IIS Remote Management w systemie Windows Server 2016/2012 R2

Serwer sieci Internet Information Service w systemie Windows 2016/2012 / R2, podobnie jak poprzednie wersje IIS, ma możliwość zdalnego sterowania. Rzeczywiście, zarządzanie wieloma serwerami IIS z jednej konsoli jest dość wygodne, a dla serwerów sieciowych działających w trybie Core / Nano jest to prawie jedyny wygodny sposób zarządzania serwerem internetowym. Jednak domyślnie funkcja zdalnego sterowania w usługach IIS jest wyłączona, nawet jeśli spróbujesz dodać serwer zdalny z uruchomionymi usługami IIS do konsoli zarządzania IIS na innym serwerze (menu Połącz się z serwerem) pojawi się błąd:


Nie można połączyć się z określonym komputerem.
Szczegóły: Nie można połączyć się ze zdalnym serwerem.

Treść

  • Zainstaluj usługę zarządzania IIS
  • Przyznanie użytkownikom uprawnień do zdalnego zarządzania witryną IIS
  • Zdalne zarządzanie usługami IIS z systemu Windows 10
  • Zdalne zarządzanie IIS i obsługa TLS 1.1 / TLS 1.2

Zainstaluj usługę zarządzania IIS

Faktem jest, że przy standardowej instalacji usług IIS usługa zarządzania usługami IIS odpowiedzialna za jej zdalne zarządzanie nie jest instalowana. Możesz sprawdzić, czy ta usługa nie jest dostępna w systemie za pomocą polecenia Powershell:

Get-WindowsFeature * web-mgmt *

Jak widać usługa Web-Mgmt-Service nie zainstalowany. Zainstaluj składnik systemu Windows Server za pomocą polecenia cmdlet Add-WindowsFeature. Uruchom następujące polecenie programu PowerShell jako administrator:

Dodaj funkcję Windows Web-Mgmt-Service

Lub

Zainstaluj-WindowsFeature Web-Mgmt-Service

Możesz również zainstalować komponent Service Management z konsoli Server Manager.

Następnie uruchom ponownie usługę sieci Web IIS:
iisreset -noforce<
Następnym krokiem jest włączenie połączeń zdalnych w ustawieniach serwera sieci Web IIS. Aby to zrobić, w sekcji Menedżer usług IIS Zarządzanie otwórz wyświetlony element Usługa zarządzania.

W dziale Zarządzanie Service włącz opcję „Włącz zdalne połączenia„.

Tutaj możesz ograniczyć możliwość łączenia się z konsolą zarządzania serwerem WWW według adresu IP. Aby to zrobić, odrzuć połączenie od nieznanych klientów (Dostęp dla nieokreślonych klientów: Odmów) i określ adres IP lub podsieć IP, z której połączenie będzie dozwolone. Usługa Remote Connect korzysta z certyfikatu SSL, ale możesz użyć innego, jeśli zaimportowałeś go do magazynu certyfikatów (możesz utworzyć i używać certyfikatu z podpisem własnym). Zapisz zmiany.

Uwaga. Domyślnie do zdalnego zarządzania usługami IIS używany jest port 8172. Podczas zapisywania zmian port ten zostanie automatycznie otwarty w zaporze systemu Windows.

Wskazówka. Na zdalnym serwerze IIS działającym w trybie Core (informacje: jak przełączać tryby Core i GUI w systemie Windows 2012), tę opcję można aktywować za pomocą rejestru, ustawiając klucz EnableRemoteManagement w gałęzi HKLM \ Software \ Microsoft \ WebManagement \ Server wartość wynosi 1. Polecenie:

Reg Dodaj HKLM \ Software \ Microsoft \ WebManagement \ Server / V EnableRemoteManagement / T REG_DWORD / D 1

W takim przypadku musisz ręcznie utworzyć regułę dla zapory:

netsh advfirewall firewall dodaj nazwę reguły = „Zezwalaj IIS Web Management” katalog = w akcji = zezwól na usługę = „WMSVC”

Pozostaje uruchomić usługę zarządzania siecią:

start netto wmsvc

I ustaw usługę, aby uruchamiała się automatycznie po uruchomieniu systemu operacyjnego:

set-service wmsvc -StartupType Automatic

Lub tak:

sc config WMSVC start = auto

Następnie można dodać zdalny serwer internetowy IIS do konsoli zarządzania Menedżera IIS i zarządzać serwerem IIS, wszystkimi witrynami w ten sam sposób, jak lokalnym serwerem internetowym.

Przyznanie użytkownikom uprawnień do zdalnego zarządzania witryną IIS

Domyślnie tylko użytkownicy z uprawnieniami administratora serwera mają prawo do zdalnego zarządzania serwerem IIS. Aby przyznać prawo do zdalnego sterowania zwykłym użytkownikom, konieczne jest rozpowszechnianie odpowiednich uprawnień na poziomie każdej witryny IIS. Wybierz witrynę i znajdź opcję IIS Kierownik Uprawnienia.

W panelu Operacje kliknij Pozwól Użytkownik. Wybierz konto, które chcesz przyznać dostęp do IIS i kliknij OK.

Prawa użytkowników do zarządzania witrynami w IIS są skonfigurowane w sekcji Funkcja Delegacja IIS dla całego serwera.

Możesz ustawić jeden z trzech poziomów dostępu dla użytkowników dla każdej funkcji zarządzania serwerem IIS: tylko do odczytu, do odczytu / zapisu lub bez delegowania.

Zdalne zarządzanie usługami IIS z systemu Windows 10

Jeśli chcesz zdalnie zarządzać serwerami IIS ze stacji roboczej klienta z systemem Windows 10 (Windows 7 lub 8.1), musisz zainstalować konsolę zarządzania IIS: Włącz lub wyłącz funkcje systemu Windows -> Internetowe usługi informacyjne -> Narzędzia zarządzania siecią -> Konsola zarządzania IIS.

Możesz zainstalować komponent sterujący za pomocą następującego polecenia PowerShell:

Włącz-WindowsOptionalFeature -Online -FeatureName „IIS-ManagementService”

Jednak po uruchomieniu konsoli Menedżera usług IIS w systemie Windows 10 okazuje się, że Połączenie z serwerem (Połącz z serwerem) brakuje w menu.

Aby móc połączyć się zdalnie z usługami IIS w systemie Windows 10, musisz pobrać i zainstalować Menedżera usług IIS dla administracji zdalnej (https://www.microsoft.com/en-us/download/details.aspx?id=41177).

Wskazówka. Istnieje wersja IIS Manager dla x64 (inetmgr_amd64_en-US.msi) i x86 OS (inetmgr_x86_en-US.msi).

Po instalacji musisz ponownie uruchomić konsolę Menedżera usług IIS i połączyć się z witryną. Jeśli podczas łączenia się z IIS okaże się, że wersja konsoli na kliencie i serwerze jest inna, pojawi się powiadomienie o potrzebie aktualizacji wersji konsoli (wszystkie niezbędne pliki zostaną automatycznie pobrane z serwera).

Teraz musisz pomyślnie połączyć się z serwerem IIS i zdalnie zarządzać nim ze stacji roboczej.

Zdalne zarządzanie IIS i obsługa TLS 1.1 / TLS 1.2

Jeśli wyłączyłeś starsze protokoły SSLv3 i TLS 1.0 w IIS, pozostawiając tylko TLS 1.1 / TLS 1.2, wtedy błąd pojawi się podczas zdalnego łączenia się z IIS:

„Podstawowe połączenie zostało zamknięte: Wystąpił nieoczekiwany błąd podczas wysyłania.

Aby rozwiązać problem, po stronie klienta należy wprowadzić zmiany w rejestrze, aby obowiązkowo używać protokołu TLS1.2 podczas łączenia. Ustawienia zależą od wersji systemu Windows.

Windows 10 i Windows Server 2016:

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ .NETFramework \ v4.0.30319] "SchUseStrongCrypto" = dword: 00000001 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ .NETFramework \ v4.0.30319] "SchUseStrongCrypto" = dword: 00000001

Windows 2012 / R2 i Windows 8 / 8.1:

Musi być zainstalowany NET Framework 4.5.2 lub nowszy (jak ustalić, które wersje NET Framework są zainstalowane).

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ .NETFramework \ v4.0.30319] "SchUseStrongCrypto" = dword: 00000001 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ .NETFramework \ v4.0.30319] "SchUseStrongCrypto" = dword: 00000001

Windows Server 2008 R2 / Windows 7:

Najpierw należy zainstalować aktualizację KB3154518, aby obsługiwać TLS 1.2 w .NET Framework 3.5.1.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ .NETFramework \ v2.0.50727] „SystemDefaultTlsVersions” = dword: 00000001 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ .NETFramework \ v2.0.50727] SYSTEMDefal \ Control \ SecurityProviders \ SCHANNEL \ Protocols] [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.1] [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ Disc = dword: 00000000 [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.1 \ Server] „DisabledByDefault” = dword: 00000000 [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHELL HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.2 \ Client] „DisabledByDefault” = dword: 00000000 [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityP roviders \ SCHANNEL \ Protocols \ TLS 1.2 \ Server] „DisabledByDefault” = dword: 00000000