Шаг 2. планирование развертывания удаленного доступа

Содержание сценария

Далее описываются этапы планирования и настройки сценария развертывания управления удаленными клиентами DirectAccess.

Планирование развертывания

Существует несколько требований к компьютерам и сети для планирования данного сценария, К ним относятся следующие:

  • Топология сети и серверов. С помощью DirectAccess вы можете поместить сервер удаленного доступа на периферии вашей интрасети либо после устройства преобразования сетевых адресов или брандмауэра.

  • Сервер сетевых расположений DirectAccess. Сервер сетевых расположений используется клиентами DirectAccess, чтобы определить, находятся ли они во внутренней сети. Сервер сетевых расположений можно установить на сервере DirectAccess или на другом сервере.

  • Клиенты DirectAccess. Решите, какие управляемые компьютеры будут настроены как клиенты DirectAccess.

Настройка развертывания

Настройка развертывания состоит из нескольких этапов. Сюда входит следующее.

  1. Настройка инфраструктуры. Настройте параметры DNS, при необходимости включите сервер и клиентские компьютеры в домен и настройте группы безопасности Active Directory.

    В данном сценарии развертывания объекты групповой политики (GPO) создаются автоматически службой удаленного доступа. Дополнительные параметры объекта групповой политики для сертификатов см. в разделе Развертывание расширенного удаленного доступа.

  2. Настройка сервера удаленного доступа и сетевых параметров. Настройте сетевые адаптеры, IP-адреса и маршрутизацию.

  3. Настройка параметров сертификата. в этом сценарии развертывания мастер начало работы создает самозаверяющие сертификаты, поэтому нет необходимости настраивать более расширенную инфраструктуру сертификатов.

  4. Настройка сервера сетевых расположений. В данном сценарии сервер сетевых расположений устанавливается на сервере удаленного доступа.

  5. Планирование серверов управления DirectAccess. Администраторы могут удаленно управлять клиентскими компьютерами DirectAccess, размещенными за пределами корпоративной сети, через Интернет. Серверы управления включают компьютеры (например, серверы обновления), которые используются во время управления удаленными клиентами.

  6. Настройка сервера удаленного доступа. Установите роль удаленного доступа и запустите мастер начальной настройки DirectAccess для настройки DirectAccess.

  7. Проверка развертывания. Протестируйте клиенты DirectAccess, чтобы гарантировать, что они могут подключаться к внутренней сети и Интернету с помощью DirectAccess.

Как перезагрузить компьютер через командную строку

Командная строка это отличный инструмент для автоматизации различных операций с компьютером. С ее помощью можно запускать программы, получать информацию о системе и управлять компьютером. Также с помощью командной строки можно выключать и перезагружать компьютер. В данном материале мы расскажем о том, как перезагрузить компьютер через командную строку.

Выключение и перезагрузка компьютера через командную строку выполняется при помощи команды shutdown. Данная команда может принимать такие параметры:

  • /s – Выключение компьютера.
  • /r – Перезагрузка компьютера.
  • /a – Отмена перезагрузки или выключения компьютера. Этот параметр позволяет отметить выключение или перезагрузку с помощью командной строки. Команду «Shutdown /a» можно выполнить во время действия задержки выключения (или перезагрузки).
  • /h – Переход компьютера в режим гибернации.
  • /t xxx – Установка задержки перед выключением или перезагрузкой компьютера. Задержка указывается в секундах. Например: «Shutdown /s /t 60». В случае выполнения такой команды выключение компьютера произойдет через 60 секунд после выполнения команды. В течении этих 60 секунд пользователь может отметить выключение с помощью команды «Shutdown /a».
  • /c «комментарий» – Установка комментария с объяснением причин выключения ли перезагрузки компьютера.
  • /f – Принудительное закрытие всех запущенных приложений без предупреждения пользователя. Данный параметр может использоваться, если для параметра /t указана задержка больше 0 секунд;

Итак, для того чтобы перезагрузить компьютер через командную строку нужно ввести команду:

При выполнении такой команды перезагрузка компьютера произойдет немедленно. Если вам необходимо перезагрузить компьютер через определенное время, то вместо нулей нужно указать нужную задержку в секундах. Например:

При выполнении такой команды перезагрузка компьютера произойдет уже не мгновенно, а с задержкой в 60 секунд. При этом после выполнения команды на перезагрузку с задержкой пользователь увидит окно с предупреждением.

В случае, если указана длительная задержка, то вместо окна с предупреждением пользователь увидит всплывающее сообщение рядом с системными часами.

Во время действия задержки вы можете отметить перезагрузку компьютера. Для этого нужно ввести в командную строку следующую команду:

Если вам нужно не перезагрузить, а выключить компьютер, то для этого нужно использовать параметр /s вместо /r. В остальном процесс выключения компьютера ничем не отличается от перезагрузки.

Кроме этого команду Shutdown можно использовать для создания ярлыков. Для этого счелкните правой кнопкой мышки по рабочему столу и выберите пункт «Создать ярлык».

Дальше перед вами откроется окно для создания ярлыков. Введите команду на перезагрузку и нажмите на кнопку «Далее».

В следующем окне введите название ярлыка и нажмите на кнопку «Готово».

В результате вы получите ярлык для перезагрузки компьютера. Данный ярлык можно оставить на рабочем столе или закрепить на панели задач или поместить на стартовый экран (если вы используете Windows 8).

Что нужно знать о параметрах подключения?

Наконец, переходим к вопросу о том, как настроить Microsoft Remote Desktop. Действия переносятся уже на тот терминал, с которого предстоит получить доступ.

Чтобы долго не искать ссылку на вызов апплета, в поисковом поле просто начните вводить первое слово («Подключение»), а после отображения нужного пункта кликните на нем. В окошке будет показано поле для ввода адреса удаленной машины.

Но не спешите устанавливать связь сразу, а лучше разверните дополнительные параметры. Для самого подключения, кроме адреса, можете ввести полное имя компьютера (его можно просмотреть в свойствах системы). А вот на вкладке локальных ресурсов установите те опции, которые вам нужны.

Например, если вы не включите воспроизведение звука на своем ПК, а оставите проигрывание на дочерней машине, соответственно, при просмотре фильма, прослушивании музыки или при работе с программами, использующими аудио, вы попросту ничего не услышите. Также, если это необходимо, можете задействовать принтеры и буфер обмена.

При нажатии кнопки «Подробнее» также можно выбрать дополнительные устройства, локальные и сетевые диски, дисководы, а также съемные накопители, которые могут быть подключены позже.

Настройка удаленного десктопа средствами Windows

Чтобы компьютеры могли взаимодействовать, они должны быть правильно настроены. Технически задача не выглядит слишком сложной, хотя здесь есть свои нюансы, особенно в случае управления через интернет. Итак, давайте посмотрим, как настроить удаленный рабочий стол средствами системы. Во-первых, на ПК, к которому будет осуществляться доступ, должна быть установлена версия Windows не ниже Pro, управлять же можно и с домашней версии

Второе и очень важно условие – это необходимость наличия статического IP-адреса на удаленном ПК

Конечно, можно попробовать настроить его вручную, но тут есть проблема. Дело в том, что внутренний IP дается ПК DHCP-сервером интернет-центра на определенный срок, по истечении которого компьютеру нужно будет запросить новый IP. Он может оказаться тем же самым, но может и измениться, тогда вы не сможете использовать протокол RDP. Так бывает с серыми, динамическими адресами, и, надо сказать, именно такие адреса выделяют своим клиентам большинство провайдеров. Поэтому самым правильным было бы обращение в службу поддержки провайдера с просьбой выделить вашему компьютеру статический адрес.

Если не хотим платить за белый IP (услуга предоставляется за дополнительную плату), пробуем настроить подключение вручную. Командой control /name Microsoft.NetworkAndSharingCenter откройте «Центр управления сетями и общим доступом», кликните по вашему подключению и нажмите в открывшемся окошке кнопку «Сведения».

Запишите данные IPv4, маски подсети, шлюза по умолчанию и DNS-сервера.

Эти же данные вы можете получить, выполнив в консоли CMD или PowerShell команду ipconfig /all. Закройте окошко сведений и откройте свойства в окне состояния.

Выберите в списке IPv4, перейдите в его свойства и введите полученные данные в соответствующие поля. Сохраните настройки.

Статический адрес у вас есть, теперь нужно включить разрешение доступа подключения. Откройте командой systempropertiesremote вкладку «Удаленный доступ» в свойствах системы и включите радиокнопку «Разрешить удаленные подключения к этому компьютеру».

Если нужно, добавляем юзеров, которым хотим предоставить возможность удаленного подключения.

В Windows 10 1709 получить доступ ко всем этим настройкам можно из подраздела «Удаленный рабочий стол» приложения «Параметры».

При использовании стороннего фаервола откройте в нем порт TCP 3389. На данном этапе общая настройка удаленного рабочего стола завершена.

Если подключение выполняется в локальной сети, можете приступать к работе немедленно. Запустите командой mstsc встроенное приложение RDP, введите в открывшемся окошке IP-адрес или имя удаленного хоста, выберите пользователя и нажмите «Подключить».

Далее вам нужно будет ввести данные учетной записи пользователя удаленного компьютера и нажать «OK». Появится предупреждение «Не удается проверить подлинность…».

Игнорируем его, отключаем запросы на подключение (снять галку) и жмем «Да». В случае удачного соединения вы увидите рабочий стол удаленного хоста.

Настроить удаленный рабочий стол через интернет сложнее, так как здесь придется выполнить проброс порта 3389 на IP-адрес вашего ПК, а затем подключиться к внешнему IP маршрутизатора, что может стать для пользователя настоящей головной болью, так как придется копаться в настройках роутера. Узнать свой публичный IP не составляет труда, достаточно зайти на сайт 2ip.ua/ru либо аналогичный ресурс.

Далее заходим в настройки роутера по адресу 192.168.0.1 или 192.168.1.1. Здесь все у всех может быть по-разному в зависимости от модели роутера и его прошивки.

В случае с TP-Link необходимо зайти в раздел Переадресация – Виртуальные серверы, нажать «Добавить» и ввести в поля «Порт сервера» и «Внутренний порт» 3389, в поле «IP-адрес» указывается используемый компьютером IP, в полях «Протокол» и «Состояние» должно быть выставлено «Все» и «Включено» соответственно. Сохраните настройки.

Теперь можно пробовать подключиться к удаленному десктопу с основного ПК. Запустите командой mstsc программу RDP и введите в поле «Компьютер» ранее полученный внешний IP-адрес с номером порта через двоеточие, например, 141.105.70.253:3389. Далее все точно так же, как и в примере с подключением в локальной сети.

В роутерах D-Link нужные настройки следует поискать в разделе Межсетевой экран – Виртуальные серверы.

Перед пробросом рекомендуется зарезервировать используемый компьютером IP-адрес в настройках TP-Link-роутера DHCP – Резервирование адресов.

Настройка сервера сетевых расположений

Сервер сетевых расположений должен находиться на сервере с высокой доступностью, и ему нужен действительный сертификат SSL (SSL), который является доверенным для клиентов DirectAccess.

Примечание

Если веб-сайт сервера сетевого расположения расположен на сервере удаленного доступа, веб-сайт будет создан автоматически при настройке удаленного доступа и привязан к предоставленному сертификату сервера.

Для сервера сетевых расположений можно использовать один из следующих типов сертификатов:

  • Частная

    Примечание

    Сертификат основан на шаблоне сертификата, созданном при .

  • Самозаверяющий

    Примечание

    Самозаверяющие сертификаты не могут использоваться в развертываниях на нескольких сайтах.

Независимо от того, используется ли частный сертификат или самозаверяющий сертификат, для них требуется следующее:

  • Сертификат веб-сайта, используемый для сервера сетевых расположений. Субъектом этого сертификата должен быть URL-адрес сервера сетевых расположений.

  • Точка распространения списка отзыва сертификатов, имеющая высокую доступность во внутренней сети.

Установка сертификата сервера сетевых расположений из внутреннего ЦС

  1. На сервере, где будет размещаться веб-сайт сервера сетевого расположения: на начальном экране введите mmc.exe и нажмите клавишу ВВОД.

  2. В консоли MMC в меню Файл выберите Добавить или удалить оснастку.

  3. В диалоговом окне Добавление или удаление оснасток щелкните Сертификаты, нажмите кнопку Добавить, выберите Учетная запись компьютера, нажмите кнопку Далее, щелкните Локальный компьютер и последовательно нажмите кнопки Готово и ОК.

  4. В дереве консоли оснастки «Сертификаты» откройте раздел Сертификаты (локальный компьютер)\Личные\Сертификаты.

  5. Щелкните правой кнопкой мыши Сертификаты, выберите пункт все задачи, щелкните запросить новый сертификат, а затем дважды нажмите кнопку Далее .

  6. На странице запрос сертификатов установите флажок для шаблона сертификата, созданного при настройке шаблонов сертификатов, и при необходимости щелкните Дополнительные сведения для регистрации этого сертификата.

  7. В диалоговом окне Свойства сертификата на вкладке Субъект в области Имя субъекта в поле Тип выберите Общее имя.

  8. В поле Значение укажите полное доменное имя для веб-сайта сервера сетевых расположений и щелкните Добавить.

  9. В области Альтернативное имя в поле Тип выберите DNS.

  10. В поле Значение укажите полное доменное имя для веб-сайта сервера сетевых расположений и щелкните Добавить.

  11. На вкладке Общие в поле Понятное имя можно ввести имя, которое упростит идентификацию сертификатов.

  12. Нажмите кнопку OK, щелкните Зарегистрировать и нажмите кнопку Готово.

  13. В области сведений оснастки «сертификаты» убедитесь, что новый сертификат был зарегистрирован с целью проверки подлинности сервера.

Настройка сервера сетевых расположений

  1. Настройте веб-сайт на сервере с высоким уровнем доступности. Для него контент не требуется, но для проверки вы можете определить страницу по умолчанию, с сообщением, которое видят клиенты при подключении.

    Этот шаг не требуется, если веб-сайт сервера сетевого расположения размещен на сервере удаленного доступа.

  2. Привяжите сертификат HTTPS-сервера к веб-сайту. Общее имя сертификата должно совпадать с именем сайта сервера сетевых расположений. Убедитесь, что клиенты DirectAccess доверяют ЦС, выдающему сертификат.

    Этот шаг не требуется, если веб-сайт сервера сетевого расположения размещен на сервере удаленного доступа.

  3. Настройте сайт списка отзыва сертификатов с высокой доступностью во внутренней сети.

    Точки распространения CRL можно получить с помощью:

    • Веб-серверы, использующие URL-адрес на основе HTTP, например: https://crl.corp.contoso.com/crld/corp-APP1-CA.crl

    • Файловые серверы, доступ к которым осуществляется по UNC-пути, например \ \crl.Corp.contoso.com\crld\corp-APP1-CA.CRL

    если внутренняя точка распространения списка отзыва сертификатов доступна только по протоколу IPv6, необходимо настроить правило безопасности Windows Firewall с повышенным подключением безопасности. Это исключит защиту IPsec от адресного пространства IPv6 интрасети до адресов IPv6 точек распространения списка отзыва сертификатов.

  4. Убедитесь, что клиенты DirectAccess во внутренней сети могут разрешить имя сервера сетевого расположения, а клиенты DirectAccess в Интернете не могут разрешить это имя.

Решение

Чтобы устранить проблему, необходимо включить правило брандмауэра Windows RemoteFX вручную.

Чтобы включить правило RemoteFX с помощью брандмауэра Windows с расширенным обеспечением безопасности

  1. Нажмите кнопку Начните, а затем нажмите панель управления.
  2. В панели управления окна нажмите брандмауэр Windows.
  3. В левой области нажмите кнопку Разрешить программу или функцию через брандмауэр Windows.
  4. Нажмите кнопку Изменить параметры. Если вам предложен пароль или подтверждение администратора, введите пароль или предоведите подтверждение.
  5. В рамках разрешенных программ и функций выберите флажок рядом с remote Desktop — RemoteFX, а затем используйте флажки в столбцах, чтобы выбрать типы расположения сети, на которые необходимо разрешить связь.
  6. Нажмите кнопку ОК.

Кроме того, если включить удаленный рабочий стол с помощью окна свойств системы, правило включается автоматически.

  1. Нажмите кнопку Начните, а затем нажмите панель управления.

  2. Щелкните значок System.

  3. В домашней панели управления щелкните удаленные параметры.

  4. Щелкните вкладку Remote. В удаленном рабочем столе выберите не разрешайте подключения к этому компьютеру и нажмите кнопку Применить.

  5. Теперь выберите любой из вариантов в зависимости от требований к безопасности:

    • Разрешить подключения с компьютеров с любой версией удаленного рабочего стола (менее безопасной)
    • Разрешить подключение только с компьютеров с удаленным рабочим столом с проверкой подлинности на уровне сети (более безопасно)
  6. Нажмите кнопку Применить, а затем ОК.

Что еще умеет Veliam

Я рассмотрел и показал новый функционал, которого еще не было на момент написания моей прошлой статьи. Чтобы у вас сложилось полное представление о системе, напоминаю, что помимо того, что было описано, она имеет следующий функционал, который я уже описывал.

  • . Вы можете заводить разных пользователей в системе и выдавать им различные права. Причем настройка прав достаточно гибкая. Это заявка на большой масштаб системы.
  • . Простая настройка проверки доступности сайта. Если сайт не доступен, получите уведомление на почту. Никаких особых настроек нет. Просто указываете адрес сайта и Veliam начинает следить за ним.
  • Отправлять уведомления в Telegram. Настраивается в разделе Личные настройки -> Уведомления. Никаких сложных интеграций. Просто открываете специально сгенерированную ссылку в Telegram и подписываетесь на свои уведомления автоматически.
  • Хранить историю авторизаций пользователей Windows систем. Простой инструмент, который берет информацию из системного журнала. Тем не менее, информация важная и часто нужно быстро посмотреть, кто и когда логинился в систему. Удобно видеть эти данные под рукой.

Хочу еще отдельно обратить внимание на документацию на сайте. Я, как и большинство русских людей, документацию читаю не часто

Обычно, когда что-то не получается. Чтение доков связано с небольшим негативом, так как чаще всего ожидаешь, что надо будет сейчас разбираться, вникать, много читать и т.д.

С Veliam в этом плане все хорошо. Документация небольшая, но есть все, что надо. При этом читается легко, ответы на вопросы находятся. Можно подумать, что это мелочь, но я знаю, что писать документацию тяжело. Особенно хорошую и краткую, чтобы было сразу максимально понятно

Так как мне часто приходится разбираться в новых продуктах и системах, я сразу обращаю внимание на документацию. Если она плохая, готовься потратить много времени на настройку

Реализация WMI

Инструментарий WMI — это реализованный корпорацией Майкрософт стандарт управления предприятием через Интернет (WBEM). Дополнительные сведения о пакете SDK для инструментария WMI см. в разделе инструментарий управления Windows (WMI). WBEM является отраслевым стандартом предоставления приложениями инструментария управления для внешних средств управления.

Поставщик инструментария WMI — это компонент, предоставляющий инструментарий в среде выполнения с помощью совместимого с WBEM интерфейса. Он состоит из набора объектов инструментария WMI, имеющих пары атрибут/значение. Пары могут быть нескольких простых типов. Средства управления могут подключаться к службам через интерфейс во время выполнения. WCF предоставляет атрибуты служб, такие как адреса, привязки, поведения и прослушиватели.

Встроенный поставщик инструментария WMI может быть активирован в файле конфигурации приложения. Это делается с помощью атрибута <diagnostics> в <system.serviceModel> разделе, как показано в следующем образце конфигурации.

Эта запись конфигурации предоставляет интерфейс инструментария WMI. Теперь приложения управления могут подключаться через этот интерфейс и обращаться к инструментарию управления приложения.

Настройка объектов групповой политики

Для развертывания удаленного доступа требуется не менее двух групповая политика объектов. Один объект групповая политика содержит параметры для сервера удаленного доступа, а один содержит параметры для клиентских компьютеров DirectAccess. При настройке удаленного доступа мастер автоматически создает необходимые групповая политика объекты. Однако если ваша организация применяет Соглашение об именовании или у вас нет необходимых разрешений для создания или изменения объектов групповая политика, они должны быть созданы перед настройкой удаленного доступа.

Сведения о создании групповая политика объектов см. в разделе Создание и изменение объекта Групповая политика.

Администратор может вручную связать объекты групповая политика DirectAccess с подразделением (OU). Рассмотрим следующий пример.

  1. Свяжите созданные объекты групповой политики с соответствующими подразделениями перед настройкой DirectAccess.

  2. Во время настройки DirectAccess укажите группу безопасности для клиентских компьютеров.

  3. Объекты групповой политики настраиваются автоматически независимо от того, имеют ли администратор разрешения на связывание объектов групповой политики с доменом.

  4. Если объекты групповой политики уже связаны с подразделением, ссылки не удаляются, но не связываются с доменом.

  5. Для объектов групповой политики сервера подразделение должно содержать объект компьютер сервера. в противном случае объект GPO будет связан с корнем домена.

  6. Если подразделение не было ранее связано с запуском мастера установки DirectAccess, то после завершения настройки администратор может связать объекты групповой политики DirectAccess с требуемыми подразделениями и удалить ссылку на домен.

    Дополнительные сведения см. в разделе Связывание объекта групповой политики.

Примечание

Если групповая политика объект был создан вручную, возможно, групповая политика объект будет недоступен во время настройки DirectAccess. Возможно, объект групповая политика не был реплицирован на контроллер домена, ближайший к компьютеру управления. Администратор может дождаться завершения репликации или принудительно выполнить репликацию.

Настройка клиентов DirectAccess

Чтобы настроить клиентский компьютер для использования DirectAccess, он должен принадлежать выбранной группе безопасности. После настройки DirectAccess подготавливается клиентские компьютеры в группе безопасности для получения объектов групповая политика DirectAccess (GPO) для удаленного управления.

Настройка клиентов DirectAccess

  1. В средней области консоли управления удаленным доступом в разделе Этап 1. Удаленные клиенты щелкните Настроить.

  2. В мастере установки клиента DirectAccess на странице сценарий развертывания щелкните развернуть DirectAccess только для удаленного управления, а затем нажмите кнопку Далее.

  3. На странице Выбор групп щелкните Добавить.

  4. В диалоговом окне Выбор групп выберите группы безопасности, содержащие клиентские компьютеры DirectAccess, а затем нажмите кнопку Далее.

  5. На странице Помощник по подключению к сети:

    • В таблице добавьте ресурсы, которые будут использоваться для определения подключения к внутренней сети. Если другие ресурсы не настроены, веб-проба по умолчанию создается автоматически. При настройке расположения веб-проб для определения подключения к корпоративной сети убедитесь, что настроена хотя бы одна проверка на основе HTTP. Настройка только проверки связи не является достаточной и может привести к неправильному определению состояния подключения. Это вызвано тем, что проверка связи исключена из IPsec. В результате проверка связи не гарантирует правильность установки туннелей IPsec.

    • Добавьте адрес электронной почты службы поддержки, чтобы позволить пользователям отправлять информацию при возникновении проблем с подключением.

    • Введите понятное имя для подключения DirectAccess.

    • При необходимости установите флажок Разрешить клиентам DirectAccess использовать локальное разрешение имен.

      Примечание

      Если разрешение локального имени включено, пользователи, выполняющие NCA, могут разрешать имена с помощью DNS-серверов, настроенных на клиентском компьютере DirectAccess.

  6. Нажмите кнопку Готово.

Параметры контроля учетных записей

Управление учетными записями пользователей (UAC) — фильтрация маркеров может влиять на то, какие операции разрешены в пространствах имен WMI или какие данные возвращаются. В разделе UAC все учетные записи в локальной группе «Администраторы» выполняются с маркером доступаобычного пользователя, также известным как фильтрация маркера доступа UAC. Учетная запись администратора может выполнять скрипт с повышенными привилегиями — «Запуск от имени администратора».

При отсутствии подключения к встроенной учетной записи администратора UAC влияет на подключения к удаленному компьютеру по-разному в зависимости от того, находятся ли два компьютера в домене или рабочей группе. Дополнительные сведения об UAC и удаленных подключениях см. в разделе Управление учетными записями пользователей и инструментарий WMI.

Что такое Veliam

Изначально Veliam позиционировал себя как готовая система базового мониторинга с некоторым дополнительным функционалом. Сейчас по факту это не просто мониторинг, а программный комплекс по мониторингу, управлению и обслуживанию ИТ инфраструктуры. Основные возможности программы:

  • Мониторинг Windows и Linux серверов. В базе идет стандартный набор метрик, триггеров, оповещений. Все работает сразу из коробки. Самому настраивать метрики и все остальное не нужно. Мониторить можно так же простыми проверками любые устройства, доступные по сети.
  • Удаленный доступ к компьютерам и серверам. Сделано все максимально просто, чтобы можно было без проблем и лишних объяснений подключать удаленных сотрудников по rdp.
  • Служба поддержки (HelpDesk). Есть интеграция с Active Directory с прозрачной авторизацией и возможностью сразу же подключиться из заявки к пользователю через vnc.

Важной особенностью Veliam является то, что она очень легко устанавливается и настраивается. Какие-то особые знания и навыки не нужны, как в том же zabbix

Настроить может любой начинающий системный администратор. Инсталлятор работает в виде стандартного визарда в операционной системе Windows.

Программный комплекс Veliam работает во взаимодействии со своим облаком. Благодаря этому реализуется возможность удаленного подключения сотрудников к компьютерам и серверам за NAT без настройки VPN, проброса портов, тимвьювера и т.д. Соединение устанавливается через облако. При этом выдать доступ новому сотруднику можно за пару минут. Далее я все это подробно покажу, чтобы вы сами убедились в этом.

В настоящий момент существует бесплатная версия программы с ограничением — 50 объектов мониторинга и 50 пользователей Helpdesk. Ограничение весьма демократичное, которое позволяет бесплатно пользоваться системой широкому кругу пользователей. Если вам нужен полный , смотрите на сайте программы.

Статистика базы данных с отбором по подсистемам (кол-во и открытие списков: документов, справочников, регистров) и анализ наличия основных реквизитов: универсальная обработка (два файла — обычный и управляемый режим)

Универсальная обработка для статистики базы данных (документы, справочники, регистры, отчеты) с отбором по подсистемам и с анализом наличия основных реквизитов (организации, контрагенты, договора, номенклатура, сотрудники, физлица, валюта).
Возможность просмотра списка документов или справочников или регистров при активизации в колонке «Документы, справочники, регистры, отчеты» в текущей строке.
Полезная обработка для консультации пользователей, где искать метаданные в каком интерфейсе, т.к. подсистема указывает в каком интерфейсе находятся метаданные (документы, справочники, регистры, отчеты).

1 стартмани

Параметры CIMOM

Необходимо обновить параметры CIMOM, если удаленное подключение установлено между компьютерами, не имеющими отношения доверия. в противном случае асинхронное соединение завершится ошибкой. Этот параметр не следует изменять для компьютеров в том же домене или в доверенных доменах.

Чтобы разрешить анонимный обратный вызов, необходимо изменить следующую запись реестра:

HKey _ _ \ Программное обеспечение локального компьютера \ Microsoft \ WBEM \ CIMOM \ аллованонимаускаллбакк

REG \_ DWORD

Если значение аллованонимаускаллбакк равно 0, то служба WMI предотвращает анонимный обратный вызов клиента. Если значение равно 1, служба WMI разрешает клиенту анонимные обратные вызовы.

Работа с WinRM

Дополнительные сведения о создании скриптов WinRM см. в разделе использование служба удаленного управления Windows.

В следующей таблице перечислены разделы, содержащие сведения о протоколе WS-Management, WinRM и WMI, а также об указании ресурсов управления, таких как дисковые накопители или процессы.

Раздел Описание
Установка и настройка для служба удаленного управления Windows Прослушивателю WinRM требуется настройка на клиентских и серверных компьютерах.
Архитектура служба удаленного управления Windows Схема, на которой показаны компоненты WinRM и компоненты, найденные на клиентских и серверных компьютерах.
Протокол WS-Management Описание общедоступного стандартного протокола WS-Management для удаленной отправки и получения данных управления на любое компьютерное устройство, реализующее протокол.
Создание сценариев в служба удаленного управления Windows API-интерфейс сценариев WinRM аналогичен действиям протокола WS-Management. Данные, извлекаемые скриптами, форматируются в формате XML, а не в объектах.
Проверка подлинности для удаленных подключений WS-Management протокол обеспечивает безопасность обмена данными между компьютерами за счет поддержки нескольких стандартных методов проверки подлинности и шифрования сообщений.
служба удаленного управления Windows и WMI Поскольку WinRM интегрирован с инструментарий управления Windows (WMI) (WMI), можно получить данные WMI с помощью сценариев или приложений, использующих API-интерфейсы WinRM или с помощью программы командной строки WinRM.
URI ресурсов URI ресурса — это идентификатор для операции управления или значения. Например, диски представляют тип ресурса.
Удаленное управление оборудованием Поставщик IPMI предоставляет классы и данные, описывающие домен управления оборудованием контроллера управления основной платой (BMC), компьютеры систем BMC в домене и датчики BMC. Другие объекты представляют журнал системных событий BMC (SEL) и сообщения в журнале.
События Вы не можете получать события с помощью сценариев WinRM, но можно использовать Wevtutil.exe программу командной строки для просмотра событий сборщика событий .

Параметры конфигурации по умолчанию для службы WinRM

Версия службы WinRM имеет следующие параметры конфигурации по умолчанию.

RootSDDL

Указывает дескриптор безопасности, управляющий удаленным доступом к прослушивателю. Значение по умолчанию — «О:НСГ: BAD: P (A;; Общедоступный;;; BA) (A;; GR;;; ER) С:П (AU; FA; Общедоступный;;; WD) (AU; SA; ГВГКС;;; WD) «.

максконкуррентоператионс

Максимальное количество одновременных операций. Значение по умолчанию — 100.

WinRM 2,0: Параметр Максконкуррентоператионс является устаревшим и имеет значение только для чтения. Этот параметр заменен на свойств maxconcurrentoperationsperuser.

Свойств maxconcurrentoperationsperuser

Указывает максимальное количество одновременных операций, которые любой пользователь может удаленно открыть в одной системе. Значение по умолчанию — 1500.

MaxConnections

Указывает максимальное количество активных запросов, которые служба может обрабатывать одновременно. Значение по умолчанию — 300.

WinRM 2,0: Значение по умолчанию — 25.

макспаккетретриевалтимесекондс

Указывает максимальное время в секундах, необходимое службе WinRM для получения пакета. Значение по умолчанию — 120 секунд.

CredSSP

Позволяет службе WinRM использовать проверку подлинности с помощью поставщика поддержки безопасности учетных данных (CredSSP). По умолчанию False.

CbtHardeningLevel

Задает политику относительно требований к токенам привязки канала в запросах проверки подлинности. Значение по умолчанию — ослабление.

дефаултпортс

Указывает порты, которые служба WinRM будет использовать как для HTTP, так и для HTTPS.

WinRM 2,0: HTTP-порт по умолчанию — 5985, а HTTPS-порт по умолчанию — 5986.

IPv4Filter и IPv6Filter

Указывает адреса IPv4 или IPv6, которые могут использоваться прослушивателями. Значения по умолчанию: IPv4Filter = * и IPv6Filter = * .

IPv4: Литеральная строка IPv4 состоит из четырех десятичных чисел с точками в диапазоне от 0 до 255. Например: 192.168.0.0.

IPv6: Строка литерала IPv6 заключена в квадратные скобки и содержит шестнадцатеричные числа, разделенные двоеточиями. Например:: или .

енаблекомпатибилитихттплистенер

Указывает, включен ли прослушиватель совместимости HTTP. Если этот параметр имеет значение true, прослушиватель будет прослушивать порт 80 в дополнение к порту 5985. По умолчанию False.

енаблекомпатибилитихттпслистенер

Указывает, включен ли HTTPS-прослушиватель совместимости. Если этот параметр имеет значение true, прослушиватель будет прослушивать порт 443 в дополнение к порту 5986. По умолчанию False.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Техноарена
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: