Введение
Ранние версии Windows Server имели графический интерфейс, похожий на другие аналогичные клиенты. Это упрощало администрирование, поскольку пользователю не нужно было изучать два разных интерфейса. Для удаленного администрирования нужно было подключиться к серверу с помощью удаленного рабочего стола. Однако информация сеанса терялась по завершении сеанса RDP . С переходом к версиям Windows Server без GUI-интерфейса возникла необходимость удаленного управления сервером без входа или выхода из сеанса RDP . Пакет, включающий в себя средства удаленного администрирования сервера ( RSAT ), был создан специально для решения этой проблемы.
В этой статье мы рассмотрим, что представляют собой инструменты RSAT в Windows 10 , а также запустим « Диспетчер серверов » и попытаемся подключиться к удаленному серверу.
Добавление серверов в «Диспетчер серверов»
Для добавления серверов, которым мы хотим управлять открываем Управление -> Добавление серверов.
В открывшемся окне нам нужна вкладка DNS (ну или вы можете создать текстовый файл со списком IP-адресов ваших серверов и воспользоваться вкладкой Импорт). Вводим в строке поиска IP-адрес или имя нашего сервера, жмём лупу и добавляем нужный сервер в список:
После того, как все сервера добавлены в список жмём ОК:
Если серверы находятся в вашем домене и у вас есть права Администратора, то на этом настройку Диспетчера серверов можно заканчивать.
Если же серверы находятся в неродном для вашего ПК домене, придётся выполнить ещё ряд настроек.
Версии Windows 10
Чтобы включить Active Directory-пользователи и компьютеры на ПК с Windows 10, сначала необходимо установить RSAT — средства удаленного администрирования сервера. Если вы используете более старую версию Windows 10, то есть 1803 или ниже, вам нужно будет загрузить файлы RSAT из центра загрузки Microsoft.
С другой стороны, во всех версиях Windows 10, начиная с выпуска 10 октября 2020 года, RSAT включен как «Функция по требованию». Вам не нужно загружать инструменты, а только устанавливать и включать их
Обратите внимание, что только выпуски Enterprise и Professional поддерживают RSAT и Active Directory
Как подготовиться к установке
- Проверьте настройки DNS-сервера. Для этого с помощью команды ping с каждого сервера свяжитесь с контроллером домена и наоборот.
- Сохраните MSI-файл инсталляционного пакета программы \server\ks4ws_x86(x64).msi или Средств администрирования \client\ks4wstools_x86(x64).msi, соответствующий разрядности установленной версии операционной системы, в папке общего доступа на контроллере домена, с которого вы будете устанавливать программы на файловые серверы. Вы можете сохранить его в папке общего доступа по умолчанию на контроллере домена или создать новую.
- Чтобы принять условия Лицензионного соглашения и Политики конфиденциальности, в этой же папке общего доступа на контроллере домена создайте файл install_props.json и добавьте в него следующие строки:
{
«EULA»: «1»,
«PRIVACYPOLICY»: «1»
}
Kaspersky Security для Windows Server через групповые политики Active Directory может быть установлен только с настройками по умолчанию.
Активация сервера лицензирования RDP
Поддержи автора статьи, просмотри рекламу ↓↓↓
Мастер активации сервера, первый запуск
Сведения об организации
Мастер активация сервера, завершение работы
Поддержи автора статьи, просмотри рекламу ↓↓↓
Мастер установки лицензий, запуск
Выбор метода подключения
Номер соглашения
Версия продукта
Мастер установки лицензий, завершение
Поддержи автора статьи, просмотри рекламу ↓↓↓
Успешное завершение активации сервера лицензирования
Важный этап — указание сервера лицензирования, т.к. начиная с Windows 2012R2 эту опцию перенесли в групповые политики:
Указание типа лицензирования — на пользователя
Проверка работы службы терминалов
Что такое завершение поддержки?
Как говорится, ничто не вечно. И в определенный момент Microsoft прекращает выпуск патчей для устаревшего программного обеспечения. Дата, до которой Microsoft выпускает обновления для продукта, называется датой окончания поддержки. И после того, как эта дата пройдет, устаревшая версия ОС станет легкой мишенью для вредоносных программ, поскольку она больше не будет получать обновления безопасности и, следовательно, будет уязвима для новых эксплоитов.
Операционные системы Microsoft обычно поддерживаются не менее 10 лет. Например, популярный Windows Server 2003, выпущенный в апреле 2003 года, имел расширенную поддержку, которая закончились в 2015 году. Расширенная поддержка Windows Server 2008 R2 должна закончиться в январе 2020 года, а Windows Server 2012 R2 продолжит получать обновления по крайней мере до октября 2023 года. Версии Server 2016 и 2019 будут получать обновления по 2027 и 2029 год соответственно. Поэтому в целях безопасности организациям на самом деле следует использовать только свежие версии Windows Server.
Различия в лицензировании Windows Server 2016 и новее
Хотя цены на Windows Server 2012 R2, 2016, 2019 одинаковы, если вы используете стандартную лицензию или лицензию Datacenter на Windows Server 2016 или новее, есть некоторые ключевые изменения, о которых вам необходимо знать. Прежде всего, в то время как лицензии Windows Server исторически продавались для каждого процессора / сокета, в Windows Server 2016 модель лицензирования переключалась на каждое ядро.
Таким образом, если у вас есть сервер, содержащий 2 процессора с 24 ядрами , в Windows Server 2012 вам нужно будет купить только одну лицензию Standard или Datacenter. В Windows Server 2016 вам придется покупать лицензии на все 24 ядра. Это становится довольно сложно, так как есть много правил, но главное — если у вас есть 16-ядерный сервер, затраты будут примерно такими же. Однако лицензирование ОС может быть более дорогим на серверах с более высокой плотностью ядра.
Несмотря на изменение лицензии на ядро, правила виртуализации остаются такими же в Windows Server 2016 и новее. После того, как вы лицензировали все свои ядра на сервере, со стандартной версией вы получаете 2 лицензии гостевой ОС Windows Server по сравнению с неограниченным количеством в версии Datacenter.
Кроме того, набор функций в Windows Server 2012 Standard и Datacenter был одинаковым. Но некоторые функции Windows Server 2016, например, такие, как Storage Spaces Direct или экранированные виртуальные машины, доступны только в выпуске Datacenter.
Что такое Active Directory в Windows 10 и для чего это нужно
Компания «Майкрософт» разработала новую программу, позволяющую объединить все объекты сети (компьютеры, роутеры, принтеры, профили пользователей, серверы) в единую систему. Называется это хранилище — Active Directory или Активный каталог (сокращенно AD).
Для реализации этой программы нужен специальный сервер, вернее, контроллер домена. В нем будет храниться вся информация. Через него выполняется аутентификация (через протокол Kerberos) пользователей и различных устройств в сети. Контроллер домена будет мониторить доступ к объектам своей сети, то есть разрешать запрашиваемое действие или, наоборот, блокировать его.
Использование Active Directory имеет ряд преимуществ. Эта программа обеспечивает безопасную работу, упрощает взаимодействие различных объектов одной сети. С помощью AD можно ограничить ряд функций для определенных пользователей. Данные, хранящиеся на таком сервере, защищены от внешнего доступа. Службы AD обеспечивают удобный обмен файлами (на основе технологии DFS), объединяют все объекты в одну систему (поддерживается стандарт LDAP). Возможна интеграция с Windows Server через протокол RADIUS.
Программу Active Directory можно использовать на базе профессиональной редакции Win10. Существует специальный инструмент управления доменами (оснастка ADUC), позволяющий адаптировать AD к своей ОС. Этот адаптер позволяет контролировать и управлять объектами сети. Прежде чем использовать ADUC, рекомендуется установить сервис RSAT, включающий Командную строчку, Power Shell, а также средства удаленного администрирования сервера.
Важно! Active Directory выступает в роли каталога, хранилища информации о пользователях и инфраструктуре сети. Реализация этого проекта осуществляется через контроллер домена
Это сервер контролирует доступ (разрешает или блокирует запросы) к объектам своей сети. AD рекомендуется использовать для больших компаний.
Возможные проблемы
Подключение было запрещено
Скорее всего вы при попытке подключиться увидите сообщение:»Подключение было запрещено, так как учетная запись пользователя не имеет прав для удаленного входа в систему»,
а всё из-за того, что 1 — терминальный сервер не настроен в домене на разрешение подключения к нему определённых пользователей; 2 — вы не добавили в группу Пользователи удаленного рабочего стола ни одного пользователя.
CredSSP
Ещё можете столкнуться с такой вот ошибкой: An authentication error has occurred. The function is not supported. This could be due to CredSSP encryption oracle remediation.
А возникновение этой ошибки связано с тем, что на терминальном Windows сервере, на который идёт подключение, не установлены последние обновления безопасности (CredSSP обновления для CVE-2018-0886). После обновления система по умолчанию запрещает подключаться к удалённым серверам по RDP со старой версией протокола CredSSP.
Отсутствуют доступные серверы лицензирования удаленных рабочих столов
После настройки сервера всё шло хорошо, но только 120 дней. Потом случилось следущее:
А это означает что у вас установлен ключ льготного периода (grace period licensing), который необходимо удалить. Для этого вам нужно залогиниться на сервер локально.
Где удалять ключ льготного периода? В реестре под именем L$RTMTIMEBOMB. Идём по ветке реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM\GracePeriod
Но не тут то было! У вас недостаточно прав, но и это нас не остановит. Жмём правой кнопкой мыши и меняем владельца на ветку реестра и даём полные права самому себе, после чего спокойно удаляем эту гадость).
Если не поможет, то советую переустановить роли и компоненты.
Поддержание информационной безопасности при удаленном обслуживании компьютеров
Безопасность удаленных подключений принято обеспечивать с помощью надежного шифрования (AES или RC4) передаваемой и принимаемой информации и локальных политик безопасности, блокирующих угрозу перехвата данных или подбора пароля посторонними лицами.
Современные способы удаленного управления, применяемые на основе принципов открытости и прозрачности, которых придерживается и компания ALP Group, технически не позволяют вмешиваться в действия пользователя компьютера или следить за его деятельностью без его согласия. В большинстве случаев запрещается одновременная работа пользователя и системного администратора, что способствует существенному снижению информационных рисков.
Дополнительные возможности ведения бизнес-деятельности при удаленном обслуживании компьютеров:
- функция подключения пользователей к рабочим станциям в офисе во время командировки и при работе из дома;
- подключение сотрудников обслуживаемого предприятия к внутренним сетевым ресурсам (терминал-сервер, система «1С» и др.);
- проведение онлайн-презентаций, конференций, вебинаров;
- обучение и удаленный контроль сотрудников с использованием видеонаблюдения и системы контроля доступа.
Если оказывается, что удаленно решить проблемы невозможно, ИТ специалист компании-аутсорсера в минимально возможный срок, заранее согласованный в SLA, прибывает на территорию заказчика и устраняет возникшую неполадку. Дополнительным способом обеспечения непрерывности бизнес-деятельности предприятия при удаленном администрировании компьютеров и серверов остается наличие резервных рабочих станций и оборудования, о чем также следует помнить.
Внедрение технологии удаленного доступа предоставляет клиентской компании множество весомых преимуществ, позволяя сохранять средства, но не экономить на качестве обслуживания. Современные технологии дают возможность осуществлять администрирование удаленно так же эффективно, как и при физическом присутствии ИТ специалиста в офисе заказчика.
Установка RSAT на Windows 10
Средства администрирования устанавливаются на обе версии «десятки» — 64 и 86 разрядности. Напомним, что на домашнюю версию Home установить их не получится. Кроме того, пользователям нужно удалить все ранние версии RSAT, чтобы установка актуального пакета прошла успешно.
Скачиваем установочный файл на официальном сайте Microsoft (https://www.microsoft.com/ru-RU/download/details.aspx?id=45520). После нажатия кнопки «Download» нам предложат выбрать подходящий файл. Выбираем тот, который подходит к разрядности вашей системы. Нажимаем «Next».
Запускаем установочный файл и дожидаемся окончания установки обновлений. Это может занять продолжительное время.
Где скачать и как установить
Вначале нужно выполнить установку RSAT на свой ПК. По умолчанию этот инструмент в Win 10 отсутствует. С помощью RSAT удастся дистанционно управлять объектами сети с использованием Диспетчера серверов. Этот сервис нельзя загрузить на ноутбук, работающий на основе Домашней или Стандартной версии. RSAT разрешается скачивать на мощные ПК, имеющие Профессиональную или Корпоративную редакцию Win 10.
Как самостоятельно скачать RSAT:
зайти на сайт «Майкрософт»;
- найти «Remote Server Administration Tools» (для конкретной редакции Win 10);
- выбрать пакет, соответствующий конкретной разрядности (х64 или х86);
- нажать на Download;
- добавить RSAT на свой ПК;
- в ходе установки активировать инсталляцию сопутствующих обновлений;
- в конце перезапустить ПК.
Завершив скачивание RSAT, рекомендуется выполнить активацию этого средства на своем ПК:
- вызвать Control Panel;
- отыскать подпункт «Programs and Features»;
кликнуть по «Turn Windows features on or off»;
- появится окошко «Win Feature»;
- отыскать «Remote Server Administration Tools»;
- раскрыть ветку;
- найти «Role Administration Tools»;
- пометить птичкой «AD DS and AD LDS Tools» и другие строчки в этой ветке (должны быть активными по умолчанию);
- выделить «AD DS Tools» и нажать на «ОК».
Установку ADUC удастся выполнить из «Командной строчки с помощью таких команд:
- «Dism / online / enable-feature / featurename:RSAT Client-Roles-AD»;
- «Dism / online / enable-feature / featurename:RSAT Client-Roles-AD-DS»;
- «Dism / online / enable-feature / featurename:RSAT Client-Roles-AD-DS-SnapIns».
Важно! После скачивания инструментов нужно вызвать Панель управления и зайти в подпункт «Administrative Tools». Там должна появиться новая опция под названием «Active Directory Users and Computers»
После появления этого инструмента разрешается подсоединиться к контроллеру. Выполнить это действие пользователь сможет самостоятельно.
Включение
1. Открываем сведения о системе. В Windows Server 2012 R2 / 2016 или 10 кликаем правой кнопкой мыши по Пуск и выбираем Система.
В Windows Server 2012 / 8 и ниже открываем проводник или меню Пуск. Кликаем правой кнопкой по Компьютер и выбираем Свойства.
2. Настраиваем удаленный рабочий стол. В меню слева кликаем по Настройка удаленного доступа.
В открывшемся окне ставим переключатель в положение Разрешить удаленные подключения к этому компьютеру.
* желательно, если будет установлен флажок Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети. Но если компьютер, с которого мы будем заходить с устаревшей операционной системой, это может вызвать проблемы.
Конфигурирование RDP
Windows
Remote Desktop Connection
Откройте Панель Управления и перейдите в Система и Безопасность -> Система
Панель Управления
System properties
Доступны три опции под пунктом «Удаленный рабочий стол»:
- Не разрешать удаленные подключения к этому компьютеру» — Эта опция предотвращает пользователей от подключений к их компьютерам с использованием Remote Desktop Connection или RemoteApp. RemoteApp подключение отличается тем, что соединение происходит к одному приложению.
- «Разрешить удаленные подключение к этому компьютеру» (Windows 10 и Windows 8.1) или «Разрешать подключения от компьютеров с любой версией удаленного рабочего стола» (в Windows 7) — это позволит пользователям, использующим любую версию RemoteApp или Remote Desktop Connection, подключаться к вашему компьютеру. Используйте этот режим, если вы не уверены, какую версию удаленного рабочего стола клиент будет использовать, или если они используют стороннее приложение Remote Desktop Connection. Например, клиентам Ubuntu вероятно потребуется вторая опция.
- «Разрешать подключения только от компьютеров с удаленным рабочим столом с сетевой проверкой подлинности» — эта опция ограничивает Remote Desktop Connections до использования версий, которые имеют Network Level Authentication. Network Level Authentication была введена в Remote Desktop Client 6.0. Если компьютер клиента запущен под управлением Windows 10, Windows 8.1, Windows 7 или он недавно скачал клиент Remote Desktop Connection, то используйте эту опцию, так как этот режим более защищенный.
Теперь можно нажать «ОК», и клиенты смогут войти в ваш компьютер через Remote Desktop Connection, используя учетные данные для пользователей группы администраторов.
Если служба ролей узла сеанса удаленного рабочего стола не установлена на компьютере, количество подключений ограничено максимум двумя одновременными подключениями к этому компьютеру.
Windows Server
Remote Desktop Services
Установка RDS
Установка RDS
Remote Desktop Licensing (RD Licensing), бывший Terminal Services Licensing (TS Licensing), управляет лицензиями доступа клиентов служб удаленного рабочего стола (RDS CAL), которые необходимы для каждого устройства или пользователя для подключения к серверу узла сеанса удаленного рабочего стола (RD Session Host). RD Licensing используется для установки, выпуска и отслеживания доступности лицензий RDS CAL на сервере лицензий удаленного рабочего стола.
Когда клиент — либо пользователь, либо устройство — подключается к серверу узла сеанса удаленного рабочего стола, сервер определяет, нужна ли лицензия RDS CAL. Сервер узла сеанса удаленного рабочего стола затем запрашивает RDS CAL из сервера лицензий удаленного рабочего стола от имени клиента, пытающегося подключиться к серверу узла сеанса удаленного рабочего стола. Если подходящая RDS CAL доступна на сервере лицензий, RDS CAL выдается клиенту, и клиент может подключаться к серверу узла сеанса удаленного рабочего стола.
Чтобы изменить число одновременных удаленных соединений разрешенный для подключения:
- На сервере узла сеанса удаленного рабочего стола откройте конфигурацию узла сеанса удаленного рабочего стола. Чтобы это сделать, кликнете Пуск, затем Административные Инструменты, потом Службы удаленного рабочего стола, и наконец конфигурация узла сеанса удаленного рабочего стола.
- Под «Подключения» кликнете правой кнопкой на имя подключения и нажмите свойства.
- В диалоговом окне «Свойства» на вкладке «Сетевой адаптер» выберите «Максимум подключений», теперь введите требуемое число подключений и нажмите «ОК».
Если опция максимума соединений выбрана и отображается серым цветом, значит включена установка групповой политики лимита подключений и применена на сервере узла сеанса удаленного рабочего стола. Вы можете также установить максимальное число разрешенных одновременных подключений, применяя установку групповой политики лимита числа подключений. Эта установка групповой политики находится в и может быть изменена с помощью редактора локальных групповых политик или консоли управления групповыми политиками (GPMC). Установка групповой политики имеет преимущество над установкой, примененной в конфигурации узла сеанса удаленного рабочего стола.
Открываем msc windows оснастки через командную строку
msc windows оснастки Добрый день уважаемые читатели и подписчики блога, сегодня мы с вами поговорим на тему как открыть msc windows оснастки через командную строку, для чего это может быть вам нужно и как это поможет в повседневной практике системного администратора. Поверьте полученные знания в этой статье, в будущем смогут вам сэкономить огромное количество времени и нервных клеток, не говоря уже о возможности блеснуть задротскими знаниями перед вашими коллегами, просто если вы активно используете linux системы и знаете основные команды в консоли, то вам будет интересны и эти. Всегда по возможности стремитесь изучать по мимо GUI интерфейсов, еще и альтернативные методы настройки, так как при настройке Windows Server, все чаще выбирают режим core с минималистическим интерфейсом.
Что такое редакция Windows Server?
Когда вы покупаете автомобиль, вам доступно, как минимум, несколько комплектаций одной и той же модели. Например, базовый экономичный вариант, роскошный вариант с кожаными сиденьями и люком на крыше, а также спортивный вариант с большими колесами и более мощным двигателем. Другими словами, каждая версия автомобиля имеет свою цену и набор функций для групп клиентов с разными бюджетами и потребностями.
То же самое касается выпусков Windows Server. Каждый вариант включает в себя функциональность, которая подходит для разных компаний, в зависимости от их размера и бюджета. Например, разные редакции могут поддерживать разное количество пользователей.
Установка
Админ пак («Remote Server Administration Tools») в системе Windows облегчает работу адресами DNS и DHCP, делает проще создание групповой политики. Чтобы получить к ним доступ, не нужно присоединяться к серверам или доменам. Можно изменять в Active Directory учётные записи. Этот набор утилит предназначен, чтобы через ПК с Win управлять удалёнными серверами.
Чтобы успешно загрузить пакет программ, нужны права администратора. Лучше зайти через учётную запись владельца.
Admin Pack подходит только для Максимальной, Корпоративной или Профессиональной версии операционной системы. В случае с Win 7 надо дополнительно загрузить обновления SP1.
На одном ПК может быть только один RSAT. Перед тем как скачать утилиту, удалите её предыдущие версии (если они у вас есть).
Зайдите на сайт Microsoft.com.
Microsoft.com
- В строке поиска справа вверху введите «Средства удалённого администрирования сервера для Windows».
- В разделе «Загрузки» выберите вашу версию ОС и перейдите на её страницу.
- В выпадающем списке укажите язык системы и нажмите красную кнопку «Скачать».
- Выберите файл. Если он заканчивается символами «x64», значит, он предназначен для 64-рязрядной системы. Если в его имени содержится «x86», его надо устанавливать на 32-разрядную ОС.
- Откройте скаченный файл. Подтвердите, что согласны с запуском. Примите лицензионное соглашение.
- Подождите, пока завершится установка. Она может занять много времени.
- После её окончания появится справка с подробной инструкцией.
Теперь надо активировать RSAT.
- Зайдите в «Панель управления».
- Откройте меню «Программы».
- «Включение и отключение компонентов».
- Найдите в списке «Средства удалённого администрирования».
- Поставьте галочки рядом с подкомпонентами, которые вам нужны.
В Windows 10 Admin Pack загружается вместе оснасткой консоли, командлетами PowerShell и диспетчером серверов. Также в пак входит командная строка, с помощью которой можно работать с ролями.
Чтобы добавить строку «Администрирование» в меню «Пуск»:
- Щёлкните по панели задач правой кнопкой мыши.
- Пункт «Свойства».
- Вкладка «Меню Пуск».
- Кнопка «Настроить».
- В области «Администрирование» поставьте маркер рядом с опцией «Отображать».
- Нажмите «OK».
В Win 8 средства RSAT могут не поддерживать строенные языковые пакеты. Их надо устанавливать дополнительно.
- Откройте «Панель управления».
- Категория «Язык, часы и регион».
- Пункт «Изменить настройки языка».
- Кнопка «Добавить».
Изменение языковых параметров
- Выберите язык интерфейса и подтвердите его включение.
- Нажмите на ссылку «Параметры» рядом с ним.
- Кликните на «Загрузка языкового пакета».
Возможные проблемы
В процессе активации AD и RSAT может возникнуть ряд трудностей, например, заранее не активирована опция запуска программ от имени иного пользователя. К тому же надо помнить, что средство удаленного управления невозможно установить на ПК, работающем на Домашней или Стандартной версии Win 10. Инструмент RSAT удастся добавить только в Корпоративную или Профессиональную ОС.
Находится это средство на сайте «Майкрософт». Разработчики предлагают программы для конкретной версии Win 10. Если тип редакции не указан, нужно использовать RTM (полный выпуск ОС Виндовс) для скачивания RSAT.
Для того чтобы загрузить дополнительные компоненты для работы на удаленном сервере, не нужно искать специальное ПО. Выполнить это действие удастся с помощью Мастера Add Features Wizard. Рекомендуется заранее добавить дублер контроллера домена для предупреждения возможных сбоев в работе.
Заключение
В этой статье мы привели краткое руководство по работе с пакетом RSAT и Диспетчером серверов для Windows 10 удаленного администрирования. RSAT устанавливается и настраивается очень просто. Он позволяет эффективно администрировать удаленный сервер. «Диспетчер серверов» включает в себя большое количество различных функций, для полного рассмотрения которых требуется отдельное руководство.
Отказ от использования графического интерфейса на серверах является желательным, поскольку это минимизирует различные риски, а также разгружает ЦП и ОЗУ.
Пожалуйста, оставляйте ваши комментарии по текущей теме статьи. За комментарии, отклики, лайки, дизлайки, подписки низкий вам поклон!
Пожалуйста, оставьте ваши комментарии по текущей теме статьи. Мы очень благодарим вас за ваши комментарии, отклики, лайки, подписки, дизлайки!
Вадим Дворниковавтор-переводчик