Diagnostic des échecs avec l’administration à distance
par Nitasha Verma
Introduction
Cet article vous aidera à diagnostiquer et résoudre les problèmes détectés lors de l’utilisation de RemoteMgr. Ceci est basé sur des questions fréquemment posées sur les forums iis.net.
Impossible de se connecter au serveur distant ?
Assurez-vous que le client et le serveur utilisent la même build. Par exemple, un serveur bêta 3 remoteMgr ne fonctionne pas avec une build de serveur RC1.
Reportez-vous au billet de blog sur la matrice de comportement de gestion à distance. Il peut y avoir un problème lié aux listes de contrôle d’accès (ACL).
Examinez le journal observateur d'événements (eventvwr.msc). WMSVC a une bonne histoire de prise en charge. Les événements sont enregistrés avec des messages d’erreur détaillés et une trace de pile. En regardant le observateur d'événements vous indique souvent ce que le problème pourrait être.
Impossible de se connecter au serveur distant après la mise à jour des liaisons wmsvc ?
Si cela se produit après la mise à jour du port sur lequel WMSVC est configuré pour s’exécuter, vérifiez si le pare-feu est activé pour le serveur. Si c’est le cas, ajoutez une nouvelle règle d’exception pour le port sur lequel WMSVC est en cours d’exécution (valeur par défaut : 8172). Essayez ensuite de vous connecter à nouveau au serveur.
Si cela ne résout pas le problème, exécutez les commandes suivantes à partir de cmdline :
netsh http show sslcert
netsh http show sslcert
Vérifiez que le port 8172 (celui sur lequel WMSVC est en cours d’exécution) possède des liaisons de certificat SSL. Vérifiez également que le hachage de certificat correspond à celui auquel WMSVC est lié (dans l’interface utilisateur du service de gestion).
Exemple de sortie :
c:\>netsh http show sslcert
SSL Certificate bindings:
-------------------------
IP:port : 0.0.0.0:8172
Certificate Hash : f06ae62a5275a818338f05ecc80707335be1e204
Application ID : {00000000-0000-0000-0000-000000000000}
Certificate Store Name: MY
Verify Client Certificate Revocation : Enabled
Verify Revocation Using Cached Client Certificate Only: Disabled
Usage Check : Enabled
Revocation Freshness Time: 0
URL Retrieval Timeout : 0
Ctl Identifier : (null)
Ctl Store Name : (null)
DS Mapper Usage : Disabled
Negotiate Client Certificate : Disabled
netsh http show urlacl
netsh http show urlacl
Vérifiez que l’URL https://*:8172/
(le port sur lequel WMSVC est configuré pour s’exécuter) apparaît dans la liste des URL réservées.
Exemple de sortie :
c:\>netsh http show urlacl
URL Reservations:
-----------------
Reserved URL : https://*:8172/
User: NT SERVICE\WMSvc
Listen: Yes
Delegate: No
SDDL: D:(A;;GX;;;S-1-5-80-257763619-1023834443-750927789-3464696139-1457670516)
Utilisez des commandes netsh dans le paragraphe précédent pour déterminer si les liaisons ne sont pas correctement configurées. Le problème peut être que la clé de machine n’a pas d’autorisations pour l’administrateur qui tente d’ajuster les liaisons WMSVC. Dans ce cas, essayez les éléments suivants :
Prenez possession de la clé de machine :
takeown /F %ProgramData%\Microsoft\Crypto\RSA\MachineKeys\bedbf0b4da5f8061b6444baedf4c00b1* /R
Configurez les listes de contrôle d’accès de la clé d’ordinateur de sorte que le groupe d’administrateurs dispose d’autorisations de lecture :
icacls %ProgramData%\Microsoft\Crypto\RSA\MachineKeys\bedbf0b4da5f8061b6444baedf4c00b1* /grant Administrators:(R)
Réservez le port 8172 pour WMSVC :
netsh http add urlacl url=https://*:8172/ User="NT SERVICE\wmsvc"
Associez le certificat au port :
netsh http add sslcert ipport=0.0.0.0:8172 certhash=<certHash> appid={d7d72267-fcf9-4424-9eec-7e1d8dcec9a9}
Ne souhaitez-vous pas voir l’invite sur le client chaque fois que vous vous connectez au serveur distant ?
Assurez-vous que le serveur utilise un certificat racine approuvé pour WMSVC. Créez un certificat racine approuvé (si vous ne l’avez pas déjà) et, dans la page de fonctionnalités du service de gestion, affectez ce certificat à utiliser par le service. Cela garantit que le client n’obtient pas d’invite demandant s’il approuve le serveur (car le certificat n’est pas approuvé).
Si tout le reste échoue :
Publiez le problème sur les forums IIS.NET avec des étapes et des détails reproduits. Incluez le journal eventvwr.msc avec exception et pile d’appels.
Voici des détails sur la façon d’obtenir l’exception et la pile des appels :
Attacher windbg à wmsvc.exe
windbg –pn wmsvc.exe
Chargez le sos.dll et définissez un point d’arrêt si une exception managée se produit
.loadby sos mscorwks sxe clr
Ensuite, appuyez sur go
g
Lorsqu’il s’interrompt, imprimez l’exception et la pile des appels et envoyez-la à iis.net/forums.
!pe !clrstack