Ich versuche, eine Lösung zu finden, mit der ich Windows-Cmd-Befehle remote ausführen kann. Ich kenne PSExec aus der PSTools-Suite, die in Windows eingebettet ist, aber meines Wissens ist es für den Einsatz gedacht, wenn sich Computer im selben LAN befinden und nicht außerhalb (es sei denn, Sie leiten den Port am Router weiter). Portweiterleitung ist keine Option.
Ich habe in Foren gelesen, dass die mögliche Lösung die Einführung eines Servers in der Mitte wäre, mit dem sich beide Maschinen verbinden würden und der als Tunnel zur Weiterleitung der Befehle fungieren würde. Das Ziel hier ist, diese Art von Setup wie RDP zu verwenden, nur dass ich den GUI-Teil davon nicht brauche und die Remote-Maschine verwalten würde, um zu überprüfen, welche Anwendungen geöffnet sind, wie lange sie ausgeführt wurden usw. Wie verwalten beispielsweise Systemadministratoren vieler Windows-Maschinen diese remote, wenn sie sich außerhalb des LAN befinden?
Vielen Dank im Voraus für alle Anregungen und Tipps!
Antwort1
Ich kenne PSExec aus der PSTools-Suite, die in Windows eingebettet ist, aber meines Wissens ist es für den Einsatz mit Computern im selben LAN und nicht außerhalb gedacht (es sei denn, Sie führen eine Portweiterleitung am Router durch). Portweiterleitung ist keine Option.
Nein, das allein macht es noch nicht zu einem „LAN“-Tool.
Es ist normal, dass Portweiterleitung für eingehende Verbindungen erforderlich ist, wenn sich das Ziel hinter einem NAT befindet – genau dasselbe gilt für SSH, HTTP und so ziemlich alle Protokolle, die ansonstenroutinemäßigüber das Internet verwendet.
Viele Remote-Access-Tools folgen demselben Muster, bei dem der Client direkt mit dem Server verbunden wird, sei es PSExec oder SSH oder VNC oder RDP oder PS-Remoting oder Telnet. Einige davon werden täglich im Internet verwendet, aber wenn Sie keine Portweiterleitung konfigurieren können, werden Sie auch mit ihnen Probleme haben.
(Was PSExec tatsächlich mehr LAN-orientiert macht, ist die Verwendung der SMB- und MS-RPC-Dienste in Windows, die immer noch alsunsicherum sie im Internet zu veröffentlichen – erinnern Sie sich an „Blaster“ und „EternalBlue“?)
Ich habe in Foren gelesen, dass die mögliche Lösung die Einführung eines Servers in der Mitte wäre, mit dem sich beide Maschinen verbinden würden und der als Tunnel zur Weiterleitung der Befehle fungieren würde. Das Ziel hier ist, diese Art von Setup wie RDP zu verwenden, nur dass ich den GUI-Teil davon nicht brauche und die Remote-Maschine verwalten würde, um zu überprüfen, welche Anwendungen geöffnet sind, wie lange sie ausgeführt wurden usw. Wie verwalten beispielsweise Systemadministratoren vieler Windows-Maschinen diese remote, wenn sie sich außerhalb des LAN befinden?
Die Antwort ist fast immer eine Art VPN.
Wenn sich beispielsweise alle Geräte in Ihrem Firmen-LAN befinden, Sie aber von zu Hause aus arbeiten, ist es üblich, dass das Firmennetzwerk einen VPN-Server (mit einer öffentlichen IP-Adresse oder zumindest Portweiterleitungen) hostet, der von überall aus erreichbar ist. Sobald eine Verbindung besteht, kann der Systemadministrator auf das gesamte LAN zugreifen, als wäre es lokal, was die Verwendung von PSExec/RDP/SSH und anderen typischen Verwaltungstools ermöglicht.
Das Gleiche gilt, wenn die umgekehrte Situation vorliegt – wenn die Geräte verteilt sind und sich hinter NATs befinden, die der Systemadministrator nicht kontrolliert, dann ist es für diese Geräte ebenso möglich, ein VPN zu verwenden, um eine Verbindung herzustellenzurückzu ihrer „Basis“ und sie sind erreichbar, als ob sie sich im selben LAN wie der Systemadministrator befänden.
VPNs sind nicht von Natur aus unidirektional. Sobald der Tunnel eingerichtet ist, kann er problemlos Verbindungen von der Serverseite zu den Clients sowie vom Client zum Server und sogar zwischen den Clients übertragen. Vorausgesetzt, Sie können einen VPN-Server einrichtenirgendwo(sogar ein Cloud-/VPS-Host reicht aus), stellen Sie einfach sicher, dass Ihre Geräte automatisch eine Verbindung zu diesem zentralen Server herstellen, und Sie haben die NAT- und Portweiterleitungsprobleme vollständig umgangen.
Allerdings gibt es verschiedene VPNsProduktereichen von allgemein (geeignet für Site-to-Site-Links) bis clientorientiert. Für die Geräteverwaltung suchen Sie natürlich nach etwas, das automatische Verbindungen unterstützt (und idealerweise zertifikatsbasierte Anmeldeinformationen) und standardmäßig im Split-Tunnel-Modus funktioniert. Möglicherweise verwenden Sie am Ende sogar zwei völlig unterschiedliche VPN-Produkte für Geräte und für Mitarbeiter/Systemadministratoren.
(Wenn es sich bei den Geräten um Windows-Computer handelt, dann OpenVPN oderVielleichtWireGuard wäre meine erste Wahl, obwohl ich für diesen Zweck auch ZeroTier und Tinc verwendet habe.)