Я хочу иметь возможность полностью управлять серверами в среде Active Directory с помощью графического интерфейса пользователя с центрального сервера Windows.
Я задал этот вопрос в Server Fault, поскольку, по-видимому, в Windows Server существует несколько типов «удалённого управления», и в различных статьях, которые я нашёл, описывается его включение разными, запутанными способами.
Пример моего идеального рабочего процесса:
- Войдите на единственный центральный сервер с графическим интерфейсом.
- Перейдите в раздел «Все серверы» и щелкните правой кнопкой мыши сервер, которым я хочу управлять.
- Нажмите «Управление компьютером» и получите возможность управлять доступными функциями через MMC, например, Управление дисками, Диспетчер устройств, Планировщик задач и т. д.
При исследовании того, как это сделать, меня смутили следующие вещи:
- Мне нужно включить исключения брандмауэра для удаленного управления определенными функциями. Например, Disk Management требует включения группы брандмауэра Remote Volume Management. Это отдельно от "Configure Remote Management", доступной в Core server
sconfig.cmd - Мне нужно сделать это как на сервере, которым нужно управлять, так и на сервере, осуществляющем управление.
- Удаленное управление Windows не является универсальным средством для всех этих функций.
#1 сбивает меня с толку, потому что при переходе sconfig.cmdк установке Core сервера, который должен управляться, говорится 4) Configure Remote Management Enabled. Так что, по-видимому, это уже должно делать это. Если это не так, что это на самом деле включает?
#2 меня смущает, потому что эти группы брандмауэра влияют только на входящие соединения. Почему это может быть важно для управляющего сервера, я не знаю.
#3 меня смущает, потому что, похоже, это что-то конкретное для управления Powershell/Command Prompt и не имеет ничего общего с включением отдельных компонентов. Похоже на неудачный выбор имени или отсутствие разъяснений. Однако я в этом не уверен.
Мой главный вопрос: как добиться желаемого с минимальными изменениями брандмауэра/настроек в Active Directory?
Я подхожу к этому с неправильной точки зрения или что-то не понимаю относительно того, как включить эти функции? Просто кажется, что это больше работы, чем нужно, и запутаннее, чем нужно, учитывая, насколько широко, по моим ожиданиям, будут использоваться эти функции.
Если я продолжу следовать различным руководствам, которые я нашел, я, скорее всего, включу/разрешу то, что не следует или не нужно включать/разрешать.
решение1
Как добиться желаемого с минимальными изменениями брандмауэра/настроек в Active Directory?
Windows существует уже пару десятилетий. Существует множество старых протоколов. Используется несколько протоколов и множество инструментов. Старые инструменты не были полностью переведены на новейшие протоколы.
К сожалению, это означает, что для разрешения управления всеми различными инструментами вам придется сделать множество исключений, связанных с WinRM, WMI, RPC, DCOM, SMB и т. д.
Конечно, если все ваши удаленные операции управления будут выполняться каким-то компьютером с привилегированным доступом, то вы можете просто сделать большое исключение для этой привилегированной системы, вместо того чтобы делать исключения для каждого протокола.
1) меня смущает, потому что вход в sconfig.cmd при установке Core
Эта опция в первую очередь ориентирована на работу удаленного взаимодействия ServerManager и Powershell. Это «новые/текущие» протоколы управления. Она не делает требуемых исключений для старых инструментов.
3) сбивает меня с толку, потому что, похоже, это что-то конкретное для управления Powershell/Command Prompt и не имеет ничего общего с включением отдельных компонентов. Похоже на неудачный выбор имени или отсутствие ясности
WinRM — это специфическая технология, которая является новой (не совсем) как часть фреймворка управления Windows и Powershell. Вы можете утверждать, что ее название двусмысленно. Но старые методы связи с использованием RPC, DCOM и т. д. также имели раздражающие названия. Большинство новых функций были сосредоточены на использовании WinRM.