Удаленное подключение к windows core

Обновлено: 03.07.2024

Ранние версии Windows Server имели графический интерфейс, похожий на другие аналогичные клиенты. Это упрощало администрирование, поскольку пользователю не нужно было изучать два разных интерфейса. Для удаленного администрирования нужно было подключиться к серверу с помощью удаленного рабочего стола. Однако информация сеанса терялась по завершении сеанса RDP . С переходом к версиям Windows Server без GUI-интерфейса возникла необходимость удаленного управления сервером без входа или выхода из сеанса RDP . Пакет, включающий в себя средства удаленного администрирования сервера ( RSAT ), был создан специально для решения этой проблемы.

В этой статье мы рассмотрим, что представляют собой инструменты RSAT в Windows 10 , а также запустим « Диспетчер серверов » и попытаемся подключиться к удаленному серверу.

RSAT позволяет администраторам запускать инструменты на удаленном сервере для управления его функциями, ролями и службами. Windows 10 имеет встроенную поддержку RSAT . Ниже представлены различные возможности установки RSAT :

  • Установлен по умолчанию в Windows Server 2016 , Windows Server 2012 , Windows Server 2012 R2 и более ранних версиях;
  • Может быть загружен и установлен как автономный пакет обновлений на клиентах под управлением Windows 10 Professional , Windows 10 Enterprise и Windows 10 Education ;
  • Невозможно установить на клиентах под управлением Windows 10 Home или любой ARM-версии ;
  • Невозможно установить на любой из серверных версий операционной системы;
  • Поддерживается удаленное администрирование Windows Server Core или минимального интерфейса Windows Server 2016 , Windows Server 2012 R2 и в некоторых случаях Windows Server 2012 .

Доступные инструменты

Матрицу поддержки RSAT на платформе Windows 10 можно найти здесь . Ключевым моментом является то, что инструменты Hyper-V не являются частью RSAT для Windows 10 , в отличие от более ранних версий. Hyper-V поставляется как часть Windows 10 и может использоваться без установки RSAT . Другие инструменты, которые недоступны в данном релизе:

  • Утилиты администрирования BitLocker Drive Encryption ;
  • Direct Access ;
  • Routing and Remote Access ;
  • Remote Desktop Services ;
  • Windows PowerShell cmdlets for Cluster Aware Updating ;
  • Windows PowerShell cmdlets for Best Practices Analyzer .

Настройка доступных инструментов

Начнем с установки RSAT для Windows 10 . Как уже было сказано, RSAT доступен только для Windows 10 Professional , Enterprise и Education. Он может работать как на 86-разрядной , так и на 64-разрядной версии Windows 10 . Обратите внимание, что предыдущие версии RSAT следует удалить до установки актуальной версии. Чтобы получить доступ к версиям Windows Server 2012 и Windows Server 2008 и управлять ими, необходимы дополнительные обновления для этой версии RSAT . Также обратите внимание, что на удаленном сервере должно быть включено дистанционное управление Windows PowerShell и « Диспетчер серверов ».

Средства удаленного администрирования активированы по умолчанию в Windows Server 2016 , 2012 R2 и 2012 . Следующие шаги были выполнены на устройстве с установленной операционной системой Windows 10 Enterprise x64 , работающей в VMWare . Вы должны повторить их в собственной системе.

Настройка доступных инструментов

  • Необходимо выбрать программу установки, соответствующую используемой архитектуре. В данном случае это 64-разрядная система , поэтому мы загрузим файл WindowsTH-KB2693643-x64.msu ;
  • Дважды кликните по файлу установщика, чтобы начать инсталляцию. Примите условия лицензии и дождитесь окончания установки;
  • В более ранних версиях Windows после установки пакета RSAT приходилось вручную активировать эти инструменты. Но в Windows 10 эти инструменты доступны для использования сразу после завершения установки. Флажок рядом с инструментами RSAT установлен. Это означает, что мы можем продолжать:

Настройка доступных инструментов - 2


Чтобы удалить пакет RSAT :


Чтобы удалить определенные инструменты из пакета средств удаленного администрирования сервера:


Запуск диспетчера серверов

Инструменты, включенные в пакет RSAT , не могут использоваться для управления локальным компьютером. В диспетчере серверов должен быть указан удаленный сервер. Большинство инструментов RSAT интегрированы в диспетчер серверов, поэтому рекомендуется сначала добавить в него пулы серверов перед развертыванием этих инструментов. Чтобы запустить диспетчер серверов:

  • Откройте меню « Пуск », и кликните по элементу « Диспетчер серверов ». Или кликните по полю поиска Cortana в панели задач и начните вводить « Диспетчер серверов ». Вы должны увидеть соответствующую строку в Cortana . Нажмите на эту строку, чтобы запустить « Диспетчер серверов »:

Запуск диспетчера серверов

  • Откроется панель управления диспетчера серверов:

Запуск диспетчера серверов - 2

  • В ней можно добавлять удаленные серверы и назначать роли для них;
  • Если ПК является частью домена, можно выполнить поиск серверов в Active Directory вашей организации, или ввести IP-адрес по своему выбору. Также можно импортировать адреса серверов из файла;
  • В меню « Инструменты » перечислены все инструменты RSAT , доступные для удаленного администрирования сети.

Профессиональные советы

Иногда приходится работать на различных клиентах, и нужно иметь возможность управлять удаленным сервером с них. Но повторная настройка может занять много времени. Если версии диспетчера серверов на различных клиентах аналогичны, можно скопировать файлы из указанных ниже мест на исходном клиенте в те же места на новом клиенте. Таким образом, при последующем запуске диспетчера серверов на новом клиенте вы найдете конфигурацию, заданную на предыдущем клиенте.

Скопируйте файлы из следующих расположений:

Помните, что версии диспетчера серверов на исходном и новом клиентах должны быть идентичны.

Известные ошибки

В настоящее время RSAT поддерживает только локализацию EN-US . Если вы инсталлируете RSAT на машине, для которой задан регион, отличный от EN-US , установка будет выполнена, но в диалоговом окне « Включение и выключение компонентов Windows » вы не увидите ни одного из инструментов. Чтобы решить эту проблему, установите языковый пакет EN-US . После того, как настроите инструменты в диалоговом окне « Включение и отключение компонентов Windows », можно вновь задать свой регион и язык.

Заключение

В этой статье мы привели краткое руководство по работе с пакетом RSAT и Диспетчером серверов для Windows 10 удаленного администрирования . RSAT устанавливается и настраивается очень просто. Он позволяет эффективно администрировать удаленный сервер. « Диспетчер серверов » включает в себя большое количество различных функций, для полного рассмотрения которых требуется отдельное руководство.

Отказ от использования графического интерфейса на серверах является желательным, поскольку это минимизирует различные риски, а также разгружает ЦП и ОЗУ .

Пожалуйста, оставляйте ваши комментарии по текущей теме статьи. За комментарии, отклики, лайки, дизлайки, подписки низкий вам поклон!

Пожалуйста, оставьте ваши комментарии по текущей теме статьи. Мы очень благодарим вас за ваши комментарии, отклики, лайки, подписки, дизлайки!

в Windows Server можно использовать диспетчер сервера для выполнения задач управления на удаленных серверах. удаленное управление включено по умолчанию на серверах под управлением Windows Server 2016. Чтобы удаленно управлять сервером с помощью диспетчер сервера, необходимо добавить сервер в пул серверов диспетчер сервера.

диспетчер сервера можно использовать для управления удаленными серверами, на которых работают более старые версии Windows Server, но для полного управления этими старыми операционными системами необходимо выполнить следующие обновления.

для управления серверами, работающими под управлением Windows server, более ранних, чем Windows Server 2016, установите следующее программное обеспечение и обновления, чтобы обеспечить управляемость старых выпусков Windows сервера с помощью диспетчер сервера в Windows Server 2016.

Операционная система Необходимое программное обеспечение Управляемость
Windows Server 2012 R2 или Windows Server 2012 - -
- Windows Management Framework 5,0. пакет Windows Management Framework 5,0 downloads updates инструментарий управления Windows (WMI) (WMI) providers on Windows Server 2012 R2, Windows Server 2012 и Windows Server 2008 r2. Обновленные поставщики WMI позволяют диспетчер сервера собираются сведения о ролях и компонентах, установленных на управляемых серверах. до применения обновления серверы, работающие Windows Server 2012 r2, Windows Server 2012 или Windows Server 2008 r2, имеют состояние управляемости недоступно.
— обновление производительности, связанное с статьей базы знаний 2682011 , больше не требуется на серверах под управлением Windows Server 2012 R2 или Windows Server 2012.
Windows Server 2008 R2 - -
- Windows Management Framework 4,0. пакет Windows Management Framework 4,0 downloads updates инструментарий управления Windows (WMI) (WMI) providers on Windows Server 2008 R2. Обновленные поставщики WMI позволяют диспетчер сервера собираются сведения о ролях и компонентах, установленных на управляемых серверах. до применения обновления серверы, работающие под управлением Windows Server 2008 R2, имеют состояние управляемости недоступно.
— обновление производительности, связанное с статьей базы знаний 2682011 , позволяет диспетчер сервера собираются данные производительности с Windows Server 2008 R2.
Windows Server 2008 - -
- Windows Management Framework 3,0 Windows Management Framework 3,0 загрузка пакета обновления инструментарий управления Windows (WMI) (WMI) на сервере Windows Server 2008. Обновленные поставщики WMI позволяют диспетчер сервера собираются сведения о ролях и компонентах, установленных на управляемых серверах. до применения обновления серверы, работающие под управлением Windows Server 2008, имеют состояние управляемости недоступно — проверьте предыдущие версии, выполнив Windows Management Framework 3,0.
— обновление производительности, связанное с статьей базы знаний 2682011 , позволяет диспетчер сервера собираются данные производительности с Windows Server 2008.

подробные сведения о добавлении серверов в рабочих группах для управления и управления удаленными серверами с компьютера рабочей группы, на котором работает диспетчер сервера, см. в разделе Добавление серверов в Диспетчер сервера.

Включение и отключение удаленного управления

в Windows Server 2016 удаленное управление включено по умолчанию. прежде чем можно будет подключиться к компьютеру, на котором запущена Windows Server 2016 удаленно с помощью диспетчер сервера, диспетчер сервера удаленное управление должно быть включено на конечном компьютере, если он был отключен. В процедурах данного раздела описано, как отключить удаленное управление и как его вновь включить, если оно было отключено. В консоли диспетчер сервера состояние удаленного управления для локального сервера отображается в области Свойства на странице локальный сервер .

Локальные учетные записи с правами администратора, за исключением встроенной учетной записи администратора, могут не иметь права на удаленное управление сервером, даже если удаленное управление включено. Параметр реестра LocalAccountTokenFilterPolicy удаленного контроля учетных записей (UAC) должен быть настроен на разрешение локальных учетных записей группы администраторов, отличной от встроенной учетной записи администратора, для удаленного управления сервером.

в Windows Server 2016 диспетчер сервера полагается на Windows удаленное управление (WinRM) и распределенную модель объектов (DCOM) для удаленного взаимодействия. параметры, которые управляются диалоговым окном настройка удаленного управления , влияют только на части диспетчер сервера и Windows PowerShell, которые используют WinRM для удаленного взаимодействия. Они не влияют на части диспетчер сервера, использующие DCOM для удаленного взаимодействия. например, диспетчер сервера использует WinRM для взаимодействия с удаленными серверами, работающими Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012, но использует DCOM для связи с серверами, на которых выполняется Windows server 2008 и Windows server 2008 R2 , но не имеют применимых обновлений Windows Management Framework 4,0 или Windows Management Framework 3,0 . Консоль управления Microsoft (MMC) и другие средства управления прежними версиями используют DCOM. Дополнительные сведения об изменении этих параметров см. в разделе Настройка MMC или другого средства удаленное управление по протоколу DCOM этой статьи.

Процедуры этого раздела можно выполнить только на компьютерах, работающих под управлением Windows Server. вы не можете включить или отключить удаленное управление на компьютере, на котором выполняется Windows 10, с помощью этих процедур, так как клиентскую операционную систему нельзя управлять с помощью диспетчер сервера.

Чтобы включить удаленное управление WinRM, выберите одну из следующих процедур.

date

01.04.2021

directory

PowerShell, Windows Server 2016, Windows Server 2019

comments

комментария 3

В этой статье я постарался собрать в одном месте основные команды cmd и PowerShell, которые полезны при настройке и управлении Windows Server Core. Думаю, этот гайд будет полезен как новичкам, так и опытным системным администраторам, как справочник по базовым командам Server Core.

Напомним, что Server Core это особый режим установки Windows Server без большинства графических инструментов и оболочек. Управление таким сервером выполняется из командной строки или удаленно.
  • Меньшие требования к ресурсам;
  • Повышенная стабильность, безопасность, требует установки меньшего количества обновлений (за счет меньшего количества кода и используемых компонентов);
  • Идеально подходит для использования в качестве сервера для инфраструктурных ролей (контроллер домена Active Directory, DHCP сервер, Hyper-V сервер, файловый сервер и т.д.).

Server Core лицензируется как обычный физический или виртуальный экземпляр Windows Server (в отличии от Hyper-V Server, который полностью бесплатен).

Для установки Windows Server 2016/2019 в режиме Core нужно выбрать обычную установку. Если вы выберите Windows Server (Desktop Experience), будет установлен GUI версия операционной системы (в предыдущих версиях Windows Server она называлась Server with a GUI).

установка windows server core 2019

В Windows Server 2016/2019 нельзя переключиться между GUI и Core режимом без переустановки сервера.

После установки Windows Server Core перед вами появляется командная строка, где нужно задать пароль локального администратора.

задать пароль администратора в server core

При входе на Server Core открывается командная строка (cmd.exe). Чтобы вместо командной строки у вас всегда открывалась консоль PowerShell.exe, нужно внести изменения в реестр. Выполните команды:

Powershell.exe
Set-ItemProperty -Path 'HKLM:\Software\Microsoft\Windows NT\CurrentVersion\WinLogon' -Name Shell -Value 'PowerShell.exe'

И перезагрузите сервер:

запускать powershell вместо командной строки

Если вы случайно закрыли окно командной строки, нажмите сочетание клавиш Ctrl+Alt+Delete, запустите Task Manager -> File -> Run -> выполните cmd.exe (или PowerShell.exe ).

Настройка Windows Server Core с помощью SCONFIG

Для базовой настройки Server Core можно использовать встроенный скрипт sconfig. Просто выполните команду sconfig в консоли. Перед вами появиться меню с несколькими пунктами:

настройка windows server core с помощью утилиты sconfig

С помощью меню Server Configuration можно настроить:

  • Добавить компьютер в домен или рабочую группу;
  • Изменить имя компьютера (hostname);
  • Добавить локального администратора;
  • Разрешить/запретить удаленное управления и ответы на icmp;
  • Настроить параметры обновления через Windows Update;
  • Установить обновления Windows;
  • Включить/отключить RDP;
  • Настроить параметры сетевых адаптеров (IP адрес, шлюз, DNS сервера);
  • Настроить дату и время;
  • Изменить параметры телеметрии;
  • Выполнить logoff, перезагрузить или выключить сервер.

Все пункт в меню sconfig пронумерованы. Чтобы перейти в определенное меню наберите его номер и Enter.

В некоторых пунктах меню настройки sconfig есть вложенные пункты. Там также, чтобы перейти к определенной настройке, нужно сделать выбор цифры пункта меню.

настройка базовых параметров server core из sconfig

Не будем подробно рассматривать все пункты настройки sconfig, т.к. там все достаточно просто и очевидно. Однако в большинстве случаев администраторы предпочитают использовать для настройки новых хостов с Server Core различные PowerShell скрипты. Это намного проще и быстрее, особенно при массовых развёртываниях.

Основные команды PowerShell для настройки Server Core

Рассмотрим основные команды PowerShell, которые можно использовать для настройки Server Core.

Узнать информацию о версии Windows Server и версии PowerShell:

Get-ComputerInfo | select WindowsProductName, WindowsVersion, OsHardwareAbstractionLayer
$PSVersionTable

powershell узнать версию windows server

Для перезагрузки Server Core нужно выполнить команду PowerShell :

Чтобы выполнить выход из консоли Server Core, наберите:

Настройка параметров сети

Теперь нужно из PowerShell нужно настроить параметры сети (по умолчанию Windows настроена на получение адреса от DHCP). Выведите список сетевых подключений:

Теперь укажите индекс интерфейса сетевого адаптера (InterfaceIndex), который нужно изменить и задайте новый IP адрес:

New-NetIPaddress -InterfaceIndex 4 -IPAddress 192.168.13.100 -PrefixLength 24 -DefaultGateway 192.168.13.1
Set-DNSClientServerAddress –InterfaceIndex 4 -ServerAddresses 192.168.13.11,192.168.13. 111

задать ip адрес в windows server core с помощью powershell

Проверьте текущие настройки:

Если нужно сбросить IP адрес и вернуться к получению адреса от DHCP, выполните:

Set-DnsClientServerAddress –InterfaceIndex 4 –ResetServerAddresses
Set-NetIPInterface –InterfaceIndex 4 -Dhcp Enabled

Включить/отключить сетевой адаптер:

Disable-NetAdapter -Name “Ethernet0”
Enable-NetAdapter -Name “Ethernet 0”

Включить, отключить, проверить статус поддержки IPv6 для сетевого адаптера:

Disable-NetAdapterBinding -Name "Ethernet0" -ComponentID ms_tcpip6
Enable-NetAdapterBinding -Name "Ethernet0" -ComponentID ms_tcpip6
Get-NetAdapterBinding -ComponentID ms_tcpip6

Настройка времени/даты

Вы можете настроить дату, время, часовой пояс с помощью графической утилиты intl.cpl или с помощью PowerShell:

Set-Date -Date "09/03/2022 09:00"
Set-TimeZone "Russia Time Zone 3

Задать имя компьютера, добавить в домен, активация

Чтобы изменить имя компьютера:

Rename-Computer -NewName win-srv01 -PassThru

Rename-Computer задать имя через powershell

Добавить сервер в домен Active Directory:

Add-Computer -DomainName "corp.winitpro.ru " -Restart

Если нужно добавить дополнительных пользователей в администраторы, можно настроить групповую политику или добавить вручную:

Add-LocalGroupMember -Group "Administrators" -Member "corp\anovikov"

Для активации Windows Server нужно указать ваш ключ:

slmgr.vbs –ipk <productkey>
slmgr.vbs –ato

Или можно активировать хост на KMS сервере (например, для Windows Server 2019):

Разрешить удаленный доступ

Разрешить удаленный доступ к Server Core через RDP:

cscript C:\Windows\System32\Scregedit.wsf /ar 0

Разрешить удаленное управление:

Configure-SMRemoting.exe –Enable
Enable-NetFirewallRule -DisplayGroup “Windows Remote Management”

Сервером с Windows Server можно управлять удаленно c другого сервера (с помощью ServerManager.exe), через браузер с помощью Windows Admin Center (WAC), с любой рабочей станции с помощью инструментов администрирования RSAT, подключаться к нему по RDP, PowerShell Remoting или SSH (в современных версиях Windows есть встроенный SSH сервер).

Настройка Windows Firewall

Информация о настройке Windows Firewall есть в статье по ссылке. Здесь оставлю несколько базовых команд.

Включить Windows Defender Firewall для всех профилей:

Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True
Изменить тип сети с Public на Private:

Get-NetConnectionProfile | Set-NetConnectionProfile -NetworkCategory Private

Полностью отключить Windows Firewall (не рекомендуется):

Get-NetFirewallProfile | Set-NetFirewallProfile -enabled false

Разрешить подключение через инструменты удаленного управления:

Enable-NetFireWallRule -DisplayName “Windows Management Instrumentation (DCOM-In)”
Enable-NetFireWallRule -DisplayGroup “Remote Event Log Management”
Enable-NetFireWallRule -DisplayGroup “Remote Service Management”
Enable-NetFireWallRule -DisplayGroup “Remote Volume Management”
Enable-NetFireWallRule -DisplayGroup “Remote Scheduled Tasks Management”
Enable-NetFireWallRule -DisplayGroup “Windows Firewall Remote Management”
Enable-NetFirewallRule -DisplayGroup "Remote Administration"

Установка обновлений в Server Core

Для управления параметрами обновлений предпочтительно использовать групповые политики Windows Update, но можно задать параметры и вручную.

Отключить автоматическое обновление:
Set-ItemProperty -Path HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate\AU -Name AUOptions -Value 1
Автоматически скачивать доступные обновления:
Set-ItemProperty -Path HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate\AU -Name AUOptions -Value 3
Получить список установленных обновлений:
Get-Hotfix
Или
wmic qfe list
Для ручной установки обновлений Windows можно использовать утилиту wusa:
Wusa update_name.msu /quiet

Также для установки и управления обновлениями из командной строки удобно использовать PowerShell модуль PSWindowsUpdate.

Управление ролями, службами и процессами Windows

Для получения списка всех доступных ролей в Windows Server Core выполните команду PowerShell:

список всех ролей в windows server core Get-WindowsFeature

Получить список всех установленных ролей и компонентов в Windows Server(можно быстро понять, для чего используется сервер):

Get-WindowsFeature | Where-Object | ft Name,Installstate

Например, для установки службы DNS воспользуйтесь такой командой:

Install-WindowsFeature DNS -IncludeManagementTools

Список всех служб в Windows:

Список остановленных служб:

Restart-Service -Name spooler

Для управление процессами можно использовать стандартный диспетчер задач (taskmgr.exe) или PowerShell модуль Processes:

Get-Process cmd, proc1* | Select-Object ProcessName, StartTime, MainWindowTitle, Path, Company|ft

Часто используемые команды в Server Core

Ну и наконец, приведу список различных полезных мне команд, которые я периодически использую в Server Core.

Информация о статусе и здоровье физических дисков (используется стандартный модуль управления дисками Storage):

Get-PhysicalDisk | Sort Size | FT FriendlyName, Size, MediaType, SpindleSpeed, HealthStatus, OperationalStatus -AutoSize

информация о дисках и свободном месте в windows server core

Информация о времени последних 10 перезагрузок сервера:

Get-EventLog system | where-object | select -last 10

Get-ItemProperty HKLM:\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\* | Select-Object DisplayName, DisplayVersion, Publisher, InstallDate | Format-Table –AutoSize

Чтобы скопировать все файлы из каталога на удаленный компьютер по сети можно использовать Copy-Item:

$session = New-PSSession -ComputerName remotsnode1
Copy-Item -Path "C:\Logs\*" -ToSession $session -Destination "C:\Logs\" -Recurse -Force

Для установки драйвера можно использовать стандартную утилиту:

Pnputil –i –a c:\distr\hpdp.inf

Также Microsoft предлагает специальный пакет Server Core App Compatibility Feature on Demand (FOD), который позволяет установить в Windows Server 2019 некоторые графические инструменты и консоли (MMC, Eventvwr, Hyper-V Manager, PerfMon, Resmon, Explorer.exe, Device Manager, Powershell ISE). Этот FOD доступен для загрузки в виде ISO при наличии активной подписки. Установка выполняется командой:

Add-WindowsCapability -Online -Name ServerCore.AppCompatibility

Установка Server Core App Compatibility Feature on Demand будет использовать дополнительно около 200 Мб оперативной памяти в Server Core.

запуск explorer.exe в windows server core с помощью Server Core App Compatibility Feature on Demand (FOD),

В этой статье я постарался собрать самые нужные команды, которые нужно постоянно держать под рукой при работе с Windows Server Core. Время от времени я буду обновлять статью и добавлять новые команды, которые покажутся мне нужными для повседневной работы.

Target и source могут входить как в домен, так и в рабочую группу. Source может быть рабочим ПК администратора и работать под управлением Windows 7/8/8.1/10 с установленным пакетом RSAT соответствующей версии.

Рабочий ПК администратора не должен быть единственным местом откуда инфраструктурой можно управлять, его можно дополнить высокодоступным сервером размещенным в Microsoft Azure или Amazon, но их точкой отказа будет Интернет-канал.

Перейдем непостредственно к настройке удаленного управления.

Чтобы посмотреть текущее значение удаленного управления на target можно выполнить:

Для удаленного управления, на целевом сервере должен быть настроен WinRM, его текущую конфигурацию можно запросить так:

Обратите внимание, Device Manager недоступен для удаленного управления в любых сценариях:

Если Вам все-таки нужнен полноценный Device manager, вам придется установить хотя бы minimal GUI (о том, как это сделать написано выше).

Создадим и распространим на source и на target групповую политику, которой включим правила Firewall Remote Event Log Management, Remote Service Management, Windows Firewall Remote Management, Remote Volume Management:

Screen-Shot-2014-12-29-at-14.21.58

В кажом правиле можно указать с каких сетей (лучше выделить админов в отдельную сеть, чем указывать список IP админских машин) разрешен этот трафик, на каких профилях и т.д. Хорошим вариантом будет использование IPSec.

Этот вопрос важен и требует индивидуального планирования чтобы, с одной стороны, минимизировать возможности атак, а с другой стороны, обеспечить возможность администрирования из нескольких мест, вт.ч. на случай аварии.

Если вас интересует управление Windows Firewall с помощью PowerShell рекомендую эту статью.

После этого, на source нужно добавить имя target в TrustedHosts:

Set-Item WSMan : \ localhost \ Client \ TrustedHosts -Value % target_fqdn % -Concatenate -Force

После этого, можно будет использовать PowerShell remote sessions.

Вы можете посмотреть содержимое TrustedHosts:

Get-Item -Path WSMan : \ localhost \ Client \ TrustedHosts | fl Name , Value

.. и очистить его содержимое при необходимости:

Clear-Item -Path WSMan : \ localhost \ Client \ TrustedHosts

Теперь доступ к target есть по PowerShell, bus воспользуемся им чтобы включить на target таке правила firewall:

Set -NetFirewallRule -DisplayGroup "Windows Remote Management" -Enabled True -RemoteAddress "192.168.1.0/24" Set -NetFirewallRule -DisplayGroup "Remote Event Log Management" -Enabled True -RemoteAddress "192.168.1.0/24" Set -NetFirewallRule -DisplayGroup "Remote Service Management" -Enabled True -RemoteAddress "192.168.1.0/24" Set -NetFirewallRule -DisplayGroup "Windows Firewall Remote Management" -Enabled True -RemoteAddress "192.168.1.0/24" Set -NetFirewallRule -DisplayGroup "Remote Volume Management" -Enabled True -RemoteAddress "192.168.1.0/24" Set -NetFirewallRule -DisplayGroup "File and Printer Sharing" -Enabled True -RemoteAddress "192.168.1.0/24"

Чтобы снять ограничения которые накладывает UAC на target нужно выполнить:

New - ItemProperty - Name LocalAccountTokenFilterPolicy - path HKLM : \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System - propertyType DWord - value 1

Если вам нужно управлять старыми версиями Windows Server, это сделать можно, 2012R2 и 2012 добавляются без проблем, а вот на 2008R2 и 2008 нужно будет поставить WMF 3.0 + Hotfix + выполнить:

После этого (само собой нужно включить правила firewall, о которых выше) серверами 2008 и 2008R2 можно будет ограниченно управлять, но нельзя, например, устанавливать роли и фичи.

Вообще, запускать скрипты без цифровой подписи в рабочей инфраструктуре не очень хорошо, поэтому есть смысл поставить политику AllSigned:

Если серверов больше чем несколько, есть смысл сделать это через групповую политику (Administrative Templates\Windows Components\Windows PowerShell):

Screen Shot 2015-07-01 at 14.43.27

Вот еще наглядный пример, почему большинство задач желательно выполнять через Remote Access:

Screen Shot 2015-07-01 at 14.47.17

Screen Shot 2015-07-01 at 14.53.32

Для подписи скриптов я буду использовать Comodo Code Signing certificate:

Screen Shot 2015-07-01 at 15.16.29

Для подписывания используется командлет Set-AuthenticodeSignature :

Screen Shot 2015-07-01 at 15.17.27

Подписанный скрипт будет выглядеть следующим образом:

Screen Shot 2015-07-01 at 15.19.19

Screen Shot 2015-07-01 at 15.26.16

Если вы используете для подписывания самозаверенный сертификат его нужно будет добавить на все сервера где планируется запуск подписанных им скриптов.
Так что самозаверенные сертификаты, как всегда, лучше не использовать.

Добавление Windows Sever 2003 я не описываю т.к. во-первых в нем потолок PS 2.0, во-вторых его поддержка заканчивается в обозримом будущем, а в-третьих за годы его эксплуатации процессы управления наверняка налажены и менять их нецелесообразно.

Screen Shot 2014-12-30 at 11.33.23

Новый Server Manager сделал большой шаг перед на пути к выполнению массовых операций, но на практике PowerShell более функционален.

Команду на удаленном компьютере можно выполнить указав в Invoke-Command -ComputerName (по-умолчанию Invoke-Command добавляется ко всем командлетам выполняемым локально):

Screen Shot 2015-07-01 at 11.58.03

Если команду нужно выполнить на нескольких сервера, откроем на них сессии и выполним операции на каждом параллельно:

Screen Shot 2015-07-02 at 20.56.14

Можете посмотреть разницу в скорости выполнения командлетов:

Screen Shot 2015-07-02 at 21.04.21

Подробнее про управление:

Надеюсь озвученная информация будет полезной, а если нужна будет помощь — используйте форму на главной странице моего сайта.

Читайте также: