Manajemen jarak jauh IIS di Windows Server 2016/2012 R2

Server web Layanan Informasi Internet pada Windows 2016/2012 / R2, seperti versi IIS sebelumnya, memiliki kemampuan untuk mengontrol dari jarak jauh. Memang, mengelola beberapa server IIS dari satu konsol cukup nyaman, dan untuk server web yang berjalan dalam mode Core / Nano, ini hampir merupakan satu-satunya cara mudah untuk mengelola server web. Namun, secara default, fungsi kendali jarak jauh di IIS dinonaktifkan bahkan jika Anda mencoba menambahkan server jarak jauh dengan IIS berjalan ke konsol manajemen IIS di server lain (menu Terhubung ke server), kesalahan akan muncul:


Tidak dapat terhubung ke komputer yang ditentukan.
Detail: Tidak dapat terhubung ke server jarak jauh.

Konten:

  • Instal Layanan Manajemen IIS
  • Memberi hak pengguna untuk mengelola situs IIS dari jarak jauh
  • Manajemen IIS jarak jauh dari Windows 10
  • IIS Remote Management dan Dukungan TLS 1.1 / TLS 1.2

Instal Layanan Manajemen IIS

Faktanya adalah bahwa dengan instalasi standar IIS, Layanan Manajemen IIS yang bertanggung jawab untuk manajemen jarak jauh tidak diinstal. Anda dapat memverifikasi bahwa layanan ini tidak tersedia pada sistem menggunakan perintah Powershell:

Get-WindowsFeature * web-mgmt *

Seperti yang Anda lihat, layanan Web-Mgmt-Layanan tidak terpasang. Instal komponen Windows Server menggunakan cmdlet Add-WindowsFeature. Jalankan perintah Powershell berikut sebagai administrator:

Tambahkan-WindowsFeature Web-Mgmt-Service

Atau

Instal-WindowsFeature Web-Mgmt-Service

Anda juga dapat menginstal komponen Layanan Manajemen dari konsol Server Manager.

Kemudian mulai kembali layanan web IIS:
iisreset -noforce<
Langkah selanjutnya adalah mengaktifkan koneksi jarak jauh di pengaturan server web IIS. Untuk melakukan ini, di bagian Manajer IIS Manajemen buka item yang muncul Layanan manajemen.

Di bagian ini Manajemen Layanan aktifkan opsi "Aktifkan jauh koneksi".

Di sini Anda dapat membatasi kemampuan untuk terhubung ke konsol manajemen server web berdasarkan alamat IP. Untuk melakukan ini, tolak koneksi dari klien yang tidak dikenal (Akses untuk klien yang tidak ditentukan: Tolak) dan tentukan alamat IP / atau subnet IP dari mana koneksi akan diizinkan. Layanan Remote Connect menggunakan sertifikat SSL, tetapi Anda dapat menggunakan yang lain jika Anda mengimpornya ke toko sertifikat (Anda dapat membuat dan menggunakan sertifikat yang ditandatangani sendiri). Simpan perubahan.

Catatan. Secara default, port 8172 digunakan untuk manajemen IIS jarak jauh. Ketika menyimpan perubahan, port ini akan dibuka secara otomatis di firewall Windows.

Kiat. Pada server IIS jarak jauh yang berjalan dalam mode Core (untuk informasi: cara beralih antara mode Core dan GUI di Windows 2012), opsi ini dapat diaktifkan melalui registri dengan mengatur kunci EnableRemoteManagement di cabang HKLM \ Software \ Microsoft \ WebManagement \ Server, nilainya adalah 1. Perintah:

Reg Tambah HKLM \ Software \ Microsoft \ WebManagement \ Server / V EnableRemoteManagement / T REG_DWORD / D 1

Dalam hal ini, Anda harus membuat aturan untuk firewall secara manual:

firewall netsh advfirewall add name name = "Izinkan IIS Web Management" dir = dalam aksi = izinkan layanan = "WMSVC"

Tetap memulai Layanan Manajemen Web:

mulai bersih wmsvc

Dan mengatur layanan untuk memulai secara otomatis ketika OS boot:

set-service wmsvc -StartupType Otomatis

Atau lebih:

sc config WMSVC start = otomatis

Setelah itu, dimungkinkan untuk menambahkan server web IIS jarak jauh ke konsol manajemen IIS Manager dan mengelola server IIS, semua situs di dalamnya dengan cara yang sama seperti server web lokal.

Memberi hak pengguna untuk mengelola situs IIS dari jarak jauh

Secara default, hanya pengguna dengan hak administrator server yang memiliki hak untuk mengelola server IIS dari jarak jauh. Untuk memberikan hak kendali jarak jauh kepada pengguna biasa, perlu untuk mendistribusikan hak terkait di tingkat setiap situs IIS. Pilih situs dan temukan opsi IIS Manajer Izin.

Di panel Tindakan, klik Izinkan Pengguna. Pilih akun yang ingin Anda berikan akses ke IIS dan klik OK.

Hak bagi pengguna untuk mengelola situs di IIS dikonfigurasikan di bagian ini Fitur Delegasi IIS server-lebar.

Anda dapat menetapkan satu dari tiga tingkat akses untuk pengguna untuk setiap fungsionalitas manajemen server IIS: Hanya Baca, Baca / Tulis atau Tidak Didelegasikan.

Manajemen IIS jarak jauh dari Windows 10

Jika Anda perlu mengelola server IIS dari jarak jauh dari workstation klien dengan Windows 10 (Windows 7 atau 8.1), Anda harus menginstal konsol manajemen IIS: Mengaktifkan atau menonaktifkan fitur Windows -> Layanan Informasi Internet -> Alat Manajemen Web -> Konsol Manajemen IIS.

Anda dapat menginstal komponen kontrol dengan perintah PowerShell berikut:

Aktifkan-WindowsOptionalFeature -Online -FeatureName "IIS-ManagementService"

Namun, ketika Anda memulai konsol IIS Manager di Windows 10, ternyata itu Koneksi server (Sambungkan ke server) hilang dari menu.

Agar dapat terhubung dari jarak jauh ke IIS di Windows 10, Anda perlu mengunduh dan menginstal komponen IIS Manager untuk Administrasi Jarak Jauh (https://www.microsoft.com/en-us/download/details.aspx?id=41177).

Kiat. Ada versi IIS Manager untuk x64 (inetmgr_amd64_en-US.msi) dan x86 OS (inetmgr_x86_en-US.msi).

Setelah instalasi, Anda perlu me-restart konsol IIS Manager dan terhubung ke situs. Jika, saat tersambung ke IIS, ternyata versi konsol pada klien dan server berbeda, muncul pemberitahuan tentang perlunya memperbarui versi konsol (semua file yang diperlukan akan secara otomatis diunduh dari server).

Sekarang Anda harus berhasil terhubung ke server IIS Anda dan mengaturnya dari workstation Anda dari jarak jauh.

IIS Remote Management dan Dukungan TLS 1.1 / TLS 1.2

Jika pada IIS Anda menonaktifkan protokol lawas SSLv3 dan TLS 1.0, hanya menyisakan TLS 1.1 / TLS 1.2, maka kesalahan akan muncul saat menghubungkan ke IIS dari jarak jauh.:

"Koneksi yang mendasarinya ditutup: Kesalahan tak terduga terjadi pada pengiriman.

Untuk memperbaiki masalah, perlu di sisi klien untuk membuat perubahan pada registri, untuk penggunaan wajib protokol TLS1.2 saat menghubungkan. Pengaturan tergantung pada versi Windows.

Windows 10 dan Windows Server 2016:

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ .NETFramework \ v4.0.30319] "SchUseStrongCrypto" = dword: 00000001 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ .NETFramework \ v4.0.3000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

Windows 2012 / R2 dan Windows 8 / 8.1:

Harus diinstal NET Framework 4.5.2 atau lebih tinggi (cara menentukan versi NET Framework mana yang diinstal).

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ .NETFramework \ v4.0.30319] "SchUseStrongCrypto" = dword: 00000001 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ .NETFramework \ v4.0.3000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

Windows Server 2008 R2 / Windows 7:

Anda harus terlebih dahulu menginstal pembaruan KB3154518 untuk mendukung TLS 1.2 di .NET Framework 3.5.1.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ .NETFramework \ v2.0.50727] "SystemDefaultTlsVersions" = dword: 00000001 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ .NETFramework \ v2.0.50727] "SystemDef_Vode_VDATE_START_START \ Control \ SecurityProviders \ SCHANNEL \ Protocols] [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.1] [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Security \vider \ Protocol \ Discs 1.1 " = dword: 00000000 [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.1 \ Server] "DisabledByDefault" = dword: 00000000 [HKEY_LOCAL_MACHINE \ SYSTEM \ Current \ Control \ SCHSERCHERSER SCHEMER \ HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.2 \ Client] "DisabledByDefault" = dword: 00000000 [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityP roviders \ SCHANNEL \ Protocols \ TLS 1.2 \ Server] "DisabledByDefault" = dword: 00000000