Windows - Az Internet Information Services (IIS) 5.0 szerver távelérésű rendszer adminisztrációs lehetőségei

IIS 2. rész

Egy szerver üzemeltetésének egyik legnagyobb költsége lehet a folyamatos karbantartás. Ez tovább fokozódik, ha fizikailag távol vagyunk a géptől. Ebben a cikkben azt vizsgáljuk meg, hogyan lehet távolról - több módszerrel is - elvégezni egy webszerver karbantartását. Az első és talán az egyik legjobb módszer a Vezérlőpult > Felügyeleti eszközök > Internet szolgáltatáskezelő nevű MMC konzol használata. Alaphelyzetben a saját gépen futó IIS karbantartását teszi lehetővé, de ha rákattintunk a Műveltek > Csatlakozás menüpontra és megadjuk egy távoli kiszolgáló nevét, akkor a "Fa" kiegészül annak az adataival is.

Előfordulhat, hogy olyan gépről kell a felügyeletet elvégezni, amelyiken nincs Internet szolgáltatáskezelő konzol. Ekkor segíthet a weben keresztüli adminisztráció. Telepítés után keletkezik egy "Felügyeleti webhely". Ezen keresztül el lehet végezni az összes webhely adminisztrációját. Kattintsunk az "Internet szolgáltatáskezelő"-ben a felügyeleti webhely Tulajdonságok > Könyvtárbiztonság > IP-cím és tartománynév korlátozása > Szerkesztés gombjára. Látható, hogy a webhely elérése a 127.0.0.1-es IP címre van lekorlátozva, ez a visszacsatoló interfész, a szerver maga (localhost). A "Hozzáadás" gombra kattintva megadhatjuk annak a számítógépnek, számítógépcsoportnak vagy tartománynak az IP címét vagy domain nevét, ahonnan engedélyezni kívánjuk a hozzáférést. Ha lehetséges, ne engedélyezzünk korlátlan helyről való hozzáférést. Nagyobb a biztonság, ha kevesebb helyről érhető el a szerver ezen része. Állítsuk be a próba kedvéért az egyik, hálózatban lévő gépünk IP címét, amelyről majd elvégezzük az adminisztrációt. Továbbiakban ezt a gépet felügyelő gépnek nevezzük. A Névtelen hozzáférés és hitelesítés > Szerkesztés gomb lenyomása után láthatóvá válik, hogy a webhely hitelesítési metódusa "Beépített Windows hitelesítés", tehát érvényes Windows felhasználói fiók kell az eléréséhez. De melyik? Hogy megtudjuk kattintsunk a "Felügyelők" fülre. Itt ezt látjuk: Rendszergazdák. Rendszergazdai jogokkal kell rendelkeznünk a felügyelethez. Ezután kattintsunk a "Webhely" fülre és nézzük meg, hogy a "TCP-port"-nál a 4687-es érték van megadva a szokásos 80-as helyett. Ezt jegyezzük meg. Sétáljunk át a felügyelő géphez, jelentkezzünk be egy tetszőleges felhasználói névvel, de ne rendszergazdaként. Az Internet Explorer-be írjuk be a következő címet: "http://server2:4687". A server2 név helyett a szerverünk tényleges nevét vagy IP címét megadva. A szerver kéri az eléréshez jogosult személy felhasználói nevét és jelszavát. Itt írjuk be a rendszergazdai adatainkat és betöltődik a "Felügyeleti webhely". Itt minden IIS rendszeradminisztrációs dolgot el tudunk végezni az "Internet szolgáltatáskezelő" konzolhoz hasonlóan.
Ez így működik, de felmerülhet bennünk néhány kérdés:
Miért nem rendszergazdaként jelentkeztünk be a felügyelő gépre? Csak azért, hogy láthassuk, hogy működik a "Beépített Windows hitelesítés". Úgy, hogy csak akkor kér tőlünk felhasználói nevet és jelszót egy hálózati erőforrás elérésekor, ha a meglévő jogaink nem elégségesek. Mivel a "Felügyeleti webhely" a "Rendszergazdák" csoportjára volt lekorlátozva ezért rögtön kérte tőlünk a szükséges adatokat. Ebből következik, ha rendszergazdaként jelentkezünk be a felügyelő gépre, akkor jelszó kérés nélkül teszi számunkra hozzáférhetővé a weblapot.
A másik kérdés lehet, hogy miért a 4687-es port címe volt hozzárendelve a webhelyhez? Ez biztonsági okokból előnyös, más számot is megadhatunk és ha ezt csak mi ismerjük, az tovább növeli a biztonságot.

Következő adminisztrációs lehetőségünk a Windows terminálszolgáltatásaiban rejlik. Ez egy remek kis eszköze a távelérésnek. Lényege, hogy a szerver monitorának a képét képes átvinni a hálózaton és a kliens gépen megjeleníteni. Az átvitel tömörítve történik és mindig csak az előző képhez mért különbséget viszi át, ezért nagyon gyors. A kliens gép előtt ülve úgy tudunk dolgozni, mintha az a szerver előtt történne. A kliens szoftver telepíthető 32 és 16 bites környezetben is, ezért lehetséges az is, hogy akár egy 286-oson "használjunk" Windows 2000 szervert.
A szerveren telepítsünk a terminálszolgáltatások kiszolgálóját a Vezérlőpult > Programok telepítése/törlése > Windows összetevők hozzáadása vagy eltávolítása > Összetevők > Terminálszolgáltatások és Terminálszolgáltatások licencelése hozzáadásával. A feltelepítés után gyakorlatilag teljesen üzemkész állapotba kerül. A %systemroot%\winnt\system32\clients\tsclient mappába kerülnek a kliens telepítőkészletek. A win32 mappát vigyük át egy másik gépre, amelyiken 32 bites Windows fut és telepítsük fel. Ezután a Start > Programok > Terminálszolgáltatások ügyfele > Terminálszolgáltatások ügyfele programmal indítható. Válasszuk ki a hálózati elérési útból a szerverünk nevét, kattintsunk a "Csatlakozás" gombra, jelentkezzünk be rendszergazdaként, hívjuk meg az "Internet szolgáltatáskezelő"-t és tetszés szerint konfiguráljuk az IIS-t.

Ha szeretjük a kihívásokat próbálkozhatunk parancssori adminisztrációval is. A %systemroot%\Inetpub\AdminScripts könyvtárban található néhány Visual Basic script, amely megfelelő paraméterezéssel képes adminisztrációs feladatokat ellátni. Elindításukhoz a Windows Script Host-ot (WSH) használjuk. Ehhez a %systemroot%\system32\cscript.exe programot fogjuk igénybe venni. Parancssorban tallózzunk el a %systemroot%\Inetpub\AdminScripts könyvtárba és írjuk be CSCRIPT ADSUTIL.VBS, ekkor kapunk egy help-et az ADSUTIL script használatáról. Ugyanezt megtehetjük a mappában található összes script-tel is.
Egy gyakorlati példa: adjunk írási jogot a "TESZT" nevű virtuális könyvtárnak.
Ezt így tehetjük meg:
CSCRIPT ADSUTIL.VBS SET W3SVC/1/ROOT/TESZT/ACCESSWRITE "TRUE" -S:SERVER2
A parancsokat egy batch fájlba téve automatizálni tudunk bizonyos felügyeleti folyamatokat és írhatunk a mappában lévő script-ek mintájára sajátokat is.

Van még egy parancssori adminisztrációs lehetőség, és ez a Telnet.
A szerveren indítsuk el a Programok > Felügyeleti eszközök > Telnet-kiszolgáló felügyelete programot, majd válasszuk a 4-es "A szolgáltatás indítása" menüpontot. A kliens gépen parancssorba írjuk be: TELNET SERVER2. A SERVER2 nevet helyettesítsük be a szerverünk tényleges nevével. Létrejön a kapcsolat és elérhetővé válnak az fent említett parancssori lehetőségek. A Telnet előnye, hogy több platformon is futtatható (pl. Linux).

A gyakorlatban az első három módszer a legkényelmesebben használható, de szélsőséges esetben előfordulhat, hogy parancssori adminisztrációhoz kell folyamodnunk. Ne ijedjünk meg tőle, kis gyakorlattal hamar belejöhetünk a script-ek használatába.



Az IIS alapjai cikksorozat