IIS问题专区

锐一网络为您解答服务器的疑难杂症

服务热线:400-920-4021

如何配置IIS7.5管理功能
1032017-11-16

当在运行Windows Server 2008 R2的计算机上添加“Web服务器(IIS)”角色时,默认配置只启用服务器的本地管理员。这就增加了安全性,因为其他计算计的用户是不能使用IIS管理器来修改该服务器配置的。虽然对于规模较小的应用而言这样配置已经足够,但在大型企业网络中系统管理员通常需要使用IIS7.5管理器远程地配置服务器。

这是由于在许多情况下,网站和Web应用程序是由多位系统管理员共同管理的。要允许远程管理员来管理IIS,必须在服务器上启用远程管理,并定义和配置IIS管理器用户。功能委派用于指定远程管理员可以执行哪些操作。

为了启用远程管理功能,首先要在本地服务器上添加“IIS管理服务”角色服务。可以使用服务器管理器来完成它。在“角色”文件夹中右击“Web服务器(IIS)角色,然后选择“添加角色服务”。添加“IIS管理服务六”,它位于可用角色服务的“管理工具”部分。

IIS远程管理服务使用标准的或HTTPS连接来工作。默认情况下使用端口8172进行通信。当数据流被允许通过该端口时,远程管理员能够通过本地网络连接或Internet来管理他们的IIS服务。

为“Web服务器(IIS)”角色添加了“IIS管理服务”角色服务后,就可以使用IIS管理器来启用远程管理。可以打开IIS管理器,在左侧窗格中选择Web服务器对象。然后,在功能视图的“管理”部分中选择“管理服务”。

IIS管理服务

“启用远程连接”复选框默认状态是没有选中的。为了使管理器用户能够通过网络连接到IIS,首先选中“启用远程连接”复选框。“标识凭据”部分用于指定是否仅允许使用Windows凭据进行身份验证,或者也可以允许管理器凭据。“连接”部分的设置用于指定管理服务在哪些IP地址和端口进行响应。默认设置是使服务对所有可用的IP地址在端口8172上进行响应。

如果Web服务器被配置了多个网络连接或IP地址,可以限制对某个地址的远程访问连接以增加安全性。“SSL证书”部分用于选择一个己经配置在本地服务器上的SSL证书。也可以配置远程管理请求将被记录到的路径。

默认的路径是%SystemDrive%InetpubLogsWMSvc。“IPv4地址限制”部分用于限制哪些计算机可以远程连接到IIS,以增加安全性。可以根据特定IPv4地址或地址范围来指定规则。“未指定的客户端的访问权”下拉列表定义未输入的IP地址是否会被允许或拒绝。可以创建允许或拒绝的条目来定义哪些IP地址可以连接。

特定IPv4地址

当已经控制将被用于管理Web服务的计算机组时这些选项就是最有用的。因为管理服务默认是停止的,所以需要单击“操作”窗格中的“启动”命令来开启允许远程连接。要修改管理服务的配置必须先停止管理服务。

为了使用IIS管理器连接Windows Server 2008 R2 Web服务器,用户必须其有必要的权限。使用管理员凭据登录到运行Windows Server 2008 R2的计算机的用户,将自动拥有必要的权限以完成服务器上所有可以执行的任务。对于其他类型的用户,例如远程系统管理员,必须确定要如何管理权限。

在默认情况下,“Web服务器(IIS)”角色仅使用Windows身份验证就能使权限被分配。这意味着所有要管理IIS的管理员都必须拥有基于Windows的凭据和权限。当所有Web服务器管理员属于同一个域时,Windows身份验证是最合适的。

假定登录到这个域的用户拥有必要的权限,那么当他们使用IIS管理器连接服务器时,将不必手动提供凭据。当打算为所有需要使用IIS管理器的管理员创建本地或域账户时,Windows身份验证也是有用的。在某些情况下,为每一位潜在的IIS管理员创建本地或域账户是不现实的。

在这种情况下,每个用户通常可以为自己的网站修改特定的设置,且不具有访问其他用户网站的权限,并且他们通常被限制只能修改某些设置。为了支持上述功能,需要启用“Windows凭据或IIS管理器凭据”选项。当使用管理服务来启用该选项时,将能够为管理IIS创建唯一的用户名和密码。

这些凭据可以给其他用户和管理员使用,所以他们不需要个人的Windows账户就可以连接到Web服务器。

IIS管理器工具用于定义哪些用户可以连接和管理网站或Web服务。配置这些设置,首先需要打开IIS管理器,在左侧窗格中选择一个服务器。在功能视图的“管理”部分中单击“IIS管理器用户”。

默认情况下,IIS安装将不包含任何本地定义的用户。要新建一个用户,首先在“操作”窗格中单击“打开功能”,然后在“操作”窗格中单击“添加用户”命令。需要提供用户名并输入和确认密码。由于这些设置是在IIS中本地定义的,因此不必使用与域相匹配的完整的用户名。

使用与域相匹配的完整的用户名

除了通过IIS管理器用户配置权限外,还可以使用组成员设置来确定哪些用户可以远程连接。有权限登录本地计算机和使用IIS管理器的用户将能通过远程计算机来完成这些任务。

远程管理员在连接到服务器后需要确定具有哪些权限。在某些情况下,远程管理员可能拥有全部操作权限来访问Web服务器,也可能限制访问只允许访问特定的网站或Web应用程序。

因此可以在网站或应用程序级别配置IIS管理器权限,但是不能直接在服务器级别配置权限。这就可以确保拥有权限的用户可以为他们需要访问的特定网站和Web应用程序修改设置。

选择一个网站或Web应用程序,然后在功能视图的“管理”部分中单击“IIS管理器权限”,即可对权限进行管理。默认情况下,新的IIS管理器用户没有被赋予连接特定网站或Web应用程序的权限。

为了使新的用户能够在选定的级别上进行连接,首先在“操作”窗格中单击“打开功能”,然后在“操作”窗格中单击“允许用户”命令。需要指定Windows用户或IIS管理器用户。

单击允许用户命令

使用Windows选项,可以选择一个己在域中或本地被定义的用户或用户组。当用户远程连接到IIS,他们将能够访问那些他们有权访问的网站和Web应用程序。默认情况下,较低级别的对象会自动继承较高级别的对象的权限。也可以在“操作”窗格中选择“拒绝用户”以明确禁止其对特定级别的访问。

为了对多用户管理进行简化,在管理网站权限时可以使用两个命令。“显示所有用户”提供IIS中所有可用用户的列表。“仅显示站点用户”只会显示那些具有访问网站权限的用户。

定义用户和权限的功能用于实行基于站点内容结构的管理。但首先需要确定哪些功能用户可以查看和配置,这个设置过程就称为委派。功能委派的默认设置定义在IIS的服务器级别。

为了使用IIS管理器访问这些设置,可以在左侧窗格中选择Web服务器对象,然后在功能视图的“管理”部分中双击“功能委派”。

功能委派

功能委派列表项包括了所有通过“Web服务器(IIS)”服务器角色所添加的功能或由角色服务所启用的功能。为了修改某项功能的设置,可以在列表中选择该功能,并使用“操作”窗格的“设置功能委派”部分中的命令。多数功能都有“只读”或“读/写”选项。

除此之外,些功能项其有“配置读/写”或“配置只读”设置。这些设置使Web开发人员能够在他们的配置文件中指定设置或以基于数据库设置的方式来管理它们。“未委派”设置表示该功能不为较低级别的委派所启用,而且不能用来配置。使用“委派”选项,可以快速地配置设置。

配置读/写或配置只读设置

默认情况下,在服务器级别定义的设置会自动地应用到全部的了网站和子应用程序。在某些情况下,希望在站点级别限制功能委派。可以在“操作”窗格中单击“自定义站点委派”命令。这将打开“自定义站点委派”页面,如图11-8所示,用于选择将应用委派设置的特定站点。

“复制委派”命令用于将当前选择的设置复制到服务器上的一个或多个网站,也可以使用“躁作”窗格中的“重置为继承”和“重置所有委派”命令迅速将成组的设置更改为之前的值。

自定义站点委派

使用功能委派设置可以决定当远程用户使用IIS管理器连接到服务器时,系统配置的哪些部分可用。

在启用了远程管理并配置了适当的权限和设置后,远程用户将能够使用IIS管理器控制台连接服务器。为了检查本地计算机或安装有IIS管理器控制台的远程计算机的配置,可以使用IIS管理器的“起始页”项或者“文件”菜单来连接IIS。远程用户将能够存不同的级别连接服务器。可用的命令包括:连接至localhost、连接至服务器、连接至站点、连接至应用程序。

远程用户将能够存不同的级别连接服务器

图11-10显示了直接连接Web应用程序的可用选项。为了进行连接,远程管理员需要提供凭据。如果连接成功,远程管理员将在IIS管理器的左侧窗格中看到一个新的对象。为了保持多个连接,远程管理员也可以为这些连接命名或重命名。

远程管理员也可以为这些连接命名或重命名

可用的特定功能项将依赖于功能委派的设置。虽然可能其有相同的图标,但是远程管理员将不能修改它们的设置,也不能保存修改的结果。对于大多数设置,远程管理员将能够访问配置页面,上面显示了设置的详细信息,但是任何的操作都被禁用。因此,他们将不能修改设置或保存修改的结果。

功能委派的设置

IIS7.5,Windows Server 2008 R2,IIS管理功能

关注我们

关于我们

  • 400热线:400-920-4021
  • 电话:0755-33076677
  • 邮箱:info@a166.com
  • 地址:深圳市福田区彩莲路天隆大厦1507

产品销售

售后服务

  • 售后 锐一售后客服
  • 售后 锐一售后客服

增值服务

  • 证书 SSL
收缩