博客 (63)

1. 购买 ECS
   

2. 解析域名（非网站域名）、挂载磁盘（若有另购）、修改实例名称、主机名

3. 设置阿里云（重要）

4. 远程连接进入 ECS（若解析未生效可以先用 IP）（若新服默认使用 3389 端口，可先在安全组临时放行 3389 端口）

5. 开启 Windows 防火墙（使用推荐设置）
   

6. Windows 更新、并在高级选项中开启（更新 Windows 时接收其它 Microsoft 产品的更新）

7. 安装 IIS：服务器管理器-添加角色和功能-勾选“Web 服务器(IIS)”包括管理工具

   建议勾选：

   默认已勾选项

   按需安装 IP 和域限制

   常见 HTTP 功能（不建议安装 WebDAV 发布）

   跟踪（即“失败请求跟踪”）
   

   请求监视器、日志记录工具、

   按需安装 ASP
   

   按需安装 ASP.NET 4.8（会同时勾选 .NET Extensibility 4.8、ISAPI 扩展、ISAPI 筛选器）

   按需安装 WebSocket 协议

   应用程序初始化（建议安装）

   管理服务（用于 Web 部署）

8. 细节：设置任务栏；设置桌面图标；个性化-颜色-勾选“标题栏和窗口边框”；设置输入法；

9. 更改远程桌面端口

10. 按需安装：

    下载 URL 重写（文件名：rewrite_amd64_zh-CN.msi）

    下载 MySQL Connector/NET（文件名：mysql-connector-net-8.0.19.msi）
    

    下载 ASP.NET Core 运行时 Hosting Bundle（文件名：dotnet-hosting-*.*.*-win.exe）
    

    下载 .NET 桌面运行时 Windows x64（文件名：windowsdesktop-runtime-*.*.*-win-x64.exe）

    下载 Web Deploy（文件名：WebDeploy_amd64_zh-CN.msi）

11. 服务：设置“ASP.NET State Service”自动启动
    

12. IIS 日志：路径（如 D:\wwwlogs），每小时（统一设置一个全局的就行了，不需要设置每个网站），按需勾选“使用本地时间进行文件命名和滚动更新”

13. IIS 导入证书：个人、允许导出证书。参

14. 设置默认网站的 https、设置默认网站跳转到指定网站。

15. 设置权限：设置网站所在分区（如 D 盘），安全，添加 IIS_IUSRS，全部拒绝（防止跨站）

16. 添加用户：为每个网站创建用户（既能防止跨站，又能跟踪进程），密码不能改、不过期，仅隶属于 IIS_IUSRS，并添加到每个网站的根目录，若用户创建失败看这里。

17. 创建网站：设置访问物理路径的用户；设置应用程序池的“标识”用户；编辑绑定：勾选需要服务器名称指示；检查域名是否绑全；设置写入目录的用户权限；设置写入目录的“处理程序映射”取消“脚本”。

18. 重复上面两步

19. 检查所有网站用户是否仅隶属于 IIS_IUSRS（在“组”页面双击 Users 和 IIS_IUSRS 查看成员）

20. 在应用程序池列表页面检查 CLR 版本、管托管道模式和标识；在网站列表页面检查绑定和路径
    

21. 设置 Web 部署

22. 设置“IP 地址和域限制”

23. 废弃旧服时再次检查：IIS 中各功能设置、hosts、安装的应用程序、启动项、任务计划程序、服务、防火墙等

24. 更改默认端口

25. 接入 WAF

26. 解析各网站域名

27. 其它：资源管理器-选项-查看-去掉“始终显示图标，从不显示缩略图”前的勾

28. 再次检查阿里云设置

29. 私网中若有 ECS 的 hosts 中域名直接绑定到私网 IP 的，做相应更改

30. 在备份工具中添加该服务器的所有备份项

31. 其它：到期日期提醒、

>> 关于域名解析

因各地域名解析生效时间不可控，一般国内域名 1 天内，国际域名 2 天内。

• 若网站数据库在 RDS、上传文件在 OSS，则解析 48 小时后直接停止原网站即可；（比较理想的）

• 文件上传到 ECS 的可使用 FTP 等工具定时同步文件，或直接停止原网站。（网友会遇到新文章中图片无法显示等问题）

• 还有一种方法是新网站提前解析一个备用域名，确保完全生效后再修改正式域名的解析，原网站无条件跳转到备用域名，如果数据库中有保存完整网址路径的，关闭原网站并解绑备用域名之后，进行批量替换。（缺点是可能会影响在搜索引擎的网站权重）

• 部分有定时器的网站要注意，如果两个网站的定时器都正常开启会导致意外的，需要停止其中一个网站的定时器。
  

当然每种方法都有优缺点，选择可以接受且方便的一种即可。

更多文章：

从零搭建一台阿里云 ECS（Alibaba Cloud Linux / CentOS / Linux）并迁移网站

默认端口带来安全隐患，建议更改为 50000-60000 之间的端口号。

Windows 远程桌面（RDP）(3389)

1. 在 Windows 防火墙中放行新端口：在“入站规则”中找到“Open RDP Port 3389”复制并粘贴该规则，修改端口和名称。

   若没有这个规则：新建规则 - 端口 - TCP - 特定本地端口（填写新的端口号）- 允许连接 - 名称

2. 如有其它防火墙或安全组也一并配置（如阿里云 ECS 的安全组）
   

3. 打开注册表（regedit），展开到：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp，右侧双击“PortNumber”切换到“十进制”，将 3389 改为新端口号

4. 重启生效

5. 在防火墙和安全组中禁止原默认端口

SSH (22) 之 CentOS

1. 从阿里云控制台登录服务器（如果未设置 root 密码则先设置），直接跳到第 4 步

2. 在外部防火墙中放行新的端口号（如阿里云 ECS 的安全组）

3. 在内部防火墙中放行新的端口号（如 firewalld 或 iptables），使用宝塔面板的直接在面板“安全”页面设置即可

4. 打开 SSH 配置文件

   sudo vi /etc/ssh/sshd_config

5. 找到并编辑 Port 行的端口号并启用，改为其它端口号

   #Port 22

6. 重新加载使生效

   sudo systemctl reload sshd

7. 在防火墙和安全组中禁止原默认端口

8. 建议使用 SSH 密钥对代替传统账号密码登录

FTP (21) 之 FileZilla Server Windows 版

1. 一般地，在 Windows Defender 防火墙中是以添加应用 filezilla-server.exe 的方式允许的，所以不需要更改端口。如果以端口方式允许的，那么在入站规则中允许新的端口。

2. 如有其它防火墙或安全组也一并配置（如阿里云 ECS 的安全组）

3. 打开 Administer FileZilla Server，打开菜单 - Server - Configure - Server listeners，右侧窗口中将 Port 改为新端口（强烈建议将 Protocol 改为“Require explicit FTP over TLS”，即禁止 FTP 协议，改为使用 FTPS 协议）

4. 从防火墙和安全组移除 21 端口

FTP (21) 之 Pure-Ftpd（宝塔面板）

1. 在防火墙中放行新的端口号（如阿里云 ECS 的安全组）

2. 进入宝塔面板，打开“安全”，添加端口规则 TCP

3. 在宝塔面板中进入软件商店，找到 Pure-Ftpd 并打开，切换到“配置修改”，搜索“Bind”，删除开头的“#”，将端口号 21 改为新端口号，保存（强烈建议将 TLS 项改为 2，即禁止 FTP 协议，仅允许 FTPS 协议）

4. 切换到“服务”选项卡，点击“重启”

5. 从防火墙和安全组移除 21 端口

MySQL (3306) 之阿里云云数据库 RDS MySQL 版

1. 打开控制台 RDS 实例页，左侧菜单点击“白名单与安全组”，切换到“安全组”查看正在使用的安全组ID

2. （若使用了安全组）打开控制台 ECS 首页，左侧菜单点击“安全组”，找到这个安全组，放行新的端口

3. 打开控制台 RDS 实例页，左侧菜单点击“数据库连接”，点击“修改连接地址”，在弹出框中修改端口

4. 从防火墙和安全组移除原端口（确保没有其它实例正在使用此端口）

PolarDB (3306)

1. 打开控制台 PolarDB 集群实例页，左侧菜单点击“集群白名单”，切换到“安全组”查看正在使用的安全组ID

2. （若使用了安全组）打开控制台 ECS 首页，左侧菜单点击“安全组”，找到这个安全组，放行新的端口

3. 打开控制台 PolarDB 集群实例页，左侧菜单点击“基本信息”，点击“主地址”和“集群地址”的“配置”，在“网线信息”中点击“更多”更改端口

4. 从防火墙和安全组移除原端口（确保没有其它实例正在使用此端口）
   

MSSQL (1433) 之阿里云云数据库 RDS SQL Server 版

1. 打开控制台 RDS 实例页，左侧菜单点击“白名单与安全组”，切换到“安全组”查看正在使用的安全组ID

2. （若使用了安全组）打开控制台 ECS 首页，左侧菜单点击“安全组”，找到这个安全组，放行新的端口

3. 打开控制台 RDS 实例页，左侧菜单点击“数据库连接”，点击“修改连接地址”，在弹出框中修改端口

4. 从防火墙和安全组移除原端口（确保没有其它实例正在使用此端口）
   

Redis (6379) 之阿里云云数据库 Redis 版

1. 打开控制台 Redis 实例页，左侧菜单点击“白名单设置”，切换到“安全组”查看正在使用的安全组ID

2. （若使用了安全组）打开控制台 ECS 首页，左侧菜单点击“安全组”，找到这个安全组，放行新的端口

3. 打开控制台 Redis 实例页，在“连接信息”中点击“修改连接地址”，在弹出框中修改端口

4. 从防火墙和安全组移除原端口（确保没有其它实例正在使用此端口）
   

宝塔面板 (8888)

1. 在防火墙中放行新的端口号（如阿里云 ECS 的安全组），或直接在私网其它 ECS 上的浏览器上直接访问原 8888 端口的地址

2. 进入宝塔面板，打开面板设置，切换到“安全设置”页，找到“面板端口”，点击“设置”

3. 在防火墙和安全组中禁止原默认端口

IIS 管理服务（Web 部署）(8172)

1. 在 Windows 防火墙中放行新端口：在“入站规则”中找到“Web 管理服务(HTTP 流量入站)”因其为预定义规则且复制也无法修改，所以按其设置新建一个，并指定新的端口。

2. 如有其它防火墙或安全组也一并配置（如阿里云 ECS 的安全组）

3. 打开 IIS 管理器 - 管理服务，右侧停止，左侧修改端口，右侧应用、启动

4. VS 中发布配置修改“服务器(E)”项添加端口（域名:端口），第一次连接接受证书

5. 在防火墙和安全组中禁止原默认端口

无法完成向远程代理 URL 发送请求。基础连接已经关闭:发送时发生错误。

解决办法：

IIS中“管理服务”的SSL证书过期了，停止，选择新证书，应用，启动。

如果证书名称都相同（例如“alias”），可以先选中一个启动，在 VS Web 部署的设置中验证连接，弹出“证书错误”，点击“查看详细信息”，检查“颁发给”中的域名是否正确，正确的话安装证书。

ASP.NET 发布到 Web 部署简易教程

当 IIS 服务器无法启动 Web Management Service 服务时，可能的原因之一是 SSL 证书过期或被删除，只要在 IIS 的管理服务中指定有效的证书即可。

ASP.NET 6 项目在 IIS 中打开显示 503 错误，但直接运行 .exe 文件运行正常。可尝试回收应用程序池。

错误 Web 部署任务失败。

在远程计算机上处理请求时出错。

无法执行此操作。请与服务器管理员联系，检查授权和委派设置。

原因：WDeployAdmin 与 WDeployConfigWriter 这两个用户密码过期。

解决方法：

第一步，打开用户管理，重新设置这两个用户的密码

并在“属性”窗口勾选“密码永不过期”

第二步，打开 IIS 管理器中的“管理服务委派”

找到所有与这两个用户有关的项，右键“编辑”

点击左下角的“设置”按钮，填入与原来一致的用户名与第一步新设置的密码

全部设置完成后，即可正常发布项目。

Senparc.Weixin.Sample.MP 盛派微信公众平台示例项目在 VS 中运行正常，当发布到 IIS 后出现应用程序池自动停止的情况，在服务器管理器中找到 .NET Runtime 错误，可以看到错误原因：

\App_Data\SenparcTraceLog 目录需要写入权限。

以下目录也需要写入权限：

\App_Data\WeChat_OfficialAccount

\App_Data\NeuChar

开发环境正常，发布到 IIS 报错

Could not load file or assembly 'Microsoft.EntityFrameworkCore.Relational, Version=6.0.x.0, Culture=neutral, PublicKeyToken=adb9793829ddae60'. 系统找不到指定的文件。

尝试在 UI 层安装 Pomelo.EntityFrameworkCore.MySql 无果。

最终，在发布时文件发布选项中，去掉“启用 ReadyToRun 编译”就正常了。

当然这种情况不是在所有启用了 ReadyToRun 编译的项目中遇到，但该项目改为不启用 ReadyToRun 后恢复正常了，原因暂时未知。

打开文件 Startup.cs，找到：

app.UseSwagger();
app.UseSwaggerUI(c => c.SwaggerEndpoint("/swagger/v1/swagger.json", "TodoApi v1"));

将这两行移出 if 外。

“Web 部署”方式发布 ASP.NET Core 网站项目可解决发布到本地文件夹再通过 FTP 上传到 IIS 中会遇到的文件被锁定/占用的问题。相对于手动停止网站甚至结束进程来说，Web 部署更为方便。

1. 服务器管理器 - 添加角色和功能 - 服务器角色 - Web 服务器(IIS) - 管理工具 - 管理服务

   
   

2. 安装 Web Deploy

   下载 Web 部署，安装时选择“完整”
   

   

3. 在“服务”中设置“Web Management Service”和“Web 部署代理服务”自动启用。（若没有找到“Web 部署代理服务”，检查安装 Web Deploy 时是否勾选全部）

   

4. IIS 管理器 - 管理服务 - 启用远程连接

   

   这里我们不使用 Windows 凭据（本地用户），而使用 IIS 管理器用户。

   端口默认 8172，需要在防火墙中允许该端口。在阿里云 ECS 的安全组规则中添加该端口允许。如需修改端口参此文。

   

5. 创建 IIS 管理器用户

   

   打开后右侧添加用户，以“iisWebDeploy”为例

   
   

6. 配置 IIS 管理器权限

   选择单个网站

   

7. 给整个网站目录添加 LOCAL SERVICE 的完全控制权限 2023年在 Windows Server 2022 上未设置 LOCAL SERVICE 的权限也能部署成功，所以忽略此步骤！2024年同样在 Windows Server 2022 上未设置 LOCAL SERVICE 部署失败，设置后部署成功。

   
   

8. 发布

   

9. 【建议】设置用户 WDeployAdmin 与 WDeployConfigWriter 的密码永不过期，否则会遇到：在远程计算机上处理请求时出错。
   

   
   

一些已知错误的解决办法：

• 若遇到已下载的 Microsoft SQL Server 2012 Transact-SQL ScriptDom 签名验证失败，手动下载安装即可：Microsoft SQL Server 2012 SP4 功能包，选择 SqlDom.msi（有两个同名文件，感觉上尺寸较大的应该是 x64，我没有具体对比，安装大的成功了）。

• 若遇到 SQL Server 2012 SP1 Shared Management Object (x86 / x64) 下载失败，同样点击上面的链接，选择 SharedManagementObjects.msi 下载安装。

• Web Deploy 安装失败，如果 Web Deploy for Hosting Servers 下载失败，可以尝试安装 Web Deploy without bundled SQL support (last)。

• 如果是新项目，记得在 IIS 对应的网站中添加“IIS 管理器权限”中添加用户。

• 连接对话框中的“站点名称”或“网站名”必须与 IIS 中的网站名称一致。
  

• 还是无法连接？查看 IIS 管理服务中的 SSL 证书是否过期。

• Microsoft.WebTools.Shared.Exceptions.WebToolsException: 生成失败。检查输出窗口了解更多详细信息。尝试在“控制面板-卸载或更改程序”中修复 Microsoft Web Deploy 程序。