iispowerops

PowerShell-Befehle zum Überprüfen und Verifizieren der Best Practices für den Betrieb von IIS/Anwendungspools/ASP.NET

Bei jeder Verbesserungsbemühung besteht der erste empfohlene Schritt darin, herauszufinden, wo wir stehen (unseren aktuellen Zustand zu erkunden und zu analysieren) und herauszufinden, wo wir gerne wären, obwohl jede Best Practice manuell bestätigt und angewendet werden könnte Dieses Projekt wurde zunächst gestartet, um bei der Entdeckung zu helfen. Als erste Ausgabe erhalten wir zwei CSV-Dateien, in denen wir die empfohlenen Aktionspunkte und allgemeine Informationen über das aktuelle System enthalten.

Diese Befehle führen schreibgeschützte Systemoperationen aus, es sind keine Änderungsaktionen erforderlich, die einzigen Ausnahmen sind zwei CSV-Dateien, die nur erstellt werden, um die Endergebnisse zu enthalten.

• bedeutet, dass eine Verifizierung durchgeführt wurde
• bedeutet bald kommen

• Die reguläre Zeit des AppPool-Recyclings ist auf „00:00:00“ eingestellt.
• Zeitlimit für AppPool-Recycling-Leerlauf auf „00:00:00“ festgelegt
• Die AppPool-Identität ist auf ApplicationPoolIdentity festgelegt
• Nur eine Anwendung pro Anwendungspool
• Keine Anwendungen verlassen mit
• Die Länge der AppPool-Warteschlange ist auf 5000 festgelegt
• AppPool-Autostart auf „true“ gesetzt
• Der AppPool-Startmodus ist auf AlwaysRunning eingestellt
• Statische HTTP-Komprimierung für IIS aktiviert
• Dynamische IIS-HTTP-Komprimierung aktiviert
• IIS-Betriebsprotokoll aktiviert

• ASP.NET maxConcurrentRequestsPerCPU-Option auf 5000 gesetzt
• MaxConcurrentRequestsPerCPU-Registrierungsschlüssel auf 5000 gesetzt
• MaxConcurrentRequestsPerCPU-Registrierungsschlüssel auf 5000 gesetzt
• ASP.NET-Bereitstellungs-/Retail-Attribut auf „true“ gesetzt
• Benutzerdefinierte Fehler sind auf „RemoteOnly“ festgelegt

• Benutzerkontensteuerung aktiviert
• Windows-Protokolle (Anwendung/System/Sicherheit) werden archiviert und aufbewahrt
• Systemprozessorplanung auf 24 eingestellt (24 Dezimalzahlen oder 18 Hexazahlen)

Die standardmäßige Recyclingzeit beträgt 1740 Minuten. Dann findet zu einem bestimmten Zeitpunkt während der Geschäftszeiten ein App-Pool-Recycling statt. Dies kann zu Leistungseinbußen und beendeten Benutzersitzungen führen (das Problem mit beendeten Benutzersitzungen könnte gemildert werden, wenn ASP.NET seinen Sitzungsstatus beibehält). out-proc, zum Beispiel in SqlServer), ist der empfohlene Wert für die regelmäßige Wiederverwendungszeit 0 (auf Null gesetzt, bedeutet dies, dass die Wiederverwendung aufgrund der verstrichenen Zeit nicht erfolgt), zusätzlich zur Angabe einer bestimmten Zeit, beispielsweise um 3:00 Uhr

Das Standard-Recycling-Leerlauf-Timeout beträgt 20 Minuten. Dies bedeutet, dass IIS einen Arbeitsprozess nach 20 Minuten Inaktivität automatisch herunterfährt. Wenn dann eine neue Anforderung bei der Anwendung eintrifft, beginnt der vollständige Aktivierungsprozess erneut (Erstellung eines neuen Arbeitsprozesses). Prozess, ASP.NET-Seiten und DLLs-Kompilierung usw.), kann dies zu Leistungseinbußen und beendeten Benutzersitzungen führen. Wenn die Speichernutzung des Servers dies zulässt, ist der empfohlene Wert für das Leerlauf-Timeout 0 (auf Null gesetzt, in andere worte, IIS wird einen bereits laufenden Arbeitsprozess niemals aufgrund von Inaktivitätszeit herunterfahren, er wird nur recycelt, wenn andere Recyclingbedingungen erfüllt sind)

Die vom Arbeitsprozess verwendete Standardidentität ist ApplicationPoolIdentity und verfügt über die erforderlichen Berechtigungen zum Ausführen nahezu jeder Webanwendung. Falls dieses Konto geändert werden muss, müssen wir sicherstellen, dass das ausgewählte Konto nicht über mehr Berechtigungen als das erforderliche Minimum verfügt Es wird niemals und unter keinen Umständen empfohlen, LocalService- oder Administratorkonten zu belassen, um den Arbeitsprozess in der Produktion auszuführen. Dies könnte nicht nur die Anwendungssicherheit, sondern auch die Sicherheit des Betriebssystems übermäßig gefährden

Da jeder Anwendungspool einen anderen Arbeitsprozess startet, ist dies die ultimative Isolationsschicht in IIS. Wenn also aus irgendeinem Grund eine Anwendung Leistungsprobleme, nicht behandelte Ausnahmen, Threadkonflikte und/oder Probleme mit der Ressourcenverwaltung hat, sollte dies bei anderen Anwendungen nicht der Fall sein von diesem schlechten Verhalten betroffen sein, und das stimmt, aber nur, wenn jede Anwendung in ihrem eigenen Anwendungspool isoliert ist.

Belassen Sie niemals versehentlich (oder absichtlich) den Schalter in der web.config-Datei der Anwendung, da dies zu einer Reihe nicht optimaler Ereignisse führen kann, darunter:

• ASP.NET-Seitenkompilierung langsamer. Dies führt zu Leistungseinbußen
• ASP.NET-Timeouts ohne Timeouts. Dies führt zu einem möglichen Ressourcenverlust
• Codeoptimierungen fehlen. Werden nicht alle verfügbaren Codeoptimierungen angewendet, kann die Codeausführung um 30 % langsamer sein.
• Weitere gute Gründe, debug="true" nicht zu belassen, finden Sie unter ASP.NET-Speicher: Wenn Ihre Anwendung in der Produktion ist ... warum ist dann debug=true und führen Sie die ASP.ENT-Anwendung in der Produktion nicht mit debug="true" aus? ermöglicht

1. Gehen Sie zu Powerops Releases und laden Sie die aktuelle Version herunter (Quellcode-Zip).
2. Entpacken Sie die Dateien lokal
3. Öffnen Sie eine PowerShell-Sitzung im Adim-Modus
4. Gehen Sie zum entpackten Ordner powerops-version/
5. Erstellen Sie das Projekt PS > build.ps1 , dadurch wird der output erstellt
6. Kopieren Sie den Inhalt des output zur Analyse auf den Zielserver
7. Führen Sie eine vollständige Analyse durch PS > Run.ps1
8. Nach erfolgreicher Ausführung finden Sie zwei Dateien
   • HostName-Findings.csv Enthält alle Aktionselemente im Zusammenhang mit den Best Practices für den IIS/ASP.NET-Betrieb
   • HostName-BaseLineInfo.csv Enthält allgemeine Informationen über den aktuellen Zustand des Systems
     • Systeminformationen
     • Hotfixes
     • Treiber
     • IIS-Informationen
     • .NETFX-Informationen
     • Informationen zu installierten Komponenten
     • Installierte Dienste

Sie müssen diese Befehle als Administrator ausführen

Jede Designverbesserung ist willkommen, jede neue Idee ist ebenfalls willkommen :)

Fast der gesamte Code in Powerops wurde über TDD entworfen und geschrieben, daher empfehle ich Ihnen, diese gute Angewohnheit beizubehalten

• Installieren Sie Pester (Pester ist das allgegenwärtige Test- und Mock-Framework für PowerShell.)
• Einzelheiten zur Installation finden Sie unter Pester-Installation und -Update

Um die Komponententests auszuführen, öffnen Sie eine Powershell als Administrator und führen Sie PS projectPath/test/> Invoke-Pester aus