Configuración de la administración remota y la delegación de características en IIS 7

  • Artículo

por Saad Ladki

Introducción

IIS proporciona a los administradores y desarrolladores un nuevo sistema de configuración accesible, extensible y distribuible. El nuevo formato basado en XML permite una configuración sencilla de los módulos y características disponibles en IIS 7 y versiones posteriores. También permite el control pormenorizado de las ubicaciones en las que se pueden configurar las opciones de características individuales (por ejemplo, en el nivel de servidor en el archivo applicationHost.config o en un sitio o en un nivel de aplicación en un archivo Web.config).

La nueva interfaz de usuario de administración de IIS (UI), el Administrador de IIS, es totalmente compatible con este nuevo sistema de configuración y agrega características adicionales que proporcionan un sistema eficaz y granular para configurar el servidor web. Dos de estas características adicionales son la administración remota de servidores, sitios y aplicaciones, y la compatibilidad con la autenticación y autorización basadas en el usuario.

En este artículo se explica cómo habilitar conexiones remotas, configurar usuarios y permisos y delegar características en un nivel de sitio o aplicación. Hay muchos escenarios en los que un administrador del servidor IIS puede querer delegar el control administrativo de una característica o características determinadas a alguien, o donde es posible que el administrador quiera impedir que otros usuarios vean la configuración existente. Tome el siguiente escenario, por ejemplo.

Edward es administrador del servidor en un equipo que hospeda varios sitios. El equipo forma parte de un dominio y algunos de los propietarios del sitio pertenecen al mismo dominio. Sin embargo, algunos de los propietarios del sitio están fuera del dominio y Edward debe crear cuentas de usuario del Administrador de IIS para ellos mediante la creación de un nombre de usuario y una contraseña para cada propietario. Después de crear las cuentas de usuario necesarias del Administrador de IIS, Edward configura los permisos del Administrador de IIS para cada sitio para especificar cuáles de los usuarios pueden conectarse a un sitio determinado. Para ello, Edward abre la característica Permisos del administrador de IIS en cada sitio y agrega usuarios de Windows y usuarios del Administrador de IIS. Esta acción hace dos cosas. En primer lugar, configura IIS para permitir que un usuario se conecte al sitio cuando el usuario proporcione credenciales válidas. En segundo lugar, permite a los usuarios que se conecten correctamente para configurar las características delegadas de ese sitio.

Edward también quiere delegar la configuración de algunas características en las que confía en que lo configure un propietario del sitio en su propio sitio. Esto elimina la necesidad de que un propietario del sitio solicite que Edward configure características que varían según el sitio, como los documentos predeterminados. Decide delegar la configuración de las siguientes características en todos los sitios de su servidor: Documentos predeterminados, Exploración de directorios y Páginas de error. Además, Edward decide delegar la configuración de una característica adicional, redirección HTTP, al sitio Contoso, porque sabe que el sitio a menudo debe redirigirse y confía en los propietarios del sitio para configurar esas opciones. Establece que todas las demás características sean de solo lectura para que los propietarios del sitio puedan ver las opciones, pero no configurarlas en sus sitios.

Julian y Catherine son propietarios de sitios para el sitio Contoso en el equipo de Edward. Julian tiene una cuenta de usuario de Windows y Catherine tiene una cuenta de usuario del Administrador de IIS para la que Edward ha proporcionado sus credenciales. Ambos pueden abrir el Administrador de IIS en sus propios equipos y conectarse a Contoso porque Edward ha permitido que sus cuentas configuren el sitio de Contoso. Cada una ve todas las características que se han delegado al nivel de sitio. Pueden configurar los Documentos predeterminados, la Navegación por directorios, las Páginas de error y el Redireccionamiento HTTP porque Edward delegó la configuración de esos ajustes a su sitio.

Requisitos previos

Los siguientes elementos deben instalarse para completar los procedimientos de este artículo:

  • IIS 7.0 en Windows Server® 2008 o IIS 7.5 en Windows Server 2008 R2
  • Administrador de IIS

Configuración de conexiones remotas en el Administrador de IIS

En IIS, el Administrador de IIS facilita la administración remota. Además de administrar IIS en el equipo local, el Administrador de IIS puede administrar servidores remotos, sitios y aplicaciones. El administrador del servidor usa características de administración remota para agregar cuentas de usuario del Administrador de IIS y para permitir que esos usuarios se conecten a los sitios o aplicaciones para los que tienen permiso.

La configuración de la administración remota implica habilitar conexiones remotas en el Administrador de IIS y configurar el tipo de credenciales necesarias para conectarse al servidor. Opcionalmente, puede cambiar la configuración predeterminada de conexión y registro y agregar restricciones de conexión basadas en direcciones IP o nombres de dominio.

Instalar el servicio de administración

Las opciones de instalación predeterminadas de IIS no incluyen el servicio de administración (también denominado Servicio de administración web (WMSVC)), que es necesario para la administración remota. Si no ha instalado el servicio de administración, siga los pasos descritos en este procedimiento para instalarlo.

Para instalar el servicio de administración:

  1. Haga clic en Inicio, escriba Administrador de servidores en el cuadro Buscar y pulse ENTRAR para abrir el Administrador de servidores.
  2. En el árbol, en Roles, seleccione Servidor Web (IIS).
  3. Haga clic en Agregar servicios de rol y, a continuación, seleccione Servicio de administración como se muestra en la siguiente imagen.
  4. Haga clic en Siguiente y siga las instrucciones para completar la instalación.Screenshot of Role Services menu. Management Service is highlighted.

Habilitar las conexiones remotas y configurar las credenciales de identidad

Habilite las conexiones remotas para que los usuarios de Windows y los usuarios del Administrador de IIS (configurados más adelante en este artículo) puedan conectarse a este equipo mediante el Administrador de IIS en sus equipos. De forma predeterminada, el servicio de administración solo permite conexiones de usuarios que tienen credenciales de Windows, pero también se pueden configurar para permitir conexiones de usuarios con credenciales del Administrador de IIS. Para los fines de este artículo, configure el servicio de administración para permitir ambos tipos de credenciales, como se muestra en la imagen siguiente.

Nota:

En la siguiente sección de este artículo se explican las credenciales del Administrador de IIS.

Para habilitar conexiones remotas y permitir conexiones de usuarios de Windows y usuarios del Administrador de IIS:

  1. En el Administrador de IIS, en el panel Conexiones, haga clic en el nodo de servidor del árbol.
  2. Haga doble clic en Servicio de administración para abrir la página de características del servicio de administración.
  3. Active el cuadro Habilitar conexiones remotas.
  4. En Credenciales de identidad, seleccione Credenciales de Windows o credenciales del Administrador de IIS.
  5. En el panel Acciones, haga clic en Aplicar para guardar los cambios y, a continuación, haga clic en Iniciar para iniciar el Servicio de administración.
    Screenshot of Management Service feature page. The option Enable remote connections is highlighted. In the Actions pane, Start is highlighted.

Información adicional

No es necesario habilitar conexiones remotas para iniciar el servicio de administración. Si se deshabilitan las conexiones remotas y se inicia el servicio de administración, puede conectarse al servicio de administración desde el equipo local, pero no desde un equipo remoto. Si no puede conectarse desde un equipo remoto, asegúrese de que las conexiones remotas están habilitadas.

Debe comprobar la configuración del firewall para asegurarse de que las conexiones se permiten al servicio de administración. Cuando se instala el servicio de administración, el proceso de instalación agrega una regla de firewall que permite el tráfico al servicio de administración en el puerto 8172 (el puerto predeterminado) que está activado de forma predeterminada. Si alguna vez cambia el puerto que usa el servicio de administración, debe agregar una nueva regla de firewall para permitir el tráfico al servicio de administración en ese puerto.

Configure los ajustes de conexión y registro para el servicio de administración

Además de la configuración del servicio de administración que se configuró en la sección anterior, puede configurar las opciones de conexión y especificar dónde registrar las solicitudes. En la tabla siguiente se describe cada campo y su configuración predeterminada. Si cambia alguna configuración, asegúrese de hacer clic en Aplicar en el panel Acciones y, a continuación, reinicie el servicio de administración.

Propiedad Descripción Valor predeterminado
Dirección IP Especifica la dirección IP a la que está enlazado el servicio. Cualquiera sin asignar
Port Especifica el número de puerto que usa el servicio para las solicitudes. 8172
Certificado SSL Especifica el certificado SSL utilizado por el servicio. Todas las solicitudes al servicio usan HTTPS a través del puerto especificado en el campo Puerto. Esta lista contiene los certificados SSL que están disponibles para el servidor. Si desea agregar certificados SSL adicionales, use la característica Certificados de servidor en el nivel de servidor. Certificado autofirmado que se instala durante la instalación
Solicitudes de registro Especifica la ruta de acceso a los archivos de registro del servicio de administración. %SystemDrive%\Inetpub\logs\WMSVC

Configurar las restricciones de IP y dominio para el servicio de administración

De forma predeterminada, el servicio de administración acepta todas las solicitudes realizadas a su dirección IP y puerto configurados, y los usuarios pueden conectarse cuando se agregan al Administrador de IIS (como se explica en la sección siguiente). Sin embargo, puede configurar el servicio para denegar el acceso a solicitudes no especificadas y, en su lugar, agregar reglas de permiso específicas para que solo se acepten las solicitudes realizadas desde una dirección IP o un dominio específicos. Para obtener más información sobre cómo permitir o denegar solicitudes desde direcciones IP o dominios, consulte los procedimientos de Configuración de administración remota en Microsoft TechNet.

Configuración de usuarios y permisos para el Administrador de IIS

Cuando configuró el Servicio de administración en la sección anterior, seleccionó la opción Credenciales de Windows o credenciales del Administrador de IIS. Esta opción permite a los usuarios con cuentas de usuario de Windows o cuentas de usuario del Administrador de IIS conectarse a un sitio o una aplicación en el equipo remoto mediante el Administrador de IIS. Ambos tipos de usuarios deben proporcionar credenciales válidas (un par de nombre de usuario y contraseña) cuando se conectan de forma remota. Un usuario de Windows debe proporcionar credenciales de Windows válidas para una cuenta de usuario en el equipo remoto o para una cuenta de usuario en el dominio si el equipo es miembro de un dominio. Un usuario del Administrador de IIS debe proporcionar credenciales válidas del Administrador de IIS, que un administrador del servidor configura en el Administrador de IIS en el equipo remoto. En ambos casos, un usuario puede usar el Administrador de IIS para conectarse a sitios o aplicaciones para los que el administrador del servidor haya concedido el permiso de usuario.

Adición de un usuario del Administrador de IIS

Los procedimientos siguientes explican cómo abrir la característica Usuarios del Administrador de IIS y agregar un usuario. Cuando se abre la página de características Usuarios del Administrador IIS, la lista muestra cada nombre de usuario del Administrador IIS y si la cuenta está habilitada o deshabilitada. Solo las cuentas habilitadas pueden conectarse a los sitios o aplicaciones para los que se les ha concedido permiso.

Para agregar un usuario Administrador de IIS:

  1. En el Administrador de IIS, en el panel Conexiones, haga clic en el nodo de servidor del árbol.
  2. En la página de inicio del servidor, haga doble clic en Usuarios del Administrador de IIS.
    Screenshot of B D E L A P C one dash I I S server home page. In the Connections pane the B D E L A P C one dash I I S server node is highlighted. I I S Manager Users Icon is highlighted.
  3. En la página Usuarios del Administrador de IIS, en el panel Acciones, haga clic en AgregarUsuario.
  4. En el cuadro Nombre de usuario, escriba un nombre de usuario.
  5. En el cuadro Contraseña, escriba una contraseña y, a continuación, vuelva a escribirla en el cuadro Confirmar contraseña.
  6. Haga clic en OK.
    Screenshot of I I S Manager Users page. In the Actions pane, Add User is highlighted. An arrow is leading from Add User to the User name box.

Configurar permisos de administrador de IIS para un sitio o una aplicación

Para que un usuario se conecte de forma remota a un sitio o aplicación en el servidor, el administrador del servidor debe concederle permiso a un sitio o aplicación. Una vez concedido el permiso, pueden usar el Administrador de IIS para conectarse al sitio o la aplicación mediante sus credenciales de Windows (si son un usuario de Windows) o sus credenciales de usuario del Administrador de IIS (si son un usuario del Administrador de IIS).

Para permitir que un usuario del Administrador de IIS se conecte a un sitio o a una aplicación:

  1. En el Administrador de IIS, en el panel Conexiones, seleccione el sitio o la aplicación para la que desea configurar los permisos.
  2. En la página de inicio del sitio o aplicación, haga doble clic en Permisos del Administrador de IIS.
    Screenshot of Connections pane. Default Web Site is selected. On the Default Web Site Home pane, I I S Manager Permissions is highlighted.
  3. En la página Permisos del administrador de IIS, en el panel Acciones, haga clic en Permitir usuario.
  4. En el cuadro de diálogo Permitir usuario, seleccione Administrador IIS y haga clic en Seleccionar.
    Screenshot of I I S Manager Permissions page and Actions pane. Allow User option is highlighted. The Allow User dialog box is shown. I I S Manager is selected.
  5. En el cuadro de diálogo Usuarios, seleccione uno o varios usuarios del Administrador de IIS de la lista y haga clic en Aceptar.
    Screenshot of Users dialog box. TestAdmin is shown in the list under Name and Select User.
  6. Haga clic en Aceptar para cerrar el cuadro de diálogo Permitir usuario.

Permitir que un usuario de Windows se conecte a un sitio o a una aplicación:

  1. En la página Permisos del administrador de IIS, en el panel Acciones, haga clic en Permitir usuario.
  2. En el cuadro de diálogo Permitir usuario, seleccione Windows y haga clic en Seleccionar.
  3. En el cuadro de diálogo Seleccionar usuario o grupo, escriba un nombre de usuario o busque una cuenta de usuario y, a continuación, haga clic en Aceptar.
    Screenshot of Select User or Group dialog box. Under the text Select this object type, User is written. Under the text From this location, B D E L A P C one dash I I S is written.
  4. Haga clic en Aceptar para cerrar el cuadro de diálogo Permitir usuario.

Configurar listas de control de acceso (ACL) para directorios de contenido

Para que el Administrador de IIS funcione correctamente cuando un usuario se conecta a un sitio o una aplicación, las ACL deben configurarse correctamente para el directorio físico del sitio o la aplicación. Para los usuarios de Windows, debe configurar las ACL de directorio y archivo para cada usuario o grupo de Windows que necesite acceder a los directorios y archivos. Para los usuarios del Administrador de IIS, debe configurar las ACL de directorio y archivo para el usuario WMSVC (NT Service\WMSVC de forma predeterminada).

Para el directorio físico de un sitio o una aplicación, configure permisos de lectura, escritura y ejecución para el usuario WMSVC (si permite que los usuarios del Administrador de IIS se conecten) y para los usuarios de Windows que necesiten conectarse a ese sitio o aplicación.

Si el directorio físico del sitio o la aplicación está en una máquina diferente (es decir, en un recurso compartido UNC), deberá configurar WMSVC para que se ejecute como un usuario que tenga permisos de lectura, escritura y ejecución para el contenido en ese recurso compartido UNC (el usuario predeterminado, NT Service\WMSVC, no puede acceder a elementos en otra máquina).

Conectar a un sitio o una aplicación en el Administrador de IIS

Después de configurar el servicio de administración y los usuarios y permisos configurados, un usuario puede conectarse a su sitio o aplicación.

Para conectarse a un sitio o a una aplicación

  1. En el Administrador de IIS, haga clic en Archivo y, a continuación, haga clic en Conectarse a un sitio(o Conectarse a una aplicación).
  2. En el asistente Conectarse al sitio o Conectarse a la aplicación, escriba el nombre del servidor y el nombre del sitio al que desea conectarse. Si se conecta a una aplicación, escriba también el nombre de la aplicación. A continuación, haga clic en Siguiente.
    Screenshot of Connect to Site wizard. Under the text Server name, localhost is written. Under the text Site name, contoso dot com is written. The option Next is highlighted.
  3. En la página Proporcionar credenciales del asistente Conectarse al sitio o Conectarse a la aplicación, seleccione si desea utilizar las credenciales actuales o especificar las credenciales para conectarse al sitio. Cuando especifique las credenciales, el valor predeterminado son las credenciales de Windows a menos que seleccione el cuadro de verificación Usar credenciales del Administrador de IIS. Una vez especificadas las credenciales, haga clic en Siguiente para conectarse al servidor.
    Screenshot of Connect to Site wizard. The Provide Credentials page is shown. Under the text Connecting to
  4. Si la conexión se realiza correctamente, el Administrador de IIS mostrará una página final en el asistente Conectarse al sitio o Conectarse a la aplicación para asignar un nombre a la conexión. Como se muestra en la imagen siguiente, el usuario TestAdmin ha creado una conexión de sitio al sitio Contoso.com.
    Screenshot of Connect to Site wizard. The Internet Information Services ( I I S) Manager page is shown. The site name contoso dot com is highlighted and selected.

Información adicional

En la sección siguiente, veremos la delegación de características. Sin embargo, antes de hacerlo, y para explicar mejor la delegación de características y lo que hace, examinamos una característica del sitio al que acabamos de conectarnos. El sitio debe resaltarse y se debe mostrar la página principal del sitio. En la página principal, haga doble clic en Páginas de error.

Como se muestra en la imagen siguiente, en el lado derecho de la página hay una alerta que indica "Esta característica se ha bloqueado y es de solo lectura". Esta alerta se muestra cuando se ha bloqueado una característica; en la sección siguiente se explica la delegación de características y el bloqueo con más detalle.

Screenshot of Error Pages is shown. On the right side of the page there is an alert saying, This feature has been locked and is read only, which is highlighted.

Delegación de características en el Administrador de IIS

La página de características Delegación de características permite al administrador de un servidor configurar el estado de delegación de las características configurables en los archivos Web.config a nivel de sitio y de aplicación en el Administrador de IIS. Es posible que quiera delegar la configuración de determinadas características, como documentos predeterminados y exploración de directorios, a un propietario de sitio individual para que el propietario pueda configurar esas características delegadas en su sitio.

O el administrador de un servidor puede delegar una característica como de solo lectura, de modo que el propietario de un sitio pueda ver la configuración de una característica pero no pueda cambiarla. El administrador del servidor incluso puede impedir que las características aparezcan en el Administrador de IIS en los niveles de sitio y aplicación.

Hay varios estados de delegación diferentes, cada uno de los cuales determina si una característica se delega a niveles inferiores en el sistema de configuración y si la característica se muestra en el Administrador de IIS cuando los usuarios están conectados a niveles inferiores. En la tabla siguiente se describe cada estado de delegación.

Tipo de delegación Descripción
No delegado La configuración está bloqueada y cualquier configuración de la característica en un archivo Web.config provocará un error en tiempo de ejecución. La característica no es visible o configurable en el Administrador de IIS cuando un usuario está conectado en niveles por debajo de donde se establece este estado. Por ejemplo, si una característica está configurada para que sea no delegado en un nivel de sitio, los usuarios conectados a aplicaciones de ese sitio no verán la característica y no podrán configurarla en el Administrador de IIS.
Solo lectura La configuración está bloqueada y cualquier configuración de la característica en un archivo Web.config provocará un error en tiempo de ejecución. La característica es visible en el Administrador de IIS cuando un usuario está conectado en niveles inferiores, pero la configuración está bloqueada para que no se puedan realizar cambios.
Leer/Escribir La característica se puede configurar en Web.config. La característica aparece en el Administrador de IIS y se puede configurar cuando un usuario está conectado en niveles inferiores (nivel de sitio o de aplicación).
Configuración de Solo lectura El significado es el mismo que Solo lectura; sin embargo, hay configuraciones o datos para la característica que se almacenan y gestionan fuera de IIS, como en una base de datos.
Lectura y escritura de configuración El significado es el mismo que Lectura/escritura; sin embargo, hay configuraciones o datos para la característica que se almacenan y gestionan fuera de IIS, como en una base de datos.

Nota:

Los administradores del servidor pueden modificar la configuración de todas las características, por lo que si están conectados al servidor, verán todas las características en todos los niveles incluso si se ha configurado una característica para que no se muestre en niveles inferiores.

Configurar estados de delegación predeterminados para características en el Administrador de IIS

Cuando abra por primera vez la página de características Delegación de características, podrá configurar el estado de delegación predeterminado de las características en el Administrador de IIS. Estos estados de delegación son la configuración predeterminada que usa el Administrador de IIS para todos los sitios y aplicaciones del servidor.

Para configurar los estados de delegación predeterminados para las características del Administrador de IIS

  1. En el Administrador de IIS, en el panel Conexiones, haga clic en el nodo de servidor del árbol.
  2. En la página principal del servidor, haga doble clic en Delegación de características. Screenshot of connections pane in server home page showing B D E L A P C 1 dash I I S home selected and Feature Delegation icon highlighted.
  3. Seleccione Delegación de la lista Agrupar por para organizar la lista de características por sus estados de delegación actuales.
    Screenshot of Feature Delegation list in the action pane with delegation from the group list highlighted.
  4. Seleccione Páginas de error en la lista Delegación de características y, a continuación, revise los estados de delegación disponibles en el panel Acciones. La característica Páginas de error está seleccionada y las opciones disponibles en Configurar delegación de característica son Lectura/Escritura, Quitar delegación y Restablecer a heredado.
    Screenshot of Feature Delegation list with Error Pages selected showing available options under Set Feature Delegations.
  5. Seleccione Páginas de error. En el panel Acciones, haga clic en Lectura/Escritura para desbloquear la sección de configuración relacionada con la función Páginas de error. Esto hace que la característica sea configurable en los archivos Web.config y en el Administrador de IIS a nivel de sitio y de aplicación.

Información adicional

El siguiente extracto de los archivos de configuración de IIS muestra que los valores se pueden invalidar en cada ubicación (también denominada "ruta de acceso"):

<location path="" overrideMode="Allow">
    <system.webServer>
        <httpErrors>
            ...
            ...
        </httpErrors>
    </system.webServer>
</location>

Para demostrar mejor lo que hace esta acción, observe la función Páginas de error a nivel de sitio. En el panel Conexiones, conéctese a un sitio y haga doble clic en Páginas de error en la página de inicio del sitio. Como se muestra en la siguiente imagen, la función Páginas de error ahora puede ser configurada por el usuario conectado al nivel del sitio.

Screenshot of error pages with actions such as Add, Exit Feature Setting, Help, and Online Help highlighted.

Configurar estados de delegación personalizados para funciones de un sitio o una aplicación

Los pasos anteriores configuraron el estado de delegación predeterminado para la función Páginas de error en todos los sitios del servidor. También puede haber una hora en la que no desee que el estado de delegación que configure sea aplicable a todos los sitios. En este caso, puede configurar un estado de delegación personalizado para un sitio específico. También puede copiar estados de delegación personalizados de todas las características de un sitio a otro.

Para configurar estados de delegación personalizados para características en un sitio específico

  1. En el Administrador de IIS, haga doble clic en Delegación de características.
  2. En la página Delegación de características, en el panel Acciones, haga clic en Delegación de sitio web personalizado.
  3. En la lista Sitios, seleccione el sitio para el que desea configurar los ajustes de delegación personalizados.
    Screenshot of Custom Website Delegation pane with sites list highlighted.
  4. Seleccione una característica y, a continuación, haga clic en un estado de delegación en el panel Acciones.

Para copiar estados de delegación personalizados de un sitio a otro

  1. En la página Delegación de sitio web personalizado, en la lista Sitios, seleccione el sitio del que desea copiar la delegación a otro sitio.
  2. Haga clic en Copiar delegación.
  3. En el cuadro de diálogo Copiar delegación, seleccione el sitio o sitios a los que desea copiar los estados de delegación y haga clic en Aceptar.

Restablecer estados de delegación de características

Puede haber un tiempo en el que sea necesario deshacer los cambios realizados en los estados de delegación de las características. Quizás los cambios se realizaron en un sitio o aplicación concretos por accidente, o se ha producido algún "experimento" con la característica. En este caso, restablezca los estados de delegación de todas las características a sus estados predeterminados. O bien, restablezca solo una característica a su estado predeterminado.

Para restablecer los estados de delegación de características

  1. Abra la página Delegación de características.
  2. Para restablecer todos los estados de delegación de características, en el panel Acciones haga clic en Restablecer todas las delegaciones.

Para restablecer el estado de delegación de una característica específica, seleccione la característica en la lista y, en el panel Acciones, haga clic en Restablecer a Heredado.