远程管理

在 IIS 4.0 和 5.0 上激活远程管理

无论您是使用命令行远程管理Fpremadm 实用程序或服务器扩展HTML 管理表单来从远程管理 IIS 4.0 或其后版本的服务器，您都需要使用在本主题中描述的方法来激活 HTML 管理表单。

您应该在安全的端口上运行 HTML 管理表单。如果您要有安全的连接端口，那么服务器必须安装安全证书。如果您在激活 HTML 管理表单前尚未有安全证书，请使用 Key Manager（密钥管理）应用程序发出一个安全证书请求，将请求提交给安全证书授予机构，然后使用 Key Manager 应用程序安装安全证书授予机构返回的证书。IIS 文档包含有关该过程的详细内容。

当您一旦拥有安全证书之后，您可以启用 HTML 管理表单作为独立的 IIS Web 站点或现有 Web 站点上的虚拟目录。使用独立站点方式的优点是独立的 IP 地址使得表单较难被发现，而独立站点允许启用其他的安全性设置，例如，各别的非标准端口号。使用独立 Web 站点的缺点则是该机器要求添加其他的 IP 地址。

要激活用以远程管理 的 HTML 管理表单

1. 确定可访问 HTML 管理表单的 Windows NT 机器帐号（或组帐号）。

   该帐号应该为该机器管理员组的成员。若有必要，请使用 Windows NT 用户管理程序来创建新帐号。取决于机器的帐号配置，授予管理员组访问权限，比起授予数个独立的机器帐号访问权限，应是较佳选择。

2. 在 HTML 管理表单所在的硬件磁盘驱动器位置打开 Windows 资源管理器，其默认的位置是 C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\40\。选择 Admisapi 文件夹，单击 “文件” 菜单中的 “属性”，然后单击 “安全性” 选项卡中的 “权限”。
3. 在 “目录权限” 对话框中，使用 “添加” 和 “删除” 按钮来更新授权用户和组的 “名称” 列表。

   删除所有未经授权的用户和组。特别的是，请确定没有加入包含 IUSR_machinename 匿名访问帐号的组到列表中，并且删除了任何访问权限过宽的帐号，例如 EVERYONE。

4. 在 “名称” 列表中，键入机器的 SYSTEM 帐号。

   该帐号必须在安全性验证过程中允许 IIS 访问文件。

5. 对于名称列表中的每个用户或组，将访问类型更改为读取。
6. 单击子目录替换权限和现有文件替换权限 ，并且单击 “确定” 以接受更改。再单击“确定” 以关闭文件夹属性对话框。
7. 启动 IIS Internet Service Manager（服务管理）应用程序，并且打开 IIS 和机器的文件夹。
8. 用鼠标右键单击具有机器名称标签的图标，然后单击 “创建新站点”。
9. 在 “创建新站点向导” 的帮助域中，键入站点的名称，例如 FrontPage 服务器扩展管理表单，然后单击 “下一步”。
10. 选择该站点所用的 IP 地址。该 IP 地址必须在运行 “创建新站点向导” 之前就已经先行配置。请不要使用TCP 端口域，因为只能通过安全的端口访问 HTML 管理表单。单击 “下一步” 按钮继续。
11. 键入到 HTML 管理表单文件的路径，通常是在 C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\40\Admisapi，并且确定 “允许匿名访问此站点” 站点复选框已被清除。单击 “下一步”。
12. 单击 允许读取访问和允许运行访问（包含脚本访问），然后单击 “完成”。
13. 用鼠标右键单击在左方窗格中创建的新 Web 站点图标，该图标会带有在步骤 9 所键入的名称标签。单击 “属性”。
14. 在Web 站点选项卡中，在 “SSL 端口” 域中键入非标准端口号，例如 8234。
15. 在目录安全性选项卡中，单击 “安全连接编辑” 按钮。选择要求安全连接频道复选框，然后单击 “确定”。
16. 添加任何您所要求的 TCP/IP 访问限制。
17. 单击 “确定”·

现在，该表单可以通过利用 URL 以进行远程管理，例如 https://machinename:8234/fpadmin.htm，其中machinename和 8234 分别对应于在步骤 5 中键入的 IP 地址和端口号。

若要在现有的 Web 站点上创建虚拟目录以寄存 HTML 管理表单：

1. 确定可访问 HTML 管理表单的 Windows NT 机器帐号（或组帐号）。

   该帐号应该为该机器管理员组的成员。若有必要，请使用 Windows NT 用户管理程序来创建新帐号。取决于机器的帐号配置，授予管理员组访问权限，比起授予数个独立的机器帐号访问权限，应是较佳选择。

2. 在 HTML 管理表单所在的硬件磁盘驱动器位置打开 Windows 资源管理器，其默认的位置是 C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\40\。选择 Admisapi 文件夹，单击 “文件” 菜单中的 “属性”，然后单击 “安全性” 选项卡中的 “权限”。
3. 在 “目录权限” 对话框中，使用 “添加” 和 “删除” 按钮来更新授权用户和组的 “名称” 列表。

   删除所有未经授权的用户和组。特别的是，请确定没有加入包含 IUSR_machinename 匿名访问帐号的组到列表中，并且删除了任何访问权限过宽的帐号，例如 EVERYONE。

4. 在“名称”列表中，键入机器的 SYSTEM 帐号。

   该帐号必须在安全性验证过程中允许 IIS 访问文件。

5. 对于名称列表中的每个用户或组，将访问类型更改为读取。
6. 单击子目录替换权限和现有文件替换权限 ，并且单击 “确定” 以接受更改。再单击“确定” 以关闭文件夹属性对话框。
7. 启动 IIS Internet Service Manager（服务管理）应用程序，并且打开 IIS 和机器的文件夹。
8. 用鼠标右键单击将要作为 HTML 管理表单的主机的站点图标，例如 Default Web Site（默认 Web 站点）。单击快捷菜单中的 “创建新的虚目录” 选项。
9. 在 “创建虚拟目录向导”（创建虚拟目录向导）中的 “Alias” 域中，键入 HTML 管理表单的别名名称，例如 fpadmin，然后单击“下一步”。
10. 输入到 HTML 管理表单文件的路径，通常是在 C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\40\Admisapi，然后单击 “下一步”。
11. 选择 “允许读取访问和允许运行访问”  （包含脚本访问）复选框，然后单击 “完成”。
12. 用鼠标右键单击新的 Fpadmin 虚拟目录图标，然后单击快捷菜单中的属性选项。
13. 在目录安全性选项卡中，单击 “密码验证方法框的编辑” 按钮。
14. 请确定 “允许匿名” 复选框已被清除，并且已经选取了 “基本验证” 或“Windows NT 挑战与反应” (Challenge/Response)两者之一或全部的复选框，然后单击“确定”。
15. 在 “安全连接” 选项下，单击“编辑”。
16. 单击 “要求安全连接频道”，然后单击“确定”。
17. 添加任何您所要求的 TCP/IP 访问限制。
18. 单击“确定”·

现在，该表单可以通过利用 URL 激活来进行远程管理，例如 https://mymachine/fpadmin/fpadmin.htm。