Удаленное управление IIS в Windows Server 2016/2012 R2
Веб-сервер Internet Information Service в Windows 2016/ 2012 / R2, как и предыдущие версии IIS имеет возможность удаленного управления. Ведь управлять множеством IIS серверов из одной консоли довольно удобно, а для веб-серверов, работающих в режиме Core/Nano, это практически единственный удобный способ управления веб сервером. Однако по умолчанию функционал удаленного управления в IIS отключен и в том случае, если на другом сервере попытаться добавить удаленный сервер с запущенным IIS в консоль управления IIS (меню Connect to a Server), появится ошибка:
Установка службы управления IIS Management Service
Дело в том, что при стандартной установке IIS, служба IIS Management Service, отвечающая за его удаленное управление не устанавливается. Убедится, что данная служба отсутсвует в системе можно с помощью Powershell команды:
Как вы видите, служба Web-Mgmt-Service не установлена. Установите компонент Windows Server с помощью командлета Add-WindowsFeature , выполним с правами администратора следующую команду Powershell:
Также вы можете установить компонент Management Service из консоли Server Manager.
Затем перезапустите веб сервис IIS:
iisreset –noforce 
Следующий шаг – нужно разрешить удаленные подключения в настройках веб сервера IIS. Для этого в диспетчере служб IIS в секции Management откройте появившийся пункт Management Service.
В разделе Management Service включите опцию «Enable remote connections».
Здесь же можно ограничить возможность подключения к консоли управлений веб сервера по IP адресу. Для этого запретите подключение с неизвестных клиентов (Access for unspecified clients:Deny) и укажите IP адрес / или IP подсети, с которых будет разрешено подключение. Служба удаленного подключения использует SSL сертификат, но вы можете использовать другой, если вы импортировали его в хранилище сертификатов (вы можете создать и использовать самоподписанный сертификат). Сохраните изменения.
Reg Add HKLM\Software\Microsoft\WebManagement\Server /V EnableRemoteManagement /T REG_DWORD /D 1
В этом случае придется создать правило для файервола вручную:
netsh advfirewall firewall add rule name=”Allow IIS Web Management” dir=in action=allow service=”WMSVC”
Осталось запустить службу Web Management Service:
set-service wmsvc -StartupType Automatic
sc config WMSVC start= auto
После этого удаленный веб сервер IIS возможно добавить в консоль управлений IIS Manager и управлять сервером IIS, всеми сайтами на нем так же, как и локальным веб-сервером. 
Предоставление прав пользователям на удаленное управление сайтом IIS
По-умолчанию право на удаленное управление сервером IIS есть только у пользователей с правами администратора сервера. Чтобы предоставить право на удаленное управление обычным пользователям, необходимо раздать соответствующие права на уровне каждого сайта IIS. Выберите сайт и найдите опцию IIS Manager Permissions.
В панели Actions нажмите на Allow User. Выберите учетную запись, которой нужно предоставить доступ к IIS и нажмите Ок.
Права пользователям по управлению сайтами на IIS настраиваются в секции Feature Delegation на уровне всего сервера IIS.
Вы можете задать один из трех уровней доступа пользователям для каждого функционала управления сервером IIS: Read Only, Read/Write или Not Delegated.
Удаленное управление IIS из Windows 10
Если вам нужно удалено управлять серверов IIS с клиентской рабочей станции с Windows 10 (Windows 7 или 8.1), необходимо установить консоль управления IIS: Turn Windows features on or off -> Internet Information Services -> Web Management Tools -> IIS Management Console.
Вы можете установить компонент управления следующей командой PowerShell:
Enable-WindowsOptionalFeature -Online -FeatureName «IIS-ManagementService»
Однако при запуске консоли IIS Manager в Windows 10 оказывается, что пункт Подключение к серверу (Connect to a server) в меню отсутствует.
Для возможности удаленного подключения к IIS в Windows 10 нужно скачать и установить компонент IIS Manager for Remote Administration (https://www.microsoft.com/en-us/download/details.aspx?id=41177).
После установки нужно перезапустить консоль диспетчера IIS и подключится к сайту. Если при подключении к IIS окажется, что версия консоли на клиенте и сервере отличается, появится уведомлении о необходимости обновить версию консоли (все необходимые файлы будут автоматически скачаны с сервера).
Теперь вы должны успешно подключиться к своему серверу IIS и удаленно управлять им со своего рабочего места.
Удаленное управление IIS и поддержка TLS 1.1/ TLS 1.2
Если на IIS вы отключили устаревших протоколов SSLv3 и TLS 1.0, оставив только TLS 1.1/ TLS 1.2 то при удаленном подключении к IIS появится ошибка:
Для исправления проблемы, необходимо на стороне клиента внести изменения в реестре, для обязательного использования протокола TLS1.2 при подключении. Настройки зависят от версии Windows.
Windows 10 и Windows Server 2016:
Windows 2012/ R2 и Windows 8/8.1:
Windows Server 2008 R2 / Windows 7:
Предварительно нужно установить обновление KB3154518 для поддержки TLS 1.2 в .NET Framework 3.5.1.
Настройка удаленного управления в диспетчер сервера Configure remote Management in Server Manager
Область применения. Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
В Windows Server можно использовать диспетчер сервера для выполнения задач управления на удаленных серверах. In Windows Server, you can use Server Manager to perform management tasks on remote servers. удаленное управление включено по умолчанию на серверах под управлением Windows Server 2016. remote management is enabled by default on servers that are running Windows Server 2016. Чтобы удаленно управлять сервером с помощью диспетчер сервера, необходимо добавить сервер в пул серверов диспетчер сервера. To manage a server remotely by using Server Manager, you add the server to the Server Manager server pool.
Диспетчер сервера можно использовать для управления удаленными серверами, на которых работают старые версии Windows Server, но для полного управления этими старыми операционными системами необходимо выполнить следующие обновления. You can use Server Manager to manage remote servers that are running older releases of Windows Server, but the following updates are required to fully manage these older operating systems.
Чтобы управлять серверами под управлением Windows Server версии более ранних, чем Windows Server 2016, установите следующее программное обеспечение и обновления, чтобы сделать более старые выпуски Windows Server управляемыми с помощью диспетчер сервера в Windows Server 2016. To manage servers that are running Windows Server releases older than Windows Server 2016, install the following software and updates to make the older releases of Windows Server manageable by using Server Manager in Windows Server 2016.
| Операционная система Operating System | Необходимое программное обеспечение Required Software | Управляемость Manageability |
|---|---|---|
| Windows Server 2012 R2 или Windows Server 2012 Windows Server 2012 R2 or Windows Server 2012 | — .NET Framework 4,6 — .NET Framework 4.6 — Windows Management Framework 5,0. — Windows Management Framework 5.0. В Windows Server 2012 R2, Windows Server 2012 и Windows Server 2008 R2 поставщики инструментарий управления Windows (WMI) загрузить обновления для пакета управления Microsoft Management Framework 5,0 (WMI). The Windows Management Framework 5.0 download package updates Windows Management Instrumentation (WMI) providers on Windows Server 2012 R2 , Windows Server 2012 , and Windows Server 2008 R2 . Обновленные поставщики WMI позволяют диспетчер сервера собираются сведения о ролях и компонентах, установленных на управляемых серверах. The updated WMI providers let Server Manager collect information about roles and features that are installed on the managed servers. До применения обновления серверы, работающие под управлением Windows Server 2012 R2, Windows Server 2012 или Windows Server 2008 R2, имеют состояние управляемости недоступно. Until the update is applied, servers that are running Windows Server 2012 R2 , Windows Server 2012 , or Windows Server 2008 R2 have a manageability status of Not accessible. — Обновление для повышения производительности, связанное с статьей базы знаний 2682011 , больше не требуется на серверах под управлением windows Server 2012 R2 или windows Server 2012. — The performance update associated with Knowledge Base article 2682011 is no longer necessary on servers that are running Windows Server 2012 R2 or Windows Server 2012 . | |
| Windows Server 2008 R2 Windows Server 2008 R2 | — .NET Framework 4,5 — .NET Framework 4.5 — Windows Management Framework 4,0. — Windows Management Framework 4.0. Windows Management Framework 4,0 downloads Package Updates инструментарий управления Windows (WMI) (WMI) providers in Windows Server 2008 R2. The Windows Management Framework 4.0 download package updates Windows Management Instrumentation (WMI) providers on Windows Server 2008 R2 . Обновленные поставщики WMI позволяют диспетчер сервера собираются сведения о ролях и компонентах, установленных на управляемых серверах. The updated WMI providers let Server Manager collect information about roles and features that are installed on the managed servers. До применения обновления серверы, работающие под управлением Windows Server 2008 R2, имеют состояние управляемости недоступно. Until the update is applied, servers that are running Windows Server 2008 R2 have a manageability status of Not accessible. — Обновление производительности, связанное с статьей базы знаний 2682011 , позволяет диспетчер сервера собираются данные производительности с Windows Server 2008 R2. — The performance update associated with Knowledge Base article 2682011 lets Server Manager collect performance data from Windows Server 2008 R2 . | |
| Windows Server 2008 Windows Server 2008 | — .NET Framework 4 — .NET Framework 4 — Windows Management Framework 3,0 Windows Management Framework 3,0 downloads Package Updates инструментарий управления Windows (WMI) (WMI) providers in Windows Server 2008. — Windows Management Framework 3.0 The Windows Management Framework 3.0 download package updates Windows Management Instrumentation (WMI) providers on Windows Server 2008 . Обновленные поставщики WMI позволяют диспетчер сервера собираются сведения о ролях и компонентах, установленных на управляемых серверах. The updated WMI providers let Server Manager collect information about roles and features that are installed on the managed servers. Пока обновление не будет применено, серверы, работающие под управлением Windows Server 2008, имеют состояние управляемости недоступно. Проверьте более ранние версии запуска Windows Management Framework 3,0. Until the update is applied, servers that are running Windows Server 2008 have a manageability status of Not accessible — verify earlier versions run Windows Management Framework 3.0. — Обновление производительности, связанное с статьей базы знаний 2682011 , позволяет диспетчер сервера собираются данные производительности с Windows Server 2008. — The performance update associated with Knowledge Base article 2682011 lets Server Manager collect performance data from Windows Server 2008 . |
подробные сведения о добавлении серверов в рабочих группах для управления и управления удаленными серверами с компьютера рабочей группы, на котором работает диспетчер сервера, см. в разделе Добавление серверов в Диспетчер сервера. for detailed information about how to add servers that are in workgroups to manage, or manage remote servers from a workgroup computer that is running Server Manager, see add Servers to Server Manager.
Включение и отключение удаленного управления Enabling or disabling remote management
В Windows Server 2016 удаленное управление включено по умолчанию. In Windows Server 2016, remote management is enabled by default. Перед тем как подключиться к компьютеру под управлением Windows Server 2016 удаленно с помощью диспетчер сервера, на конечном компьютере должен быть включен диспетчер сервера удаленное управление, если оно было отключено. Before you can connect to a computer that is running Windows Server 2016 remotely by using Server Manager, Server Manager remote management must be enabled on the destination computer if it has been disabled. В процедурах данного раздела описано, как отключить удаленное управление и как его вновь включить, если оно было отключено. The procedures in this section describe how to disable remote management, and how to re-enable remote management if it has been disabled. В консоли диспетчер сервера состояние удаленного управления для локального сервера отображается в области Свойства на странице локальный сервер . In the Server Manager console, the remote management status for the local server is displayed in the Properties area of the Local Server page.
Локальные учетные записи с правами администратора, за исключением встроенной учетной записи администратора, могут не иметь права на удаленное управление сервером, даже если удаленное управление включено. Local administrator accounts other than the built-in Administrator account may not have rights to manage a server remotely, even if remote management is enabled. Параметр реестра LocalAccountTokenFilterPolicy удаленного контроля учетных записей (UAC) должен быть настроен на разрешение локальных учетных записей группы администраторов, отличной от встроенной учетной записи администратора, для удаленного управления сервером. The remote User Account Control (UAC) LocalAccountTokenFilterPolicy registry setting must be configured to allow local accounts of the Administrators group other than the built-in administrator account to remotely manage the server.
В Windows Server 2016 диспетчер сервера полагается на службу удаленного управления Windows (WinRM) и распределенную модель объектов (DCOM) для удаленного взаимодействия. In Windows Server 2016, Server Manager relies on Windows remote Management (WinRM) and the Distributed component Object model (DCOM) for remote communications. Параметры, которые управляются диалоговым окном Настройка удаленного управления , влияют только на части Диспетчер сервера и Windows PowerShell, которые используют WinRM для удаленного взаимодействия. The settings that are controlled by the Configure remote Management dialog box only affect parts of Server Manager and Windows PowerShell that use WinRM for remote communications. Они не влияют на части диспетчер сервера, использующие DCOM для удаленного взаимодействия. They do not affect parts of Server Manager that use DCOM for remote communications. Например, диспетчер сервера использует WinRM для взаимодействия с удаленными серверами под управлением Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012, но использует DCOM для связи с серверами, работающими под управлением Windows Server 2008 и Windows Server 2008 R2, но не применяют обновления Windows Management framework 2008 или windows Management Framework 4,0 . For example, Server Manager uses WinRM to communicate with remote servers that are running Windows Server 2016, Windows Server 2012 R2, or Windows Server 2012, but uses DCOM to communicate with servers that are running Windows Server 2008 and Windows Server 2008 R2, but do not have the Windows Management Framework 4.0 or Windows Management Framework 3.0 updates applied. Консоль управления Microsoft (MMC) и другие средства управления прежними версиями используют DCOM. Microsoft Management Console (mmc) and other legacy management tools use DCOM. Дополнительные сведения об изменении этих параметров см. в разделе Настройка MMC или другого средства удаленное управление по протоколу DCOM этой статьи. For more information about how to change these settings, see To configure mmc or other tool remote management over DCOM in this topic.
Процедуры этого раздела можно выполнить только на компьютерах, работающих под управлением Windows Server. Procedures in this section can be completed only on computers that are running Windows Server. Вы не можете включить или отключить удаленное управление на компьютере под управлением Windows 10 с помощью этих процедур, так как клиентскую операционную систему нельзя управлять с помощью диспетчер сервера. You cannot enable or disable remote management on a computer that is running Windows 10 by using these procedures, because the client operating system cannot be managed by using Server Manager.
Чтобы включить удаленное управление WinRM, выберите одну из следующих процедур. To enable WinRM remote management, select one of the following procedures.