我希望能够使用中央 Windows Server 的 GUI 完全管理 Active Directory 环境中的服务器。
我向 Server Fault 提出这个问题是因为 Windows Server 中似乎有多种类型的“远程管理”,并且我发现的各种文章都描述了以不同的、令人困惑的方式启用它。
我的理想工作流程示例:
- 登录唯一具有 GUI 的中央服务器。
- 转到所有服务器并右键单击我想要管理的服务器。
- 单击“计算机管理”,即可通过该 MMC 管理可用的内容,例如磁盘管理、设备管理器、任务计划程序等。
在研究如何做到这一点时,以下事情让我感到困惑:
- 我必须启用防火墙例外才能远程管理特定功能。例如,磁盘管理需要启用远程卷管理防火墙组。这与核心服务器的“配置远程管理”不同
sconfig.cmd - 我必须在要管理的服务器和执行管理的服务器上执行此操作。
- Windows 远程管理并不能涵盖所有这些功能。
#1 让我感到困惑,因为进入sconfig.cmd要管理的服务器的核心安装时会显示4) Configure Remote Management Enabled。因此,这应该已经做到了这一点。如果它没有做到这一点,那么它实际上启用了什么?
#2 让我感到困惑,因为这些防火墙组只影响传入连接。我不知道这为什么与管理服务器有关。
#3 让我感到困惑,因为这似乎是专门用于 Powershell/命令提示符管理的东西,与启用单个组件无关。这似乎是一个糟糕的命名选择,或者缺乏澄清。但我对此并不确定。
我的主要问题是:如何通过 Active Directory 中最少的防火墙/设置更改来实现我想要的效果?
我是不是从错误的角度看待这个问题,或者误解了如何启用这些功能?考虑到我预计这些功能的使用范围,这似乎比实际需要的要多,而且比必要的更令人困惑。
如果我按照我找到的各种指南继续操作,我可能会启用/允许那些不应该或不需要启用/允许的事情。
答案1
如何通过 Active Directory 中最少的防火墙/设置更改来实现我想要的效果?
Windows 已经存在了几十年了。有很多旧协议。有几种协议被使用,还有许多工具。旧工具尚未完全过渡到最新协议。
不幸的是,这意味着要允许使用各种工具进行管理,您将做出许多与 WinRM、WMI、RPC、DCOM、SMB 等相关的例外。
当然,如果您的所有远程管理都由某种特权访问计算机执行,那么您可以为该特权系统做出重大例外,而不是根据协议做出例外。
1) 让我感到困惑,因为在核心安装中进入 sconfig.cmd
该选项主要侧重于使 ServerManager 和 Powershell 远程工作。这些是“新/当前”管理协议。它不会对旧工具做出必要的例外。
3) 让我感到困惑,因为这似乎是专门用于 Powershell/命令提示符管理的东西,与启用单个组件无关。这似乎是一个糟糕的命名选择,或者缺乏澄清
WinRM 是一种特定技术,它是 Windows 管理框架和 Powershell 的一部分,比较新。您可能会说它的名称含糊不清。但使用 RPC、DCOM 等的旧通信方法也有令人讨厌的名称。大多数新功能都集中在使用 WinRM 上。