<組件>.xml (XML 文件註解),以及 <組件>.deps.json。 當 web.config 檔案存在且網站正常啟動時,如果有人要求機密檔案,IIS 不會予以提供。 若 web.config 檔案遺失或沒有正確命名,或是無法設定網站以正常啟動,IIS 可能會公開提供機密檔案。

web.config 檔案必須持續存在於部署之中、已正確命名,並能夠設定網站以正常啟動。 無論在任何情況下,請都不要從生產環境部署移除 web.config 檔案。

轉換 web.config

如需在發佈時轉換 web.config (例如依據設定、設定檔或環境設定環境變數),請參閱轉換 web.config

IIS 組態

Windows Server 作業系統

啟用網頁伺服器 (IIS) 伺服器角色,並建立角色服務。

  1. 使用來自 [管理] 功能表的 [新增角色及功能] 精靈,或是 [伺服器管理員] 中的連結。 在伺服器角色步驟中,核取 [網頁伺服器 (IIS)] 方塊。

    The Web Server IIS role is selected in the Select server roles step.

  2. 在 [功能] 步驟之後,[角色服務] 步驟會針對網頁伺服器 (IIS) 進行載入。 選取所需的 IIS 角色服務或接受所提供的預設角色服務。

    The default role services are selected in the Select role services step.

    Windows 驗證 (選擇性)
    若要啟用 Windows 驗證,請展開下列節點:[網頁伺服器]>[安全性]。 選取 [Windows 驗證] 功能。 如需詳細資訊,請參閱 Windows 驗證 <windowsAuthentication>設定 Windows 驗證

    WebSocket (選擇性)
    WebSocket 由 ASP.NET Core 1.1 或更新版本所支援。 若要啟用 WebSocket,請展開下列節點:[網頁伺服器]>[應用程式開發]。 選取 [WebSocket 通訊協定] 功能。 如需詳細資訊,請參閱 WebSockets

  3. 透過確認步驟繼續作業,安裝網頁伺服器角色和服務。 安裝網頁伺服器 (IIS) 角色之後,不需要重新啟動伺服器/IIS。

Windows 桌面作業系統

啟用 [IIS 管理主控台] 和 [World Wide Web 服務]

  1. 瀏覽到 [控制台]> [程式]> [程式和功能]>[開啟或關閉 Windows 功能] \(畫面左側\)。

  2. 開啟 [Internet Information Services] 節點。 開啟 [Web 管理工具] 節點。

  3. 核取 [IIS 管理主控台] 方塊。

  4. [World Wide Web Services] (全球資訊網服務) 核取方塊。

  5. 接受全球資訊網服務的預設功能,或自訂 IIS 功能。

    Windows 驗證 (選擇性)
    若要啟用 Windows 驗證,請展開下列節點:[World Wide Web 服務]>[安全性]。 選取 [Windows 驗證] 功能。 如需詳細資訊,請參閱 Windows 驗證 <windowsAuthentication>設定 Windows 驗證

    WebSocket (選擇性)
    WebSocket 由 ASP.NET Core 1.1 或更新版本所支援。 若要啟用 WebSocket,請展開下列節點:[World Wide Web 服務]>[應用程式開發功能]。 選取 [WebSocket 通訊協定] 功能。 如需詳細資訊,請參閱 WebSockets

  6. 若 IIS 安裝需要重新啟動,請重新啟動系統。

IIS Management Console and World Wide Web Services are selected in Windows Features.

安裝 .NET Core 裝載套件組合

在主控系統上安裝 .NET Core 裝載套件組合。 套件組合會安裝 .NET Core 執行階段、.NET Core 程式庫和 ASP.NET Core 模組。 此模組可讓 ASP.NET Core 應用程式在 IIS 背後執行。

重要

若裝載套件組合在 IIS 之前安裝,則必須對該套件組合安裝進行修復。 請在安裝 IIS 之後,再次執行裝載套件組合安裝程式。

如果在安裝 64 位元 (x64) 版本的 .NET Core 後才安裝裝載套件組合,那麼可能會遺漏 SDK (未偵測到 .NET Core SDK)。 若要解決此問題,請參閱針對 ASP.NET Core 專案進行疑難排解和偵錯

下載

  1. 瀏覽至下載 .NET Core 頁面。
  2. 選取所需的 .NET Core 版本。
  3. 在 [執行應用程式 - 執行階段] 欄中,尋找想要的 .NET Core 執行階段版本列。
  4. 使用 [裝載套件組合] 連結下載安裝程式。

警告

某些安裝程式包含已達到期生命週期結束 (EOL) 的發行版本,這些發行版本已不受 Microsoft 支援。 如需詳細資訊,請參閱支援原則 \(英文 \)。

安裝裝載套件組合

  1. 在伺服器上執行安裝程式。 從系統管理員命令殼層執行安裝程式時,有 下列參數可用:

    • OPT_NO_ANCM=1:跳過安裝 ASP.NET Core 模組。
    • OPT_NO_RUNTIME=1:跳過安裝 .NET Core 執行階段。 當伺服器只裝載自封式部署 (SCD) 時使用。
    • OPT_NO_SHAREDFX=1:跳過安裝 ASP.NET 共用架構 (ASP.NET 執行階段)。 當伺服器只裝載自封式部署 (SCD) 時使用。
    • OPT_NO_X86=1:跳過安裝 x86 執行階段。 當您確定不會裝載 32 位元應用程式時,請使用此參數。 如果將來有可能同時裝載 32 位元和 64 位元應用程式,請不要使用此參數並安裝這兩個執行階段。
    • OPT_NO_SHARED_CONFIG_CHECK=1:停用使用 IIS 共用設定 (當共用設定 (applicationHost.config) 位於與 IIS 安裝相同的機器上時) 進行檢查。 只在 ASP.NET Core 2.2 或更新版本的裝載套件組合安裝程式上可用。 如需詳細資訊,請參閱適用於 IIS 的 ASP.NET Core 模組 (ANCM)

  2. 重新啟動系統或在命令殼層中執行下列命令:

    net stop was /y
net start w3svc

    重新啟動 IIS 將能偵測到由安裝程式對系統路徑 (此為環境變數) 所做出的變更。

安裝裝載套件組合時,不必手動停止 IIS 中的個別網站。 IIS 重新啟動時,裝載的應用程式 (IIS 網站) 隨即重新啟動。 當應用程式收到第一個要求時 (包括來自應用程式初始化模組的要求),應用程式會再次啟動。

ASP.NET Core 會針對共用架構套件的修補程式版本採用向前復原行為。 當 IIS 裝載的應用程式以 IIS 重新啟動時,會在應用程式收到其第一個要求時,載入應用程式參考套件的最新修補程式版本。 如果未重新啟動 IIS,則應用程式會在回收其背景工作處理序並收到其第一個要求時,重新啟動並展示向前復原行為。

注意

如需 IIS 共用組態的資訊,請參閱使用 IIS 共用組態的 ASP.NET Core 模組

使用 Visual Studio 發佈時安裝 Web Deploy

將應用程式部署到具有 Web Deploy 的伺服器時,請在伺服器上安裝最新版的 Web Deploy。 若要安裝 Web Deploy,請使用 Web Platform Installer (WebPI) 或從 Microsoft 下載中心直接取得安裝程式。 慣用的方法是使用 WebPI。 WebPI 提供獨立的安裝程式和組態以裝載提供者。

建立 IIS 網站

  1. 在主控系統上,請建立資料夾以容納應用程式的已發行資料夾和檔案。 在下列步驟中,您提供資料夾路徑給 IIS,作為應用程式的實體路徑。 如需應用程式的部署資料夾和檔案配置的相關詳細資訊,請參閱 ASP.NET Core 目錄結構

  2. 在 [IIS 管理員] 中,於 [連線] 面板中開啟伺服器的節點。 以滑鼠右鍵按一下 [網站] 資料夾。 從操作功能表選取 [新增網站]

  3. 提供網站名稱,並將實體路徑設定為應用程式的部署資料夾。 透過選取 [確定] 來提供繫結設定並建立網站:

    Supply the Site name, physical path, and Host name in the Add Website step.

    警告

    使用最上層萬用字元繫結 (http://*:80/http://+:80)。 最上層萬用字元繫結可能暴露您的應用程式安全性弱點。 這對強式與弱式萬用字元皆適用。 請使用明確主機名稱,而非萬用字元。 若您擁有整個父網域 (與具弱點的 *.com 相對) 的控制權,則子網域萬用字元繫結 (例如 *.mysub.com) 就沒有此安全性風險。 如需詳細資訊,請參閱 RFC 9110:HTTP 語意 (第 7.2 節:主機和 :authority)

  4. 在伺服器的節點之下,選取 [應用程式集區]

  5. 以滑鼠右鍵按一下網站的應用程式集區,然後從操作功能表選取 [基本設定]

  6. 在 [編輯應用程式集區] 視窗中,將 [.NET CLR 版本] 設定為 [沒有受控碼]

    Set No Managed Code for the .NET CLR version.

    ASP.NET Core 會在不同的處理序中執行,並管理執行階段。 ASP.NET Core 不仰賴載入桌面 CLR (.NET CLR) — 會使用 .NET Core 的核心通用語言執行平台 (CoreCLR) 來開機以在背景工作處理序中裝載應用程式。 將 [.NET CLR 版本] 設定為 [沒有受控碼] 是選擇性的,但建議這樣做。

  7. ASP.NET Core 2.2 或更新版本:對於使用同處理序主控模型的 64 位元 (x64) 獨立式部署,會停用 32 位元 (x86) 處理序的應用程式集區。

    在 IIS 管理員的 [動作] 資訊看板 > [應用程式集區] 中,選取 [設定應用程式集區預設值] 或 [進階設定]。 找到 [啟用 32 位元應用程式],然後將其值設定為 False。 此設定不會影響為處理程序外裝載部署的應用程式。

  8. 確認處理序模型身分識別具有適當的權限。

    如果您將應用程式集區的預設身分識別 ([處理序模型]>Identity) 從 ApplicationPoolIdentity 變更為其他身分識別,請確認新的身分識別具有必要權限,可存取應用程式的資料夾、資料庫和其他必要的資源。 例如,應用程式集區需要針對應用程式讀取和寫入檔案的資料夾取得讀取和寫入權限。

Windows 驗證設定 (選擇性)
如需詳細資訊,請參閱設定 Windows 驗證主題。

部署應用程式

將應用程式部署至在建立 IIS 網站一節中所建立的 IIS 實體路徑資料夾。 Web Deploy 是建議的部署機制,但有數個選項可將應用程式從專案的 [publish] 資料夾移動至主機系統的部署資料夾。

使用 Visual Studio 的 Web Deploy

請參閱適用於 ASP.NET Core 應用程式部署的 Visual Studio 發行設定檔主題,了解如何建立搭配 Web Deploy 使用的發行設定檔。 如果主機服務提供者提供或支援建立發行設定檔,請下載其設定檔,並使用 Visual Studio 的 [發行] 對話方塊匯入其設定檔:

Publish dialog page

Visual Studio 外部的 Web Deploy

透過命令列也可以在 Visual Studio 外部使用 Web Deploy。 如需詳細資訊,請參閱 Web 部署工具

Web Deploy 的替代項目

使用數種方法的其中一種將應用程式移到主機系統,例如手動複製、XcopyRobocopyPowerShell

如需 IIS 的 ASP.NET Core 部署詳細資訊,請參閱 IIS 系統管理員的部署資源一節。

瀏覽網站

應用程式部署到主機系統之後,請向其中一個應用程式的公用端點發出要求。

在下列範例中,網站繫結至 IIS 上的連接埠80,其主機名稱www.mysite.com。 對 http://www.mysite.com 發出要求:

The Microsoft Edge browser has loaded the IIS startup page.

已鎖定的部署檔案

當應用程式執行時,會鎖定部署資料夾中的檔案。 無法於部署期間覆寫已鎖定的檔案。 若要釋放部署中的已鎖定檔案,請使用下列其中一種方法停止應用程式集區:

  • 使用 Web Deploy 並參考專案檔中的 Microsoft.NET.Sdk.Webapp_offline.htm 檔案是放在 Web 應用程式目錄的根目錄中。 當檔案存在時,ASP.NET Core 模組會正常關閉應用程式,並在部署期間提供 app_offline.htm 檔案。 如需詳細資訊,請參閱 ASP.NET Core 模組組態參考

  • 在伺服器上的 IIS 管理員中手動停止應用程式集區。

  • 使用 PowerShell 卸除 app_offline.htm (需要 PowerShell 5 或更新版本):

    $pathToApp = 'PATH_TO_APP'

# Stop the AppPool
New-Item -Path $pathToApp app_offline.htm

# Provide script commands here to deploy the app

# Restart the AppPool
Remove-Item -Path $pathToApp app_offline.htm

資料保護

ASP.NET Core 資料保護堆疊是由數個 ASP.NET Core 中介軟體所使用,包括用於驗證的中介軟體。 即使資料保護 API 不是由使用者程式碼呼叫,仍應使用部署指令碼或是在使用者程式碼中設定資料保護,以建立持續性的密碼編譯金鑰存放區。 如不設定資料保護,金鑰會保留在記憶體中,並於應用程式重新啟動時捨棄。

如果 Keyring 儲存在記憶體中,則當應用程式重新啟動時:

  • 所有以 cookie 為基礎的驗證權杖都會失效。
  • 當使用者提出下一個要求時,需要再次登入。
  • 所有以 Keyring 保護的資料都無法再解密。 這可能會包含 CSRF 權杖ASP.NET Core MVC TempData cookie

若要在 IIS 下設定資料保護以保存 Keyring,請使用下列其中一種方法:

  • 建立資料保護登錄機碼

    ASP.NET Core 應用程式所使用的資料保護金鑰會儲存在應用程式外部的登錄中。 若要保存指定應用程式的金鑰,請為應用程式集區建立登錄機碼。

    若為獨立的非Web 伺服陣列 IIS 安裝,請針對搭配使用 ASP.NET Core 應用程式的每個應用程式集區,使用資料保護 Provision-AutoGenKeys.ps1 PowerShell 指令碼。 此指令碼會在 HKLM 登錄中建立登錄機碼,只有應用程式之應用程式集區的背景工作處理序帳戶可以存取它。 在待用期間使用 DPAPI 和全電腦金鑰加密金鑰。

    在 Web 伺服陣列案例中,應用程式可以設定成使用 UNC 路徑來儲存其資料保護 Keyring。 根據預設,資料保護金鑰不予加密。 請確保網路共用的檔案權限僅限於執行應用程式的 Windows 帳戶。 可以使用 X509 憑證來保護待用的金鑰。 請考慮下列讓使用者上傳憑證的機制:將憑證放入使用者的受信任憑證存放區,並確保在執行使用者應用程式的所有電腦上都能使用這些憑證。 如需詳細資訊,請參閱設定 ASP.NET Core 資料保護

  • 設定 IIS 應用程式集區載入使用者設定檔

    此設定位在應用程式集區 [進階設定] 下的 [處理序模型] 區段中。 將 [載入使用者設定檔] 設為 True。 當設定為 True 時,金鑰會儲存在使用者設定檔目錄中,且使用具有使用者帳戶專屬金鑰的 DPAPI 保護。 金鑰會保存到 %LOCALAPPDATA%/ASP.NET/DataProtection-Keys 資料夾。

    應用程式集區的 setProfileEnvironment 屬性也必須啟用。 setProfileEnvironment 的預設值為 true。 在某些情況下 (例如 Windows OS),setProfileEnvironment 會設為 false。 如果金鑰並未如預期地儲存在使用者設定檔目錄中:

    1. 瀏覽至 %windir%/system32/inetsrv/config 資料夾。
    2. 開啟 applicationHost.config 檔案。
    3. 找到 <system.applicationHost><applicationPools><applicationPoolDefaults><processModel> 項目。
    4. 確認 setProfileEnvironment 屬性不存在 (其預設值為 true),或明確地將屬性值設為 true

  • 將檔案系統當作 Keyring 存放區使用

    調整應用程式程式碼,以將檔案系統當作 Keyring 存放區使用。 使用 X509 憑證來保護 Keyring,並確保憑證是受信任的憑證。 如果憑證為自我簽署,請將憑證放在受信任的根存放區。

    在 Web 伺服陣列中使用 IIS 時:

    • 請使用所有電腦都可以存取的檔案共用。
    • 將 X509 憑證部署到每一部電腦。 設定程式碼中的資料保護

  • 設定資料保護的全電腦原則

    針對取用資料保護 API 的所有應用程式,資料保護系統僅支援有限的預設全電腦原則設定。 如需詳細資訊,請參閱 ASP.NET Core 資料保護概觀

虛擬目錄

ASP.NET Core 應用程式不支援 IIS 虛擬目錄。 應用程式能以子應用程式的形式裝載。

子應用程式

ASP.NET Core 應用程式能以 IIS 子應用程式的形式裝載。 子應用程式的路徑會成為根應用程式 URL 的一部分。

子應用程式不應該包括 ASP.NET Core 模組做為處理常式。 如果您在子應用程式的 web.config 檔案中將模組新增為處理常式,則嘗試瀏覽子應用程式時,會收到參考錯誤設定檔的 500.19 內部伺服器錯誤

下列範例顯示 ASP.NET Core 子應用程式的已發佈 web.config 檔案:

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <system.webServer>
    <aspNetCore processPath="dotnet" 
      arguments=".\MyApp.dll" 
      stdoutLogEnabled="false" 
      stdoutLogFile=".\logs\stdout" />
  </system.webServer>
</configuration>

在 ASP.NET Core 應用程式下裝載非 ASP.NET Core 子應用程式時,請明確移除子應用程式 web.config 檔案中已繼承的處理常式:

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <system.webServer>
    <handlers>
      <remove name="aspNetCore" />
    </handlers>
    <aspNetCore processPath="dotnet" 
      arguments=".\MyApp.dll" 
      stdoutLogEnabled="false" 
      stdoutLogFile=".\logs\stdout" />
  </system.webServer>
</configuration>

子應用程式內的靜態資產連結應該使用波狀符號與斜線 (~/) 標記法。 波狀符號與斜線標記法會觸發標記協助程式以將子應用程式的路徑基底附加到轉譯的相對連結前面。 針對位於 /subapp_path 的子應用程式,使用 src="~/image.png" 連結的影像會轉譯為 src="/subapp_path/image.png"。 根應用程式的靜態檔案中介軟體不會處理靜態檔案要求。 要求會由子應用程式的靜態檔案中介軟體處理。

若靜態資產的 src 屬性是設定為絕對路徑 (例如,src="/image.png"),會以不使用子應用程式路徑基底的方式轉譯連結。 根應用程式的靜態檔案中介軟體會嘗試從根應用程式的 webroot 提供資產,這會導致「404 - 找不到」回應 (除非根應用程式可存取靜態資產)。

裝載 ASP.NET Core 應用程式做為另一個 ASP.NET Core 應用程式下的子應用程式:

  1. 為子應用程式建立應用程式集區。 將 [.NET CLR 版本] 設定為 [沒有受控碼],因為會將核心通用語言執行平台 (CoreCLR) 開機以在背景工作處理序中裝載應用程式,而非在桌面 CLR (.NET CLR) 中裝載。

  2. 使用根網站下資料夾中的子應用程式在 IIS 管理員中新增根網站。

  3. 以滑鼠右鍵按一下 IIS 管理員中的子應用程式資料夾,然後選取 [轉換成應用程式]

  4. 在 [新增應用程式] 對話方塊中,使用 [應用程式集區] 的[選取] 按鈕來指派您為子應用程式建立的應用程式集區。 選取 [確定]。

將不同的應用程式集區指派給子應用程式是使用同處理序裝載模型。

如需有關同處理序裝載模型與如何設定 ASP.NET Core 模組的詳細資訊,請參閱適用於 IIS 的 ASP.NET Core 模組 (ANCM)

使用 web.config 的 IIS 組態

在對使用了 ASP.NET Core 模組的 ASP.NET Core 有作用的 IIS 情境下,設定會受 web.config<system.webServer> 區段影響。 舉例來說,IIS 設定對動態壓縮有作用。 如果在伺服器層級將 IIS 設為使用動態壓縮,應用程式 web.config 檔案中的 <urlCompression> 元素則可為 ASP.NET Core 應用程式予以停用。

如需詳細資訊,請參閱下列主題:

若要設定在隔離的應用程式集區中執行之個別應用程式的環境變數 (支援 IIS 10.0 或更新版本),請參閱 IIS 參考文件的環境變數 <environmentVariables> 主題的 AppCmd.exe 命令一節。

ASP.NET Core 未使用的區段

ASP.NET Core 應用程式的設定不使用 web.config 中 ASP.NET 4.x 應用程式的設定區段:

  • <system.web>
  • <appSettings>
  • <connectionStrings>
  • <location>

使用其他組態提供者設定的 ASP.NET Core 應用程式。 如需詳細資訊,請參閱組態

應用程式集區

在伺服器上裝載多個網站時,建議您在其各自的應用程式集區中執行各個應用程式,讓應用程式彼此隔離。 IIS [新增網站] 對話方塊預設成此組態。 當提供網站名稱時,文字會自動轉移至 [應用程式集區] 文字方塊。 新增網站時,會使用該網站名稱建立新的應用程式集區。

應用程式集區 Identity

應用程式集區身分識別帳戶可讓應用程式在唯一的帳戶下執行,不必建立及管理網域或本機帳戶。 在 IIS 8.0 或更新版本中,IIS 管理背景工作處理序 (WAS) 會使用新的應用程式集區名稱建立虛擬帳戶,並預設在此帳戶下執行應用程式集區的背景工作處理序。 在 IIS 管理主控台中,於應用程式集區的 [進階設定] 下,確定 Identity 設定為使用 ApplicationPoolIdentity

Application pool advanced settings dialog

IIS 管理程序會在 Windows 安全系統中,以應用程式集區的名稱建立安全識別碼。 可使用此身分識別來保護資源。 不過,此身分識別不是真正的使用者帳戶,也不會顯示在 Windows 使用者管理主控台中。

如果 IIS 背景工作處理序需要提升應用程式的存取權限,請修改包含應用程式的目錄存取控制清單 (ACL):

  1. 開啟 Windows 檔案總管,巡覽至目錄。

  2. 以滑鼠右鍵按一下目錄並選取 [屬性]

  3. 依序選取 [安全性] 索引標籤下的 [編輯] 按鈕和 [新增] 按鈕。

  4. 選取 [位置] 按鈕,並確定選取系統。

  5. 在 [輸入要選取的物件名稱] 區域中,輸入 IIS AppPool\<app_pool_name>。 選取 [檢查名稱] 按鈕。 針對 [DefaultAppPool],請使用 IIS AppPool\DefaultAppPool 檢查名稱。 選取 [檢查名稱] 按鈕時,[DefaultAppPool] 的值便會顯示於物件名稱區域中。 您無法直接將應用程式集區名稱輸入至物件名稱區域。 檢查物件名稱時,請使用 IIS AppPool\<app_pool_name> 的格式。

    Select users or groups dialog for the app folder: The app pool name of

  6. 選取 [確定]。

    Select users or groups dialog for the app folder: After selecting

  7. 默認應授與讀取和執行許可權。 請視需要提供其他權限。

也可使用 ICACLS 工具透過命令提示字元授與存取權限。 使用 DefaultAppPool作為範例,將會使用下列命令:

ICACLS C:\sites\MyWebApp /grant "IIS AppPool\DefaultAppPool":F

如需詳細資訊,請參閱 icacls 主題。

HTTP/2 支援

HTTP/2 支援符合下列基本需求的跨處理序部署:

  • Windows Server 2016/Windows 10 或更新版本;IIS 10 或更新版本
  • 公開 Edge Server 連線使用 HTTP/2,但是對 Kestrel 伺服器的反向 Proxy 連線使用 HTTP/1.1。
  • 目標 Framework:不適用於跨處理序部署,因為 HTTP/2 連線完全由 IIS 處理。
  • TLS 1.2 或更新版本連線

如果已建立 HTTP/2 連線,HttpRequest.Protocol 會報告 HTTP/1.1

HTTP/2 預設為啟用。 如果 HTTP/2 連線尚未建立,連線會退為 HTTP/1.1。 如需使用 IIS 部署之 HTTP/2 設定的詳細資訊,請參閱 IIS 上的 HTTP/2

CORS 預檢要求

此節只適用於以 .NET Framework 為目標的 ASP.NET Core 應用程式。

針對以 .NET Framework 為目標的 ASP.NET Core 應用程式,在 IIS 中OPTIONS 要求預設不會傳遞到應用程式。 若要了解如何在 web.config 中設定應用程式的 IIS 處理常式以傳遞 OPTIONS 要求,請參閱在 ASP.NET Web API 2 中啟用跨原始來源要求:CORS 的運作方式

IIS 系統管理員的部署資源

其他資源