Ich möchte Server in einer Active Directory-Umgebung mithilfe einer GUI von einem zentralen Windows-Server aus vollständig verwalten können.
Ich stelle diese Frage an Server Fault, da es in Windows Server mehrere Arten der „Remoteverwaltung“ zu geben scheint und die verschiedenen Artikel, die ich gefunden habe, die Aktivierung auf unterschiedliche, verwirrende Weise beschreiben.
Ein Beispiel für meinen idealen Arbeitsablauf:
- Melden Sie sich beim einzigen zentralen Server mit einer GUI an.
- Gehen Sie zu „Alle Server“ und klicken Sie mit der rechten Maustaste auf den Server, den ich verwalten möchte.
- Klicken Sie auf „Computerverwaltung“ und verwalten Sie die über diese MMC verfügbaren Elemente, z. B. Datenträgerverwaltung, Geräte-Manager, Taskplaner usw.
Bei der Recherche, wie das geht, sind mir die folgenden Dinge verwirrend:
- Ich muss Firewall-Ausnahmen aktivieren, um bestimmte Funktionen remote verwalten zu können. Für die Datenträgerverwaltung ist beispielsweise die Firewall-Gruppe „Remote Volume Management“ aktiviert. Dies ist unabhängig von der Funktion „Remoteverwaltung konfigurieren“, die im Core-Server verfügbar ist.
sconfig.cmd - Ich muss dies sowohl auf dem zu verwaltenden Server als auch auf dem verwaltenden Server tun.
- Die Windows-Remoteverwaltung ist kein Sammelbegriff für alle diese Funktionen.
#1 verwirrt mich, weil sconfig.cmdbei der Core-Installation eines zu verwaltenden Servers steht 4) Configure Remote Management Enabled. Das sollte also vermutlich schon der Fall sein. Wenn das nicht der Fall ist, was wird dann tatsächlich aktiviert?
#2 verwirrt mich, weil diese Firewall-Gruppen nur eingehende Verbindungen betreffen. Warum das für den Verwaltungsserver relevant sein sollte, weiß ich nicht.
#3 verwirrt mich, weil es so aussieht, als wäre das etwas speziell für die Powershell/Eingabeaufforderungsverwaltung und hat nichts mit der Aktivierung der einzelnen Komponenten zu tun. Es scheint eine schlechte Namenswahl oder ein Mangel an Klarheit zu sein. Ich bin mir jedoch nicht sicher.
Meine wichtigste Frage lautet: Wie erreiche ich mein Ziel mit minimalen Änderungen an der Firewall/den Einstellungen im Active Directory?
Gehe ich das aus dem falschen Blickwinkel an oder verstehe ich etwas falsch, wenn es darum geht, wie diese Funktionen aktiviert werden? Es scheint einfach, als wäre das mehr Arbeit als nötig und verwirrender als nötig, wenn man bedenkt, wie weit verbreitet diese Funktionen meiner Meinung nach sein werden.
Wenn ich den verschiedenen Anleitungen, die ich gefunden habe, folge, aktiviere/erlaube ich wahrscheinlich Dinge, die nicht aktiviert/erlaubt werden sollten oder müssen.
Antwort1
Wie erreiche ich mein Ziel mit minimalen Änderungen an der Firewall/den Einstellungen im Active Directory?
Windows gibt es nun schon seit einigen Jahrzehnten. Es gibt viele ältere Protokolle. Es werden mehrere Protokolle und viele Tools verwendet. Die älteren Tools wurden noch nicht vollständig auf die neuesten Protokolle umgestellt.
Dies bedeutet leider, dass Sie, um die Verwaltung mit all den verschiedenen Tools zuzulassen, viele Ausnahmen in Bezug auf WinRM, WMI, RPC, DCOM, SMB usw. machen müssen.
Wenn Ihre gesamte Fernverwaltung von einem Computer mit privilegiertem Zugriff durchgeführt wird, können Sie natürlich einfach eine große Ausnahme für dieses privilegierte System machen, anstatt Ausnahmen pro Protokoll zu machen.
1) verwirrt mich, weil ich bei der Core-Installation in sconfig.cmd gehe
Diese Option konzentriert sich in erster Linie darauf, ServerManager und Powershell-Remoteverwaltung zum Laufen zu bringen. Dies sind die „neuen/aktuellen“ Verwaltungsprotokolle. Die erforderlichen Ausnahmen für die älteren Tools werden nicht gemacht.
3) verwirrt mich, weil es so aussieht, als wäre das etwas speziell für die Verwaltung von Powershell/Eingabeaufforderung und hat nichts mit der Aktivierung der einzelnen Komponenten zu tun. Es scheint eine schlechte Namenswahl oder ein Mangel an Klarstellung zu sein
WinRM ist eine spezielle Technologie, die als Teil des Windows Management Frameworks und von Powershell neu (relativ) ist. Man könnte argumentieren, dass ihr Name mehrdeutig ist. Aber auch ältere Kommunikationsmethoden mit RPC, DCOM usw. hatten nervige Namen. Die meisten neuen Funktionen konzentrieren sich auf die Verwendung von WinRM.