我希望能夠使用中央 Windows Server 中的 GUI 完全管理 Active Directory 環境中的伺服器。
我把這個問題帶到伺服器故障上,因為 Windows Server 中似乎有多種類型的“遠端管理”,而且我發現的各種文章描述了以不同的、令人困惑的方式啟用它。
我理想的工作流程的例子:
- 登入唯一具有 GUI 的中央伺服器。
- 轉到所有伺服器並右鍵單擊我想要管理的伺服器。
- 按一下「電腦管理」即可透過該 MMC 管理可用的內容。即磁碟管理、裝置管理員、任務排程器等。
在研究如何做到這一點時,以下事情讓我感到困惑:
- 我必須啟用防火牆例外才能遠端管理特定功能。即磁碟管理需要啟用遠端磁碟區管理防火牆群組。這與核心伺服器中可用的「配置遠端管理」是分開的
sconfig.cmd - 我必須在要管理的伺服器和進行管理的伺服器上執行此操作。
- Windows 遠端管理並不是所有這些功能的包羅萬象。
#1 讓我感到困惑,因為進入sconfig.cmd要管理的伺服器的核心安裝時會說4) Configure Remote Management Enabled。所以想必這應該已經做到了。如果它沒有這樣做,它實際上能實現什麼?
#2 讓我感到困惑,因為這些防火牆組只會影響傳入連線。我不知道為什麼這與管理伺服器相關。
#3 讓我感到困惑,因為這似乎是專門用於 Powershell/命令提示字元管理的東西,與啟用各個元件無關。這似乎是一個糟糕的命名選擇,或者缺乏澄清。不過我對此並不確定。
我的主要問題是:如何透過 Active Directory 中的防火牆/設定更改最少來實現我想要的目標?
我是否從錯誤的角度來看這個問題,或者誤解瞭如何啟用這些功能?考慮到我期望這些功能的使用範圍,這似乎比需要的工作量更多,而且也比必要的工作量更令人困惑。
如果我繼續使用我找到的各種指南,我可能會啟用/允許不應該或不需要啟用/允許的事情。
答案1
如何透過對 Active Directory 中的防火牆/設定進行最少的變更來實現我想要的目標?
Windows 已經存在幾十年了。有很多較舊的協議。使用了多種協定和許多工具。舊的工具尚未完全過渡到最新的協議。
不幸的是,這意味著要允許使用所有各種工具進行管理,您將需要做出許多與 WinRM、WMI、RPC、DCOM、SMB 等相關的例外。
當然,如果所有遠端管理都由某種特權存取電腦執行,那麼您可以為該特權系統制定一個大例外,而不是根據協議制定例外。
1)讓我感到困惑,因為在核心安裝上進入 sconfig.cmd
此選項主要致力於使 ServerManager 和 Powershell 遠端處理工作。這些是「新的/目前的」管理協議。它沒有為舊工具提供所需的例外。
3) 讓我感到困惑,因為這似乎是專門用於 Powershell/命令提示字元管理的東西,與啟用各個元件無關。這似乎是一個糟糕的命名選擇,或者缺乏澄清
WinRM 是一種特定的技術,是 Windows 管理框架和 Powershell 的一部分。你可能會說它的名字含糊不清。但使用 RPC、DCOM 等較舊的通訊方法也有令人討厭的名稱。大多數新功能都集中在使用 WinRM。