Windows Server 2016/2012 R2 中的远程 IIS 管理

Windows 2016/2012/R2 中的 Web 服务器 Internet 信息服务与以前的 IIS 版本一样，可以进行远程管理。事实上，从一个控制台管理多个 IIS 服务器已经足够方便，而且它几乎是管理以 Core/Nano 模式运行的 Web 服务器的唯一方法。但是，默认情况下，远程 IIS 管理处于禁用状态，如果您尝试将正在运行 IIS 的远程服务器添加到另一台服务器上的 IIS 管理控制台（连接到服务器菜单），则会出现以下错误消息：

无法连接到指定的计算机
详细信息：无法连接到远程服务器

安装IIS管理服务

问题在于，在标准 IIS 安装期间，未安装负责远程管理的服务（IIS 管理服务）。您可以使用以下 PowerShell 命令确保系统中缺少此服务：

Get-WindowsFeature *web-mgmt*

如您所见，Web-Mgmt-Service 服务未安装。通过使用本地管理员权限执行以下 PowerShell 命令来安装它：

Add-WindowsFeature Web-Mgmt-Service

或者您可以使用 PowerShell cmdlet 来安装功能：

Install-WindowsFeature Web-Mgmt-Service

您还可以从服务器管理器控制台安装管理服务组件：

然后重新启动 IIS Web 服务：

iisreset -noforce

下一步是在 IIS Web 服务器设置中允许远程连接。为此，请打开 IIS 管理器的管理部分中的管理服务项。

检查“管理服务”部分中的“启用远程连接”选项。

您可以在此处通过 IP 地址限制与 IIS 管理控制台的连接。为此，请拒绝未指定客户端的连接（未指定客户端的访问：拒绝）并指定允许连接的 IP 地址/IP 子网。远程连接服务使用 SSL 证书，但如果将其导入服务器的证书存储中，则可以使用另一证书（您可以使用 PoSh 创建和使用自签名 SSL 证书）。保存更改。

注意。默认情况下，端口8172用于远程IIS管理。保存更改后，Windows 防火墙将自动打开此端口。

注意。您可以通过在核心模式下运行的远程 IIS 服务器上的注册表来激活此选项，方法是将注册表项 HKLM\Software\Microsoft\WebManagement\Server 中的参数 EnableRemoteManagement 设置为 1。您可以使用以下命令：

Reg Add HKLM\Software\Microsoft\WebManagement\Server /V EnableRemoteManagement /T REG_DWORD /D 1

在这种情况下，您必须手动创建防火墙规则：

netsh advfirewall firewall add rule name=”Allow IIS Web Management” dir=in action=allow service=”WMSVC”

现在您只需启动 Web 管理服务：

net start wmsvc

并配置该服务在系统启动时自动启动：

set-service wmsvc -StartupType Automatic

或者如下：

sc config WMSVC start= auto

之后，可以将远程 IIS Web 服务器添加到 IIS 管理器控制台，您可以像本地 Web 服务器一样管理 IIS 服务器及其上的多个站点。

允许非管理员帐户远程管理 IIS 站点

默认情况下，只有具有管理员权限的用户才有权限远程管理IIS服务器。为了给标准用户授予IIS远程管理的权限，需要在每个IIS网站级别授予相应的权限。选择一个站点并找到IIS 管理器权限选项。

在“操作”面板中，单击允许用户。选择要授予 IIS 访问权限的用户帐户，然后单击“确定”。

管理 IIS 服务器上的站点的用户权限是在 IIS 服务器级别的功能委派部分中配置的。

您可以为每个 IIS 服务器管理功能选择三个用户访问级别之一：只读、读/写或未委派。

如何从 Windows 10 远程管理 IIS 服务器？

如果需要从使用 Windows 10（Windows 7 或 8.1）的客户端桌面远程管理 IIS 服务器，则需要从以下位置安装 IIS 管理控制台：打开或关闭 Windows 功能 -> Internet 信息服务 -> Web 管理工具 -> IIS 管理控制台。

您可以使用 PowerShell 命令安装此功能：

Enable-WindowsOptionalFeature -Online -FeatureName "IIS-ManagementService"

但是，当您在 Windows 10 中运行 IIS 管理器控制台时，菜单中缺少连接到服务器项。

为了能够从 Windows 10 远程连接到 IIS，您需要下载并安装用于远程管理的 IIS 管理器包 (https://www.microsoft.com/en-us/download/details.aspx?id=41177)。

提示。有一个适用于 x64 (inetmgr_amd64_en-US.msi) 和 x86 操作系统 (inetmgr_x86_en-US.msi) 的 IIS 管理器版本。

安装后，您需要重新启动 IIS 管理器并连接到站点。如果在连接到 IIS 时，发现客户端和服务器上的控制台版本不同，则会出现通知：它表示您需要更新控制台版本（所有必需的文件将自动从服务器下载）。

现在您必须成功连接到 IIS 服务器并从您的办公桌远程管理它。

IIS 远程管理和 TLS 1.1/TLS 1.2 支持

如果您在 IIS 上禁用了不安全的 SSLv3 和 TLS 1.0 协议，只留下 TLS 1.1/ TLS 1.2，那么远程连接 IIS 时会出现错误：

The underlying connection was closed: An unexpected error occurred on a send.

要解决此问题，需要在客户端的注册表中进行更改，以便在连接期间强制使用 TLS 1.2 协议。设置取决于 Windows 版本。

Windows 10 和 Windows Server 2016：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

Windows 2012/R2 和 Windows 8/8.1：

必须安装 NET Framework 4.5.2 或更高版本（如何检查安装了哪些版本的 NET Framework）。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

Windows Server 2008 R2/Windows 7：

您必须首先安装更新 KB3154518 才能在 .NET Framework 3.5.1 中启用 TLS 1.2。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]"SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]"SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]"DisabledByDefault"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]"DisabledByDefault"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]"DisabledByDefault"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]"DisabledByDefault"=dword:00000000