Quiero poder administrar completamente servidores en un entorno de Active Directory usando una GUI desde un servidor central de Windows.
Llevo esta pregunta a Server Fault porque parece haber varios tipos de "Administración remota" dentro de Windows Server y los diversos artículos que encontré describen cómo habilitarla de maneras diferentes y confusas.
Un ejemplo de mi flujo de trabajo ideal:
- Inicie sesión en el único servidor central con una GUI.
- Vaya a Todos los servidores y haga clic derecho en el servidor que deseo administrar.
- Haga clic en "Administración de computadoras" y podrá administrar las cosas disponibles para hacerlo a través de esa MMC. es decir, administración de discos, administrador de dispositivos, programador de tareas, etc.
Al investigar cómo hacer esto, las siguientes cosas son las que me confunden:
- Tengo que habilitar excepciones de firewall para administrar funciones específicas de forma remota. es decir, la administración de discos requiere que el grupo de firewall de administración remota de volúmenes esté habilitado. Esto es independiente de "Configurar administración remota" disponible en la página del servidor central.
sconfig.cmd - Tengo que hacer eso tanto en el servidor que se va a administrar como en el servidor que realiza la administración.
- La administración remota de Windows no es un comodín para todas estas funciones.
#1 me confunde porque al entrar sconfig.cmden la instalación principal de un servidor que va a ser administrado dice 4) Configure Remote Management Enabled. Presumiblemente esto ya debería hacer eso. Si no lo hace, ¿qué es lo que realmente permite?
#2 me confunde porque esos grupos de Firewall solo afectan las conexiones entrantes. No sé por qué esto sería relevante para el servidor de administración.
#3 me confunde porque parece que es algo específico para la administración de Powershell/Símbolo del sistema y no tiene nada que ver con habilitar los componentes individuales. Parece una mala elección de nombre o una falta de aclaración. Sin embargo, no estoy seguro de esto.
Mi pregunta principal es: ¿Cómo puedo lograr lo que quiero con cambios mínimos en el firewall/configuración en Active Directory?
¿Estoy llegando a esto desde el ángulo equivocado o entendiendo mal algo sobre cómo habilitar estas funciones? Simplemente parece que esto requiere más trabajo del necesario y confuso de lo necesario, dado el uso generalizado que esperaría que fueran estas funciones.
Si sigo adelante con las diversas guías que he encontrado, es probable que habilite/permita cosas que no deberían o no necesitan habilitarse/permitirse.
Respuesta1
¿Cómo puedo lograr lo que quiero con cambios mínimos en el firewall/configuración en Active Directory?
Windows existe desde hace un par de décadas. Hay muchos protocolos más antiguos. Se utilizan varios protocolos y muchas herramientas. Las herramientas más antiguas no han realizado una transición completa a los protocolos más nuevos.
Desafortunadamente, esto significa que para permitir la administración con todas las diversas herramientas, hará muchas excepciones relacionadas con WinRM, WMI, RPC, DCOM, SMB, etc.
Por supuesto, si todas sus administraciones remotas se realizarán mediante algún tipo de computadora con acceso privilegiado, entonces podría hacer una gran excepción para ese sistema privilegiado, en lugar de hacer excepciones por protocolo.
1) me confunde porque entrar en sconfig.cmd en la instalación del Core
Esa opción se centra principalmente en hacer que funcione la comunicación remota de ServerManager y Powershell. Estos son los protocolos de gestión 'nuevos/actuales'. No hace las excepciones requeridas para las herramientas más antiguas.
3) me confunde porque parece que es algo específico para la administración de Powershell/Símbolo del sistema y no tiene nada que ver con habilitar los componentes individuales. Parece una mala elección de nombre o falta de aclaración.
WinRM es una tecnología específica que es nueva (más o menos) como parte del marco de administración de Windows y Powershell. Se podría argumentar que tiene un nombre ambiguo. Pero los métodos de comunicación más antiguos que usaban RPC, DCOM, etc. también tenían nombres molestos. La mayoría de las funciones nuevas se han centrado en el uso de WinRM.