Поделиться через

Настройка удаленного администрирования и делегирования компонентов в IIS 7

  • Статья

Saad Ladki

Введение

IIS предоставляет администраторам и разработчикам новую систему конфигурации, доступную, расширяемую и распространяемую. Новый формат на основе XML позволяет легко настраивать модули и функции, доступные в IIS 7 и более поздних версиях. Кроме того, он позволяет детализировать управление расположениями, в которых можно настроить параметры отдельных компонентов (например, на уровне сервера в файле конфигурации applicationHost.config или на сайте или на уровне приложения в файле конфигурации Web.config).

Новый пользовательский интерфейс администрирования IIS, диспетчер IIS полностью поддерживает эту новую систему конфигурации и добавляет дополнительные функции, обеспечивающие мощную и детализированную систему для настройки веб-сервера. Два из этих дополнительных функций — удаленное администрирование серверов, сайтов и приложений, а также поддержка проверки подлинности и авторизации на основе пользователей.

В этой статье объясняется, как включить удаленные подключения, настроить пользователей и разрешения, а также делегировать функции на уровне сайта или приложения. Существует множество сценариев, когда администратор сервера IIS может потребовать делегировать административный контроль над определенным компонентом или функциями кому-либо или где администратор может запретить другим пользователям просматривать существующую конфигурацию. Например, выполните следующий сценарий.

Эдвард является администратором сервера на компьютере, на котором размещены несколько сайтов. Компьютер является частью домена, и некоторые владельцы сайтов принадлежат одному домену. Однако некоторые владельцы сайтов находятся за пределами домена, и Эдвард должен создать для них учетные записи пользователей диспетчера IIS, создав имя пользователя и пароль для каждого владельца. После создания необходимых учетных записей пользователей диспетчера IIS Эдвард настраивает разрешения диспетчера IIS для каждого сайта, чтобы указать, какой из пользователей разрешено подключаться к конкретному сайту. Для этого Эдвард открывает функцию разрешений диспетчера IIS на каждом сайте и добавляет пользователей Windows и пользователей диспетчера IIS. Это действие делает две вещи. Во-первых, служба IIS настраивает службы IIS, чтобы разрешить пользователю подключаться к сайту, когда пользователь предоставляет допустимые учетные данные. Во-вторых, пользователи, которые успешно подключаются к настройке всех делегированных функций на этом сайте.

Эдвард также хочет делегировать конфигурацию некоторых функций, которые он доверяет, чтобы быть настроен владельцем сайта в своем или ее собственном сайте. Это устраняет необходимость владельца сайта запрашивать, чтобы Эдвард настраивал функции, которые зависят от сайта, например документов по умолчанию. Он решает делегировать конфигурацию для следующих функций на всех сайтах на сервере: документы по умолчанию, просмотр каталогов и страницы ошибок. Кроме того, Эдвард решает делегировать конфигурацию дополнительной функции, HTTP-перенаправления на сайт Contoso, так как он знает, что сайт часто необходимо перенаправить и доверять владельцам сайта настроить эти параметры. Он задает для всех остальных функций только чтение, чтобы владельцы сайтов могли видеть параметры, но не настраивать их на своих сайтах.

Джулиан и Кэтрин являются владельцами сайтов для сайта Contoso на компьютере Эдварда. Джулиан имеет учетную запись пользователя Windows, а У Кэтрин есть учетная запись пользователя диспетчера IIS, для которой Эдвард предоставил свои учетные данные. Они могут открывать диспетчер IIS на своих компьютерах и подключаться к Contoso, так как Эдвард разрешил учетным записям настроить сайт Contoso. Каждый из них видит все функции, делегированные на уровень сайта. Они могут настроить документы по умолчанию, просмотр каталогов, страницы ошибок и перенаправление HTTP, так как Эдвард делегировал настройку этих параметров на свой сайт.

Необходимые компоненты

Для выполнения процедур, описанных в этой статье, необходимо установить следующие элементы:

  • IIS 7.0 в Windows Server® 2008 или IIS 7.5 в Windows Server 2008 R2
  • Диспетчер информационных служб Интернета (IIS)

Настройка удаленных подключений в диспетчере IIS

В IIS диспетчер IIS упрощает выполнение удаленного администрирования. Помимо управления IIS на локальном компьютере диспетчер IIS может управлять удаленными серверами, сайтами и приложениями. Администратор сервера использует функции удаленного администрирования для добавления учетных записей пользователей диспетчера IIS и предоставления пользователям возможности подключаться к любым сайтам или приложениям, для которых у них есть разрешение.

Настройка удаленного администрирования включает включение удаленных подключений в диспетчере IIS и настройку типа учетных данных, необходимых для подключения к серверу. При необходимости можно изменить параметры подключения и ведения журнала по умолчанию, а также добавить ограничения подключения на основе IP-адресов или доменных имен.

Установка службы управления

Параметры установки IIS по умолчанию не включают службу управления (также называемую веб-службой управления (WMSVC)), которая требуется для удаленного администрирования. Если вы не установили службу управления, выполните действия, описанные в этой процедуре, чтобы установить ее.

Чтобы установить службу управления, выполните следующие действия.

  1. Нажмите кнопку "Пуск", введите диспетчер сервера в поле поиска и нажмите клавишу ВВОД, чтобы открыть диспетчер сервера.
  2. В дереве в разделе "Роли" выберите веб-сервер (IIS).
  3. Щелкните "Добавить службы ролей" и выберите "Служба управления", как показано на рисунке ниже.
  4. Нажмите кнопку "Далее" и следуйте инструкциям, чтобы завершить установку.Снимок экрана: меню

Включение удаленных подключений и настройка учетных данных удостоверения

Включите удаленные подключения, чтобы пользователи Windows и пользователи диспетчера IIS (настроенные далее в этой статье) могли подключаться к этому компьютеру с помощью диспетчера IIS на своих компьютерах. По умолчанию служба управления разрешает подключения только от пользователей с учетными данными Windows, но ее можно настроить, чтобы разрешить подключения от пользователей с учетными данными диспетчера IIS. В целях этой статьи настройте службу управления, чтобы разрешить оба типа учетных данных, как показано на рисунке ниже.

Примечание.

В следующем разделе этой статьи описываются учетные данные диспетчера IIS.

Чтобы включить удаленные подключения и разрешить подключения от пользователей Windows и пользователей диспетчера IIS, выполните приведенные ниже действия.

  1. В диспетчере IIS в области "Подключения" щелкните узел сервера в дереве.
  2. Дважды щелкните службу управления, чтобы открыть страницу функции службы управления.
  3. Установите флажок "Включить удаленные подключения".
  4. В разделе "Учетные данные удостоверения" выберите учетные данные Windows или учетные данные диспетчера IIS.
  5. В области действий нажмите кнопку "Применить", чтобы сохранить изменения, а затем нажмите кнопку "Пуск", чтобы запустить службу управления.
    Снимок экрана: страница функции службы управления. Выделен параметр

Дополнительная информация

Для запуска службы управления не требуется включить удаленные подключения. Если удаленные подключения отключены и служба управления запущена, вы можете подключиться к службе управления с локального компьютера, но не с удаленного компьютера. Если вы не можете подключиться с удаленного компьютера, убедитесь, что удаленные подключения включены.

Необходимо проверить параметры брандмауэра, чтобы убедиться, что подключения разрешены к службе управления. При установке службы управления процесс установки добавляет правило брандмауэра, разрешающее трафик к службе управления через порт 8172 (порт по умолчанию), который включен по умолчанию. Если вы когда-либо изменяете порт, используемый службой управления, необходимо добавить новое правило брандмауэра, чтобы разрешить трафик в службу управления на этом порту.

Настройка параметров подключения и ведения журнала для службы управления

Помимо параметров службы управления, настроенных в приведенном выше разделе, можно настроить параметры подключения и указать место для регистрации запросов. В следующей таблице описывается каждое поле и его параметр по умолчанию. Если изменить параметры, нажмите кнопку "Применить" в области "Действия ", а затем перезапустите службу управления.

Свойство Description Параметр по умолчанию
IP-адрес Указывает IP-адрес, к которому привязана служба. Все неназначенные
Порт Указывает номер порта, используемый службой для запросов. 8172
Сертификат SSL Указывает SSL-сертификат, используемый службой. Все запросы к службе используют HTTPS через порт, указанный в поле "Порт ". Этот список содержит SSL-сертификаты, доступные серверу. Если вы хотите добавить дополнительные SSL-сертификаты, используйте функцию сертификатов сервера на уровне сервера. Самозаверяющий сертификат, установленный во время установки
Запросы к журналам Указывает путь к файлам журнала для службы управления. %SystemDrive%\Inetpub\logs\WMSVC

Настройка ограничений IP-адресов и доменов для службы управления

По умолчанию служба управления принимает все запросы, внесенные в настроенный IP-адрес и порт, и пользователи могут подключаться при добавлении в диспетчер IIS (как описано в следующем разделе). Однако вы можете настроить службу, чтобы запретить доступ для неопределенных запросов и вместо этого добавить определенные правила разрешения, чтобы принимать только запросы, сделанные из определенного IP-адреса или домена. Дополнительные сведения о том, как разрешить или запретить запросы с IP-адресов или доменов, см. в разделе "Настройка удаленного управления" в Microsoft TechNet.

Настройка пользователей и разрешений для диспетчера IIS

При настройке службы управления в приведенном выше разделе выбран параметр учетных данных Windows или учетных данных диспетчера IIS. Этот параметр позволяет пользователям с учетными записями пользователей Windows или учетными записями пользователей IIS Manager подключаться к сайту или приложению на удаленном компьютере с помощью диспетчера IIS. Оба типа пользователей должны предоставлять допустимые учетные данные (имя пользователя и пара паролей) при удаленном подключении. Пользователь Windows должен предоставить допустимые учетные данные Windows для учетной записи пользователя на удаленном компьютере или учетной записи пользователя в домене, если компьютер является членом домена. Пользователь диспетчера IIS должен предоставить допустимые учетные данные диспетчера IIS, настроенные в диспетчере IIS администратором сервера на удаленном компьютере. В обоих случаях пользователь может использовать диспетчер IIS для подключения к сайтам или приложениям, для которых администратор сервера предоставил пользователю разрешение.

Добавление пользователя диспетчера IIS

В следующих процедурах объясняется, как открыть функцию пользователей диспетчера IIS и добавить пользователя. Когда откроется страница "Пользователи диспетчера IIS", в списке отображается имя пользователя диспетчера IIS и включена ли учетная запись или отключена. Только включенные учетные записи могут подключаться к сайтам или приложениям, для которых они были предоставлены разрешения.

Чтобы добавить пользователя диспетчера IIS, выполните приведенные действия.

  1. В диспетчере IIS в области "Подключения " щелкните узел сервера в дереве.
  2. На домашней странице сервера дважды щелкните " Пользователи диспетчера IIS".
    Снимок экрана: домашняя страница сервера B D E L P P C с одной тире I S сервера. На панели
  3. На странице "Пользователи диспетчера IIS" в области "Действия" нажмите кнопку "Добавить пользователя".
  4. В поле "Имя пользователя" введите имя пользователя.
  5. В поле "Пароль" введите пароль и введите пароль в поле "Подтверждение пароля".
  6. Щелкните OK.
    Снимок экрана: страница

Настройка разрешений диспетчера IIS для сайта или приложения

Чтобы пользователь удаленно подключался к сайту или приложению на сервере, им необходимо предоставить разрешение администратору сервера на сайт или приложение. После предоставления им разрешения можно использовать диспетчер IIS для подключения к сайту или приложению с помощью учетных данных Windows (если они являются пользователем Windows) или учетными данными пользователя диспетчера IIS (если они являются пользователем диспетчера IIS).

Чтобы разрешить пользователю диспетчера IIS подключаться к сайту или приложению:

  1. В диспетчере IIS в области "Подключения" выберите сайт или приложение, для которого требуется настроить разрешения.
  2. На домашней странице сайта или приложения дважды щелкните разрешения диспетчера IIS.
    Снимок экрана: область
  3. На странице разрешений диспетчера IIS в области "Действия" нажмите кнопку "Разрешить пользователя".
  4. В диалоговом окне "Разрешить пользователю" выберите диспетчер IIS и нажмите кнопку "Выбрать".
    Снимок экрана: страница
  5. В диалоговом окне "Пользователи" выберите одного или нескольких пользователей диспетчера IIS из списка и нажмите кнопку "ОК".
    Снимок экрана: диалоговое окно
  6. Нажмите кнопку "ОК ", чтобы закрыть диалоговое окно "Разрешить пользователю ".

Чтобы разрешить пользователю Windows подключаться к сайту или приложению:

  1. На странице разрешений диспетчера IIS в области "Действия" нажмите кнопку "Разрешить пользователя".
  2. В диалоговом окне "Разрешить пользователю" выберите Windows и нажмите кнопку "Выбрать".
  3. В диалоговом окне "Выбор пользователя" или "Группа" введите имя пользователя или найдите учетную запись пользователя, а затем нажмите кнопку "ОК".
    Снимок экрана: диалоговое окно выбора пользователя или группы. В текстовом разделе
  4. Нажмите кнопку "ОК ", чтобы закрыть диалоговое окно "Разрешить пользователю ".

Настройка списков контроль доступа (ACL) для каталогов содержимого

Чтобы диспетчер IIS работал правильно, когда пользователь подключается к сайту или приложению, необходимо правильно настроить списки управления доступом для физического каталога сайта или приложения. Для пользователей Windows необходимо настроить списки управления доступом к каталогам и файлам для каждого пользователя Или группы Windows, которым требуется доступ к каталогам и файлам. Для пользователей диспетчера IIS необходимо настроить списки управления доступом каталогов и файлов для пользователя WMSVC (NT Service\WMSVC по умолчанию).

Для физического каталога сайта или приложения настройте разрешения на чтение, запись и выполнение разрешений для пользователя WMSVC (если вы разрешаете пользователям IIS Manager подключаться) и для всех пользователей Windows, которым необходимо подключиться к сайту или приложению.

Если физический каталог сайта или приложения находится на другом компьютере (т. е. в UNC-ресурсе), необходимо настроить WMSVC для запуска от имени пользователя, имеющего разрешения на чтение, запись и выполнение разрешений для содержимого в этой UNC-папке (пользователь по умолчанию, NT Service\WMSVC, не может получить доступ к элементам на другом компьютере).

Подключение к сайту или приложению в диспетчере IIS

После настройки службы управления и настройки пользователей и разрешений пользователь может подключиться к своему сайту или приложению.

Подключение к сайту или приложению

  1. В диспетчере IIS щелкните файл и нажмите кнопку "Подключиться к сайту" (или "Подключиться к приложению").
  2. В мастере подключения к сайту или подключению к приложению введите имя сервера и имя сайта, к которому требуется подключиться. Если вы подключаетесь к приложению, введите также имя приложения. Затем нажмите Далее.
    Снимок экрана: мастер подключения к сайту. В текстовом имени сервера записывается localhost. В текстовом имени сайта contoso dot com записывается. Выделен параметр Next.
  3. На странице "Предоставление учетных данных" мастера подключения к сайту или подключению к приложению выберите, следует ли использовать текущие учетные данные или указать учетные данные для подключения к сайту. При указании учетных данных по умолчанию используется учетные данные Windows, если вы не установите флажок "Использовать учетные данные диспетчера IIS". После указания учетных данных нажмите кнопку "Далее ", чтобы подключиться к серверу.
    Снимок экрана: мастер подключения к сайту. Отображается страница
  4. Если подключение выполнено успешно, диспетчер IIS отобразит окончательную страницу в мастере подключения к сайту или подключению к приложению , чтобы присвоить имя подключения. Как показано на рисунке ниже, пользователь TestAdmin создал подключение сайта к сайту Contoso.com.
    Снимок экрана: мастер подключения к сайту. Отображается страница диспетчера службы IIS (I S). Имя сайта contoso dot com выделено и выбрано.

Дополнительная информация

В следующем разделе мы рассмотрим делегирование компонентов. Тем не менее, прежде чем это сделать, и лучше объяснить делегирование функций и то, что это делает, мы рассмотрим одну функцию сайта, к которому мы только что подключились. Сайт должен быть выделен, а домашняя страница сайта должна отображаться. На домашней странице дважды щелкните страницы ошибок.

Как показано на рисунке ниже, на правой части страницы есть оповещение о том, что эта функция заблокирована и доступна только для чтения". Это оповещение отображается при блокировке функции; В следующем разделе описано делегирование функций и блокировка более подробно.

Снимок экрана: страницы ошибок. В правой части страницы есть оповещение, указывающее, что эта функция заблокирована и доступна только для чтения, которая выделена.

Делегирование функций в диспетчере IIS

Страница "Делегирование компонентов" позволяет администратору сервера настроить состояние делегирования функций, которые можно настроить в файлах web.config на уровне сайта и приложения в диспетчере IIS. Он или она может потребовать делегировать конфигурацию определенных функций, таких как документы по умолчанию и просмотр каталогов, отдельному владельцу сайта, чтобы владелец мог настроить эти делегированные функции на своем сайте.

Или администратор сервера может делегировать функцию только для чтения, чтобы владелец сайта мог просматривать конфигурацию компонента, но не может изменить параметры. Администратор сервера может даже предотвратить появление функций в диспетчере IIS на уровне сайта и приложения.

Существует несколько разных состояний делегирования, каждый из которых определяет, делегируется ли функция на более низкие уровни в системе конфигурации и отображается ли функция в диспетчере IIS при подключении пользователей на более низких уровнях. В следующей таблице описывается каждое состояние делегирования.

Тип делегирования Description
Не делегируются Конфигурация заблокирована, и любая конфигурация компонента в файле конфигурации Web.config приведет к ошибке среды выполнения. Функция не отображается или настраивается в диспетчере IIS, если пользователь подключен на уровнях ниже, где задано это состояние. Например, если функция не делегирована на уровне сайта, пользователи, подключенные к приложениям на этом сайте, не увидят эту функцию и не смогут настроить ее в диспетчере IIS.
Только чтение Конфигурация заблокирована, и любая конфигурация компонента в файле конфигурации Web.config приведет к ошибке среды выполнения. Эта функция отображается в диспетчере IIS при подключении пользователя на более низких уровнях, но конфигурация заблокирована, чтобы изменения не были внесены.
Чтение и запись Эту функцию можно настроить в web.config. Эта функция отображается в диспетчере IIS и может быть настроена при подключении пользователя на более низких уровнях (уровне сайта или приложения).
Только чтение конфигурации Значение совпадает с значением только для чтения. Однако существуют параметры или данные для функции, которая хранится и управляется за пределами IIS, например в базе данных.
Чтение и запись конфигурации Значение совпадает с значением чтения и записи. Однако существуют параметры или данные для функции, которая хранится и управляется за пределами IIS, например в базе данных.

Примечание.

Администраторы серверов могут изменять конфигурацию для всех функций, поэтому если они подключены к серверу, они увидят все функции на всех уровнях, даже если компонент не настроен на более низких уровнях.

Настройка состояний делегирования по умолчанию для функций в диспетчере IIS

При первом открытии страницы функции делегирования компонентов можно настроить состояние делегирования по умолчанию в диспетчере IIS. Эти состояния делегирования — это параметры по умолчанию, используемые диспетчером IIS для всех сайтов и приложений на сервере.

Настройка состояний делегирования по умолчанию для функций в диспетчере IIS

  1. В диспетчере IIS в области "Подключения " щелкните узел сервера в дереве.
  2. На домашней странице сервера дважды щелкните делегирование компонентов. Снимок экрана: панель подключений на домашней странице сервера с выделенным значком B E E L A P C 1 тире I S и выделенным значком делегирования компонентов.
  3. Выберите делегирование из группы по списку, чтобы упорядочить список функций по текущим состояниям делегирования.
    Снимок экрана: список делегирования компонентов в области действий с делегированием из выделенного списка групп.
  4. Выберите страницы ошибок в списке делегирования компонентов и просмотрите доступные состояния делегирования в области действий. Выбрана функция "Страницы ошибок", а доступные параметры в разделе "Задать делегирование компонентов" — чтение и запись, удаление делегирования и сброс на унаследованный.
    Снимок экрана: список делегирования компонентов с выбранными страницами ошибок с доступными параметрами в разделе
  5. Выберите страницы ошибок. В области действий щелкните "Чтение и запись ", чтобы разблокировать раздел конфигурации, связанный с функцией "Страницы ошибок ". Это делает функцию настраиваемой в файлах web.config и в диспетчере IIS на уровне сайта и приложения.

Дополнительная информация

В следующем фрагменте из файлов конфигурации IIS показано, что значения можно переопределить в каждом расположении (также называемом "path"):

<location path="" overrideMode="Allow">
    <system.webServer>
        <httpErrors>
            ...
            ...
        </httpErrors>
    </system.webServer>
</location>

Чтобы дополнительно продемонстрировать, что это действие делает, просмотрите функцию "Страницы ошибок " на уровне сайта. В области "Подключения" подключитесь к сайту и дважды щелкните страницы ошибок на домашней странице сайта. Как показано на рисунке ниже, функция "Страницы ошибок " теперь может быть настроена пользователем, подключенным к уровню сайта.

Снимок экрана: страницы ошибок с такими действиями, как добавление, выход из параметра компонента, справка и веб-справка.

Настройка настраиваемых состояний делегирования для функций на сайте или в приложении

Описанные выше действия настраивают состояние делегирования по умолчанию для функции "Страницы ошибок" на всех сайтах на сервере. Также может возникнуть время, когда вы не хотите, чтобы состояние делегирования, которое вы настраиваете, применимо ко всем сайтам. В этом случае можно настроить пользовательское состояние делегирования для определенного сайта. Можно также скопировать пользовательские состояния делегирования всех функций с одного сайта на другой сайт.

Настройка настраиваемых состояний делегирования для функций на определенном сайте

  1. В диспетчере IIS дважды щелкните делегирование компонентов.
  2. На странице "Делегирование компонентов" в области "Действия" щелкните "Пользовательское делегирование веб-сайта".
  3. В списке сайтов выберите сайт, для которого необходимо настроить настраиваемые параметры делегирования.
    Снимок экрана: панель
  4. Выберите функцию и выберите состояние делегирования в области "Действия ".

Копирование пользовательских состояний делегирования с одного сайта на другой сайт

  1. На странице "Делегирование пользовательских веб-сайтов" в списке "Сайты" выберите сайт, с которого нужно скопировать делегирование на другой сайт.
  2. Нажмите кнопку " Копировать делегирование".
  3. В диалоговом окне "Копирование делегирования" выберите сайт или сайты, на которые нужно скопировать состояния делегирования, а затем нажмите кнопку "ОК".

Сброс состояний делегирования компонентов

Может возникнуть время, в течение которого необходимо отменить изменения, внесенные в государства делегирования функций. Возможно, изменения были внесены на определенный сайт или приложение случайно, или некоторые "эксперименты" с функцией пошли не так. В этом случае сбросьте состояния делегирования всех функций обратно в их состояния по умолчанию. Или сбросьте только одну функцию обратно в состояние по умолчанию.

Сброс состояний делегирования компонентов

  1. Откройте страницу функции делегирования компонентов.
  2. Чтобы сбросить все состояния делегирования функций, в области действий нажмите кнопку "Сброс всех делегирований".

Чтобы сбросить состояние делегирования определенной функции, выберите функцию в списке и в области действий нажмите кнопку "Сброс на унаследованный".