مدیریت IIS: فعال‌سازی و تنظیم IIS توسط PowerShell از راه دور

3.3k
مدیریت IIS سرورهای وب  از طریق GUI در صورتی که دسترسی به سرور داشته باشید بسیار ساده است، اما اگر شما نیز مثل من تعداد زیادی WebServer در موقعیت‌های مختلف و یا Cloud دارید دسترسی به کنسول سرور دشوار و یا بدتر از آن از RDP برای مدیریت آن‌ها استفاده می‌کنید که این روش شما اصلا منطقی و در راستای بهترین راه‌کارهای پیشنهاد توسط مایکروسافت نیست. راه‌کار بسیار بهتر و موثرتری برای مدیریت تعداد زیادی سرور از راه دور وجود دارد که همانا PowerShell Remoting برای مدیریت IIS است.


مراحل کار:

اگر قبلا این کار را از طریق GUI انجام داده‌اید در جریان مراحل انجام کار هستید، از طریق PowerShell نیز انجام این مراحل به همان شکل است با این تفاوت که بسیار سریعتر و کم‌دردسرتر است. ترتیب اجرای موارد به صورت زیر است:
۱- برقراری یک ارتباط (Session) با هر سرور
۲- نصب IIS Management Service
۳- فعال‌سازی IIS Management Service
۴- استارت سرویس WMSVC
۵- جایگزینی گواهینامه امنیتی Self-Signed
۶- اتصال از طریق IIS Manager

 

در این آموزش این سرویس را بر روی ۴ سرور مختلف با نام‌های web1,web2,web3 و web4 به صورت یک‌جا نصب خواهیم نمود.

۱- تعریف PowerShell Remoting برای Web Server ها برای مدیریت IIS

ابتدا یک متغیر با نام $Servers ایجاد می‌کنیم و تمامی نام‌های کامپیوترها را درون آن قرار می‌دهیم. شما نیز می‌توانید لیست آن‌ها را از یک فایل .csv و یا .txt نیز فراخوانی کنید. اگر سرورهای شما در Active Directory هستند می‌توانید با استفاده از دستور Get-ADComputer نیز سرورهای مقصد خود را شناسایی نمائید.
PS C:\ZAGRIO> $Servers = "web1,web2,web3,web4"
سپس یک Session به سمت هر سرور ایجاد می‌کنیم:
PS C:\ZAGRIO> $Sessions = New-PSSession -ComputerName $Servers

۲- نصب سرویس IIS Remote Management

با استفاده از دستور زیر برای تمامی سرورها سرویس IIS Remote Management را نصب میکنیم.
PS C:\ZAGRIO> Invoke-Command –Session $Sessions –ScriptBlock {Install-WindowsFeature Web-Mgmt-Service}

پس از نصب لازم است سرویس را فعال کنیم اما برای این کار cmdlet وجود ندارد

۳- فعال‌سازی سرویس Management Service برای مدیریت IIS

به صورت پیش‌فرض سرویس مدیریت IIS بر روی پورت ۸۱۲۷ فعال است. همچنین به صورت پیش‌فرض با نصب این سرویس یک گواهینامه امنیتی Self-Signed با مدت اعتبار ۱۰ سال نیز ایجاد می‌گردد. اگر در شبکه داخلی از این امکان می‌خواهید استفاده کنید این مورد اشکالی ندارد اما در ادامه به شما نشان خواهیم داد که به چه صورت آن را با یک گواهینامه امنیتی مورد اعتماد جایگرین نمائید. برای فعال‌سازی سرویس از دستور زیر استفاده می‌کنیم:

PS C:\ZAGRIO> Invoke-command –Session $Sessions -ScriptBlock{Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\WebManagement\Server -Name EnableRemoteManagement -Value 1}
حال سرویس شما فعال شده است اما کماکان لازم است سرویس مورد نظرstart شود .

۴- روشن کردن سرویس Management Service

با استفاده از دستورات زیر سرویس را start کرده و در حالت Automatic نیز قرار می‌دهیم تا با هر بار restart شدن سرور، سرویس مجددا فعال شود.
PS C:\ZAGRIO> Invoke-command –Session $Sessions -ScriptBlock {Set-Service -name WMSVC -StartupType Automatic}

PS C:\ZAGRIO> Invoke-command –Session $Sessions -ScriptBlock {Start-service WMSVC}

در این مرحله شما امکان اتصال به سرویس فوق را از طریق سیستم دیگری خواهید داشت. اگر تمایل به جایگزین نمودن گواهینامه امنیتی دارید (عموما مشکلی وجود ندارد) می‌توانید با استفاده از دستورات زیر گواهینامه امنیتی را جایگزین نمائید.

۵- جایگزین کردن گواهینامه امنیتی برای مدیریت IIS

شما می‌توانید یک گواهینامه امنیتی معتبر را از یک سرویس‌دهنده و یا Active Directory Certificate Services برای مدیریت سرورهای داخلی دریافت کنید.
گواهینامه را با فرمت .pfx به همراه یک کلمه عبور ذخیره کنید سپس با استفاده از دستور CertUtil.exe آن را نصب نمائید.
ابتدا فایل را در هر سرور کپی کنید سپس:

PS C:\ZAGRIO> $Servers | Foreach-Object {Copy-Item -Path C:\Remote.Company.loc.pfx -Destination "\\$_\c$"}
PS C:\ZAGRIO> Invoke-Command -Session $Sessions {certutil -p P@ssw0rd -importpfx c:\Remote.company.loc.pfx}
توجه داشته باشید که رمز عبور به صورت PLAIN در کد وجود دارد با توجه به اینکه ارتباط PS Remoting امن و کدگذاری شده است جای نگرانی وجود ندارد اما پیشنهاد می‌شود در اسکریپت‌های خودکار از این مهم اجتناب کنید.
پس از نصب فایل‌های .pfx را به دلایل امنیتی حذف کنید:
PS C:\ZAGRIO> $Servers | Foreach-Object {Remove-Item -Path "\\$_\c$\remote.Company.loc.pfx"}
در این مرحله لازم است Thumbprint گواهینامه امنیتی نصب شده را دریافت و آن را با سرویس Management Service جایگزین نمائید. برای این کار به PSProvider مربوطه به IIS نیاز دارید. ماژول WebAdministration را با دستور زیر فراخوانی کنید:
PS C:\ZAGRIO> Invoke-Command -Session $Sessions {Import-Module WebAdministration}
Thumbprint گواهینامه امنیتی را دریافت کنید:
PS C:\ZAGRIO> Invoke-Command -Session $Sessions {$cert = Get-ChildItem -Path Cert:\LocalMachine\My | Where {$_.subject -like "*company*"} | Select-Object -ExpandProperty Thumbprint}
تنظیمات قبلی SSL Binding را حذف کنید:
PS C:\ZAGRIO> Invoke-command -Session $Sessions {Remove-Item -Path IIS:\SslBindings\0.0.0.0!8172}
تنظیمات جدید SSL Binding را اعمال کنید:
PS C:\ZAGRIO> Invoke-Command -Session $Sessions {Get-Item -Path "cert:\localmachine\my\$cert" | New-Item -Path IIS:\SslBindings\0.0.0.0!8172}
حالا شما آماده اتصال به سرور از طریق یک GUI دیگر هستید!

۶- اتصال به سرور از طریق IIS Manager

پنجره مدیریت IIS را باز کنید و در صفحه اصلی در سمت چپ بر روی …Connect to a server کلیک کنید، نام سرور و مشخصات کاربری و رمز عبور را وارد نمائید. حال مشخصات شما و سرور جدید در سمت چپ ایجاد خواهد شد.

پایان

هر چند تنظیمات SSL ممکن است کمی پیچیده و با دردسر باشد اما کل منطق کار بسیار ساده است. شخصا به دلیل استفاده از PowerShell DSC این مراحل را مانند زمان قدیم تکرار نمی‌کنم. PowerShell Desired State Configuration این امکان را به شما می‌دهد تا تمامی تنظیمات موردنیاز خود را فعال و تنظیم کنید. پیشنهاد می‌کنم از این امکان حتما بازدید و استفاده نمائید.

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *