Комп’ютерник на всі руки Налаштування дистанційного керування за допомогою диспетчера сервера, Microsoft

У Windows Server 2008 рівень розвитку засобів віддаленого керування залишав бажати кращого. З виходом версії R2 ситуація покращилася, але вони все ще потребують доопрацювання.

Грег Шілдс

Чи пам'ятаєте ви день, коли до ваших рук потрапила Windows Server 2008? Це була чудова подія. З моменту виходу попередньої операційної системи минуло п'ять років. З початковою установкою довелося повозитися досить довго.

Ви ввели ім'я користувача та пароль у вікні входу, після чого побачили вікно нового майстра під назвою «Завдання початкового налаштування» (Initial Configuration Tasks). Закривши майстер, ви вперше побачили диспетчер сервера, що зробив багато шуму (Server Manager).

"Ось воно! - Ви могли подумати в хвилюванні, вивчаючи ролі і функціональність. — Лише одне вікно, а всі консолі управління зібрані в одному місці. Тепер клацніть правою кнопкою кореневий вузол і спробуємо покерувати іншим сервером. Упс, щось не так…»

Ви пам'ятаєте, що сталося далі, ви усвідомили, що перша версія диспетчера сервера не була рішенням для віддаленого адміністрування. Задля справедливості треба зазначити, що в Microsoft не анонсували попередню версію Windows Server 2008 як рішення для віддаленого адміністрування. Тим не менш, більшість з нас були шоковані, дізнавшись, що функціональність віддаленого адміністрування в диспетчері сервера не було.

Підключення до іншого комп'ютера

У Microsoft все ж таки прислухаються до своїх споживачів. Зрештою, у Microsoft Windows 2008 R2 з'явилася можливість віддаленого адміністрування. У цій версії ОС, клацнувши правою кнопкою кореневий вузол диспетчера сервера, можна відкрити контекстне меню,що містить команду Connect to Another Computer (Підключитися до іншого комп'ютера).

Але новий елемент у контекстному меню ще не означає, що все одразу запрацює. Повернемося до кореневого вузла диспетчера сервера. Клацніть правою кнопкою ім'я сервера та виберіть пункт «Підключитися до іншого комп'ютера». На вас чекає ще один сюрприз. Перша спроба дистанційного керування комп'ютером закінчиться невдало. У цей момент з'явиться повідомлення про помилку (мал. 1 ). Перш ніж приступати до дистанційного керування за допомогою диспетчера сервера, потрібно налаштувати кілька параметрів.

ютерник

Мал. 1.Повідомлення про помилку під час спроби підключення до іншого комп'ютера

Щоб зрозуміти, навіщо потрібно налаштувати ці параметри, треба зрозуміти, як працює дистанційне керування. Частина функціональності віддаленого керування Server Manager забезпечується за рахунок Windows PowerShell. Під час зміни налаштувань у диспетчері сервера фактично виконується команда Windows PowerShell. Диспетчер сервера лише надає інтерфейс для цих операцій, від вашого імені виконуючи команди Windows PowerShell та повідомляючи їх результати.

Windows PowerShell лише механізм відправлення віддалених команд. Для забезпечення повноцінного циклу керування на кожному віддаленому сервері має бути служба для прослуховування вхідних команд та їхнього локального виконання. Це служба віддаленого адміністрування Windows (Windows Remote Management, WinRM), яка за замовчуванням не активована та не налаштована. Її можна увімкнути, використовуючи групові політики.

Створіть новий об'єкт групової політики (Group Policy Object, GPO) та зв'яжіть його з підрозділом, у якому знаходяться сервери. Потім послідовно розкрийте вузли Computer Configuration/Policies/Administrative Templates/Windows Components/WindowsRemote Management/WinRM Service (Налаштування комп'ютера/Політики/Шаблони адміністрування/Компоненти Windows/Віддалене керування/Windows Служба WinRM). Нам потрібна політика Allow automatic configuration of listeners (Дозволити автоматичне налаштування слухачів). Ця політика включає WinRM і змушує її прослуховувати команди дистанційного керування.

ютерник

Мал. 2.Увімкнення автоматичного налаштування слухачів

Далі потрібно налаштувати другий параметр об'єкта GPO для керування середовищем, у якому працює брандмауер Windows. Послідовно розкрийте вузли Computer Configuration/Policies/Windows Settings/Security Settings/Windows Firewall with Advanced Security. Створіть три визначені вхідні правила, які дозволяють трафік служб Remote Event Log Management (Віддалене керування журналом подій), Remote Service Management (Служба віддаленого керування) та Windows Firewall Remote Management (Віддалене керування брандмауером Windows).

Якщо групові політики не використовуються, можна дозволити дистанційне керування вручну за допомогою диспетчера сервера. Відкрийте діалогове вікно налаштування віддаленого керування (рис. 3 ), клацнувши посилання Configure Server Manager Remote Management (Налаштувати віддалене керування Server Manager). Позначте прапорець Дозволити дистанційне керування цим сервером з інших комп'ютерів. Це потрібно зробити для всіх серверів, якими планується керувати віддалено.

комп

Мал. 3.Діалогове вікно налаштування віддаленого керування Server Manager

Тепер можна приступити до віддаленого управління іншимикомп'ютерами під керуванням Windows Server 2008 R2. Спочатку у засобі віддаленого адміністрування сервера (Remote Server Administration Tools) необхідно встановити інструменти для управління ролями віддаленого управління, сервісами ролей та функціями локального комп'ютера. Для цього потрібно:

  • додати або видалити потрібні ролі, служби ролей та функції;
  • настроїти параметри віддаленого робочого столу;
  • налаштувати параметри системи;
  • перевірити нові ролі;
  • змінити параметри автоматичного оновлення Windows;
  • змінити параметри налаштування мережі;
  • змінити ім'я комп'ютера та його членство в домені;
  • змінити параметри розширеної безпеки Internet Explorer;
  • якщо комп'ютер є сервером під керуванням Windows Server 2008 R2, виконайте Майстер налаштування безпеки (Security Configuration Wizard).

Прощай RPC, привіт WinRM!

Видалене керування за допомогою Windows Remote Management (WinRM) може вимагати певних зусиль з налаштування, але в результаті ви отримаєте зручнішу архітектуру віддаленого керування сервером. Чому? Служба WinRM спроектована для керування серверами Windows за обмеженою кількістю мережевих портів. Ця служба спілкується за протоколом HTTP через єдиний TCP-порт 5985. Ця комбінація єдиного порту та протоколу усуває безліч проблем мережевої безпеки, властивих віддаленому виклику процедур (Remote Procedure Call, RPC) – основним інструментом, що застосовувався в минулому.

Крім того, дозвіл віддаленого керування через єдиний порт виявляється корисним, коли керований комп'ютер розташований за брандмауером. За допомогою WinRM можна віддалено керувати серверами в мережах периметра або в інших захищених мережах призначне зниження загрози атак.

На даний момент можливості дистанційного керування засобами диспетчера сервера все ще дещо обмежені. Однак перехід до використання WinRM як протоколу і Windows PowerShell як оболонки – явний сигнал про те, що компанія Microsoft рухається у правильному напрямку.

Хто знає, може, колись ми назавжди зможемо відмовитися від управління із застосуванням RPC. Цей день запам'ятаю назавжди.