Remote-Verwaltung

Aktivieren der Remote-Verwaltung unter IIS 4.0 und 5.0

Unabhängig vom Einsatz des Dienstprogramms für die Remote-Verwaltung über die Befehlszeile Fpremadm oder der HTML-Verwaltungsformulare für die Servererweiterungen, um einen Server mit IIS 4.0 oder höher remote zu verwalten, müssen Sie die HTML-Verwaltungsformulare mithilfe der in diesem Thema beschriebenen Methode aktivieren.

Sie sollten die HTML-Verwaltungsformulare über einen gesicherten Anschluss verwenden. Sie können keinen gesicherten Anschluss verwenden, wenn auf dem Server kein Sicherheitszertifikat installiert ist. Falls Sie noch nicht über ein Sicherheitszertifikat verfügen, bevor Sie die HTML-Verwaltungsformulare aktivieren, fordern Sie mithilfe der Anwendung Schlüssel-Manager ein Sicherheitszertifikat an, übermitteln die Anforderung an eine Schlüsselvergabestelle und installieren mit der Anwendung Schlüssel-Manager das von der Schlüsselvergabestelle zurückgegebene Zertifikat. Die IIS-Dokumentation enthält weitere Details über dieses Verfahren.

Sobald Sie ein Sicherheitszertifikat besitzen, können Sie die HTML-Verwaltungsformulare entweder als eigene IIS-Website oder als virtuellen Ordner auf einer vorhandenen Website aktivieren. Die Vorteile einer getrennten Website liegen darin, dass Sie eine andere IP-Adresse verwenden können, und so die Entdeckung der Formulare erschweren. Darüber hinaus können Sie bei einer eigenständigen Website zusätzliche Sicherheitseinstellungen aktivieren, wie z. B. individuelle Nicht-Standardanschlussnummern. Der Nachteil einer eigenständigen Website liegt darin, dass eine zusätzliche IP-Adresse für den Computer erforderlich ist.

So aktivieren Sie die HTML-Verwaltungsformulare für den Remote-Einsatz

1. Legen Sie das Konto des Windows NT-Computers (bzw. die Gruppe der Konten) fest, dem Zugriff auf die HTML-Verwaltungsformulare erteilt wird.

   Dieses Konto sollte ein Mitglied der Administratorengruppe des Computers sein. Erstellen Sie gegebenenfalls mit dem Benutzer-Manager von Windows NT ein neues Konto. Abhängig von der Kontenkonfiguration des Computers stellt das Erteilen des Zugriffs für die Administratorengruppe eine gute Alternative dazu dar, mehreren einzelnen Konten auf dem Computer Zugriff zu erteilen.

2. Öffnen Sie in Windows-Explorer das Festplattenverzeichnis der HTML-Verwaltungsformulare (standardmäßig C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Server Extensions\40\). Markieren Sie den Ordner Admisapi, klicken im Menü Datei auf Eigenschaften und dann auf der Registerkarte Sicherheit auf Berechtigungen.
3. Aktualisieren Sie im Dialogfeld Verzeichnisberechtigungen mithilfe der Schaltflächen Hinzufügen und Entfernen die Liste Name der berechtigten Benutzer und Gruppen.

   Entfernen Sie alle nicht berechtigten Benutzer und Gruppen. Stellen Sie insbesondere sicher, dass keine der zu der Liste hinzugefügten Gruppen das anonyme Zugriffskonto IUSR_Computername enthält und alle Konten, die einen weitgehenden Zugriff zulassen, wie z. B. JEDER, entfernt werden.

4. Geben Sie in der Liste Name das Konto SYSTEM des Computers ein.

   Dieses Konto ist erforderlich, damit IIS während der Sicherheitsüberprüfung auf die Datei zugreifen kann.

5. Ändern Sie die Zugriffsart für alle Benutzer oder Gruppen in der Liste Name in Lesen.
6. Klicken Sie auf Berechtigungen für Unterverzeichnisse ersetzen und Berechtigungen für existierende Dateien ersetzen, und klicken Sie auf OK, um die Änderungen zu übernehmen. Klicken Sie erneut auf OK, um das Dialogfeld Eigenschaften von Ordner zu schließen.
7. Starten Sie den IIS Internetdienst-Manager, und öffnen Sie die IIS- und Computer-Ordner.
8. Klicken Sie mit der rechten Maustaste auf das Symbol, das mit dem Computernamen beschriftet ist, und klicken Sie dann auf Neu, anschließend auf Web Site um eine neue Web Site zu erstellen.
9. Geben Sie im Feld Beschreibung der Website des Website-Assistenten den Namen der Site ein, beispielsweise Verwaltungsformulare für FrontPage-Servererweiterungen, und klicken Sie dann auf Weiter.
10. Wählen Sie die IP-Adresse, die für diese Site verwendet werden soll. Die IP-Adresse muss vor dem Ausführen des Website-Assistenten vorkonfiguriert worden sein. Verwenden Sie keinesfalls das Feld TCP-Anschluss für diese Website, da der Zugriff auf die HTML-Verwaltungsformulare nur über einen sicheren Anschluss erfolgt. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.
11. Geben Sie den Pfad zu den Dateien für die HTML-Verwaltungsformulare (normalerweise C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Server Extensions\40\Admisapi) ein, und vergewissern Sie sich, dass das Kontrollkästchen Anonymen Zugriff auf diese Website erlauben deaktiviert ist. Klicken Sie auf Weiter.
12. Klicken Sie auf Lesezugriff erlauben und Ausführen erlauben (beinhaltet Skripts), und klicken Sie dann auf Fertigstellen.
13. Klicken Sie mit der rechten Maustaste auf das Symbol für die neue Website, das im linken Ausschnitt erstellt wurde und mit dem Namen, den Sie in Schritt 9 eingegeben haben, beschriftet ist. Klicken Sie auf Eigenschaften.
14. Geben Sie auf der Registerkarte Website im Feld SSL-Anschluss eine Nicht-Standardanschlussnummer ein, z. B. 8234.
15. Klicken Sie auf der Registerkarte Verzeichnissicherheit im Abschnitt Sichere Kommunikation auf die Schaltfläche Bearbeiten. Aktivieren Sie das Kontrollkästchen Sicheren Channel anfordern, und klicken Sie dann auf OK.
16. Fügen Sie alle gewünschten TCP/IP-Zugangsbeschränkungen hinzu.
17. Klicken Sie auf OK, um die Änderungen zu übernehmen.

Die Formulare sind jetzt für die Remote-Verwaltung mithilfe eines URLs, wie z. B. https://computername:8234/fpadmin.htm einsetzbar, wobei computername der IP-Adresse entspricht, die Sie in Schritt 5 eingegeben haben, und 8234 der eingegebenen Anschlussnummer.

So erstellen Sie ein virtuelles Verzeichnis, in dem die HTML-Verwaltungsformulare in einer bestehenden Website gespeichert werden:

1. Legen Sie das Konto des Windows NT-Computers (bzw. die Gruppe der Konten) fest, dem Zugriff auf die HTML-Verwaltungsformulare erteilt wird.

   Dieses Konto sollte ein Mitglied der Administratorengruppe des Computers sein. Erstellen Sie gegebenenfalls mit dem Benutzer-Manager von Windows NT ein neues Konto. Abhängig von der Kontenkonfiguration des Computers stellt das Erteilen des Zugriffs für die Administratorengruppe eine gute Alternative dazu dar, mehreren einzelnen Konten auf dem Computer Zugriff zu erteilen.

2. Öffnen Sie in Windows-Explorer das Festplattenverzeichnis der HTML-Verwaltungsformulare (standardmäßig C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Server Extensions\40\). Markieren Sie den Ordner Admisapi, klicken im Menü Datei auf Eigenschaften und dann auf der Registerkarte Sicherheit auf Berechtigungen.
3. Aktualisieren Sie im Dialogfeld Verzeichnisberechtigungen mithilfe der Schaltflächen Hinzufügen und Entfernen die Liste Name der berechtigten Benutzer und Gruppen.

   Entfernen Sie alle nicht berechtigten Benutzer und Gruppen. Stellen Sie insbesondere sicher, dass keine der zu der Liste hinzugefügten Gruppen das anonyme Zugriffskonto IUSR_Computername enthält und alle Konten, die einen weitgehenden Zugriff zulassen, wie z. B. JEDER, entfernt werden.

4. Geben Sie in der Liste Name das Konto SYSTEM des Computers ein.

   Dieses Konto ist erforderlich, damit IIS während der Sicherheitsüberprüfung auf die Datei zugreifen kann.

5. Ändern Sie die Zugriffsart für alle Benutzer oder Gruppen in der Liste Name in Lesen.
6. Klicken Sie auf Berechtigungen für Unterverzeichnisse ersetzen und Berechtigungen für existierende Dateien ersetzen, und klicken Sie auf OK, um die Änderungen zu übernehmen. Klicken Sie erneut auf OK, um das Dialogfeld Eigenschaften von Ordner zu schließen.
7. Starten Sie den IIS Internetdienst-Manager, und öffnen Sie die IIS- und Computer-Ordner.
8. Klicken Sie mit der rechten Maustaste auf das Websitesymbol, das für die HTML-Verwaltungsformulare verwendet wird, wie zum Beispiel: Standard-Website. Klicken Sie im Kontextmenü auf Neu, anschließend auf Virtuelles Verzeichnis um ein neues virtuelles Verzeichnis zu erstellen.
9. Geben Sie im Feld Aliasname für dieses Virtuelle Verzeichnis des Assistenten für neue Virtuelle Verzeichnisse den Aliasnamen der HTML-Verwaltungsformulare, wie z. B. fpadmin, ein, und klicken Sie dann auf Weiter.
10. Geben Sie den Pfad zu den Dateien der HTML-Verwaltungsformulare, normalerweise C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Server Extensions\40\Admisapi, ein, und klicken Sie dann auf Weiter.
11. Aktivieren Sie die Kontrollkästchen Lesezugriff erlauben und Ausführen erlauben (beinhaltet Skripts), und klicken Sie dann auf Fertigstellen.
12. Klicken Sie mit der rechten Maustaste auf das neue virtuelle Verzeichnissymbol Fpadmin und dann im Kontextmenü auf Eigenschaften.
13. Klicken Sie auf der Registerkarte Verzeichnissicherheit auf die Schaltfläche Bearbeiten des Feldes Steuerung des anonymen Zugriffs und der Authentifizierung.
14. Stellen Sie sicher, dass das Kontrollkästchen Anonyme Anmeldung erlauben deaktiviert und eines oder beide der Kontrollkästchen Unverschlüsselte Echtheitsbestätigung oder Windows NT-Herausforderung/Rückmeldung aktiviert sind, und klicken Sie dann auf OK.
15. Klicken Sie unter Sichere Kommunikation auf Bearbeiten.
16. Klicken Sie auf Sicheren Channel anfordern und dann auf OK.
17. Fügen Sie alle gewünschten TCP/IP-Zugangsbeschränkungen hinzu.
18. Klicken Sie auf OK, um die Änderungen zu übernehmen.

Die Formulare sind jetzt für die Remote-Verwaltung unter Verwendung eines URLs, der ungefähr folgendermaßen aussieht: https://computername/fpadmin/fpadmin.htm, aktiviert.