Configurando a administração remota e Delegação de Recurso no IIS 7
Introdução
IIS fornece aos administradores e desenvolvedores com um novo sistema de configuração que é acessível, extensível e distribuíveis. O formato baseado em XML novo permite fácil configuração dos módulos e recursos disponíveis no IIS 7 ou superior. Ele também permite um controle granular dos locais em que as definições para recursos individuais podem ser configurados (por exemplo, ao nível do servidor no arquivo applicationHost.config, ou em um site ou um nível de aplicativo em um arquivo Web.config).
A nova interface de usuário de administração do IIS (UI), Gestor de IIS, apoia totalmente este novo sistema de configuração e adiciona recursos adicionais que fornecem um sistema poderoso e granular para a configuração do servidor web. Dois destes recursos adicionais são administração remota de servidores, sites e aplicativos, e suporte para o usuário com base em autenticação e autorização.
Este artigo explica como ativar conexões remotas, configuração de usuários e permissões, e delegar funções para um site ou aplicativo. Há muitas situações em que um administrador do servidor IIS pode querer delegar o controle administrativo de um determinado recurso ou funcionalidades para alguém, ou onde o administrador pode querer impedir que outras pessoas vejam configuração existente. Tome o seguinte cenário, por exemplo.
Edward é um administrador do servidor em um computador que hospeda vários sites. O computador faz parte de um domínio, e alguns dos proprietários do site pertence ao mesmo domínio. No entanto, alguns dos proprietários do site estão fora do domínio, e Edward deve criar contas de usuários do Gerenciador do IIS para eles, criando um nome de usuário e senha para cada proprietário. Depois de ter criado as contas de usuário necessárias IIS Manager, Edward define as permissões do Gerenciador do IIS para cada site para especificar quais os usuários podem se conectar a um determinado site. Para fazer isso, Edward abre o Gerenciador de IIS característica Permissões em cada local e adiciona usuários do Windows e do Gerenciador do IIS. Esta ação faz duas coisas. Primeiro, ele configura o IIS para permitir a um usuário se conectar ao site, quando o usuário fornece credenciais válidas. Segundo, ela permite que os usuários que se conectam com sucesso para configurar quaisquer recursos delegados nesse site.
Edward também quer delegar configuração de alguns recursos que ele confia para ser configurado pelo proprietário de um site em seu próprio site. Isso elimina a necessidade de um proprietário de site para solicitar que Edward configurar características que variam de acordo com site, como documentos padrão. Ele decide delegar a configuração para os seguintes recursos em todos os sites em seu servidor: Documentos Padrão, navegação dos diretórios e páginas de erro. Além disso, Edward decide delegar a configuração de um recurso adicional, HTTP Redirect, a Contoso site, porque ele sabe que o site muitas vezes precisa ser redirecionado e confia os proprietários do site para configurar essas configurações. Ele define todas as outras características para ser lido somente para que os proprietários do site podem ver as configurações, mas não configurá-los em seus sites.
Julian e Catherine são os proprietários do site para a Contoso local no computador de Edward. Julian tem uma conta de usuário do Windows, e Catherine tem uma conta de usuário do IIS Manager para que Edward deu suas credenciais. Eles podem tanto Gerenciador do IIS aberto em seus próprios computadores, e se conectar a Contoso porque Edward tem permitido as suas contas para configurar o site Contoso. Eles cada ver todos os recursos que foram delegados ao nível local. Eles podem configurar documentos padrão, Navegação Directory, páginas de erro, e Redirecionamento HTTP porque Edward delegado configuração dessas definições para seu site.
Pré-requisitos
Os seguintes itens são necessários para ser instalado para completar os procedimentos deste artigo:
- IIS 7.0 no Windows Server ® 2008 ou IIS 7.5 no Windows Server 2008 R2
- Gerenciador do IIS
Configurando conexões remotas no Gerenciador do IIS
No IIS, IIS Manager torna fácil para fazer a administração remota. Além de gerenciar o IIS no computador local, o IIS Manager pode gerenciar servidores remotos, sites e aplicações. O administrador do servidor usa recursos de administração remota para adicionar contas de usuário do Gerenciador do IIS e para permitir que os usuários se conectem a quaisquer sites ou aplicativos para que tenham permissão.
Configurando a administração remota envolve permitindo conexões remotas no Gerenciador do IIS e configurar o tipo de credenciais necessárias para se conectar ao servidor. Opcionalmente, você pode alterar as configurações padrão de conexão e de registro, e adicionar restrições de conexão com base em endereços IP ou nomes de domínio.
Instale o Serviço de Gestão
O padrão IIS opções de instalação não incluem o Service Management (também referida como o Serviço de Gestão Web (WMSVC)), que é exigido para administração remota. Se você não tiver instalado o Service Management, siga os passos deste procedimento para instalá-lo.
Para instalar o Serviço de Gestão:
- Clique em Iniciar, digite Gerenciador de servidores na caixa de pesquisa e pressione ENTER para abrir o Server Manager.
- Na árvore, em Funções, selecione Web Server (IIS).
- Clique em Adicionar serviços de função e, em seguida, selecione Gerenciamento de Serviços como mostra a imagem abaixo.
- Clique em Avançar e siga as instruções para concluir a instalação.
Permitir conexões remotas e configurar credenciais de identidade
Ative as conexões remotas, de modo que usuários do Windows e do Gerenciador do IIS (configurado mais adiante neste artigo) podem se conectar a este computador usando o Gerenciador de IIS em seus computadores. Por padrão, o Serviço de Gestão permite conexões somente de usuários que têm credenciais do Windows, mas você pode configurá-lo para também permitir ligações de usuários com credenciais do Gerenciador do IIS. Para os fins deste artigo, configurar o serviço de gerenciamento para permitir que ambos os tipos de credenciais, como mostrado na imagem abaixo.
Nota: A próxima seção deste artigo explica as credenciais do Gerenciador do IIS.
Para permitir conexões remotas e permitir conexões de usuários do Windows e do Gerenciador do IIS:
- No Gerenciador do IIS, no painel Conexões, clique no nó do servidor na árvore.
- Clique duas vezes em Gerenciamento de Serviços para abrir a página do recurso de Gerenciamento de Serviços.
4. Selecione Ativar remoto conexões check-box.
5. Em Credenciais de identidade, selecione as credenciais do Windows ou credenciais do Gerenciador do IIS.
6. No painel Ações, clique em Aplicar para salvar as alterações e, em seguida, clique em Iniciar para iniciar o serviço de gerenciamento.
Informações Adicionais
Você não tem que permitir conexões remotas para iniciar o serviço de gerenciamento. Se conexões remotas são desativadas e do Serviço de Gestão é iniciado, você pode conectar ao Serviço de Gerenciamento do computador local, mas não a partir de um computador remoto. Se você não pode se conectar a partir de um computador remoto, certifique-se de que as conexões remotas estão habilitadas.
Você deve verificar suas configurações de firewall para garantir que as ligações são permitidos para o Serviço de Gerenciamento.Quando o serviço de gestão está instalado, o processo de instalação adiciona uma regra de firewall que permite o tráfego para o Serviço de Gestão na porta 8172 (a porta padrão), que é ativado por padrão. Se você mudar a porta que o Serviço de Gestão usa, você deve adicionar uma nova regra de firewall para permitir o tráfego para o Serviço de Gestão nessa porta.
Configurar conexão e configurações de registro para o Serviço de Gestão
Além das configurações de gerenciamento de serviços que foram configurados na seção acima, você pode configurar as configurações de conexão e especificar onde fazer solicitações. A tabela a seguir descreve cada campo e sua configuração padrão.Se você alterar as configurações, certifique-se de clicar em Aplicar no painel Ações e reinicie o Serviço de Gerenciamento.
| Propriedade | Descrição | Definição Padrão |
| Endereço IP | Especifica o endereço IP para o qual o serviço está vinculado. | Todos os não atribuídos |
| Porta | Especifica o número da porta que o serviço usa para pedidos. | 8172 |
| Certificado SSL | Especifica o certificado SSL usado pelo serviço. Todas as solicitações para o serviço use HTTPS em uma porta especificada no campo Porta. Essa lista contém os certificados SSL que estão disponíveis para o servidor. Se você quiser adicionar mais certificados SSL, utilize o recurso Server certificados no nível do servidor. |
Certificado auto-assinado que está instalado durante a configuração |
| Fazer solicitações para | Especifica o caminho para os arquivos de log do Serviço de Gerenciamento. | % SystemDrive% \ Inetpub \ Logs \ WMSVC |
Configurar Restrições de IP e de domínio para o Serviço de Gestão
Por padrão, o Serviço de Gestão aceita todas as solicitações feitas para seu endereço IP configurado e porto, e os usuários podem se conectar quando eles são adicionados ao IIS Manager (como explicado na próxima seção). No entanto, você pode configurar o serviço para negar o acesso para os pedidos não especificados e, em vez adicionar específicos permitem regras para que somente as solicitações feitas a partir de um endereço IP ou domínio específico são aceitos. Para mais informações sobre permitir ou negar pedidos de endereços IP ou domínios, consulte os procedimentos sob Configurando o gerenciamento remoto no Microsoft TechNet.
Configurando usuários e permissões para o Gerenciador do IIS
Quando você configurou o Serviço de Gestão na seção acima, você selecionou as credenciais do Windows ou Gerenciador do IIS opção credenciais. Esta opção permite que os usuários tanto com as contas de usuário do Windows ou contas de usuário do IIS Manager para se conectar a um site ou aplicativo no computador remoto usando o Gerenciador do IIS. Ambos os tipos de usuários devem fornecer credenciais válidas (um nome de usuário e senha par) quando eles se conectarem remotamente. Um usuário do Windows deve fornecer credenciais válidas do Windows para uma conta de usuário no computador remoto ou para uma conta de usuário no domínio, se o computador for membro de um domínio. Um usuário do Gerenciador do IIS deve fornecer credenciais válidas do Gerenciador do IIS, que são configuradas no Gerenciador do IIS por um administrador do servidor no computador remoto. Em ambos os casos, o usuário é capaz de usar o Gerenciador do IIS para conectar-se a sites ou aplicativos para o qual o administrador do servidor, dada a permissão do usuário.
Adicionar um usuário do Gerenciador do IIS
Os procedimentos a seguir explicam como abrir o Gerenciador do IIS característica usuários e adicionar um usuário. Quando oGerenciador de IIS página do recurso Usuários é aberta, a lista exibe cada nome de usuário do IIS Manager e se a conta está ativada ou desativada. Contas apenas permitiu estão autorizados a se conectar a sites ou aplicativos para os quais receberam permissão.
Para adicionar um usuário do Gerenciador do IIS:
- No Gerenciador do IIS, no painel Conexões, clique no nó do servidor na árvore.
- Na home page do servidor, clique duas vezes em Usuários do Gerenciador do IIS.
3. Na página Usuários IIS Manager, no painel Ações, clique em Adicionar Usuário.
4. Na caixa Nome de usuário, digite um nome de usuário.
5. Na caixa Senha, digite uma senha e digite novamente a senha na caixa Confirmar senha.
6. Clique em OK.
Configurar permissões do Gerenciador do IIS para um site ou aplicativo
Para que um usuário se conectar remotamente a um site ou aplicativo no servidor, que deve ser concedida a permissão para um site ou aplicativo pelo administrador do servidor. Depois que eles recebem permissão, eles podem usar o Gerenciador do IIS para se conectar ao site ou aplicativo usando tanto suas credenciais do Windows (se for um usuário do Windows) ou suas credenciais IIS User Manager (se for um usuário do Gerenciador do IIS).
Para permitir que um usuário do Gerenciador do IIS para se conectar a um site ou uma aplicação:
1. No Gerenciador do IIS, no painel de conexões, selecione o site ou aplicativo para o qual você deseja configurar as permissões.
2. Na home page do site ou aplicativo, clique duas vezes em Permissões do Gerenciador do IIS.
3. Na página de permissões do IIS Manager, no painel Ações, clique em Permitir usuário.
4. Na caixa de diálogo Permitir que o usuário, selecione Gerenciador do IIS e clique em Selecionar.
5. Na caixa de diálogo Usuários, selecione uma ou mais usuários do Gerenciador do IIS a partir da lista e clique em OK.
6. Clique em OK para fechar a caixa de diálogo Permitir usuário.
Para permitir que um usuário do Windows para se conectar a um site ou uma aplicação:
1. Na página de permissões do IIS Manager, no painel Ações, clique em Permitir usuário.
2. Na caixa de diálogo Permitir que o usuário, selecione Windows e clique em Selecionar.
3. Na caixa Selecione usuário ou grupo de diálogo, digite um nome de usuário ou busca de uma conta de usuário e clique emOK.
4. Clique em OK para fechar a caixa de diálogo Permitir usuário.
Configurar Access Control Lists (ACLs) para diretórios de conteúdo
Para que o IIS Manager para funcionar corretamente quando um usuário se conecta a um site ou uma aplicação, as ACLs deve ser configurado corretamente para o diretório físico do site ou aplicativo. Para usuários do Windows, você deve configurar ACLs de diretórios e arquivos para cada usuário ou grupo do Windows que precisa acessar os diretórios e arquivos. Para os usuários do Gerenciador do IIS, você deve configurar ACLs de arquivos e diretórios para o usuário WMSVC (NT Service \ WMSVC por padrão).
Para o diretório físico de um site ou uma aplicação, configurar ler, escrever e executar permissões para o usuário WMSVC (se você está permitindo que usuários do Gerenciador do IIS para conectar) e para os usuários do Windows que precisam se conectar ao site ou aplicativo.
Se o diretório físico do site ou aplicativo está em uma máquina diferente (ou seja, em um compartilhamento UNC), então você vai precisar configurar WMSVC para ser executado como um usuário que tem ler, escrever e executar permissões para o conteúdo desse compartilhamento UNC ( o usuário padrão, NT Service \ WMSVC, não pode acessar os itens em uma máquina diferente).
Conectar a um site ou aplicativo no Gerenciador do IIS
Depois de ter configurado o Serviço de Gestão e configurado usuários e permissões, o usuário pode se conectar ao seu site ou aplicativo.
Para se conectar a um site ou uma aplicação
1. No Gerenciador do IIS, clique em Arquivo e clique em Conectar a um site (ou conectar a um aplicativo).
2. Na conectar ao site ou Ligue para assistente aplicativo, digite o nome do servidor eo nome do site para o qual você deseja se conectar. Se você está se conectando a um aplicativo, digite o nome do aplicativo também. Em seguida, clique em Avançar.
3. Na página Credenciais Fornecer da Liga para o site ou ligar para Assistente de aplicativo, selecione se você quer usar as credenciais de atuais ou para especificar as credenciais para se conectar ao site. Quando você especificar credenciais, o padrão é credenciais do Windows, a menos que você selecione a opção Usar o IIS credenciais do Gerenciador de caixa de seleção.Depois de especificar as credenciais, clique em Avançar para conectar-se ao servidor.
4. Se a conexão for bem sucedida, o Gerenciador do IIS irá mostrar uma página final sobre a se conectar ao site ou Ligue para assistente de aplicativos para o nome da conexão. Como se mostra na figura abaixo, o utilizador TestAdmin criou um sítio de ligação para o local Contoso.com.
Informações Adicionais
Na próxima seção, nós olhamos para Delegação de Recurso. No entanto, antes de fazer isso, e para explicar melhor Delegação de Recurso eo que ele faz, nós olhamos para um recurso do site que acabamos conectado. O site deve ser destacado e home page do site deve ser exibido. Na página inicial, clique duas vezes em páginas de erro.
Como mostrado na imagem abaixo, no lado direito da página há um alerta dizendo “Este recurso foi bloqueado e é somente leitura.” Este alerta é exibido quando um recurso foi bloqueado, a próxima seção explica Delegação de Recurso e bloqueio em mais detalhes.
Características delegação no Gerenciador do IIS
O recurso de página do recurso Delegação permite que um administrador do servidor configurar o estado de delegação de recursos que são configuráveis em arquivos Web.config nos níveis de sites e aplicativos no Gerenciador do IIS. Ele ou ela pode querer delegar a configuração de alguns recursos, como Documentos Padrão e Navegação de Diretório, a um proprietário de site individual, de modo que o proprietário pode configurar esses recursos delegados em seu site.
Ou um administrador de servidor pode delegar um recurso como somente leitura para que um proprietário de site pode ver a configuração de um recurso, mas não pode alterar as configurações. O administrador do servidor pode até mesmo impedir as características de aparecer no Gerenciador do IIS nos níveis de sites e aplicativos.
Existem vários estados delegação diferentes, cada um dos que determina se um recurso é delegada a níveis mais baixos no sistema de configuração e se o recurso exibe no Gerenciador do IIS quando os usuários estão conectados em níveis mais baixos.A tabela a seguir descreve cada estado delegação.
| Tipo de delegação | Descrição |
| Não delegada | A configuração é bloqueado e qualquer configuração do recurso em um arquivo Web.config irá causar um erro de execução. O recurso não é visível ou configurável no IIS Manager quando um usuário está conectado em níveis abaixo de onde este estado está definido. Por exemplo, se um recurso está configurado para não ser delegada a um nível local, os usuários conectados para aplicações em que o site não vai ver o recurso e não pode configurá-lo no IIS Manager. |
| Somente leitura | A configuração é bloqueado e qualquer configuração do recurso em um arquivo Web.config irá causar um erro de execução. O recurso é visível no IIS Manager quando um usuário está conectado em níveis mais baixos, mas a configuração é bloqueada para que as mudanças não podem ser feitas. |
| Leitura / Gravação | O recurso pode ser configurado no web.config. O recurso aparece no Gerenciador de IIS e pode ser configurado quando o usuário está conectado em níveis inferiores (local ou nível de aplicação). |
| Configuração Somente leitura | O significado é o mesmo como somente leitura, no entanto, há configurações ou dados para o recurso que são armazenadas e gerenciadas fora do IIS, como em um banco de dados. |
| Configuração de leitura / gravação | O significado é o mesmo como de leitura / gravação, no entanto, existem configurações ou dados para a função que são armazenados e geridos fora do IIS, tal como numa base de dados. |
Nota: Os administradores do servidor podem modificar a configuração de todos os recursos, por isso, se eles estão conectados ao servidor, eles vão ver todos os recursos em todos os níveis, mesmo que um recurso foi configurado para não exibir em níveis mais baixos.
Configurar Estados delegação padrão para recursos no Gerenciador do IIS
Quando você abre o Recurso página do recurso delegação, você pode configurar o estado de delegação padrão de recursos no IIS Manager. Esses estados delegação são as configurações padrão usadas pelo IIS Manager para todos os sites e aplicativos no servidor.
Para configurar os estados de delegação padrão para recursos no Gerenciador do IIS
1. No Gerenciador do IIS, no painel Conexões, clique no nó do servidor na árvore.
2. Na página inicial do servidor, Delegação de Recurso de clique duplo.
3. Selecione delegação do grupo de lista para organizar a lista de recursos por seus estados da delegação.
4. Selecione Páginas de erro na lista de Delegação de Recurso, e depois rever os estados de delegação disponíveis no painelAções. O recurso de páginas de erro é selecionado e as opções disponíveis em Delegação de Recurso Set são de leitura / gravação, remover delegação e Redefinir para Herdado.
5. Selecione páginas de erro. No painel Ações, clique em Read / Write para destravar a seção de configuração que está relacionado com o recurso de páginas de erro. Isso faz com que o recurso configurável em arquivos Web.config e no Gerenciador do IIS nos níveis de sites e aplicativos.
INFORMAÇÕES ADICIONAIS
O trecho a seguir a partir dos arquivos de configuração do IIS mostra que os valores podem ser substituídos em cada local (também referida como “caminho”):
<Caminho do local = "" overrideMode = "Permitir"> <System.webServer> <HttpErrors> ... ... </ HttpErrors> </ System.webServer> </ Location>
Para demonstrar ainda mais o que esta ação faz, olhar característica erro Páginas em nível local. No painel Conexões, conectar a um site e, em seguida, clique duas vezes em páginas de erro na página inicial do site. Como mostrado na imagem abaixo, o recurso de páginas de erro agora pode ser configurado pelo usuário conectado ao nível local.
Configurar Estados delegação personalizados para recursos em um site ou aplicativo
As etapas acima configurado o estado de delegação padrão para as páginas de erro apresentam em todos os sites no servidor.Também pode haver um momento em que você não quer que o estado de delegação que configure a ser aplicável a todos os sites. Neste caso, você pode configurar um estado de delegação personalizado para um site específico. Você também pode copiar os estados de delegação personalizados de todos os recursos de um site para outro site.
Para configurar os estados de delegação personalizados para recursos em um site específico
1. No Gerenciador do IIS, clique duas vezes em Delegação de Recurso.
2. Na página Delegação de Recurso, no painel Ações, clique em Delegação do Site da Web personalizada.
3. Da lista de sites, selecione o site para o qual você deseja definir configurações de delegação personalizados.
4. Selecione uma função e, em seguida, clique em um estado delegação no painel Ações.
Para copiar estados de delegação personalizados de um local para outro site
- Na página Custom Delegação do Site, na lista de sites, selecione o site do qual você deseja copiar delegação para outro local.
- Clique Delegação Copiar.
- Na caixa de diálogo Copiar Delegação, selecione o local ou locais para a qual você deseja copiar os estados de delegação e clique em OK.
REDEFINIR ESTADOS DELEGAÇÃO DE RECURSOS
Pode haver um momento em que é necessário para desfazer as alterações que foram feitas para os estados de delegação de recursos. Talvez as mudanças foram feitas para um determinado site ou aplicação, por acidente, ou algum tipo de experimentação “com o recurso que deu errado. Neste caso, redefinir os estados de delegação de todos os recursos de volta para seus estados padrão. Ou, repor apenas um recurso de volta ao seu estado padrão.
Para repor estados delegação de recursos
- Abra a página do recurso Recurso delegação.
- Para redefinir todos os estados delegação de recursos, no painel Ações, clique em Redefinir tudo delegação.
Para repor o estado de delegação de um recurso específico, selecione o recurso na lista, e no painel Ações clique em Redefinir para Herdado.