Quero poder gerenciar totalmente servidores em um ambiente Active Directory usando uma GUI de um Windows Server central.
Trago esta questão para Server Fault porque parece haver vários tipos de "Gerenciamento Remoto" no Windows Server e os vários artigos que encontrei descrevem como habilitá-lo de maneiras diferentes e confusas.
Um exemplo do meu fluxo de trabalho ideal:
- Faça login no único servidor central com uma GUI.
- Vá para Todos os Servidores e clique com o botão direito no servidor que desejo gerenciar.
- Clique em “Gerenciamento do Computador” e possa gerenciar o que está disponível para isso através desse MMC. ou seja, gerenciamento de disco, gerenciador de dispositivos, agendador de tarefas, etc.
Ao pesquisar como fazer isso, as seguintes coisas me confundem:
- Tenho que habilitar exceções de firewall para gerenciar funções específicas remotamente. ou seja, o Gerenciamento de Disco requer o grupo de firewall Gerenciamento Remoto de Volume habilitado. Isso é separado de "Configurar gerenciamento remoto" disponível no servidor Core
sconfig.cmd - Eu tenho que fazer isso tanto no servidor a ser gerenciado quanto no servidor que está gerenciando.
- O Gerenciamento Remoto do Windows não é uma solução abrangente para todas essas funções.
O nº 1 me confunde porque, ao entrar sconfig.cmdna instalação do Core de um servidor que será gerenciado, diz 4) Configure Remote Management Enabled. Então, presumivelmente, isso já deveria fazer isso. Se não estiver fazendo isso, o que está realmente possibilitando?
O nº 2 me confunde porque esses grupos de Firewall afetam apenas conexões de entrada. Por que isso seria relevante para o servidor de gerenciamento, não sei.
O nº 3 me confunde porque parece que é algo específico para o gerenciamento do Powershell/Prompt de Comando e não tem nada a ver com a ativação de componentes individuais. Parece uma má escolha de nome ou falta de esclarecimento. Não tenho certeza disso, no entanto.
Minha pergunta principal é: Como consigo o que desejo com alterações mínimas de firewall/configuração no Active Directory?
Estou abordando isso do ângulo errado ou entendendo mal algo sobre como ativar esses recursos? Parece que isso dá mais trabalho do que o necessário e é mais confuso do que o necessário, dada a ampla utilização que eu esperava que esses recursos fossem.
Se eu seguir em frente com os vários guias que encontrei, provavelmente ativarei/permitirei coisas que não deveriam ou não precisam ser ativadas/permitidas.
Responder1
Como consigo o que desejo com alterações mínimas de firewall/configuração no Active Directory?
O Windows já existe há algumas décadas. Existem muitos protocolos mais antigos. Existem vários protocolos usados e muitas ferramentas. As ferramentas mais antigas não foram totalmente transferidas para os protocolos mais recentes.
Infelizmente, isso significa permitir o gerenciamento com todas as diversas ferramentas, você fará muitas exceções relacionadas a WinRM, WMI, RPC, DCOM, SMB e assim por diante.
É claro que se todos os seus gerenciamentos remotos forem realizados por algum tipo de computador com acesso privilegiado, você poderá simplesmente abrir uma grande exceção para esse sistema privilegiado, em vez de fazer exceções por protocolo.
1) me confunde porque entrar em sconfig.cmd na instalação do Core
Essa opção se concentra principalmente em fazer com que a comunicação remota do ServerManager e do Powershell funcione. Estes são os protocolos de gerenciamento 'novos/atuais'. Não faz as exceções necessárias para as ferramentas mais antigas.
3) me confunde porque parece que é algo específico para gerenciamento do Powershell/Prompt de comando e não tem nada a ver com a ativação de componentes individuais. Parece uma má escolha de nome ou falta de esclarecimento
WinRM é uma tecnologia específica que é nova (ish) como parte da estrutura de gerenciamento do Windows e do Powershell. Você poderia argumentar que seu nome é ambíguo. Mas os métodos de comunicação mais antigos que usavam RPC, DCOM e assim por diante também tinham nomes irritantes. A maioria das novas funcionalidades foi focada no uso do WinRM.