Share via

Настройка удаленного администрирования и делегирования компонентов в IIS 7

  • Статья

Саад Ладки

Введение

СЛУЖБЫ IIS предоставляют администраторам и разработчикам новую систему конфигурации, доступную, расширяемую и распространяемую. Новый формат на основе XML позволяет легко настраивать модули и функции, доступные в IIS 7 и более поздних версий. Он также позволяет детализировать управление расположениями, в которых можно настроить параметры для отдельных компонентов (например, на уровне сервера в файле applicationHost.config или на уровне сайта или приложения в файле Web.config).

Новый пользовательский интерфейс администрирования IIS, диспетчер IIS, полностью поддерживает эту новую систему конфигурации и добавляет дополнительные функции, которые предоставляют мощную и детализированную систему для настройки веб-сервера. Две из этих дополнительных функций — удаленное администрирование серверов, сайтов и приложений, а также поддержка проверки подлинности и авторизации на основе пользователей.

В этой статье объясняется, как включить удаленные подключения, настроить пользователей и разрешения, а также делегировать функции на уровне сайта или приложения. Существует множество сценариев, в которых администратору сервера IIS может потребоваться делегировать кому-то административный контроль над определенными функциями или функциями или запретить другим пользователям просматривать существующую конфигурацию. Например, рассмотрим следующий сценарий.

Эдвард является администратором сервера на компьютере, на котором размещено несколько сайтов. Компьютер является частью домена, и некоторые владельцы сайтов принадлежат к одному домену. Однако некоторые владельцы сайтов находятся за пределами домена, и Эдвард должен создать для них учетные записи пользователей диспетчера IIS, создав имя пользователя и пароль для каждого владельца. После создания необходимых учетных записей пользователей диспетчера IIS Эдвард настраивает разрешения диспетчера IIS для каждого сайта, чтобы указать, каким пользователям разрешено подключаться к определенному сайту. Для этого Эдвард открывает функцию разрешений диспетчера IIS на каждом сайте и добавляет пользователей Windows и диспетчера IIS. Это действие выполняет две задачи. Во-первых, служба IIS позволяет пользователю подключаться к сайту, когда пользователь предоставляет допустимые учетные данные. Во-вторых, он позволяет пользователям, которые успешно подключаются, настраивать все делегированные функции на этом сайте.

Эдвард также хочет делегировать конфигурацию некоторых функций, которые, как он доверяет, будут настроены владельцем сайта на своем сайте. Это избавляет владельца сайта от необходимости запрашивать у Эдварда настройку функций, которые зависят от сайта, таких как документы по умолчанию. Он решает делегировать конфигурацию для следующих функций на всех сайтах на своем сервере: "Документы по умолчанию", "Просмотр каталогов" и "Страницы ошибок". Кроме того, Эдвард решает делегировать настройку дополнительной функции HTTP Redirect на сайт Contoso, так как он знает, что сайт часто нужно перенаправлять, и доверяет владельцам сайта для настройки этих параметров. Он устанавливает все остальные функции только для чтения, чтобы владельцы сайтов могли видеть параметры, но не настраивать их на своих сайтах.

Джулиан и Кэтрин являются владельцами сайта Contoso на компьютере Эдварда. У Джулиана есть учетная запись пользователя Windows, а у Кэтрин — учетная запись диспетчера IIS, для которой Эдвард предоставил свои учетные данные. Они могут открывать диспетчер IIS на своих компьютерах и подключаться к Contoso, так как Эдвард разрешил своим учетным записям настраивать сайт Contoso. Каждый из них видит все функции, делегированные на уровне сайта. Они могут настроить документы по умолчанию, просмотр каталогов, страницы ошибок и перенаправление HTTP, так как Эдвард делегирует настройку этих параметров своему сайту.

Предварительные требования

Для выполнения процедур, описанных в этой статье, необходимо установить следующие элементы:

  • IIS 7.0 в Windows Server® 2008 или IIS 7.5 в Windows Server 2008 R2
  • IIS Manager

Настройка удаленных подключений в диспетчере IIS

В IIS диспетчер IIS упрощает выполнение удаленного администрирования. Помимо управления СЛУЖБАми IIS на локальном компьютере, диспетчер IIS может управлять удаленными серверами, сайтами и приложениями. Администратор сервера использует функции удаленного администрирования для добавления учетных записей пользователей диспетчера IIS и разрешения этим пользователям подключаться к любым сайтам или приложениям, для которых у них есть разрешения.

Настройка удаленного администрирования включает включение удаленных подключений в диспетчере IIS и настройку типа учетных данных, необходимых для подключения к серверу. При необходимости можно изменить параметры подключения и ведения журнала по умолчанию, а также добавить ограничения на подключение на основе IP-адресов или доменных имен.

Установка службы управления

Параметры установки IIS по умолчанию не включают службу управления (также называемую веб-службой управления (WMSVC), которая требуется для удаленного администрирования. Если вы еще не установили службу управления, выполните действия, описанные в этой процедуре, чтобы установить ее.

Чтобы установить службу управления, выполните следующие действия.

  1. Нажмите кнопку Пуск, введите диспетчер сервера в поле Поиска и нажмите клавишу ВВОД, чтобы открыть диспетчер сервера.
  2. В дереве в разделе Роли выберите Веб-сервер (IIS).
  3. Щелкните Добавить службы ролей, а затем выберите Служба управления , как показано на рисунке ниже.
  4. Нажмите кнопку Далее и следуйте инструкциям, чтобы завершить установку. Снимок экрана: меню служб ролей. Выделена служба управления.

Включение удаленных подключений и настройка учетных данных удостоверения

Включите удаленные подключения, чтобы пользователи Windows и пользователи диспетчера IIS (настроенные далее в этой статье) могли подключаться к этому компьютеру с помощью диспетчера IIS на своих компьютерах. По умолчанию служба управления разрешает подключения только пользователям с учетными данными Windows, но ее можно настроить так, чтобы разрешить подключения от пользователей с учетными данными диспетчера IIS. Для целей этой статьи настройте службу управления, чтобы разрешить оба типа учетных данных, как показано на рисунке ниже.

Примечание

В следующем разделе этой статьи описываются учетные данные диспетчера IIS.

Чтобы включить удаленные подключения и разрешить подключения пользователей Windows и диспетчера IIS, выполните приведенные ниже действия.

  1. В диспетчере IIS в области Подключения щелкните узел сервера в дереве.
  2. Дважды щелкните Службу управления, чтобы открыть страницу функции службы управления.
  3. Установите флажок Включить удаленные подключения проверка.
  4. В разделе Учетные данные удостоверения выберите Учетные данные Windows или Учетные данные диспетчера IIS.
  5. В области Действия нажмите кнопку Применить , чтобы сохранить изменения, а затем нажмите кнопку Пуск , чтобы запустить службу управления.
    Снимок экрана: страница функций службы управления. Выделен параметр Включить удаленные подключения. На панели Действия выделен элемент Пуск.

Дополнительная информация

Для запуска службы управления не требуется включать удаленные подключения. Если удаленные подключения отключены и служба управления запущена, вы можете подключиться к службе управления с локального компьютера, но не с удаленного компьютера. Если вы не можете подключиться с удаленного компьютера, убедитесь, что удаленные подключения включены.

Чтобы убедиться, что подключения к службе управления разрешены, следует проверка параметры брандмауэра. При установке службы управления в процессе установки добавляется правило брандмауэра, разрешающее трафик к службе управления через порт 8172 (порт по умолчанию), который включен по умолчанию. Если вы когда-либо измените порт, используемый службой управления, необходимо добавить новое правило брандмауэра, чтобы разрешить трафик к службе управления на этом порту.

Настройка параметров подключения и ведения журнала для службы управления

Помимо параметров службы управления, которые были настроены в приведенном выше разделе, можно настроить параметры подключения и указать, где регистрировать запросы. В следующей таблице описано каждое поле и его значение по умолчанию. Если вы измените какие-либо параметры, нажмите кнопку Применить на панели Действия , а затем перезапустите службу управления.

Свойство Описание Параметр по умолчанию
IP-адрес Указывает IP-адрес, к которому привязана служба. Все неназначенные
Port Указывает номер порта, который служба использует для запросов. 8172
Сертификат SSL Указывает SSL-сертификат, используемый службой. Все запросы к службе используют ПРОТОКОЛ HTTPS через порт, указанный в поле Порт . Этот список содержит SSL-сертификаты, доступные серверу. Если вы хотите добавить дополнительные SSL-сертификаты, используйте функцию Сертификаты сервера на уровне сервера. Самозаверяющий сертификат, установленный во время установки
Регистрировать запросы на Указывает путь к файлам журнала для службы управления. %SystemDrive%\Inetpub\logs\WMSVC

Настройка ограничений IP-адресов и доменов для службы управления

По умолчанию служба управления принимает все запросы на настроенный IP-адрес и порт, а пользователям разрешается подключаться при добавлении в диспетчер IIS (как описано в следующем разделе). Однако можно настроить службу так, чтобы она запрещала доступ для неуказаемых запросов и вместо этого добавляла определенные правила разрешения, чтобы принимать только запросы, сделанные с определенного IP-адреса или домена. Дополнительные сведения о том, как разрешить или запретить запросы с IP-адресов или доменов, см. в разделе Настройка удаленного управления в Microsoft TechNet.

Настройка пользователей и разрешений для диспетчера IIS

При настройке службы управления в приведенном выше разделе вы выбрали параметр Учетные данные Windows или Учетные данные диспетчера IIS . Этот параметр позволяет пользователям с учетными записями пользователей Windows или диспетчера IIS подключаться к сайту или приложению на удаленном компьютере с помощью диспетчера IIS. Оба типа пользователей должны предоставлять допустимые учетные данные (имя пользователя и пару паролей) при удаленном подключении. Пользователь Windows должен предоставить действительные учетные данные Windows для учетной записи пользователя на удаленном компьютере или для учетной записи пользователя в домене, если компьютер является членом домена. Пользователь диспетчера IIS должен предоставить действительные учетные данные диспетчера IIS, которые настраиваются в диспетчере IIS администратором сервера на удаленном компьютере. В обоих случаях пользователь может использовать диспетчер IIS для подключения к сайтам или приложениям, для которых администратор сервера предоставил пользователю разрешение.

Добавление пользователя диспетчера IIS

В следующих процедурах объясняется, как открыть компонент "Пользователи диспетчера IIS" и добавить пользователя. Когда откроется страница " Пользователи диспетчера IIS ", в списке отображаются имена пользователей диспетчера IIS, а также сведения о том, включена или отключена учетная запись. Только включенным учетным записям разрешено подключаться к сайтам или приложениям, для которых им было предоставлено разрешение.

Чтобы добавить пользователя диспетчера IIS, выполните приведенные далее действия.

  1. В диспетчере IIS в области Подключения щелкните узел сервера в дереве.
  2. На домашней странице сервера дважды щелкните элемент Пользователи диспетчера IIS.
    Снимок экрана: домашняя страница сервера B D E L A P C с одним дефисом I S. В области Подключения выделен узел сервера BD E L A P C с одним дефисом I S. Выделен значок пользователей I I S Manager.
  3. На странице Пользователи диспетчера IIS в области Действия нажмите кнопку Добавитьпользователя.
  4. В поле Имя пользователя введите имя пользователя.
  5. В поле Пароль введите пароль, а затем повторно введите пароль в поле Подтверждение пароля.
  6. Нажмите кнопку ОК.
    Снимок экрана: страница

Настройка разрешений диспетчера IIS для сайта или приложения

Чтобы пользователь удаленно подключался к сайту или приложению на сервере, администратор сервера должен предоставить ему разрешение на доступ к сайту или приложению. Получив разрешение, они могут использовать диспетчер IIS для подключения к сайту или приложению, используя учетные данные Windows (если они являются пользователем Windows) или учетные данные пользователя диспетчера IIS (если они являются пользователем диспетчера IIS).

Чтобы разрешить пользователю диспетчера IIS подключаться к сайту или приложению, выполните приведенные далее действия.

  1. В диспетчере IIS в области Подключения выберите сайт или приложение, для которых требуется настроить разрешения.
  2. На домашней странице сайта или приложения дважды щелкните Разрешения диспетчера IIS.
    Снимок экрана: панель
  3. На странице Разрешения диспетчера IIS в области Действия нажмите кнопку Разрешить пользователю.
  4. В диалоговом окне Разрешить пользователя выберите Диспетчер IIS и нажмите кнопку Выбрать.
    Снимок экрана: страница
  5. В диалоговом окне Пользователи выберите одного или нескольких пользователей диспетчера IIS из списка и нажмите кнопку ОК.
    Снимок экрана: диалоговое окно
  6. Нажмите кнопку ОК , чтобы закрыть диалоговое окно Разрешить пользователя .

Чтобы разрешить пользователю Windows подключаться к сайту или приложению, выполните приведенные далее действия.

  1. На странице Разрешения диспетчера IIS в области Действия нажмите кнопку Разрешить пользователю.
  2. В диалоговом окне Разрешить пользователя выберите Windows и нажмите кнопку Выбрать.
  3. В диалоговом окне Выбор пользователя или группы введите имя пользователя или найдите учетную запись пользователя, а затем нажмите кнопку ОК.
    Снимок экрана: диалоговое окно
  4. Нажмите кнопку ОК , чтобы закрыть диалоговое окно Разрешить пользователя .

Настройка списков контроль доступа (ACL) для каталогов содержимого

Чтобы диспетчер IIS правильно работал при подключении пользователя к сайту или приложению, списки управления доступом должны быть правильно настроены для физического каталога сайта или приложения. Для пользователей Windows необходимо настроить списки управления доступом к каталогам и файлам для каждого пользователя или группы Windows, которым требуется доступ к каталогам и файлам. Для пользователей диспетчера IIS необходимо настроить списки ACL каталогов и файлов для пользователя WMSVC (по умолчанию NT Service\WMSVC).

Для физического каталога сайта или приложения настройте разрешения на чтение, запись и выполнение для пользователя WMSVC (если вы разрешаете пользователям IIS Manager подключаться) и для всех пользователей Windows, которым необходимо подключиться к этому сайту или приложению.

Если физический каталог сайта или приложения находится на другом компьютере (т. е. в общей папке UNC), необходимо настроить WMSVC для запуска от имени пользователя, имеющего разрешения на чтение, запись и выполнение содержимого в этой общей папке UNC (пользователь по умолчанию NT Service\WMSVC не может получить доступ к элементам на другом компьютере).

Подключение к сайту или приложению в диспетчере IIS

После настройки службы управления и настройки пользователей и разрешений пользователь может подключиться к своему сайту или приложению.

Подключение к сайту или приложению

  1. В диспетчере IIS щелкните Файл , а затем — Подключиться к сайту (или Подключиться к приложению).
  2. В мастере Подключения к сайту или Подключение к приложению введите имя сервера и имя сайта, к которому требуется подключиться. При подключении к приложению также введите имя приложения. Нажмите кнопку Далее.
    Снимок экрана: мастер подключения к сайту. В текстовом поле Имя сервера записывается localhost. Под текстом Имя сайта записывается contoso dot com. Выделен параметр Далее.
  3. На странице Укажите учетные данные мастера подключения к сайту или подключения к приложению выберите, нужно ли использовать текущие учетные данные или указать учетные данные для подключения к сайту. При указании учетных данных по умолчанию используются учетные данные Windows, если не выбрано проверка поле Использовать учетные данные диспетчера IIS. Указав учетные данные, нажмите кнопку Далее , чтобы подключиться к серверу.
    Снимок экрана: мастер подключения к сайту. Отображается страница Предоставление учетных данных. В тексте Подключение к
  4. Если подключение будет выполнено успешно, диспетчер IIS отобразит последнюю страницу в мастере подключения к сайту или в мастере подключения к приложению с указанием имени подключения. Как показано на рисунке ниже, пользователь TestAdmin создал подключение к сайту Contoso.com.
    Снимок экрана: мастер подключения к сайту. Отображается страница диспетчера служб IIS ( I I S). Выделено и выбрано имя сайта contoso dot com.

Дополнительная информация

В следующем разделе мы рассмотрим делегирование компонентов. Тем не менее, прежде чем это сделать, и чтобы лучше объяснить делегирование функций и его действия, мы рассмотрим одну функцию сайта, к которому мы только что подключились. Сайт должен быть выделен, а также должна отображаться домашняя страница сайта. На домашней странице дважды щелкните Страницы ошибок.

Как показано на рисунке ниже, в правой части страницы отображается предупреждение "Эта функция заблокирована и доступна только для чтения". Это оповещение отображается, когда компонент заблокирован; В следующем разделе более подробно описано делегирование и блокировка компонентов.

Снимок экрана: страницы ошибок. В правой части страницы есть оповещение о том, что эта функция заблокирована и доступна только для чтения, которое выделено.

Делегирование функций в диспетчере IIS

Страница функции делегирования компонентов позволяет администратору сервера настроить состояние делегирования компонентов, которые можно настроить в Web.config файлах на уровне сайта и приложения в диспетчере IIS. Ему может потребоваться делегировать настройку определенных функций, таких как документы по умолчанию и просмотр каталогов, отдельному владельцу сайта, чтобы владелец мог настроить эти делегированные функции на своем сайте.

Или администратор сервера может делегировать функцию только для чтения, чтобы владелец сайта мог просматривать конфигурацию компонента, но не мог изменять параметры. Администратор сервера может даже запретить отображение компонентов в диспетчере IIS на уровне сайта и приложения.

Существует несколько различных состояний делегирования, каждое из которых определяет, делегируется ли компонент на более низкие уровни в системе конфигурации и отображается ли функция в диспетчере IIS, когда пользователи подключены на более низких уровнях. В следующей таблице описано каждое состояние делегирования.

Тип делегирования Описание
Не делегировано Конфигурация заблокирована, и любая конфигурация компонента в Web.config файле вызовет ошибку среды выполнения. Эта функция не отображается и не настраивается в диспетчере IIS, когда пользователь подключен на уровнях ниже, где задано это состояние. Например, если компонент настроен как не делегированный на уровне сайта, пользователи, подключенные к приложениям на этом сайте, не увидят эту функцию и не смогут настроить ее в диспетчере IIS.
Только для чтения Конфигурация заблокирована, и любая конфигурация компонента в Web.config файле вызовет ошибку среды выполнения. Эта функция отображается в диспетчере IIS, когда пользователь подключен на более низких уровнях, но конфигурация заблокирована, поэтому изменения не могут быть сделаны.
Чтение/запись Эту функцию можно настроить в Web.config. Эта функция отображается в диспетчере IIS и может быть настроена при подключении пользователя на более низких уровнях (на уровне сайта или приложения).
Конфигурация только для чтения Значение совпадает с значением только для чтения; однако существуют параметры или данные для компонента, которые хранятся и управляются за пределами СЛУЖБ IIS, например в базе данных.
Чтение и запись конфигурации Значение такое же, как чтение и запись; однако существуют параметры или данные для компонента, которые хранятся и управляются за пределами СЛУЖБ IIS, например в базе данных.

Примечание

Администраторы сервера могут изменять конфигурацию для всех компонентов, поэтому, если они подключены к серверу, они будут видеть все функции на всех уровнях, даже если компонент не был настроен для отображения на более низких уровнях.

Настройка состояний делегирования по умолчанию для компонентов в диспетчере IIS

При первом открытии страницы функции делегирования компонентов можно настроить состояние делегирования компонентов по умолчанию в диспетчере IIS. Эти состояния делегирования являются параметрами по умолчанию, используемыми диспетчером IIS для всех сайтов и приложений на сервере.

Настройка состояний делегирования по умолчанию для компонентов в диспетчере IIS

  1. В диспетчере IIS в области Подключения щелкните узел сервера в дереве.
  2. На домашней странице сервера дважды щелкните делегирование компонентов. Снимок экрана: панель подключений на домашней странице сервера с выбранным элементом BD E L A P C 1 дефис I S home и выделенным значком делегирования компонентов.
  3. Выберите Делегирование в списке Группировать по , чтобы упорядочить список компонентов по их текущему состоянию делегирования.
    Снимок экрана: список делегирования компонентов в области действий с выделенным делегированием из списка групп.
  4. Выберите Страницы ошибок в списке Делегирование компонентов , а затем просмотрите доступные состояния делегирования в области Действия . Выбрана функция Страницы ошибок и доступные параметры в разделе Задать делегирование функций : Чтение и запись, Удалить делегирование и Сброс на наследуемый.
    Снимок экрана: список делегирования компонентов с выбранными страницами ошибок с доступными параметрами в разделе Настройка делегирования функций.
  5. Выберите Страницы ошибок. В области Действия щелкните Чтение и запись , чтобы разблокировать раздел конфигурации, связанный с функцией Страницы ошибок . Это делает функцию настраиваемой в файлахWeb.config и в диспетчере IIS на уровне сайта и приложения.

Дополнительные сведения

В следующем фрагменте из файлов конфигурации IIS показано, что значения можно переопределить в каждом расположении (также называемом "путь"):

<location path="" overrideMode="Allow">
    <system.webServer>
        <httpErrors>
            ...
            ...
        </httpErrors>
    </system.webServer>
</location>

Дополнительные сведения о том, что делает это действие, см. в разделе Страницы ошибок на уровне сайта. В области Подключения подключитесь к сайту и дважды щелкните Страницы ошибок на домашней странице сайта. Как показано на рисунке ниже, функцию Страницы ошибок теперь может настроить пользователь, подключенный к уровню сайта.

Снимок экрана: страницы ошибок с выделенными действиями, такими как

Настройка настраиваемых состояний делегирования для компонентов на сайте или в приложении

Описанные выше действия настроили состояние делегирования по умолчанию для функции Страницы ошибок на всех сайтах на сервере. Также может потребоваться, чтобы настроенное состояние делегирования применялось ко всем сайтам. В этом случае можно настроить настраиваемое состояние делегирования для определенного сайта. Вы также можете копировать пользовательские состояния делегирования всех функций с одного сайта на другой.

Настройка настраиваемых состояний делегирования для компонентов на определенном сайте

  1. В диспетчере IIS дважды щелкните делегирование компонентов.
  2. На странице Делегирование компонентов в области Действия щелкните Пользовательское делегирование веб-сайта.
  3. В списке Сайты выберите сайт, для которого требуется настроить настраиваемые параметры делегирования.
    Снимок экрана: панель
  4. Выберите компонент и щелкните состояние делегирования на панели Действия .

Копирование настраиваемых состояний делегирования с одного сайта на другой

  1. На странице Пользовательское делегирование веб-сайта в списке Сайты выберите сайт, с которого требуется скопировать делегирование на другой сайт.
  2. Щелкните Копировать делегирование.
  3. В диалоговом окне Копирование делегирования выберите сайт или сайты, на которые требуется скопировать состояния делегирования, и нажмите кнопку ОК.

Сброс состояний делегирования компонентов

Может потребоваться отменить изменения, внесенные в состояния делегирования функций. Возможно, изменения были внесены в конкретный сайт или приложение случайно, или некоторые "эксперименты" с этой функцией пошли не так. В этом случае сбросьте состояния делегирования всех компонентов обратно в состояния по умолчанию. Или сбросьте только один компонент в состояние по умолчанию.

Сброс состояний делегирования функций

  1. Откройте страницу функции делегирования компонентов .
  2. Чтобы сбросить все состояния делегирования функций, в области Действия щелкните Сбросить все делегирования.

Чтобы сбросить состояние делегирования определенной функции, выберите компонент в списке и на панели Действия щелкните Сбросить наследуемое значение.