[文章]怎样在Internet上配置数据访问页(DAP)

zhuyiwen

对于 ACCESS 2000：
http://support.microsoft.com/default.aspx?scid=KB;en-us;q264080

对于 ACCESS 2002：
http://support.microsoft.com/default.aspx?scid=kb;EN-US;291783

[此贴子已经被作者于2003-4-22 17:08:59编辑过]

zhuyiwen

Deploying Data Access Pages on the Internet or Your Intranet:

http://msdn.microsoft.com/librar ... /html/deploydap.asp

zhuyiwen

在INTRANET或INTERNET上部署数据访问页
Mark Roberts, Office User Assistance
Microsoft Corporation

Created: January 1999
Revised: November 1999
Revised: September 2001

翻译: 朱亦文
Translated: April 2003

应用于:
     Microsoft Access 2002
     Microsoft Access 2000
     Microsoft SQL Server 6.5 及以后版本
     Microsoft Internet Information Server 4.0 及以后版本
     Microsoft Data Access Components (MDAC) 2.1 及以后版本
     Microsoft Jet Database Engine 4.0
     Microsoft Data Engine (MSDE) version 1.0 或 Microsoft SQL Server Desktop Engine

总结 Summary: 本文描述在INTERNET或INTRANET上通过使用ACCESS及IIS服务如何配置基于WEB站点的安全数据访问页来使用ACCESS或者SQL SERVER数据库.

注Note   此文由Roy Leban原著, 还包括在 Microsoft FrontPage 使用数据访问页进行工作及如何使用服务器筛选, 这一节已分开在在 FrontPage 2000 如何使用数据访问页工作一文中.
内容 Contents
简介 Introduction
客户端软件要求 Client Software Requirements
服务器端软件要求 Server Software Requirements
部署假定 Deployment Scenarios
安全问题 Security Issues Overview
交叉域数据访问安全 Cross-Domain Data Access Security Issues
认证和数据库安全 Authentication and Database Security Issues
配置数据库认证和安全 Configuring Database Authentication and Security
配置IIS认证方式 Configuring Internet Information Server Authentication Methods
远程数据访问服务安全 Remote Data Services Security Issues
部署步骤和优化总结 Summary of Deployment Steps and Options
在ACCESS2002部署的新特点 New Features for Deployment in Access 2002
接下来的步骤 Next Steps

简介 Introduction
    你可以使用 Microsoft Access 2000 或 Access 2002 和与此兼容的数据访问来创建数据驱动的WEB站点, 这样你就能在你公司的 INTRANET 或者 INTERNET 上进行安全的部署. ACCESS 中的数据访问页允许任何人使用 IE5 或以上版本的浏览器和 OFFICE2000 及以后的版本才能使用数据. 当你结合 ACCESS 与 MS IIS 4.0 及以后版本时, 你可以使用所有你拥有的工具来创建站点并配置其安全性.

在成功部署数据访问页之前, 你需要找到下列软件并在客户机和服务器上进行配置:

1.客户端软件要求, MS IE 5.0 及以后版本和相应版本的OFFICE WEB COMPONENTS:  
  a.Microsoft Office Web Components (由 Access 2000 创建的数据访问页)
  b.Microsoft Office XP Web Components (由 Access 2002 创建的数据访问页)
2.服务端软件要求, 包括WEB服务器和数据库软件, WEB服务器软件必须是MS IIS 4.0及以后版本, 还有与之相关的微软数据访问组件(MDAC):  
  a.MDAC 2.1 及以后版本 (由 Access 2000 创建的数据访问页)
  b.MDAC 2.5 及以后版本 (由 Access 2002 创建的数据访问页)
对于 ACCESS 数据库(.MDB)必须运行在 Microsoft Jet Database Engine 4.0 及以后版本之上, 对于 SQL Server 数据库要运行在 Microsoft SQL Server 6.5 及以后版本之上.
3.安全, 如在打开数据访问页配置用户认证, 许可其访问数据库. 如果使用三层数据访问(将在本文后续部份说明), 还需要配置存放数据访问面的 WEB 服务器上的远程数据服务组件(Remote Data Services components, RDS), 如果使用两层数据访问, 需要在IE中进行安全配置.
4.连接, 如同定位数据库和配置在数据访问页配置数据库连接信息.
  考虑到到如何在数据访问中更好地进行维护数据库, 如更新和修改.
本文的每个问题用一到两节来进行说明. 要很多提供每一问题所包含的一些概念和技术介绍, 跟着还提供一些对一组问题的可用优化的过程. 在本文的部署步骤和优化总结这一节中提供完整的部署策略.

当看完本文档后, 你就会:
  对一个基于 INTERNET 或 INTRANET WEB 站点使用安全的数据访问页通过 ACCESS和IIS 服务来访问服务器上的 ACCESS 和 SQL SERVER数据库进行部署. 如果你是WEB站点的管理员(Administrator), 还能学习到在WEB站点上进行设置的信息.

  本文不能使你成为IIS的行家, 管理WEB站点, 或数据库安全. 完整的IIS的信息, 请参考IIS自身的文档. 如果你还是一个WEB新手, 你可能需要了解WEB站点的创建. 关于 ACCESS 和 SQL SERVER 数据库安全的详细资料, 请查看该产品的联机文档. 在本文的接下来的步骤一节中列出了附加资源.

客户端软件要求 Client Software Requirements
要成功地使用数据访问页的交互式特征, 在客户计算机上必须安装下列软件:

1.Microsoft Internet Explorer 5 及以后版本
2.Microsoft Office Web Components (由 Access 2000 创建的数据访问页)
3.Microsoft Office XP Web Components (由 Access 2002 创建的数据访问页)
  数据访问页依赖于一组称为 Microsoft Office Web Components 的微软 ActiveX 控

cg1

鼓掌

shot

继续呀，我很感兴趣～～～谢谢！！

zhuyiwen

重点 在打开由 ACCESS 2000 创建的数据访问页时, 要自动安装 Office Web Components 组件, 用户打开数据访问页必须要能安全地访问 Microsoft Windows 网络的共享文件夹(如: \\MyServer\MyShare), 在那里存放 Office Web Companents 的安装文档. 不能通过 HTTP/HTTPS/FTP 连接来自动安装 Office Web Components. 由于这个原因, 用户在 Internet 上直接打开数据访问页时不能从 WEB 服务器(或其它 HTTP/FTP 地址)上安装 Office Web Components.   如果用户以前安装了 Office 2000 的同时也安装了 Office Web Components, 他才能打开数据访问页. 此外, 如果用户有一个 Office 2000 许可证, 但没有安装 Office Web Components, 但在局域网中配置了安装点, 用户就能在打开数据访问页的同时自动安装地直接从 Internet 上安装 Office Web Components.
当打开 Access 2002 创建的数据访问页时，Office Web Components 组件能够通过一个 HTTP 连接进行安装。允许没有 Office 许可证协议的用户安装该组件，但是没有许可证的用户只能使用静态（只读）方式查看数据访问页。
关于更多的自动安装配置 Office Web Components 组件的信息，请查看 Microsoft Office Resource Kit Journal 的文章 在 Internet 上共享交互式数据.

关于更多的从 Access 2000 创建的数据访问页安装 Office Web Components 的许可证要求信息，请参看下列知识库文章:

Q231419OFF2000: 如何在 Intranet 上部署 Office Web Components

Q231420OFF2000: 不能在 Internet 上安装 Office Web Components

Q243006OFF2000: Office 2000 Web Components 和 Office Server Extensions 许可

关于更多的从 Access 2002 创建的数据访问页安装 Office XP Web Components 的许可证要求信息，请参看下列知识库文章:

Q288729OFFXP: 生成许可证信息和使用 Office XP Web Components

Q288732OFFXP: 如何部署 Office XP Web Components

Microsoft Office 2000 安装或 Office Web Components 自动安装包括微软数据访问组件（MDAC）的安装或升级，其中包含 OLE DB 组件，其是可能用于客户计算机通过数据访问页连接到数据库所必须的。

Microsoft Office XP 的安装也包括自动安装或升级微软数据访问组件（MDAC），但是，不是通过安装 Microsoft Office XP 而安装的 Office XP Web Components 将不会升级 MDAC。不是通过安装 Microsoft Office XP 安装 Office XP Web Components 的用户必须从 Microsoft Universal Data Access 站点上安装 MDAC 2.5 或以上版本。

服务器端软件要求 Server Software Requirements
要成功部署数据访问页, 必须在服务器上安装下列软件.

WEB服务器要求:

1.Microsoft Internet Information Server 4.0 及以后版本
2.Microsoft Data Access Components (MDAC) 2.1 及以后版本 (由 Access 2000 创建的数据访问页)
3.Microsoft Data Access Components (MDAC) 2.5 及以后版本 (由 Access 2002 创建的数据访问页)
数据库服务器要求:

1.Microsoft Jet Database Engine 4.0, 它是作为 MDAC 2.1 及以后版本的一部份安装的
2.Microsoft SQL Server 6.5 及以后版本, Microsoft Data Engine (MSDE) 1.0, 或 Microsoft SQL Server Desktop Engine

Web服务器软件要求 Web Server Software Requirements
MS IIS 4.0 能使用 Windows NT Option Pack 4.0 将其安装在 Microsoft Windows NT Server 4.0 操作系统上。MS IIS 5.0 包含在所有的 Microsoft Windows 2000 服务器版中。任何一种 IIS 版本都设计成内部网（INTRANET）和INTERNET的高安全性要求的应用。两者都提供高性能的支持安全通讯的安全套接字层（SSL）3.0以用 X.509 证书认证、RAS 公钥密码和一个附加安全的宽阵列的应用。IIS 是一个广泛的快速建立 Intranet 和 Internet 安全 WEB 站点的平台。

注   你也在 Windows 95/98 或 Windows NT Workstation 4.0 上使用微软个人 WEB 服务器的计算机上发布数据访问页。个人 WEB 服务器是设计用于 Intranet 上的要求不高 WEB 站点。个人 WEB 服务比 IIS 易于安装和管理，但没有设计成支持多站点，不包括支持三层数据访问。个人 WEB 服务器也不提供与 IIS 相同的安全特性。不管怎样，如果你在运行 Wi

zhuyiwen

部署假定 Deployment Scenarios

有多种方法部署数据访问页和通过它访问的数据库。选择的方法依赖于在信任的环境中部署数据访问页，如 Intranet，或较少的安装环境，如 Internet。为部署数据访问页及相关的数据库的基本的假定如下:

1.在本地计算机部署和打开的所有文件。
通过把数据访问页和数据库复制到本地文件夹或本地 WEB 服务器上来进行安装。为了访问数据访问页，用户必须在该计算机上登录，直接通过文件系统或使用本地 WEB 服务器的 HTTP URL （不是通过网络或 WEB 服务器共享访问）来打开数据访问页。这或许比较安全，但是，这样部署仅限于这一台计算机使用。

2.通过把所有文件复制到网络的共享文件，并且数据访问页设置默认的连接
数据访问页和数据库安装在网络共享文件夹，或者共享当前文件夹，或者复制到新的网络共享文件夹。使用通用命名规则（UNC） 路径（如：\\MyShare\\MyFolder）或者从映射网络文件夹打开数据访问页。这是一种部署数据访问页非常简单的方法，但这样存在安全问题，将在本文的后续部分解释。

3.在一台 WEB 服务器上发布所有的文件且由数据访问页设置默认的连接的部署方式。
数据访问页和数据库安装在一台运行 IIS （如果数据库使用 SQL Server 数据库，则需要有 SQL Server）的计算机上。通过使用 HTTP URL 方式打开数据访问页，如：http://MyServer/MyPage.htm。 这是另一个部署数据访问页的简单方法，但是，这种方法也有安全问题，将在本文的后续部分解释。

4.在一台 WEB 服务器上发布所有的文件，且数据访问页及服务器都配置成支持三层数据访问方式的部署方式。
数据访问页和数据库安装在一台运行 IIS （如果数据库使用 SQL Server 数据库，则需要有 SQL Server）的计算机上，且使用 HTTP URL 方式打开数据访问页。然后，在这个假定中，数据访问页和 WEB 服务器都配置成支持三层数据访问，这样更加安全并支持防火墙内数据安全访问。

在第一种假定中，没有安全和部署可言，因为所有文件的访问和存储都是在本地。本文所涉及的安全问题主要在第二、第三和第四假定中，描述如何访问的细节。

(未完待续)

tmtony

好文章，免了我东找西找了：）

zhuyiwen

安全问题总览 Security Issues Overview
部署数据访问页，安全问题非常棘手，也非常复杂。本文的大部分，应归于通过数据访问页以下面某些或全部系统安全层次访问数据库的论述:

1.网络登录认证：当登录 Windows 网络时，所有用户必须登录和输入口令以校验其身份。一旦鉴定用户的身份，他（她）的身份就由一套用于某些系统“开锁”的信任状管理，如文件系统，或者能被依赖于用户安全规则和许可的基本系统通过。
2.Microsoft Internet Explorer 安全：IE 管理许多安全系统。大多数数据访问页重要问题是为了系统控制信任能力和使用 microsoft ActiveX 控件连接和显示数据，以及系统控制跨域访问数据库。Microsoft Outlook 在其通过使用 IE 浏览组件的 HTML 格式的消息主体中支持连接和显示数据访问页，尽管数据访问页显示在消息主体中，其事实上是使用 IE 组件来运行的，且使用 IE 的安全系统（虽然它有能力在 Outlook 的安全标签中的选项对话框定制 IE 安全设置）。
3.Microsoft Internet Information Server 安全：IIS 的安全系统控制谁能够打开 WEB 站点中的数据访问页。除了授权访问数据访问页外，IIS 安全系统还能配置成通过在该计算机上运行的应用程序的系统要求的用户信任状的验证方式。IIS 也能运行服务器端组件，如：远程数据访问服务（RDS），它执行和管理用户通过 HTTP 连接来访问的数据库操作。
4.数据库安全系统：依赖数据访问页如何配置，可能同时使用客户端和服务器的数据访问组件。为包括由在数据访问页上微软 Office 数据源控件（MSODSC）管理的安全设置的这些组件传递连接信息。这个信息由管理连接 Access 数据库（.mdb）的 Jet 数据库引擎控制，或者由管理 SQL Server 数据库的 SQL Server/MSDE/Microsoft SQL Server Desktop Engine 的安全系统控制。

在下面节中描述数据访问页问题和配置这些安全系统的选项。

跨域数据访问安全问题 Cross-Domain Data Access Security Issues
数据访问页使用一个称为微软 Office 数据源控件的 ActiveX 控件来连接它们所使用的数据源。在默认的情况下，当在 IE 浏览器或 HTML 格式的邮件阅读器中使用 IE 浏览组件来打开数据访问页时，如 Outlook98/Outlook2000/Outlook2002，数据访问页中的 MSODSC 就会使用当前用户的身份去登录数据库。不怀好意的用户能从服务器下载数据访问页，利用 MSODSC 编写恶意的脚本来访问其它的数据库。

例如，不怀好意的用户可能知道允许打开且修改诸如工资表之类的数据库记录的用户，这个不怀好意的用户邮寄一个数据访问页给另一个具有“特洛伊木马”功能的用户，当该用户打开数据访问页时，他（她）就能看到数据库中的数据，接下来的事情就是，使用当前用户的身份来运行脚本读写工资数据库中的数据。

这样的试图使用 MSODSC 及当前用户的安全身份去访问服务器上的数据库源于从跨域数据访问的数据访问页，用跨域数据访问就会冒如此风险。此外，由于这种风险，IE 5.0 浏览器就进行自动禁止或警告用户使用跨域数据访问的安全设置。关于这些安全设置更多的信息，请查看本文后面部份的IE 浏览器如何处理跨域数据访问.

数据访问方式 Data Access Modes
使用 MSODSC 进行数据访问的方式决定数据访问页如何考虑其固有的安全，或者如果数据访问页出现允许怀有恶意的跨域数据访问风险。MSODSC 能配置成两种数据访问方式：两层式或三层式结构的数据访问。

在默认情况下，数据访问页配置成使用两层数据访问方式。两层式数据访问引用通过文件系统直接连接数据源，很象传统的客户/服务器应用——客户计算机（第一层）打开数据访问页（通过文件系统或 HTTP 中的一种方式）且数据访问页上的 MSODSC 控件直接连接到数据库服务器（第二层）。执行两层式数据访问，MSODSC 产生一个通过注册在客户计算机上的 OLE DB 提供者直接连接的数据源。对于一个 Access 数据库，两层式访问使用本地计算机上的 Microsoft Jet Database Engine 4.0 和 Microsoft Jet 4.0 OLE DB 提供者在共享网络上通过文件系统来连接到一个 .mdb 文件。对于一个 SQL Server 数据库，两层式数据访问可以局域网中使用本地计算机上的 Microsoft OLE DB provider for SQL Server 提供者连接数据库服务器。在这两种情况下，在数据访问页上写明了访问数据库的当前的用户的身份，其产生的连接易于被恶意的脚本通过该用户的身份来访问其它数据库。

三层式数据访问引用一个操作客户与数据库之间的数据访问的组件中间代理。三层式数据访问典型地应用于通过 Internet 进行数据访问或者用于确保在 Intranet 上的安全连接。对于三层式数据访问，其中间代理组件就是运行于 IIS 服务器上的 ADO 远程数据访问服务（RDS）组件。执行三层式数据访问，数据访问页上的 MSODSC 控件（第一层）通过 HTTP 协议向 IIS 服务器发送请求，IIS 服务器通过连接信息连接到 RDS 组件（第二层），然后，RDS 组件使用运行在服务器上的适当 OLE DB 提供者（Jet 或 SQL Server）连接数据库（第三层）。RDS 一旦连接到数据库，就能通过 HTTP 协议使数据

zhuyiwen

为使用数据访问页配置数据访问方法 To configure the data access method used for a data access page

1.启动 Access 并在设计视图中打开数据访问页。
2.点击数据访问页的标题栏，或在编辑菜单点击选择页（确保没有选择页面上任何元件），然后在视图菜单点击属性。
3.选择数据标签，设置 UseRemoteProvider 属性以决定将何种方式执行数据访问:
  a.对于两层式数据访问, 设置 UseRemoteProvider 为 False.
  b.对于三层式数据访问, 设置 UseRemoteProvider 为 True.
4.关闭属性表，并保存数据访问页.

重点   只要设置 UseRemoteProvider 属性为 True，数据访问页就采用三层式数据访问，在本文的后续部份还将描述为在 IIS WEB 服务器上部署数据访问页来配置这个属性。一旦设置 UseRemoteProvider 属性为 True，就不能直接在文件系统或者在设计视图下打开数据访问页查看数据了。在发布到已经完全配置好的 IIS WEB 服务器之前，不设置 UseRemoteProvider 属性为 True。