Condividi tramite

Diagnosi di errori con amministrazione remota

  • Articolo

di Nitasha Verma

Introduzione

Questo articolo consente di diagnosticare e risolvere i problemi riscontrati durante l'uso di RemoteMgr. Ciò si basa su domande frequenti sui forum di iis.net.

Impossibile connettersi al server remoto?

Assicurarsi che il client e il server usino la stessa compilazione. Ad esempio, un server Beta 3 remoteMgr non funzionerà con una compilazione del server RC1.

Fare riferimento al post di blog sulla matrice del comportamento di gestione remota. Potrebbe verificarsi un problema correlato agli elenchi di controllo di accesso (ACL).

Esaminare il log Visualizzatore eventi (eventvwr.msc). WMSVC ha una buona storia di supporto. Gli eventi vengono registrati con messaggi di errore dettagliati e una traccia dello stack. Esaminando il Visualizzatore eventi spesso si dice cosa potrebbe essere il problema.

Impossibile connettersi al server remoto dopo l'aggiornamento delle associazioni wmsvc?

Se questa operazione si verifica dopo l'aggiornamento della porta in cui WMSVC è configurata per l'esecuzione, verificare se il firewall è attivato per il server. In caso affermativo, aggiungere una nuova regola di eccezione per la porta in cui WMSVC è in esecuzione (valore predefinito: 8172). Provare quindi di nuovo a connettersi al server.

Se questo non risolve il problema, eseguire i comandi seguenti da cmdline:

netsh http show sslcert

netsh http show sslcert

Assicurarsi che la porta 8172 (quella in cui WMSVC è in esecuzione) disponga di associazioni di certificati SSL. Assicurarsi inoltre che l'hash del certificato corrisponda a quello a cui WMSVC è associato (nell'interfaccia utente del servizio di gestione).

Output di esempio:

c:\>netsh http show sslcert 
SSL Certificate bindings:
-------------------------
IP:port                 : 0.0.0.0:8172
Certificate Hash        : f06ae62a5275a818338f05ecc80707335be1e204
Application ID          : {00000000-0000-0000-0000-000000000000}
Certificate Store Name: MY
Verify Client Certificate Revocation    : Enabled
Verify Revocation Using Cached Client Certificate Only: Disabled
Usage Check    : Enabled
Revocation Freshness Time: 0
URL Retrieval Timeout   : 0
Ctl Identifier          : (null)
Ctl Store Name          : (null)
DS Mapper Usage    : Disabled
Negotiate Client Certificate    : Disabled

netsh http show urlacl

netsh http show urlacl

Assicurarsi che l'URL https://*:8172/ (la porta in cui WMSVC sia configurato per l'esecuzione) venga visualizzata nell'elenco di URL riservati.

Output di esempio:

c:\>netsh http show urlacl

URL Reservations:
-----------------
Reserved URL            : https://*:8172/
User: NT SERVICE\WMSvc
Listen: Yes
Delegate: No
SDDL: D:(A;;GX;;;S-1-5-80-257763619-1023834443-750927789-3464696139-1457670516)

Usare i comandi netsh nel paragrafo precedente per determinare se le associazioni non sono configurate correttamente. Il problema potrebbe essere che la chiave del computer non dispone delle autorizzazioni per l'amministratore che tenta di modificare le associazioni WMSVC. In questo caso, provare quanto segue:

  1. Acquisire la proprietà della chiave del computer:

    takeown /F %ProgramData%\Microsoft\Crypto\RSA\MachineKeys\bedbf0b4da5f8061b6444baedf4c00b1* /R

  2. Configurare gli elenchi di controllo di accesso della chiave del computer in modo che il gruppo di amministratori disponga delle autorizzazioni di lettura:

    icacls %ProgramData%\Microsoft\Crypto\RSA\MachineKeys\bedbf0b4da5f8061b6444baedf4c00b1* /grant Administrators:(R)

  3. Riservare la porta 8172 per WMSVC:

    netsh http add urlacl url=https://*:8172/ User="NT SERVICE\wmsvc"

  4. Associare il certificato alla porta:

    netsh http add sslcert ipport=0.0.0.0:8172 certhash=<certHash> appid={d7d72267-fcf9-4424-9eec-7e1d8dcec9a9}

Non si vuole visualizzare il prompt sul client ogni volta che ci si connette al server remoto?

Assicurarsi che il server usi un certificato radice attendibile per WMSVC. Creare un certificato radice attendibile (se non lo si dispone già) e nella pagina funzionalità del servizio di gestione assegnare questo certificato da usare dal servizio. Ciò garantisce che il client non ottenga un prompt che chiede se considera attendibile il server (poiché il certificato non è attendibile).

Se tutto il resto ha esito negativo:

Pubblicare il problema nei forum di IIS.NET con passaggi e dettagli riprodotti. Includere il log eventvwr.msc insieme all'eccezione e allo stack di chiamate.

Ecco i dettagli su come ottenere l'eccezione e lo stack di chiamate:

  1. Collegare windbg a wmsvc.exe

    windbg –pn wmsvc.exe

  2. Caricare il sos.dll e impostare un punto di interruzione se si verifica un'eccezione gestita

    .loadby sos mscorwks
sxe clr

  3. Quindi premere vai

    g

  4. Quando si interrompe, stampare l'eccezione e lo stack di chiamate e inviarlo a iis.net/forums.

    !pe
!clrstack