IIS 7.0 でのリモート管理および機能の委任の構成

発行日 : 2007 年 11 月 23 日 (作業者 : saad(英語))
更新日 : 2008 年 2 月 26 日 (作業者 : saad(英語))

はじめに

IIS 7.0 では、管理者および開発者に、アクセスしやすく拡張性の高い、配布可能な新しい構成システムを提供します。新しい XML ベースの形式により、IIS 7.0 で使用できるモジュールと機能を簡単に構成できます。また、個々の機能の設定を構成できる場所 (たとえば、applicationHost.config ファイルのサーバー レベル、Web.config ファイルのサイト レベルまたはアプリケーション レベル) の詳細な制御が可能となっています。

新しい IIS 7.0 管理ユーザー インターフェイス (UI) である IIS マネージャーでは、この新しい構成システムを完全にサポートしています。また、追加機能により、Web サーバーを構成するための強力で詳細なシステムが提供されています。これらの追加機能の 2 つは、サーバー、サイト、およびアプリケーションのリモート管理と、ユーザーベースの認証と承認のサポートです。

この記事では、リモート接続を有効にし、ユーザーとアクセス許可を構成し、サイト レベルまたはアプリケーション レベルに機能を委任する方法について説明します。IIS 7.0 のサーバー管理者が特定の機能の管理機能を誰かに委任する場合、または、管理者が他のユーザーによる既存の構成の表示を制限する場合には、多数のシナリオが考えられます。ここでは、次のシナリオを考えてみます。

Edward は、複数のサイトをホストするコンピューターのサーバー管理者です。このコンピューターはドメインの一部であり、サイト所有者の一部が同じドメインに属しています。しかし、サイト所有者の一部はドメインの外にいます。Edward は、各所有者のユーザー名とパスワードを作成することによって、所有者に対して IIS マネージャーのユーザー アカウントを作成する必要があります。必要な IIS マネージャーのユーザー アカウントを作成した後で、各サイトへの IIS マネージャーのアクセス許可をセットアップして、特定のサイトに接続できるユーザーを指定します。これを実行するには、Edward は、各サイトの IIS マネージャーのアクセス許可機能を開いて、Windows ユーザーと IIS マネージャー ユーザーを追加します。この操作では、2 つのことを実行します。最初に、IIS 7.0 を構成して、ユーザーが有効な資格情報を提供すると、サイトに接続できるようにします。次に、正常に接続したユーザーが、そのサイトで委任された機能を構成するのを許可します。

さらに、Edward は、信頼するいくつかの機能の構成を委任して、サイト所有者が所有者自身のサイトで構成できるようにします。これにより、サイトの所有者が、既定のドキュメントなど、サイトごとに異なる機能を構成するように Edward に要求する必要がなくなります。Edward は、サーバー上のすべてのサイトで、既定のドキュメント、ディレクトリの参照、およびエラー ページの機能の構成を委任することに決定しました。さらに、追加機能の HTTP リダイレクトの構成をサイト Contoso に委任することも決定しました。サイトは頻繁にリダイレクトする必要があり、また、これらの設定を構成するサイト所有者は信頼できるからです。その他すべての機能は読み取り専用に設定しているため、サイト所有者は自分のサイトでそれらの設定を参照することはできますが、構成はできません。

Julian と Catherine は、Edward のコンピューター上にあるサイト Contoso のサイト所有者です。Julian は Windows ユーザー アカウントを持ち、Catherine は、Edward が資格情報を提供した IIS マネージャー ユーザー アカウントを持っています。Edward が 2 人のアカウントに Contoso サイトを構成する許可を与えたので、2 人とも自分のコンピューター上で IIS マネージャーを開くことができ、Contoso に接続できます。2 人はそれぞれ、サイト レベルに委任された機能をすべて参照できます。Edward が 2 人のサイトに既定のドキュメント、ディレクトリの参照、エラー ページ、および HTTP リダイレクト設定の構成を委任したので、2 人はこれらの設定を構成できます。

前提条件

この記事の手順を完了するには、次の項目がインストールされている必要があります。

• Windows Server® 2008 上の IIS 7.0
• IIS マネージャー

IIS マネージャーでのリモート接続の構成

IIS 7.0 では、IIS マネージャーを使用するとリモート管理を簡単に実行できます。ローカル コンピューターでの IIS 7.0 の管理に加えて、IIS マネージャーでは、リモート サーバー、サイト、およびアプリケーションを管理できます。サーバー管理者は、リモート管理機能を使用して、IIS マネージャーのユーザー アカウントを追加し、それらのユーザーがアクセス許可を持つサイトまたはアプリケーションに接続できるようにします。

リモート管理の構成には、IIS マネージャーでリモート接続を有効にすることや、サーバーへの接続に必要な資格情報の種類を構成することなどがあります。オプションで、既定の接続およびログ設定を変更したり、IP アドレスまたはドメイン名に基づいて接続制限を追加したりすることができます。

管理サービスのインストール

既定の IIS 7.0 インストール オプションには、リモート管理で必要となる管理サービス (Web 管理サービス (WMSVC) とも呼ばれる) は含まれていません。管理サービスをインストールしていない場合は、次の手順に従って、このサービスをインストールしてください。

管理サービスをインストールするには

1. [スタート] をクリックし、[検索] ボックスに**「Server Manager」**と入力し、Enter キーを押してサーバー マネージャーを開きます。

2. ツリーの [役割] で、[Web サーバー (IIS)] を選択します。

3. [役割サービスの追加] をクリックして、次の図に示すように、[管理サービス] を選択します。

4. [次へ] をクリックし、手順に従ってインストールを完了します。

   

 

 

リモート接続の有効化と資格情報の識別の構成

リモート接続を有効にすると、Windows ユーザーおよび IIS マネージャー ユーザー (この記事で後述) が、ユーザーのコンピューターにある IIS マネージャーを使用してこのコンピューターに接続できるようになります。既定では、管理サービスを使用すると、Windows 資格情報を持つユーザーからの接続だけが許可されますが、IIS マネージャー資格情報を持つユーザーからも接続できるように管理サービスを構成できます。ここでは、次の図に示すように、管理サービスを構成して、両方の資格情報の種類を許可するようにします。

注 : この記事の次のセクションで、IIS マネージャー資格情報について説明します。    

リモート接続を有効にして、Windows ユーザーおよび IIS マネージャー ユーザーからの接続を許可するには

1. IIS マネージャーの [接続] ウィンドウで、ツリー内のサーバー ノードをクリックします。
2. [管理サービス] をダブルクリックし、[管理サービス] 機能ページを開きます。

     4. [リモート接続を有効にする] チェック ボックスをオンにします。

     5. [資格情報の識別] で、[Windows 資格情報または IIS マネージャー資格情報] を選択します。

     6. [操作] ウィンドウで、[適用] をクリックして変更を保存し、[開始] をクリックして管理サービスを開始します。

 

追加情報

管理サービスを開始するためにリモート接続を有効にする必要はありません。リモート接続が無効になっていて、管理サービスが開始された場合は、リモート コンピューターからではなくローカル コンピューターから管理サービスに接続できます。リモート コンピューターから接続できない場合は、リモート接続が有効になっていることを確認してください。

ファイアウォール設定を確認して、管理サービスへの接続が許可されていることを確認する必要があります。管理サービスがインストールされると、セットアップ プロセスでは、既定で有効になっているポート 8172 (既定のポート) で管理サービスへのトラフィックを許可するファイアウォール規則が追加されます。管理サービスで使用するポートを変更した場合、そのポートで管理サービスへのトラフィックを許可する新しいファイアウォール規則を追加する必要があります。

管理サービスの接続およびログ設定の構成

前のセクションで構成した管理サービス設定に加えて、接続設定を構成して要求をログする場所を指定できます。次の表は、各フィールドとその既定の設定を説明しています。いずれかの設定を変更する場合は、[操作] ウィンドウで [適用] をクリックして、管理サービスを再起動してください。

プロパティ	説明	既定の設定
IP アドレス	サービスがバインドされる IP アドレスを指定します。	未使用のすべての IP アドレス
ポート	サービスで要求に使用するポート番号を指定します。	8172
SSL 証明書	サービスで使用する SSL 証明書を指定します。サービスへのすべての要求では、[ポート] フィールドで指定したポート上で HTTPS を使用します。この一覧には、サーバーで使用できる SSL 証明書が記載されています。 他の SSL 証明書を追加する場合は、サーバー レベルで [サーバー証明書] 機能を使用してください。	セットアップ中にインストールされた自己署名入り証明書
ログの要求先	管理サービスのログ ファイルへのパスを指定します。	%SystemDrive%\Inetpub\logs\WMSVC

管理サービスの IP およびドメインの制限の構成

既定では、管理サービスは、その構成済み IP アドレスとポートに対して実行された要求をすべて受け入れます。また、ユーザーは、IIS マネージャーに追加されると接続を許可されます (次のセクションで説明)。ただし、未指定の要求に対してはアクセスを拒否するようにサービスを構成して、代わりに、特定の IP アドレスまたはドメインから実行された要求のみを受け入れるように、特定の許可規則を追加できます。IP アドレスまたはドメインからの要求を許可または拒否する詳細については、Microsoft TechNet の「リモート管理を構成する」にある手順を参照してください。

IIS マネージャーのユーザーとアクセス許可の構成

前のセクションで管理サービスを構成した際に、[Windows 資格情報または IIS マネージャー資格情報] オプションを選択しました。このオプションにより、Windows ユーザー アカウントまたは IIS マネージャー ユーザー アカウントのいずれかのアカウントを持つユーザーは、IIS マネージャーを使用してリモート コンピューターのサイトまたはアプリケーションに接続できます。どちらの種類のユーザーも、リモートで接続する場合は、有効な資格情報 (ユーザー名とパスワードの組み合わせ) を提供する必要があります。Windows ユーザーは、リモート コンピューターのユーザー アカウントに対して、または、コンピューターがドメインのメンバーである場合はドメイン内のユーザー アカウントに対して有効な Windows 資格情報を提供する必要があります。IIS マネージャー ユーザーは、リモート コンピューターのサーバー管理者が IIS マネージャーで構成した、有効な IIS マネージャー資格情報を提供する必要があります。どちらの場合も、ユーザーは IIS マネージャーを使用して、サーバー管理者がユーザーにアクセス許可を付与したサイトやアプリケーションに接続できます。

IIS マネージャー ユーザーの追加 

次の手順では、IIS マネージャー ユーザー機能を開いてユーザーを追加する方法について説明します。[IIS マネージャー ユーザー] 機能ページが開くと、一覧には、各 IIS マネージャー ユーザー名と、アカウントが有効と無効のいずれであるかが表示されます。有効なアカウントだけが、アクセス許可を付与されたサイトまたはアプリケーションに接続できます。

IIS マネージャー ユーザーを追加するには

1. IIS マネージャーの [接続] ウィンドウで、ツリー内のサーバー ノードをクリックします。
2. サーバー ホーム ページで、[IIS マネージャー ユーザー] をダブルクリックします。

    3. [IIS マネージャー ユーザー] ページで、[操作] ウィンドウの [ユーザーの追加] をクリックします。

    4. [ユーザー名] ボックスで、ユーザー名を入力します。

    5. [パスワード] ボックスで、パスワードを入力して [パスワードの確認] ボックスにパスワードを再入力します。

    6. [OK] をクリックします。

 

サイトまたはアプリケーションに対する IIS マネージャーのアクセス許可の構成

ユーザーがサーバー上のサイトまたはアプリケーションにリモートで接続するためには、サーバー管理者からサイトまたはアプリケーションへのアクセス許可を付与される必要があります。アクセス許可を付与されると、IIS マネージャーを使用し、Windows 資格情報 (Windows ユーザーの場合) または IIS マネージャー ユーザー資格情報 (IIS マネージャー ユーザーの場合) のいずれかを使用してサイトまたはアプリケーションに接続できます。

IIS マネージャー ユーザーにサイトまたはアプリケーションへの接続を許可するには

1. IIS マネージャーの [接続] ウィンドウで、アクセス許可を構成する対象のサイトまたはアプリケーションを選択します。
2. サイトまたはアプリケーションのホーム ページで、[IIS マネージャーのアクセス許可] をダブルクリックします。

 

3. [IIS マネージャーのアクセス許可] ページで、[操作] ウィンドウの [ユーザーの許可] をクリックします。
4. [ユーザーの許可] ダイアログ ボックスで、[IIS マネージャー] をオンにして [選択] をクリックします。

 

5. [ユーザー] ダイアログ ボックスで、一覧から 1 つまたは複数の IIS マネージャー ユーザーを選択して [OK] をクリックします。

 

 6. [OK] をクリックして [ユーザーの許可] ダイアログ ボックスを閉じます。

Windows ユーザーにサイトまたはアプリケーションへの接続を許可するには

1. [IIS マネージャーのアクセス許可] ページで、[操作] ウィンドウの [ユーザーの許可] をクリックします。
2. [ユーザーの許可] ダイアログ ボックスで、[Windows] をオンにして [選択] をクリックします。
3. [Select User or Group] ダイアログ ボックスで、ユーザー名を入力するか、ユーザー アカウントを検索して、[OK] をクリックします。

 

4. [OK] をクリックして [ユーザーの許可] ダイアログ ボックスを閉じます。

コンテンツ ディレクトリのアクセス制御リスト (ACL) の構成

ユーザーがサイトまたはアプリケーションに接続する際に IIS マネージャーが正しく機能するためには、サイトまたはアプリケーションの物理ディレクトリに対して ACL が適切に構成されている必要があります。Windows ユーザーでは、ディレクトリおよびファイルに対して、そのディレクトリおよびファイルにアクセスする必要がある各 Windows ユーザーまたはグループの ACL を構成する必要があります。IIS マネージャー ユーザーでは、ディレクトリおよびファイルに対して、WMSVC ユーザー (既定では NT Service\WMSVC) の ACL を構成する必要があります。

サイトまたはアプリケーションの物理ディレクトリで、WMSVC ユーザー (IIS マネージャー ユーザーに接続を許可している場合)、およびそのサイトまたはアプリケーションに接続する必要がある Windows ユーザーの読み取り、書き込み、および実行のアクセス許可を構成します。

サイトまたはアプリケーションの物理ディレクトリが別のコンピューター上 (UNC 共有上など) にある場合は、UNC 共有上にあるコンテンツへの読み取り、書き込み、および実行のアクセス許可を持つユーザーとして実行するように、WMSVC を構成する必要があります (既定のユーザー、NT Service\WMSVC は別のコンピューター上のアイテムにはアクセスできません)。

IIS マネージャーにおけるサイトまたはアプリケーションへの接続

管理サービスを構成し、ユーザーおよびアクセス許可を構成すると、ユーザーは自分のサイトまたはアプリケーションに接続できます。

サイトまたはアプリケーションに接続するには

1. IIS マネージャーで、[ファイル] をクリックしてから [サイトに接続] (または [アプリケーションに接続]) をクリックします。
2. [サイトに接続] または [アプリケーションに接続] ウィザードで、接続するサーバー名およびサイト名を入力します。アプリケーションに接続する場合は、アプリケーション名も入力します。[次へ] をクリックします。

 

3. [サイトに接続] または [アプリケーションに接続] ウィザードの [資格情報の指定] ページで、サイトに接続するために現在の資格情報を使用するのか、または資格情報を指定するのかを選択します。資格情報を指定する場合は、[IIS マネージャーの資格情報を使用する] チェック ボックスをオンにした場合を除き、既定では Windows 資格情報になります。資格情報を指定したら、[次へ] をクリックしてサーバーに接続します。

 

4. 正常に接続した場合、IIS マネージャーによって [サイトに接続] または [アプリケーションに接続] ウィザードの最後のページが表示され、ここで接続に名前を付けることができます。次の図に示すように、これで TestAdmin ユーザーが Contoso.com サイトへのサイト接続を確立しました。

 

追加情報

次のセクションでは、機能の委任について説明しますが、その前に、機能の委任とそれが何を実行するのかをわかりやすく示すために、接続したサイトの 1 つの機能について取り上げます。このサイトは強調表示されて、サイト ホーム ページが表示されているはずです。ホーム ページで、[エラー ページ] をダブルクリックします。

次の図に示すように、ページの右側に [この機能はロックされていて、読み取り専用です] という警告が表示されています。この警告は、機能がロックされると表示されます。次のセクションでは、機能の委任とロックの詳細について説明します。

 

 

IIS マネージャーでの機能の委任

[機能の委任] 機能ページでは、サーバー管理者は、Web.config ファイル内で構成可能な機能の委任状態を、IIS マネージャーにおいてサイト レベルおよびアプリケーション レベルで構成できます。既定のドキュメントやディレクトリの参照など、特定の機能の構成をサーバー管理者が個々のサイト所有者に委任して、所有者がそのサイト内でこれらの委任された機能を構成できるようにしたい場合があります。

または、サーバー管理者は、サイト所有者が機能の構成の表示はできても設定の変更はできないように、読み取り専用として機能を委任する場合もあるでしょう。サーバー管理者は、サイト レベルおよびアプリケーション レベルで IIS マネージャーに機能が表示されないように構成することもできます。

委任状態には何種類かあり、それぞれの委任状態は、ユーザーが下位レベルで接続した場合、機能が構成システムの下位レベルに委任されるのか、機能が IIS マネージャー内に表示されるのかを決定します。次の表で、それぞれの委任状態について説明します。

委任の種類	説明
委任されていません	構成はロックされており、Web.config ファイル内のどの機能を構成しても、ランタイム エラーの原因になります。 この状態が設定されているレベルより下位のレベルでユーザーが接続すると、機能は IIS マネージャーで表示できず、また構成できません。たとえば、機能がサイト レベルで [委任されていません] に構成された場合、そのサイトのアプリケーションに接続したユーザーは、機能を参照できず、IIS マネージャーでその機能を構成できません。
読み取り専用	構成はロックされており、Web.config ファイル内のどの機能を構成しても、ランタイム エラーの原因になります。 下位レベルでユーザーが接続すると、機能は IIS マネージャーで表示できますが、構成はロックされているため、変更できません。
読み取り/書き込み	機能は Web.config で構成できます。 下位レベル (サイト レベルまたはアプリケーション レベル) でユーザーが接続しても、機能は IIS マネージャーで表示され、構成できます。
構成の読み取り専用設定	意味は [読み取り専用] と同じですが、IIS の外部、たとえばデータベースで格納および管理される機能の設定やデータが含まれます。
構成の読み取り/書き込み設定	意味は [読み取り/書き込み] と同じですが、IIS の外部、たとえばデータベースで格納および管理される機能の設定やデータが含まれます。

注 : サーバー管理者はすべての機能の構成を変更できるため、サーバー管理者がサーバーに接続すると、下位レベルでは表示されないように機能が構成されていても、すべてのレベルですべての機能を参照できます。

IIS マネージャーの機能に対する既定の委任状態の構成

[機能の委任] 機能ページを初めて開くと、IIS マネージャーの機能について既定の委任状態を構成できます。これらの委任状態は、サーバーのすべてのサイトとアプリケーションで IIS マネージャーによって使用される既定の設定です。

IIS マネージャーの機能に既定の委任状態を構成するには

1. IIS マネージャーの [接続] ウィンドウで、ツリー内のサーバー ノードをクリックします。
2. サーバー ホーム ページで、[機能の委任] をダブルクリックします。

 
3. [グループ化] 一覧から [委任] を選択して、現在の委任状態で機能の一覧を整理します。

 
4. [機能の委任] 一覧で [エラー ページ] を選択し、[操作] ウィンドウで使用できる委任状態を確認します。[エラー ページ] 機能が選択され、[機能の委任の設定] の使用可能なオプションとして [読み取り/書き込み]、[委任の削除]、および [継承にリセット] が表示されます。

 

5. [エラー ページ] を選択します。[操作] ウィンドウで、[読み取り/書き込み] をクリックして、[エラー ページ] 機能に関連している構成セクションのロックを解除します。これにより、サイト レベルおよびアプリケーション レベルで、Web.config ファイル内および IIS マネージャー内で機能を構成できるようになります。

追加情報

以下の IIS 構成ファイルからの抜粋では、あらゆる場所 ("パス" とも呼ばれる) で値を無効にできることを示しています。

 

<location path="" overrideMode="Allow">
    <system.webServer>
        <httpErrors>
            ...
            ...
        </httpErrors>
    </system.webServer>
</location>

この操作の詳細を見るには、サイト レベルで [エラー ページ] 機能を確認します。[接続] ウィンドウで、サイトに接続し、サイト ホーム ページで [エラー ページ] をダブルクリックします。次の図で示すように、ここでは、サイト レベルに接続されたユーザーが [エラー ページ] 機能を構成できるようになっています。

 

サイトまたはアプリケーションでの機能に対するカスタム委任状態の構成

前述の手順では、サーバーのすべてのサイトで [エラー ページ] 機能に既定の委任状態を構成しました。しかし、委任状態の構成を全サイトには適用したくない場合もあります。この場合は、特定のサイトだけにカスタム委任状態を構成できます。また、すべての機能におけるカスタム委任状態を、あるサイトから別のサイトにコピーすることもできます。

特定のサイトについて機能に対するカスタム委任状態を構成するには

1. IIS マネージャーで、[機能の委任] をダブルクリックします。
2. [機能の委任] ページで、[操作] ウィンドウの [カスタム サイト委任] をクリックします。
3. [サイト] 一覧で、カスタム委任設定を構成するサイトを選択します。

 

4. 機能を選択し、[操作] ウィンドウで委任状態をクリックします。

カスタム委任状態をあるサイトから別のサイトにコピーするには

1. [カスタム サイト委任] ページの [サイト] 一覧で、別のサイトに委任をコピーするコピー元のサイトを選択します。
2. [委任のコピー] をクリックします。
3. [委任のコピー] ダイアログ ボックスで、委任状態をコピーするコピー先のサイトを選択して [OK] をクリックします。

機能の委任状態のリセット

場合によっては、機能の委任状態に対して行った変更を元に戻すことが必要になります。たとえば、特定のサイトまたはアプリケーションに誤って変更が加えられた場合や、機能による "実験" が失敗したような場合です。この場合は、すべての機能に対する委任状態をリセットして既定の状態に戻します。または、1 つの機能だけをリセットして既定の状態に戻します。

 

機能の委任状態をリセットするには

1. [機能の委任] 機能ページを開きます。
2. すべての機能の委任状態をリセットするには、[操作] ウィンドウで [すべての委任をリセット] をクリックします。

特定の機能の委任状態をリセットするには、一覧で機能を選択し、[操作] ウィンドウで [継承にリセット] をクリックします。