APP下载

精确维护远程网站

2017-11-26

网络安全和信息化 2017年7期
关键词:远程管理管理器账户

引言:按照常规方式,可以在IIS服务器上启用远程桌面/终端服务,在IIS管理器中对网站进行管理。也可以打开MMC控制台,通过安装与IIS管理相关的插件,来对远程IIS主机进行管理。不过,当IIS服务器上运行多个网站时,操作者因为拥有过大的权限,可以对其他的网站配置信息进行更改。利用IIS 8的远程管理服务,可以实现精确的网站维护功能。

按照常规方式,可以在IIS服务器上启用远程桌面/终端服务,来远程登录到IIS服务器上,在其中的IIS管理器中对网站进行管理。也可以打开MMC控制台,通过安装与IIS管理相关的插件,来对远程IIS主机进行管理。不过,上述方法存在一些缺点。例如,当在IIS服务器上运行多个网站时,那么操作者因为拥有过大的权限,不仅可以管理自己的网站,还可以对其他的网站配置信息进行随意更改。这样,就无法对IIS进行准确的管理。利用IIS 8的远程管理服务,可以实现精确的网站维护功能。

安装远程管理组件

利用IIS 8的远程管理服务,可以实现精确的网站维护功能,让不同的用户只能管理自己的网站。为了提高安全性,IIS服务器往往置于防火墙之后。因为IIS 8远程管理服务使用的是TCP 8172端口,因此只要在防火墙上开放这一端口,就可以让用户自由进行访问。相比之下,如果采用MMC控制台的方式,对IIS服务器进行远程管理的话,想将其发布到Internet上,其难度会大大增加。

图1 IIS管理服务设置界面

在IIS服务器上打开PowerShell界面,执行“Add-WindowsFeature Web-Mgmt-Service -IncludeAllSub Feature”命令,来安装Web服务器管理服务组件。在Windows 8中打开控制面板,打 开Windows功能窗口,选择“Internet Information services→Web管理工具→IIS管理控制台”项,点击“确定”,该程序就会搜索相关的文件,并完成客户端管理工具的安装操作。

配置远程管理服务

在IIS服务器上打开IIS管理器,选择服务器名称,在右侧的“管理”栏中双击“管理服务”项,在打开窗口(如图1)中选择“启用远程连接”项,激活远程管理服务功能。在“标识凭据”栏中选择“仅限于Windows凭据”项,表示仅仅允许Windows账户进行远程访问。选择“Windows凭据或IIS管理器凭据”项,表示允许Windows账户和在IIS中创建的用户进行远程访问。为了便于管理,最好为IIS服务器配置多块网卡,分别用于处理业务流量和管理流量。在“IP地址”列表中选择合适的地址,默认为“全部未分配”项,表示使用所有的网卡。

使用SSL证书,可以保证客户端和IIS服务器连接的安全性。当完成远程管理组件安装后,系统会自动为其生成名为“WMSVC”的自签名证书。在实际的管理中,可以创建专用的证书。在IIS管理器中双击“服务器证书”项,在窗口右侧点击“创建域证书”链接,在向导界面中输入其通用名称(一般为本机全名)、组织、组织单位、城市/地点、省/市/自治区、国家/地区等信息,在下一步窗口中点击选择按钮,选择证书颁发机构,输入好记名称(例如“IISYCGL Cert”),点击完成按钮获得所需的账户。

当然,这里的IIS服务器处于域环境中,配置有CA证书颁发机构。在IIS远程管理界面中的“SSL证书”列表中选择上述“IISYCGL Cert”证书,选择“将请求记录到”项,可以设置日志文件存储路径。这样,所有的连接请求都会被记录下来。在“IP地址限制”栏中可以设置允许或者拒绝访问的客户端地址。例如,点击“拒绝”按钮,在弹出窗口中可以禁止访问的IP地址或者IP范围。

配置客户端管理程序

配置好IIS服务器后,在Windows 8客户端上打开IIS管理器,可以看到在默认情况下,连接的是该机本身,在左侧并没有显示“起始页”项目。点击右侧的“获取新的Web平台组件”链接,在打开的网页中下载Microsoft Web Platform Installer软件,利用该软件,可以很方便地安装Web扩展组件。运行该软件,在主界面右上角的搜索栏中输入“Remote Administration”之类的内容,执行搜索操作,在查找列表中可以看到名为“IIS Manager for Remote Administration”组件,点击其右侧的“添加”按钮,之后点击安装按钮,在该组件详细信息窗口中可以点击“直接下载链接”项,可以将其安装包下载到本地,之后直接手动安装。也可以点击“我接受”按钮,自动执行安装操作。当安装好IIS Manager for Remote Administration组件后,在客户端IIS管理器左侧就会出现“起始页”项。

点击“起始页”,在右侧点击“连接到服务器”项,在向导界面中的“服务器名称”栏中输入IIS服务器的名称或者IP,在提供凭据窗口中输入IIS服务器的Windows账户名(例 如“xxxadministrator”,XXX为具体的域名)和密码,点击下一步,当出现“已成功创建新连接”的信息后,您可以根据需要修改连接的名称,默认为IIS服务器的全名。点击“完成”按钮,在弹出的可用的新功能窗口中提示需要安装ASP.NET模拟、WebObject模块、处理程序等功能,点击“确定”按钮,完成所需的安装动作。依次点击弹出窗口中的运行按钮,让客户端获取所需的新功能模块。之后,就会显示IIS服务器上的所有网站、应用程序等内容,您就可以对其进行管理了。

实现精准管理

我们使用的是IIS服务器管理员身份进行连接,可以查看到所有的网站信息,这并没有实现IIS的精确管理功能。解决方法是,在IIS服务器上打开IIS管理器,选择对应的网站(例如“Web1”),在右侧点击“IIS的管理器权限”项,在打开窗口右侧点击“允许用户”链接,在弹出窗口(如图2)中选择“Windows”项,点击“选择”按钮,导入特定的账户。点击“确定”按钮,该账户就拥有了对选定网站的管理权限。

为了合理控制该账户的控制权限,可以在IIS管理器中选择服务器名,在右侧点击“功能委派”项,在打开窗口中可以针对ASP.NET模拟、HTTP响应头、MIME类型、SSL设置、处理程序映射、错误页、功能委派、模块、默认文档、目录浏览、请求筛选、日志、身份验证-匿名、输出缓存、压缩等模块,在右侧的“操作”栏中对其设置只读和读写等权限。

点击“自定义站点委派”链接,在打开窗口中的“站点”列表中选择目标网站,显示该网站管理者拥有的针对不同模块的控制权限(如图3)。选择对应的模块,在右侧点击“读/写”、“只读”、“未委派”等项目,可以更改针对选定模块的管理权限。当配置了合适的管理权限后,在客户端上打开IIS管理器,按照上述方法,使用选定的Windows账户来连接IIS服务器。当连接成功后,该账户只能看到指定的网站,而无法接触IIS服务器上的其他站点。对于不同的模块来说,该账户只能按照预设的权限进行管理,而无法随心所欲地进行控制。

图2 添加所需的管理账户

图3 控制账户的管理权限

注意,打开“默认文档”窗口,试图调整“index.html”之类的文档排列顺序时,会遭到系统的拒绝。这是因为没有为账户设置合适的目录访问权限所致。解决方法是,在IIS服务器上打开“C:Inetpubwwwroot”目录,在属性窗口中选择“权限”,依次点击编辑和添加按钮,导入上述管理账户。之后,在“组或用户名”列表中选择该账户,在权限列表中的“允许”列中选择“修改”项,使其拥有修改目录内容的权限。这样,该账户就可以自由调整默认文档的排列顺序了。

上面谈到的是使用Windows账户来访问IIS服务器,其实也可以使用IIS用户来执行访问操作。在IIS服务器上打开IIS管理器,在左侧选择服务器名称,在右侧点击“IIS管理器用户”项,在打开窗口中点击“添加用户”链接。在弹出窗口中输入用户名(例如“glyuan”)和密码,点击“确定”按钮,创建该IIS用户。之后在IIS管理服务窗口右侧点击“停止”链接,选择“Windows凭据或IIS管理器凭据”项,并按照上述方法,配置合适的控制权限。点击“启动”链接重启IIS管理服务。这样,在客户端就可以使用该IIS用户,来远程管理IIS服务器。不过,在实际的管理中,出于安全性以及权限控制的要求,建议尽量使用Windows账户,来远程管理IIS服务器。

Web PI的使用方法

这里顺便说一下Microsoft Web Platform Installer软件的功能,使用该工具,可以轻松构建开发环境、应用环境以及针对流行应用程序的支持。在Web Platform Installer主界面工具栏上点击“产品”项,在左侧选择全部、服务器、框架、数据库、工具、Windows Azure等项,在右侧显示大量的组件。例如,选择“SQL Server Express 2008 R2”项,点击添加和安装按钮,就可以自动安装选定的组件。通过安装各种开发工具,可以很轻松构建出所需的开发环境。在工具栏上点击“应用程序”项,在最左侧选择全部、应用程序框架、博客、CMS、电子商务、论坛、库、工具、Wiki等类别,在右侧显示了大量的应用程序可供选择和安装。这样,可以快速构建应用环境。

这里以配置和管理Wordpress开发工具为例,可以在搜索栏中输入“wordpress”项,找到该组件,点击“添加”和“安装”按钮,在弹出窗口中选择MySQL数据库,输如MySQL的ROOT账户密码,点击“继续”按钮,会列出WordPress运行所需要的所有组件,点击“我接受”按钮,就会自动安装PHP、MySQL、Web Deploy、IIS日志、IIS请求监视器、URL重写工具、RunPHP Help、VC++可再发行组件包、MySQL Connector/Net等组件。之后,输入网站的名称、应用程序名称、IP地址、端口、主机名等信息,点击“继续”按钮,执行所需的配置操作。点击“完成”按钮,就毫不费力的地构建起WordPress运行环境。

猜你喜欢

远程管理管理器账户
启动Windows11任务管理器的几种方法
GSM-R网络SIM卡远程管理技术方案研究
应急状态启动磁盘管理器
如何切换Windows 10本地账户与微软账户
探索自由贸易账户体系创新应用
外汇账户相关业务
Windows文件缓冲处理技术概述
父亲的股票账户
基于ZigBee与移动4G的小型安防系统研究与设计
Radmin在服务器远程管理中的应用