IIS Дистанционно управление в Windows Server 2016/2012 R2

Уеб сървърът на Internet Information Service в Windows 2016/2012 / R2, подобно на предишните версии на IIS, има възможност за дистанционен контрол. Всъщност управлението на множество IIS сървъри от една конзола е доста удобно, а за уеб сървърите, работещи в режим Core / Nano, това е почти единственият удобен начин за управление на уеб сървър. Въпреки това, по подразбиране функционалността на дистанционното управление в IIS е деактивирана, дори ако се опитате да добавите отдалечен сървър с IIS, работещ към конзолата за управление на IIS на друг сървър (меню Свържете се със сървър), ще се появи грешка:


Не можа да се свърже с посочения компютър.
Подробности: Не може да се свърже с отдалечения сървър.

Съдържание:

  • Инсталирайте услугата за управление на IIS
  • Предоставяне на права на потребителите за дистанционно управление на IIS сайт
  • Дистанционно управление на IIS от Windows 10
  • IIS Remote Management и TLS 1.1 / TLS 1.2 Поддръжка

Инсталирайте услугата за управление на IIS

Факт е, че при стандартна инсталация на IIS, службата за управление на IIS, отговорна за отдалеченото й управление, не е инсталирана. Можете да проверите дали тази услуга не е налична в системата с помощта на командата Powershell:

Get-WindowsFeature * web-mgmt *

Както можете да видите, услугата мрежа-Mgmt-обслужване не е инсталиран. Инсталирайте компонента на Windows Server с командлета Add-WindowsFeature. Изпълнете следната команда Powershell като администратор:

Add-WindowsFeature Web-Mgmt-Service

или

Инсталиране на WindowsFeature Web-Mgmt-Service

Можете също да инсталирате компонента Management Service от конзолата на Server Manager.

След това рестартирайте уеб услугата IIS:
iisreset -noforce<
Следващата стъпка е да се даде възможност за отдалечени връзки в настройките на уеб сървъра на IIS. За да направите това, в раздела IIS Manager управление отворете появилия се елемент Услуги за управление.

В раздела управление обслужване активирайте опцията „Активиране отдалечен връзки".

Тук можете да ограничите възможността да се свържете към конзолата за управление на уеб сървъра чрез IP адрес. За да направите това, откажете връзката от неизвестни клиенти (Достъп за неуточнени клиенти: Отказ) и посочете IP адреса / или IP подмрежа, от която връзката ще бъде разрешена. Услугата Remote Connect използва SSL сертификат, но можете да използвате друг, ако го импортирате в магазина за сертификати (можете да създадете и използвате самоподписан сертификат). Запазване на промените.

забележка. По подразбиране порт 8172 се използва за отдалечено управление на IIS.При запазване на промените този порт ще се отваря автоматично в защитната стена на Windows.

съвет. На отдалечен IIS сървър, работещ в режим Core (за информация: как да превключвате между режимите Core и GUI в Windows 2012), тази опция може да се активира чрез системния регистър чрез настройка на ключа EnableRemoteManagement в клона HKLM \ Software \ Microsoft \ WebManagement \ Server, стойността е 1. Команда:

Reg Добавяне на HKLM \ Софтуер \ Microsoft \ WebManagement \ Сървър / V EnableRemoteManagement / T REG_DWORD / D 1

В този случай ще трябва да създадете правило за защитната стена ръчно:

netsh advfirewall firewall добавете име на правило = „Разрешаване на IIS Web Management“ dir = в действие = разреши услуга = „WMSVC“

Остава да стартирате услугата за уеб управление:

нетен старт wmsvc

И настройте услугата да се стартира автоматично, когато OS се стартира:

set-service wmsvc -StartupType Automatic

Или така:

sc config WMSVC start = автоматично

След това е възможно да добавите отдалечения IIS сървър към конзолата за управление на IIS Manager и да управлявате IIS сървъра, всички сайтове на него по същия начин като локалния уеб сървър.

Предоставяне на права на потребителите за дистанционно управление на IIS сайт

По подразбиране само потребители с права на администратор на сървър имат право да управляват дистанционно IIS сървъра. За да се предостави правото на дистанционно управление на обикновените потребители, е необходимо да се предоставят съответните права на нивото на всеки IIS сайт. Изберете сайт и намерете опция IIS мениджър Разрешения.

В панела „Действия“ кликнете върху Позволете потребител. Изберете акаунта, който искате да предоставите достъп до IIS, и щракнете върху OK.

Правата за потребителите да управляват сайтове в IIS са конфигурирани в секцията особеност делегация IIS сървър.

Можете да зададете едно от три нива на достъп за потребителите за всяка функционалност за управление на сървъра на IIS: Само за четене, четене / запис или не е делегирано.

Дистанционно управление на IIS от Windows 10

Ако трябва да управлявате дистанционно IIS сървъри от клиентска работна станция с Windows 10 (Windows 7 или 8.1), трябва да инсталирате конзолата за управление на IIS: Включете или изключете функциите на Windows -> Интернет информационни услуги -> Инструменти за уеб управление -> Конзола за управление на IIS.

Можете да инсталирате контролния компонент със следната команда PowerShell:

Активиране-WindowsOtionalFeature -Online -FeatureName "IIS-ManagementService"

Когато стартирате конзолата на IIS Manager в Windows 10, се оказва това Свързване със сървър (Свързване към сървър) липсва от менюто.

За да можете да се свържете дистанционно с IIS в Windows 10, трябва да изтеглите и инсталирате компонента на IIS Manager за отдалечена администрация (https://www.microsoft.com/en-us/download/details.aspx?id=41177).

съвет. Има версия на IIS Manager за x64 (inetmgr_amd64_en-US.msi) и x86 OS (inetmgr_x86_en-US.msi).

След инсталирането трябва да рестартирате конзолата на IIS Manager и да се свържете със сайта. Ако при свързване към IIS се окаже, че версията на конзолата на клиента и сървъра е различна, се появява известие за необходимостта от актуализиране на версията на конзолата (всички необходими файлове ще бъдат автоматично изтеглени от сървъра).

Сега трябва успешно да се свържете към вашия IIS сървър и да го управлявате дистанционно от работната си станция.

IIS Remote Management и TLS 1.1 / TLS 1.2 Поддръжка

Ако сте деактивирали наследените SSLv3 и TLS 1.0 протоколи на IIS, оставяйки само TLS 1.1 / TLS 1.2, тогава ще се появи грешка при свързване към IIS от разстояние:

„Основната връзка беше затворена: При изпращането възникна неочаквана грешка.

За да се отстрани проблемът, е необходимо от страна на клиента да направи промени в системния регистър, за задължителното използване на протокола TLS1.2 при свързване. Настройките зависят от версията на Windows.

Windows 10 и Windows Server 2016:

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ .NETFramework \ v4.0.30319] "SchUseStrongCrypto" = DWORD: 00000001 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ .NETFramework \ v4.0.30319] "SchUseStrongCrypto" = DWORD: 00000001

Windows 2012 / R2 и Windows 8 / 8.1:

Трябва да бъде инсталиран NET Framework 4.5.2 или по-нова версия (как да определите кои версии на NET Framework са инсталирани).

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ .NETFramework \ v4.0.30319] "SchUseStrongCrypto" = DWORD: 00000001 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ .NETFramework \ v4.0.30319] "SchUseStrongCrypto" = DWORD: 00000001

Windows Server 2008 R2 / Windows 7:

Първо трябва да инсталирате актуализация KB3154518, за да поддържате TLS 1.2 в .NET Framework 3.5.1.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ .NETFramework \ v2.0.50727] "SystemDefaultTlsVersions" = DWORD: 00000001 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ .NETFramework \ v2.0.50727] "SystemDefaultTlsVersions" = DWORD: 00000001 [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols] [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.1] [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Security \ SecurityProviders \ "\ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ | = dword: 00000000 [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.1 \ Server] "DisabledByDefault" = dword: 00000000 [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ ControlControlSet \ ControlControlSet \ Управляващ контрол HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.2 \ Client] "DisabledByDefault" = dword: 00000000 [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityP roviders \ SCHANNEL \ Protocols \ TLS 1.2 \ Server] "DisabledByDefault" = dword: 00000000