Windows - .NET szerverek konfigurálása böngészőn keresztül

Windows 2000 szervereket is lehetett távolról, Interneten keresztül konfigurálni, gyakorlatilag bármilyen webböngészőből. Így van ez a .NET szerverekkel is, de itt sok minden a biztonság jegyében készült olyannyira, hogy sokszor komoly nehézséget okoz akár még a felügyeleti webhely elérése is. Cikkünkben rendszergazdák számára szeretnénk segítséget nyújtani a weben keresztüli rendszerfelügyelet használatához.
Felügyeleti webhely telepítése
Ahhoz, hogy Interneten keresztül konfiguráljunk egy szervert, telepíteni kell a felügyeleti webhelyet (administration website). Létezik más módszer is - például a terminálszolgáltatáson keresztüli konfigurálás -, de a legkevesebb feltételt a webes felület szabja. Gyakorlatilag bárhonnan, bármikor, bármilyen gépről elérhető és használható.
Telepítéséhez kattintsunk sorrendben a következő elemekre:
Control Panel > Add or Remove Programs > Add/Remove Windows Components > Application Server > Details > Internet Information Services (IIS) > Details > World Wide Web Service > Details.
Aktivizáljuk a "Remote Administration (HTML)" előtti jelölőnégyzetet, majd az "OK" gombokkal lépjünk ki a megnyitott ablakokból. A legelső ablaknál a "Next" gombbal lépjünk tovább, befejezve a telepítést. Közben a rendszer kérheti tőlünk a .NET szerver telepítő CD lemezét.
Zárjunk be minden ablakot és nyissuk meg az Administration Tools > Internet Information Services (IIS) felügyeleti konzolt, majd kattintsunk a farendszerben a "Web Sites" tárolóra. Találunk itt egy új webhelyet "Administration" néven, mely eddig nem létezett. Feladata, hogy rajta keresztül biztonságosan lehessen konfigurálni a teljes kiszolgálót (nem csak a levelezést).
Secure Socket Layer (SSL)
Windows 2000 alatt rendszergazdai azonosító és jelszó birtokában bárki elérhette távolról a felügyeleti webhelyet. .NET alatt ez már nem így van, mert a kommunikáció SSL csatornán keresztül, titkosítva történik. Kattintsunk az "Administration" objektumra a jobboldali egérgombbal és lépjünk a "Properties" menüre, a megjelenő ablakban pedig a "Directory Security" oldalra. Ha az "Authentication and access control" szekcióban lévő "Edit" gombra kattintunk láthatjuk, hogy nincs bekapcsolva az "Enable anonymous access" előtti jelölőnégyzet, tehát mindenképpen nevet és jelszót kell megadni a webhely eléréséhez. A "Secure communications" szekcióban lévő "Edit" gombra kattintva azt tapasztaljuk, hogy a webhely csak SSL kapcsolaton keresztül érhető el ("Require secure channel (SSL)"). Ugyanezt látjuk az "Admin" könyvtár tulajdonságlapján is (az "Administration" alatt található).
Ahhoz tehát, hogy elérjük a webhelyet SSL bizonyítványra van szükség. Nem túl jó megoldás, de járható út, hogy kikapcsoljuk a fenti két jelölőnégyzetet és hagyományos módon tesszük elérhetővé a kiszolgálót. Az SSL kapcsolattal is elérhető webszerver konfigurálásának részleteiről lásd a kapcsolódó cikkeket.
Nem alapértelmezett portszámok
A felügyeleti webhely nem az alapértelmezett 80-as porton érhető el. Kattintsunk az "Administration" objektum tulajdonságlapjának "Web Site" oldalán láthatjuk, hogy titkosítás nélküli kapcsolattal a 8099-es és SSL titkosított kapcsolattal a 8098-as porton lehet elérni a webhelyet. A két szám valamelyikét mindenképpen meg kell adni az URL végén, különben hibajelzést vagy egy másik ugyancsak ezen a gépen tárolt weblapot látunk viszont.
Felügyeleti webhely elérése SSL használatával
Mivel további korlátozás nincs, kliens gépről a következő URL használatával lehet belépni a felügyeleti webhelyre:
https://gépnév:8098
Ahol a gépnév a webszerver neve vagy Internet címe (pl.: www.microsoft.com).
Böngésző beállítástól függően megjelenhet egy ablak, mely arról tájékoztat, hogy biztonságos kommunikációt kezdtünk az adott kiszolgálóval. Láthatunk továbbá egy az érvénytelen SSL bizonyítványra figyelmeztető ablakot is. Ezután megjelenik egy további ablak, ahol felhasználói nevet és jelszót kell megadni a felügyeleti weblap eléréséhez. Csak a rendszergazdák (administrators) csoport tagjai jogosultak erre.
Felügyeleti webhely elérése SSL használata nélkül
Nem javasoljuk, hogy bárki is megszüntesse a biztonságos kommunikációt, de előfordulhat, hogy nem áll rendelkezésre megfelelő bizonyítvány és a rendszergazda rákényszerül az SSL kikapcsolására. Ez esetben mindkét "Require secure channel (SSL)" jelölőnégyzetet ki kell kapcsolni és a következő módon érhető el a kiszolgáló:
http://gépnév:8099