Administração Remota do Windows Server: Como posso ativar a administração da GUI de um servidor central no Active Directory com o mínimo de alterações?

Navegue suas respostas
1

Eu quero ser capaz de gerenciar totalmente os servidores em um ambiente do Active Directory usando uma GUI de um servidor Windows central.

Eu levo esta questão para o Server Fault porque parece haver vários tipos de "Gerenciamento Remoto" no Windows Server e os vários artigos que eu encontrei descrevem a ativação de maneiras diferentes e confusas.

Um exemplo do meu fluxo de trabalho ideal:

  1. Faça login no único servidor central com uma GUI.
  2. Vá para Todos os servidores e clique com o botão direito do mouse no servidor que desejo gerenciar.
  3. Clique em "Gerenciamento do Computador" e seja capaz de gerenciar os itens disponíveis para fazer isso através desse MMC. ou seja, Gerenciamento de Disco, Gerenciador de Dispositivos, Agendador de Tarefas, etc.

Ao pesquisar como fazer isso, as seguintes coisas são o que me confundem:

  1. Tenho que habilitar exceções de firewall para gerenciar funções específicas remotamente. Por exemplo, o Gerenciamento de disco exige que o grupo de firewall Gerenciamento de volume remoto esteja ativado. Isso é separado do "Configure Remote Management" disponível no sconfig.cmd do servidor Core
  2. Eu tenho que fazer isso no servidor a ser gerenciado e no servidor fazendo o gerenciamento.
  3. O Gerenciamento Remoto do Windows não é um resumo de todas essas funções.

# 1 me confunde porque entrar em sconfig.cmd na instalação do Core de um servidor a ser gerenciado diz 4) Configure Remote Management Enabled . Então presumivelmente isso já deveria fazer isso. Se não está fazendo isso, o que está realmente permitindo?

# 2 me confunde porque esses grupos de firewall afetam somente as conexões de entrada. Por que isso seria relevante para o servidor de gerenciamento, não sei.

# 3 me confunde porque parece que é algo específico para o gerenciamento do Powershell / Command Prompt e não tem nada a ver com a ativação dos componentes individuais. Parece uma má escolha de nomes ou falta de esclarecimento. Eu não tenho certeza disso, no entanto.

A minha principal questão é: Como faço para conseguir o que quero com o mínimo de alterações de firewall / configuração no Active Directory?

Estou chegando a isso do ângulo errado ou entendendo mal alguma coisa sobre como ativar esses recursos? Parece que isso é mais trabalho do que precisa ser, e confuso do que o necessário, dado o quão amplamente usado eu esperaria que esses recursos fossem.

Se eu prosseguir com os vários guias que encontrei, provavelmente ativarei / permitirei coisas que não devem ou não precisam ser ativadas / permitidas.

    
por Payden K. Pringle 12.12.2017 / 21:33

1 resposta

1

How do I achieve what I want with minimal firewall/setting changes in Active Directory?

O Windows já existe há algumas décadas. Existem muitos protocolos mais antigos. Existem vários protocolos usados e muitas ferramentas. As ferramentas mais antigas não foram totalmente transferidas para os protocolos mais recentes.

Infelizmente, isso significa permitir o gerenciamento com todas as várias ferramentas, você fará muitas exceções relacionadas ao WinRM, WMI, RPC, DCOM, SMB e assim por diante.

É claro que se todos os seus gerenciamentos remotos forem executados por algum tipo de computador de acesso privilegiado, você poderá fazer uma grande exceção para esse sistema privilegiado, em vez de fazer exceções por protocolo.

1) confuses me because going into sconfig.cmd on the Core installation

Essa opção é focada principalmente em fazer com que o controle remoto do ServerManager e do PowerShell funcionem. Estes são os protocolos de gerenciamento 'novos / atuais'. Não faz as exceções necessárias para as ferramentas mais antigas.

3) confuses me because it seems that's something specifically for Powershell/Command Prompt management and has nothing to do with enabling the individual components. It seems like a poor naming choice, or lack of clarification

O WinRM é uma tecnologia específica que é nova (ish) como parte da estrutura de gerenciamento do Windows e do Powershell. Você poderia argumentar que é um nome ambíguo. Mas métodos de comunicação mais antigos usando RPC, DCOM e assim por diante também tinham nomes irritantes. A maioria das novas funcionalidades foi focada no uso do WinRM.

    
por 12.12.2017 / 23:52

Tags

Não é possível clonar URIs do GIT baseados em ssh em um contêiner do Windows Preciso redefinir regras de ftp de entrada sensatas para o firewall do Windows (win7)