Zugriff über Remote-MMC auf IIS 7.0 eines 2008 R2 Coreservers funktioniert nicht

Mitglied: creyzee

creyzee (Level 1) - Jetzt verbinden

29.01.2010 um 21:48 Uhr, 9508 Aufrufe, 2 Kommentare

Hallo,

ich habe folgendes Szenario:

meine Domäne hat 2 Windows 2008 R2 x64 Enterprise Server, einer ist ein normaler mit GUI und arbeitet als Domänencontroller, der andere ist ein Coreserver, der Mitglied der Domäne ist. Auf dem Coreserver habe ich IIS 7.0 installiert. Auf dem DC läuft auch ein IIS 7.0 zu Testzwecken. Nun möchte ich mit der IIS-MMC den IIS des Coreservers vom DC aus konfigurieren.

Den IIS auf dem DC kann ich ohne Probleme konfigurieren. Wenn ich aber versuche mit der MMC auf den Coreserver-IIS zuzugreifen werde ich nach einem Benutzernamen und Passwort gefragt. Nach der Eingabe (Konto des Domänenadmins) bekomme ich die Meldung, dass "... der Server nicht remote verwaltet werden kann".

Folgende Dinge habe ich auf dem Coreserver konfiguriert
- mit sconfig die Remoteverwaltung konfiguriert
- "winRM quickconfig" ausgeführt
- "cscript c:\windows\system32\scregedit.wsf /ar 0" ausgeführt
- "netsh advfirewall set currentprofile settings remotemanagement enable" ausgeführt
- den Dienst "IIS WebManagement" auf automatisch gesetzt

Folgende Punkte habe ich bereits geprüft
- DNS-Auflösung funktioniert auf beiden Servern
- mit dem ServerManager kann ich vom DC auf den Core zugreifen!
- auch einige andere MMCs funktionieren problemlos
- Ping geht vom DC auf den Core, wenn die Firewall auf dem core abgeschaltet ist

Nachdem das alles nichts geholfen hat habe ich mit
"Netsh advfirewall set domainprofile state off"
"Netsh advfirewall set privateprofile state off"
"Netsh advfirewall set publicprofile state off"
die Firewall auf dem Core abgeschalten. Die Fehlermeldung bekomme ich aber weiterhin.

Ich weis nun nicht mehr weiter. Bei MS habe ich keine Infos finden können, ob die Verwaltung des IIS remote nicht funktioniert oder woran es noch liegen kann. Hat vielleicht eine/r von euch noch ne gute Idee?

Besten Dank schon mal.

der creyzee
Mitglied: creyzee
31.01.2010 um 19:24 Uhr
Na, hat denn keiner eine Idee?

Ich habe derweil noch etwas weiter geschaut. Sowohl auf dem DC als auch auf dem Core gibt es keine Auffälligkeiten in den Ereignisprotokollen. Auch auf einem 2. Coreserver, den ich extra dafür aufgesetzt habe, tritt das gleiche Problem auf. Es ist also keine Störum am ersten Core...

Vielleicht fällt euch dazu noch was ein?

Bis denne, der creyzee
Bitte warten ..
Mitglied: creyzee
03.02.2010 um 20:19 Uhr
Hallöle,

nach dieser anregenden Diskussion möchte ich euch die Lösung nicht vorenthalten, die ich zwischenzeitlich gefunden habe...

Mir ist aufgefallen, dass der WebVerwaltungsdienst auf dem Coreserver unter C:\inetpub\logs\wmsvc\W3SVC1 mitprotokolliert. Dort habe ich folgende Einträge gefunden:

#Software: Microsoft Internet Information Services 7.5
#Version: 1.0
#Date: 2010-02-02 15:00:07
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status time-taken
2010-02-02 15:00:07 192.168.99.101 POST /Service.axd Module=Framework&Method=GetWebManagementInfo 8172 - 192.168.99.11 WebManagementShell|7.0.0.0|2.0.50727.4927|System.Windows.Forms.Control 403 6 5 1796
2010-02-02 15:00:11 192.168.99.101 POST /Service.axd Module=Framework&Method=GetWebManagementInfo 8172 - 192.168.99.11 WebManagementShell|7.0.0.0|2.0.50727.4927|System.Windows.Forms.Control 403 6 5 0

Aha, ein Fehlercode mit folgender Bedeutung: "HTTP 403.6 - Unzulässig: IP-Adresse zurückgewiesen (HTTP 403.6 - Forbidden: IP address rejected)". Irgendwo kann man also die Remoteverwaltung des IIS weiter einschränken. Also habe ich mir die Konfiguration des IIS auf dem DC angeschaut. Im IIS-Manager gibt es auf der Serverebene einen Eintrag "Verwaltungsdienst". Die erweiterten Eigenschaften zeigen, dass die Remoteverwaltung per default nicht aktiviert ist und dass man IP-Filter setzen kann. Nur wie aktiviert man die Remoteverwaltung auf einem Coreserver?

Ich habe dann ProgMon von Sysinternals auf dem DC gestartet und im IIS-Manager die Remoteverwaltung auf dem DC aktiviert. ProgMon veriet mir, dass die Einstellungen in der Registry gespeichert werden. Den Registry-Zweig habe ich auf dem DC exportiert:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WebManagement\Server]
"IPAddress"="*"
"Port"=dword:00001fec
"RequiresWindowsCredentials"=dword:00000000
"EnableLogging"=dword:00000001
"EnableRemoteManagement"=dword:00000001
"RemoteRestrictions"="/wEZAgAAAAEAAABnAgAAABkAAAAA"
"LoggingDirectory"="%SystemDrive%\\Inetpub\\logs\\WMSvc"

Und die Lösung ist der Schlüssel "EnableRemoteManagement". Die ExportDatei habe ich auf dem Core in dessen Registry importiert. Dabei war nur noch zu beachten, dass bei Konfigurationsänderungen der WebVerwaltungsdienst nicht gestartet sein darf. also davor noch schnell ein "net stop WMsrv" und ein abschließendes "net start WMsrv".

Im IIS-Manager auf dem DC konnte ich jetzt (nach Akzeptieren des selbstausgestellten Zertifikates für die https-Verbindung) die Verbindung zum IIS auf dem Core herstellen!

Falls jemand mal einen etwas eleganteren Weg finden sollte, dann würde ich mich über ein feedback freuen. Und an alle: der IIS läuft auf einem CoreServer 2008 R2!

Beste Grüße vom creyzee
Bitte warten ..
Heiß diskutierte Inhalte
Microsoft
Mitteilung an alle bei Störungen in der IT
gelöst David.B2D45Vor 15 StundenFrageMicrosoft31 Kommentare

Hallo Forum, ich bin auf der Suche nach einem Programm / Tool mit dem ich Text (Laufschrift) auf allen (gewünschten) PC's / Benutzer im ...

LAN, WAN, Wireless
"Ethernet verfügt über keine gültige IP-Konfiguration"
gelöst archITVor 1 TagFrageLAN, WAN, Wireless18 Kommentare

Moin, folgendes Problem: Jedes mal, wenn ich meinen PC an mache, muss ich die Problembehandlung auf der Ethernet schnittstelle ausführen, dass ich Internet habe. ...

Microsoft
PDF editor mit spezieller exportfunktion
FlorianHeVor 1 TagFrageMicrosoft10 Kommentare

Hi leute. Ich habe eine Frage. Bei uns in der Instandhaltung kommt es oft vor das wir änderungen an den Elektrischen Anlagen oder Mechanichen ...

TK-Netze & Geräte
Umstellung von ISDN auf VoIP, 4 Sprachkanäle über 2 DSL-Anschlüsse
Gohla2019Vor 1 TagFrageTK-Netze & Geräte14 Kommentare

Hallo, ich brauche einmal etwas Hilfestellung bei einer geplanten Umstellung einer Telefon-Installation von ISDN-Technik auf VoIP. Vor Ort gibt es zurzeit 2 ISDN-Leitungen, so ...

Backup
Ich suche ein cloudbasiertes Backup für Linux-Web-Server mit zentraler Verwaltung und Deduplizierung
EDVMan27Vor 1 TagFrageBackup4 Kommentare

Hallo, ich suche für eine handvoll Web-Server eine 2. Datensicherung. Die Server sind gemischt, meist aber Ubuntu. Ich habe über Vollzugriff per SSH als ...

Exchange Server
Exchange-Server als Cloud-Lösung sinnvoll?
imebroVor 1 TagFrageExchange Server9 Kommentare

Hallo an Alle. Unser IT-Dienstleister hat uns vorgeschlagen, den gesamten Emailserver in die Cloud zu verlegen, sodass die Administration des Exchange-Servers wegfällt. Unsere Zertifikatsverwaltung ...

Sicherheit
Passwort Safe (Cloud) mit Siegel Funktion
CriemoVor 1 TagFrageSicherheit3 Kommentare

Hallo Zusammen, ich habe da mal eine Frage an Euch. Ich benötige einen Cloud based Passwort Safe der die Möglichkeit hat gewisse Passwörter nur ...

LAN, WAN, Wireless
Telefonanlage VLAN - Netzwerk Konfiguration
ChristianM75Vor 1 TagFrageLAN, WAN, Wireless9 Kommentare

Hallo in die Runde, Ich habe eine Frage bezüglich VLAN bzw. Netzwerk Konfiguration. Ich habe einen DHCP Server (Windows Server 2012) im Einsatz der ...