Experto en varios temas: Configurar la administración remota con el Administrador de servidores

Administración remota no era posible con Windows Server 2008. Se perfecciona con la versión R2, pero tendrá que seguir deberes para ello.

Greg Shields

¿Recuerda el día que se ha colocado en primer lugar las manos en Windows Server 2008? Eso fue un día e interesante. Había sido cinco años largos desde el último sistema operativo de servidor principal versión. No se pudo finalizar la instalación de la primera con la suficiente rapidez.

Escribió su nombre de usuario y contraseña en la pantalla de inicio de sesión. Se han presentado un nuevo asistente llamado a tareas de configuración inicial. Al cerrar el asistente, tiene un primer vistazo en el Administrador de servidores ballyhooed de mucho.

"Esto es," puede que crea deambulando como hizo a través de los roles y características. "Desde esta pantalla única, han finalmente integrado todas las consolas de administración en un solo lugar. Ahora, voy con el botón secundario en la parte superior y elija lo para administrar el otro servidor. Perdón, espere un minuto de …"

Ya sabe qué ha ocurrido a continuación. Que cuando estaba realizadas a que la primera versión del administrador del servidor no era una solución para la administración remota. Justos, anterior a la publicación de Windows Server 2008, Microsoft anunció que no iba a ser una solución para la administración remota. Aún así, la mayoría de nosotros se encuentra todavía nosotros mismos aturdidos tal y como nos dimos cuenta de que la funcionalidad de administrador del servidor remoto eally no existe.

Conectarse a otro Computerh

Afortunadamente, Microsoft escucha a sus clientes. Que la funcionalidad remota ha llegado al final con Microsoft Windows Server 2008 R2. Con el sistema operativo actual de ahora, el botón secundario en el nodo de nivel superior en el Administrador de servidor expone un menú de contexto nuevo elemento denominado "Conectarse a otro equipo."

Con el nuevo elemento del menú contextual no significa necesariamente que funciona de la casilla. Jefe de seguridad en el nodo de nivel superior en el administrador del servidor. Haga clic en el nombre del servidor y elija conectar con otro equipo. Encontrará otra sorpresa. El primer intento de administración remota de ese equipo no funcione. En su lugar, encontrará un mensaje de error similar a figura 1. Para obtener la administración remota del Administrador de servidor listo para su uso, se requiere que primero configurar algunas opciones de configuración.

Figura 1 el mensaje de error asociado a "Conectarse a otro equipo."

Para comprender por qué estos valores son necesarios, tendrá que mirar remoto cómo funciona la administración en el interior. Parte de la funcionalidad de administración remota del administrador del servidor se proporciona mediante Windows PowerShell. Realizar un cambio en el administrador del servidor de configuración, en realidad ejecuta un comando de Windows PowerShell en segundo plano. Administrador de servidores proporciona la interfaz para estas actividades, la ejecución de los comandos de Windows PowerShell en su nombre y el reporting de sus resultados.

Windows PowerShell es sólo el mecanismo para enviar comandos remotos. Para completar el círculo, cada servidor remoto también necesita un servicio para escuchar comandos entrantes y ejecutarlas localmente. Ese servicio es la administración remota de Windows (WinRM), que no está activado ni configurado de forma predeterminada. Puede utilizar Directiva de grupo para activarla.

Crear un nuevo objeto de directiva de grupo (GPO) y vincularlo a una unidad organizativa de servidores. A continuación, vaya a configuración del equipo | Directivas | Plantillas administrativas | Componentes de Windows | Administración remota de Windows | Servicio WinRM. Encontrará varias opciones de configuración, lo más importante de los cuales es permitir la configuración automática de escuchas. Esta configuración de WinRM se activa y se le indica que estar atento a los comandos de administración remota.

Figura 2 Permitir configuración automática de los agentes de escucha.

Una vez que haya habilitado la página de configuración (consulte figura 2), puede restringir qué hosts pueden administrar servidores remotamente por intervalo de IP. Desea limitar esto a los equipos de personal de TI que confía para realizar la administración remota.

Hay una segunda opción de GPO, que tendrá que ajustar para entornos que funcionan con el Firewall de Windows activado. Vaya a configuración del equipo | Directivas | Configuración de Windows | Configuración de seguridad | Firewall de Windows con seguridad avanzada. Crear tres reglas de entrada predefinidas que permiten el tráfico de la administración remota de registro de sucesos, administración remota de servicios y experiencias de administración remota de Firewall de Windows.

Si la directiva de grupo no es una opción, también puede habilitar manualmente en el Administrador de servidor de administración remota. Iniciar haciendo clic en el vínculo titulado "Configurar servidor de administración remota del administrador" y verá un cuadro de diálogo (consulte figura 3). La casilla de verificación había marcado Habilitar la administración remota de este servidor desde otros equipos. Necesitará esta casilla de verificación en cualquier servidor que desea administrar desde otro lugar.

Figura 3 Configurar administración de administrador del servidor remoto.

Ahora está listo para empezar a gestionar otros equipos de Windows Server 2008 R2 de forma remota. Primero debe instalar las herramientas asociadas con la administración remotas roles, servicios de rol y características en el equipo local desde la función de las herramientas de administración remota del servidor. Hay determinadas tareas que no se puede utilizar administración remota del administrador del servidor. Entre éstas se encuentran:

• Agregar o quitar roles, servicios de rol y características
• Configurar las opciones de escritorio remoto
• Configurar las propiedades del sistema
• Buscar nuevos roles
• Cambiar la configuración de actualización automática de Windows
• Cambiar la configuración de red
• Cambiar la pertenencia al dominio o de nombre de equipo
• Cambiar la configuración de seguridad avanzada de Internet Explorer
• Ejecutar al Asistente para configuración de seguridad si el equipo de origen es un servidor que ejecuta Windows Server 2008 R2

Adiós RPC, WinRM Hello

Realizar administración remota con la administración remota de Windows (WinRM) puede requerir un poco más el programa de instalación, pero terminará con una mejor arquitectura para la administración del servidor remoto. ¿Por qué? En esencia, WinRM está diseñado para administrar servidores de Windows en un mínimo de puertos de red. Se comunica utilizando sólo el protocolo HTTP a través de un solo puerto: TCP/5985. Que la combinación única de puerto y protocolo elimina muchos de los problemas de seguridad de red atribuidos a la llamada a procedimiento remoto (RPC)-herramientas de los últimos basadas en.

Administrar servidores a través de RPC, como probablemente sepa, es necesario abrir un gran intervalo de puertos en cada servidor de Windows. Eso no es bueno para la seguridad. WinRM, por otro lado, proporciona un mecanismo para administrar los servidores a través de un punto de entrada de red única y well-guarded. El bloqueo a un pequeño intervalo de direcciones IP de origen de confianza más protege los servidores desde los atacantes.

Reducir la administración remota a un solo puerto también ayuda a cuando los servidores que se están administrando se encuentran en el otro lado de un servidor de seguridad. Usar WinRM, puede administrar remotamente los servidores en los perímetros de red o otras redes protegidas sin exponerlas significativamente a los ataques.

Administración remota del administrador del servidor de hoy en día todavía puede estar un poco limitada en lo que puede realizar a través de la red. Sin embargo, el movimiento WinRM y Windows PowerShell, como el protocolo y el shell de señales de elección que Microsoft está avanzando en la dirección correcta.

¿Quién sabe, algún día pronto nos podríamos estar rid de administración basada en RPC para siempre. Ahora que es un día absolutamente que desee recordar.

Greg Shields* *, MVP, es socio de Concentrated Technology. Obtener el máximo partido de las pletinas descuidarse trucos y en ConcentratedTech.com.

Contenido relacionado

• Experto en varios temas: Supervisión de servidores a System Center Essentials 2010
• Experto en varios temas: 6 Consejos para el cumplimiento de normas de 100 por ciento WSUS
• Experto en varios temas: La singularidad de la solución de problemas