Vzdálená správa IIS v systému Windows Server 2016/2012 R2

Webový server Internet Information Service v systému Windows 2016/2012 / R2, stejně jako předchozí verze služby IIS, má schopnost vzdáleně ovládat. Spravovat více serverů IIS z jedné konzole je opravdu docela pohodlné a pro webové servery běžící v režimu Core / Nano je to téměř jediný pohodlný způsob, jak spravovat webový server. Ve výchozím nastavení je však funkce vzdáleného řízení ve službě IIS zakázána, i když se pokusíte přidat vzdálený server se službou IIS spuštěnou do konzoly pro správu služby IIS na jiném serveru (nabídka Připojte se k serveru), objeví se chyba:


Nelze se připojit k určenému počítači.
Podrobnosti: Nelze se připojit ke vzdálenému serveru.

Obsah:

  • Nainstalujte službu IIS Management Service
  • Udělení uživatelských práv k vzdálené správě webu IIS
  • Vzdálená správa IIS ze systému Windows 10
  • Vzdálená správa IIS a podpora TLS 1.1 / TLS 1.2

Nainstalujte službu IIS Management Service

Faktem je, že při standardní instalaci služby IIS není nainstalována služba IIS Management Service odpovědná za její vzdálenou správu. Pomocí příkazu Powershell můžete ověřit, že tato služba v systému není k dispozici:

Get-WindowsFeature * web-mgmt *

Jak vidíte, služba Web-Mgmt-Služba není nainstalován. Nainstalujte součást Windows Server pomocí rutiny Add-WindowsFeature. Spusťte následující příkaz Powershell jako správce:

Služba Web-Mgmt-Add-WindowsFeature

Nebo

Nainstalujte si službu Windows-Mgmt-Service

Komponentu Management Service můžete také nainstalovat z konzoly Server Manager.

Poté restartujte webovou službu IIS:
iisreset -noforce<
Dalším krokem je povolení vzdáleného připojení v nastavení webového serveru IIS. To provedete v části Správce služby IIS Řízení otevřete zobrazenou položku Správa služeb.

V sekci Řízení Služba povolit možnost “Povolit vzdálené spojení".

Zde můžete omezit možnost připojení ke konzole pro správu webového serveru pomocí adresy IP. Chcete-li to provést, zakažte připojení od neznámých klientů (Přístup pro nespecifikované klienty: Odepřít) a zadejte IP adresu / nebo IP podsíť, ze které bude připojení povoleno. Služba Remote Connect používá certifikát SSL, ale můžete jej použít, pokud jste jej importovali do úložiště certifikátů (můžete vytvořit a použít certifikát podepsaný sám sebou). Uložit změny.

Poznámka:. Ve výchozím nastavení se pro vzdálenou správu IIS používá port 8172. Při ukládání změn se tento port automaticky otevře v bráně Windows Firewall.

Tip. Na vzdáleném serveru IIS spuštěném v režimu Core (pro informaci: jak přepínat mezi režimy Core a GUI v systému Windows 2012) lze tuto možnost aktivovat prostřednictvím registru nastavením klíče EnableRemoteManagement ve větvi HKLM \ Software \ Microsoft \ WebManagement \ Server je hodnota 1. Příkaz:

Reg Přidat HKLM \ Software \ Microsoft \ WebManagement \ Server / V EnableRemoteManagement / T REG_DWORD / D 1

V tomto případě budete muset vytvořit pravidlo pro firewall ručně:

netsh advfirewall firewall přidat název pravidla = "Povolit IIS Web Management" dir = v akci = povolit službu = "WMSVC"

Zbývá spustit službu Web Management Service:

net start wmsvc

A nastavte službu tak, aby se automaticky spouštěla ​​při spuštění systému:

set-service wmsvc -StartupType Automatic

Nebo tak:

sc config WMSVC start = auto

Poté je možné přidat vzdálený webový server IIS do konzoly pro správu služby IIS Manager a spravovat server IIS, všechny weby na něm stejným způsobem jako místní webový server..

Udělení uživatelských práv k vzdálené správě webu IIS

Ve výchozím nastavení mají pouze uživatelé s právy správce serveru právo vzdáleně spravovat server IIS. Pro udělení práva na dálkové ovládání běžným uživatelům je nutné udělit příslušná práva na úrovni každého webu IIS. Vyberte web a najděte možnost IIS Manažer Oprávnění.

Na panelu Akce klikněte na Povolit Uživatel. Vyberte účet, kterému chcete udělit přístup ke službě IIS, a klikněte na OK.

Práva uživatelů ke správě webů ve službě IIS jsou nakonfigurována v této části Funkce Delegování IIS server-široký.

Můžete nastavit jednu ze tří úrovní přístupu pro uživatele pro každou funkci správy serveru IIS: Pouze ke čtení, Číst / Zápis nebo Není delegováno.

Vzdálená správa IIS ze systému Windows 10

Pokud potřebujete vzdáleně spravovat servery IIS z klientské pracovní stanice se systémem Windows 10 (Windows 7 nebo 8.1), musíte nainstalovat konzolu pro správu služby IIS: Zapněte nebo vypněte funkce systému Windows -> Internetové informační služby -> Nástroje pro správu webu -> Konzola pro správu služby IIS.

Ovládací prvek můžete nainstalovat pomocí následujícího příkazu PowerShell:

Enable-WindowsOptionalFeature -Online -FeatureName "IIS-ManagementService"

Však při spuštění konzoly IIS Manager v systému Windows 10 se ukázalo, že Připojení k serveru (Připojte se k serveru) chybí v nabídce.

Chcete-li se vzdáleně připojit ke službě IIS v systému Windows 10, musíte si stáhnout a nainstalovat součást Správce služby IIS pro vzdálenou správu (https://www.microsoft.com/en-us/download/details.aspx?id=41177)..

Tip. Existuje verze Správce služby IIS pro x64 (inetmgr_amd64_en-US.msi) a x86 OS (inetmgr_x86_en-US.msi).

Po instalaci je třeba restartovat konzolu Správce služby IIS a připojit se k webu. Pokud se při připojení ke službě IIS ukáže, že verze konzoly na klientovi a serveru je jiná, objeví se upozornění na potřebu aktualizovat verzi konzoly (všechny potřebné soubory budou automaticky staženy ze serveru).

Nyní se musíte úspěšně připojit k serveru IIS a vzdáleně spravovat ze své pracovní stanice.

Vzdálená správa IIS a podpora TLS 1.1 / TLS 1.2

Pokud jste ve službě IIS deaktivovali starší protokoly SSLv3 a TLS 1.0 a ponechali jste pouze TLS 1.1 / TLS 1.2, objeví se při vzdáleném připojení ke službě IIS chyba:

"Základní připojení bylo uzavřeno: Při odesílání došlo k neočekávané chybě.

Chcete-li problém vyřešit, je nutné na straně klienta provést změny v registru, pro povinné použití protokolu TLS1.2 při připojování. Nastavení závisí na verzi systému Windows.

Windows 10 a Windows Server 2016:

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ .NETFramework \ v4.0.30319] "SchUseStrongCrypto" = dword: 00000001 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ .NETFramework \ v4.0.30319] "SchUseStrongCrypto" = dword: 00000001

Windows 2012 / R2 a Windows 8 / 8.1:

Musí být nainstalován NET Framework 4.5.2 nebo vyšší (jak zjistit, které verze NET Framework jsou nainstalovány).

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ .NETFramework \ v4.0.30319] "SchUseStrongCrypto" = dword: 00000001 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ .NETFramework \ v4.0.30319] "SchUseStrongCrypto" = dword: 00000001

Windows Server 2008 R2 / Windows 7:

Nejprve musíte nainstalovat aktualizaci KB3154518 pro podporu TLS 1.2 v rozhraní .NET Framework 3.5.1.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ .NETFramework \ v2.0.50727] "SystemDefaultTlsVersions" = dword: 00000001 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ .NETFramework \ v2.0.50727] "SystemDefaultTlsVersions" = dword: 00000001 [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols] [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.1] [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ Discs 1.1 " = dword: 00000000 [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.1 \ Server] "DisabledByDefault" = dword: 00000000 [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHS HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.2 \ Client] "DisabledByDefault" = dword: 00000000 [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityP roviders \ SCHANNEL \ Protocols \ TLS 1.2 \ Server] "DisabledByDefault" = dword: 00000000