Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Windows Server 2008 Администрирование Настройка удаленного управления с помощью диспетчера сервера RSS

Настройка удаленного управления с помощью диспетчера сервера

Текущий рейтинг: 4.1 (проголосовало 10)
 Посетителей: 10751 | Просмотров: 15888 (сегодня 0)  Шрифт: - +

Помните ли вы день, когда в ваши руки попала Windows Server 2008? Это было замечательное событие. С момента выхода предыдущей операционной системы прошло пять долгих лет. С начальной установкой пришлось повозиться довольно долго.

Вы ввели имя пользователя и пароль в окне входа, после чего увидели окно нового мастера под названием «Задачи первоначальной настройки» (Initial Configuration Tasks). Закрыв мастер, вы впервые увидели сделавший много шума диспетчер сервера (Server Manager).

«Вот оно! — могли вы подумать в волнении, изучая роли и функциональность. — Всего лишь одно окно, а все консоли управления собраны в одном месте. Теперь щелкнем правой кнопкой корневой узел и попытаемся поуправлять другим сервером. Упс, что-то не так…»

Вы помните, что произошло дальше, — вы осознали, что первая версия диспетчера сервера не была решением для удаленного администрирования. Справедливости ради надо отметить, что в Microsoft не анонсировали предыдущую версию Windows Server 2008 как решение для удаленного администрирования. Тем не менее, большинство из нас были шокированы, узнав, что функциональности удаленного администрирования в диспетчере сервера не было.

Подключение к другому компьютеру

В Microsoft все же прислушиваются к своим потребителям. В конечном счете, в Microsoft Windows 2008 R2 появилась возможность удаленного администрирования. В этой версии ОС, щелкнув правой кнопкой корневой узел в диспетчере сервера, можно открыть контекстное меню, содержащее команду Connect to Another Computer (Подключиться к другому компьютеру).

Но новый элемент в контекстном меню еще не означает, что все сразу заработает. Вернемся к корневому узлу в диспетчере сервера. Щелкните правой кнопкой имя сервера и выберите «Подключиться к другому компьютеру». Вас ждет еще один сюрприз. Первая попытка удаленного управления компьютером закончится неудачно. В этот момент появится сообщение об ошибке (рис. 1). Прежде чем приступать к удаленному управлению с помощью диспетчера сервера, нужно настроить несколько параметров.

*

Рис. 1. Сообщение об ошибке при попытке подключения к другому компьютеру

Чтобы понять, зачем нужно настроить эти параметры, надо понять, как работает удаленное управление. Часть функциональности удаленного управления Server Manager обеспечивается за счет Windows PowerShell. При изменении настройки в диспетчере сервера фактически выполняется команда Windows PowerShell. Диспетчер сервера лишь предоставляет интерфейс для этих операций, от вашего имени выполняя команды Windows PowerShell и сообщая их результаты.

Windows PowerShell всего лишь механизм отправки удаленных команд. Для обеспечения полноценного цикла управления на каждом удаленном сервере должна быть служба для прослушивания входящих команд и их локального выполнения. Это служба удаленного администрирования Windows (Windows Remote Management, WinRM), которая по умолчанию не активирована и не настроена. Ее можно включить, используя групповые политики.

Создайте новый объект групповой политики (Group Policy Object, GPO) и свяжите его с подразделением, в котором находятся серверы. Затем последовательно раскройте узлы Computer Configuration/Policies/Administrative Templates/Windows Components/Windows Remote Management/WinRM Service (Настройка компьютера/Политики/Шаблоны администрирования/Компоненты Windows/Удаленное управление/Windows Служба WinRM). Нам нужна политика Allow automatic configuration of listeners (Разрешить автоматическую настройку слушателей). Эта политика включает WinRM и заставляет ее прослушивать команды удаленного управления.

*

Рис. 2. Включение автоматической настройки слушателей

Выполнив настройку на странице конфигурации (рис. 2) можно задать диапазон IP-адресов хостов, которым разрешено удаленно управлять серверами.

Далее нужно настроить второй параметр объекта GPO для управления средой, в которой работает брандмауэр Windows. Последовательно раскройте узлы Computer Configuration/Policies/Windows Settings/Security Settings/Windows Firewall with Advanced Security (Настройка компьютера/Политики/Параметры Windows/Параметры безопасности/Брандмауэр Windows c расширенными настройками безопасности). Создайте три предопределенных входящих правила, разрешающих трафик служб Remote Event Log Management (Удаленное управление журналом событий), Remote Service Management (Служба удаленного управления) и Windows Firewall Remote Management (Удаленное управление брандмауэром Windows).

Если групповые политики не используются, можно разрешить удаленное управление вручную с помощью диспетчера сервера. Откройте диалоговое окно настройки удаленного управления (рис. 3), щелкнув ссылку Configure Server Manager Remote Management (Настроить удаленное управление Server Manager). Отметьте флажок Enable remote management of this server from other computers (Разрешить удаленное управление этим сервером с других компьютеров). Это нужно сделать для всех серверов, которыми планируется управлять удаленно.

*

Рис. 3. Диалоговое окно настройки удаленного управления Server Manager

Теперь можно приступить к удаленному управлению другими компьютерами под управлением Windows Server 2008 R2. Сначала в средстве удаленного администрирования сервера (Remote Server Administration Tools) нужно установить инструменты для управления ролями удаленного управления, сервисами ролей и функциями локального компьютера. Для этого нужно:

  • добавить или удалить нужные роли, службы ролей и функции;
  • настроить параметры удаленного рабочего стола;
  • настроить параметры системы;
  • проверить новые роли;
  • изменить параметры автоматического обновления Windows;
  • изменить параметры настройки сети;
  • изменить имя компьютера и его членство в домене;
  • изменить параметры расширенной безопасности Internet Explorer;
  • если компьютер является сервером под управлением Windows Server 2008 R2, выполнить Мастер настройки безопасности (Security Configuration Wizard).

Прощай RPC, здравствуй WinRM!

Удаленное управление с помощью Windows Remote Management (WinRM) может потребовать определенных усилий по настройке, но в итоге вы получите более удобную архитектуру удаленного управления сервером. Почему? Служба WinRM спроектирована для управления серверами Windows по ограниченному числу сетевых портов. Эта служба общается по протоколу HTTP через единственный TCP-порт 5985. Эта комбинация единственного порта и протокола устраняет множество проблем сетевой безопасности, присущих удаленному вызову процедур (Remote Procedure Call, RPC) – основному инструменту, применявшемуся в прошлом.

Как вы наверняка знаете, для управления серверами с помощью RPC требуется открыть целый диапазон портов на каждом Windows-сервере. Это плохо с точки зрения безопасности. С другой стороны, WinRM обеспечивает механизм управления серверами через единственную и надежно защищенную точку входа. Явное определение ограниченного числа доверенных IP-адресов обеспечивает дополнительную защиту от атак.

Кроме того, разрешение удаленного управления через единственный порт оказывается полезным, когда управляемый компьютер расположен за брандмауэром. С помощью WinRM можно удаленно управлять серверами в сетях периметра или в других защищенных сетях при значительном снижении угрозы атак.

На данный момент возможности удаленного управления средствами диспетчера сервера все еще несколько ограничены. Однако переход к использованию WinRM в качестве протокола и Windows PowerShell как оболочки — явный сигнал о том, что компания Microsoft движется в верном направлении.

Кто знает, может, когда-нибудь мы навсегда сможем отказаться от управления с применением RPC. Этот день я запомню навсегда.

Автор: Грэг Шилдс  •  Иcточник: TechNet Magazine  •  Опубликована: 17.08.2011
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:   Server Manager.


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.