Диспетчер сервера как открыть windows 7. Настройка удаленного управления с помощью диспетчера сервера. Почему возникает предупреждение «Диспетчер задач отключен администратором»

Так как инфраструктура и развёртывание становятся гибридными, а рабочие нагрузки распределены по облакам, усилия по управлению всеми этими областями многократно возрастают. Это очевидно плохо и хотелось бы иметь более контролируемый способ управления ресурсами, которые могут существовать не только локально, но и в Azure.

Инструменты управления сервером (SMT) представляют размещённый в Azure веб-интерфейс и инструменты командной строки . Администраторы могут управлять из этого GUI Nano Server или ядром сервера не затрагивая зону обслуживания этих развёртываний.

Этот инструмент в настоящее время имеет следующие возможности

Просмотр и изменение конфигурации системы
Просмотр производительности различных ресурсов и управление процессами и службами
Управление подключёнными к серверу устройствами
Просмотр журналов событий
Просмотр списка установленных ролей и компонентов
Использование консоли для управления и автоматизации

Пример развёртывания инструментов управления сервером

На диаграмме (в середине диаграммы) вы увидите, что для того, чтобы внутренняя инфраструктура могла взаимодействовать со службой в Azure, требуется сервер шлюза.

Поддержка SMT для Windows 2012 и более поздних версий

Если это Windows Server 2016, предварительная работа не требуется, но если вы используете предыдущую версию Windows (т. е. 2012 или 2012 R2), для того, чтобы управлять хостами Windows Server 2016, включая , необходимо установить WMF 5.0.

За исключением Windows Update и Device Manager, все SMT инструменты будут работать с Windows 2012 и 2012 R2. При подключении SMT и использовании его для управления предыдущими версиями Windows, есть одна вещь, которую следует учитывать: зависимости установленных приложений на сервере. Например, будет ли работать ваше приложение, если вы установите более новую версию WMF?

Примечание . Прежде чем начинать подключение сервера к SMT, проверьте, можете ли вы установить WMF 5.0, для чего перейдите на .

Чтобы убедиться, что ваши приложения правильно работают с WMF 5.0 вам могут потребоваться дополнительные тесты.

Постоянная учётная запись

В инструментах управления сервером Windows Server 2016 вы можете хранить учётные данные, которые зашифрованы с помощью шифрования AES256 и хранятся в . За шифрование этих учётных данных с сертификатом, отвечает шлюз. Они существуют только на шлюзе и перед загрузкой учётных данных в Azure находятся в безопасном состоянии. Эти учётные данные могут быть расшифрованы только шлюзом, с помощью сертификата, с которым шифровались ранее. Сертификат никогда не покидает шлюза и существует только на шлюзе.

Правила брандмауэра

Централизованное управление брандмауэром Windows, обеспечивает для серверов многочисленные преимущества, гарантируя реализацию стандартизированной политики. К сожалению, работа с брандмауэром Windows за пределами традиционных инструментов корпоративного мониторинга, как правило, была сложной задачей. Вы не могли работать в масштабе, было сложно полностью понять, какие правила включены и каков их статус. В SMT Microsoft, для поиска правил брандмауэра на конкретной машине, предоставляет поддержку графического интерфейса, что упрощает понимание происходящего.

Правила брандмауэра в SMT

Улучшения редактора сценариев Windows PowerShell

Редактор сценариев Windows PowerShell в SMT, для поддержки возможностей просмотра файлов на компьютере, был значительно обновлён. Теперь вы можете открывать, редактировать и сохранять сценарии на указанных машинах.

А также, редактор сценариев имеет возможность прямого подключения к Azure Storage Blob и сохранения ваших скриптов на нём. Затем скрипты становятся доступными для всех серверов вашей подписке и за её пределами!

Подключение редактора скриптов Windows PowerShell в SMT к Blob Storage

Проводник файлов

Наряду с основными возможностями редактора сценариев Windows PowerShell, для взаимодействия и работы со сценариями на указанных машинах, вы также можете выполнять основные действия по управлению файлами, такие как просмотр, переименование и удаление. На рисунке ниже показан пример того, как выглядит в SMT.

Проводник, показывающий содержимое машины в SMT

Локальное хранилище

SMT теперь имеет возможность предоставлять более подробную информацию о хранилище для конкретной машины. Можно отобразить информацию о дисках, томах и общих файловых ресурсах. В настоящее время эта информация доступна в формате "только для чтения", но эта технология с течением времени будет развиваться.

Информация о хранилище в SMT

Менеджер сертификатов

Сертификаты для любой ИТ-организации представляют проблемы с их управлением. Например, как проверить сертификаты на нескольких компьютерах, если не запускать Certificate Authority. SMT представляет диспетчер сертификатов, так, что теперь вы можете управлять сертификатами на указанных машинах удалённо. На следующем рисунке показано, как вы можете просмотреть все или совокупный набор сертификатов, просмотреть журнал событий и управлять жизненными циклами сертификатов с помощью функций импорта, экспорта и удаления.

Certificate Manager в SMT

Развёртывание

Развёртывание SMT относительно простое. однако это связано с использованием Azure и требует подписки Azure. Существуют различные способы получения подписки Azure, но проще всего перейти на . Здесь, если ваша организация ещё не имеет её, вы можете создать подписку.

Создаваемый вами сервер шлюза, также нуждается в доступе к Интернет, поэтому он должен быть включён в маршрутизируемую подсеть вашей организации.

Существует два способа развёртывания SMT: через Azure Portal или Windows PowerShell. Для развёртывания графического интерфейса вы можете перейти на . Чтобы использовать Windows PowerShell, перейдите по адресу .

Одна из сквозных тем Windows Server 2008 – «чем меньше, тем лучше». Это не означает вырезание компонентов без нужды. Это означает стратегию упрощения и прояснения ролей и средств, позволяющую установить именно то, что нужно – и ничего более. Диспетчер серверов является важной частью этой концепции Windows Server® 2008.

Это выражается в двух аспектах. Первый – это крайне важная концепция ролей и компонентов серверов, являющихся базовыми блоками Windows Server 2008. Второй – это само средство диспетчера серверов. Это средство не только заменяет несколько средств, использовавшихся в Windows Server 2003, но также сосредотачивает гораздо больше функций в одном месте, так что занятые администраторы могут выполнять больше работы, причем быстрее и проще.

Роли и компоненты

Те, кто читал о Windows Server 2008, вероятно уже сталкивались с некоторыми терминами, не употреблявшимися в контексте Windows® ранее, такими как «рабочие нагрузки» и «роли». Я начну с объяснения того, что эти термины значат для специалистов по ИТ.

В начале цикла разработки Windows Server 2008 мы потратили массу времени, пытаясь выяснить, как именно пользователи используют наши серверные продукты. (Собственно, и продолжаем пытаться.) В целом, мы обнаружили, что пользователи развертывают наши серверы для выполнения конкретных задач. Возможно, это не выглядит великим открытием, но для некоторых из нас статистика, показывающая, что пользователи не покупают наши серверы, просто чтобы иметь сервер, стала откровением. Что более важно, они не развертывают серверы для выполнения множества задач. Вместо этого они требуют от сервера чего-то конкретного. Конечно, бывают и исключения, но в большинстве случаев сервер выделяется для выполнения определенной функции.

В ответ на эти откровения мы сгруппировали эти «определенные функции» в широкие категории, именуемые рабочими нагрузками. Например, рабочую нагрузку базы данных и рабочую нагрузку сервера приложений. Поскольку рабочие нагрузки широки и порой туманны, мы создали подкатегории внутри них, именуемые ролями. Роль – это простая, четко определенная функция, выполнение которой ожидается от сервера. Подумайте о том, как вы (и знакомые вам пользователи) называете серверы в вашей сети. Большинство пользователей думает о них как о файловом сервере, контроллере домена, сервере печати, веб-сервере и так далее. Поскольку пользователи склонны думать о серверах в таком духе, Windows Server 2008 и использует такой же подход для работы с ролями.

Грубо говоря, в Windows Server 2008 существуют три широких категории ролей: управления идентификационными данными и доступом (эти роли помечены как часть Active Directory®), инфраструктуры (это включает файловые серверы, серверы печати, DNS и так далее) и приложений (такие как роль веб-сервера и службы терминалов).

В комплекте Windows Server 2008 будет поставляться примерно 17 ролей (включая такие роли, как службы сертификации Active Directory, службы сетевой политики и доступа и службы виртуализации Windows Server). Дополнительные роли, такие как роль служб потокового мультимедиа, скорее всего, будут доступны для загрузки.

По большому счету, каждая роль заслуживает собственной статьи. О некоторых из них рассказывается более подробно в этом выпуске TechNet Magazine, некоторые уже были освещены, а некоторым это еще предстоит. Каждую из них стоит изучить, начиная с информации, предоставленной на technet2.microsoft.com/windowsserver2008/en/servermanager/default.mspx.

В начале развертывания Windows Server 2008 необходимо выбрать, какие роли будут установлены на каждом сервере. Это развертывание на основе ролей является важным элементом эффективного использования Windows Server 2008 и гибкости при развертывании имеющихся ресурсов.
В список ролей не входят такие элементы, как шифрование диска BitLockerTM и балансировка сетевой нагрузки (Network Load Balancing – NLB). Это вызвано тем, что они являются компонентами – их присутствие желательно, но пользователь не будет покупать систему только ради них. Роли, с другой стороны, представляют именно задачи, для выполнения которых система и покупается. Для примера, пользователи не покупают серверы, чтобы применить балансировку сетевой нагрузки. Они покупают их с целью, скажем, обслуживания веб-узла. NLB может быть весьма существенным аспектом, скажем, веб-сервера, но не целью, ради которой сервер существует.
Вместо установки и включения всех компонентов сервера администратор выбирает, какие из них следует установить. (Список компонентов, входящих в Windows Server 2008, показан на рис. 1.) Включение только необходимых ролей и компонентов позволяет улучшить стабильность и безопасность. Если компонент или роль не установлены, то не надо и беспокоиться о потребляемых ими ресурсах. Аналогично, не надо беспокоиться об устранении неполадок компонентов или обеспечении безопасности ролей, если они не установлены.

Компоненты, поставляемые в комплекте с Windows Server 2008

Возможности Microsoft .NET Framework 3.0
Технология шифрования диска BitLocker
Серверные расширения BITS
Пакет администрирования диспетчера подключений
Темы рабочего стола
Управление групповой политикой
Клиент печати через Интернет
Сервер службы имен хранилищ Интернета (iSNS)
Монитор портов LPR
Очередь сообщений
Многопутевой ввод/вывод
Протокол однорангового разрешения имен
qWave
Удаленный помощник
Средства удаленного администрирования сервера
Диспетчер съемных носителей
Прокси RPC через HTTP
Службы для NFS.
Сервер SMTP
Диспетчер хранилища для сетей SAN
Простые службы TCP/IP
Службы SNMP
Подсистема для приложений на основе UNIX
Клиент Telnet
Сервер Telnet
Клиент протокола TFTP
Отказоустойчивая кластеризация
Балансировка сетевой нагрузки
Система архивации Windows Server
Диспетчер системных ресурсов Windows
Сервер службы WINS (дополнительно)
Служба беспроводной локальной сети
Внутренняя база данных Windows
Windows PowerShell
Служба активации процессов Windows

Воплощением этой концепции является вариант установки Server Core. Описание Server Core выходит за рамки этой статьи, но читатель может представить себе логическое завершение идеи, согласно которой неиспользуемые роли и компоненты не следует даже копировать на жесткий диск или делать доступными. Ключевое различие между обычной установкой и установкой Server Core заключается в том, что в нормальную установку входят все необходимые ресурсы для установки дополнительных ролей в любое время и поддерживаются все роли. Server Core же не имеет даже графического интерфейса для своей оболочки и поддерживает лишь ограниченный набор ролей.

Диспетчер серверов

Новая консоль диспетчера серверов в Windows Server 2008 облегчает управление несколькими серверными ролями в организации и обеспечение их безопасности. По сути являясь расширенным вариантом консоли управления Microsoft® (MMC), диспетчер серверов позволяет просматривать практически всю информацию и средства, влияющие на производительность сервера, и управлять ими. Он предоставляет единый источник управления идентификационной и системной информацией сервера, отображения состояния сервера, определения проблем в настройке серверных ролей и управления установленными ролями. (Отметьте, что он также заменяет несколько функций, входивших в Windows Server 2003, таких как управление данным сервером, настройку данного сервера и добавление или удаление компонентов Windows.)

В некоторых случаях диспетчер серверов может также уменьшить потребность администратора в выполнении мастера настройки безопасности (SCW) перед развертыванием серверов. Диспетчер серверов настраивает сервер таким образом, чтобы все установленные роли были функциональны – например, автоматически настраивая брандмауэр Windows. В тех же случаях, когда роли добавлены, а затем удалены, или когда пользователю нужен более строгий контроль над конкретными параметрами безопасности, SCW все равно является ценным средством.

При работе над Windows Server 2008 мы тщательно рассмотрели способы выполнения задач, которыми должны пользоваться администраторы согласно нашим ожиданиям. Мы нашли способы, которыми средства и мастера упрощали их работу, и случаи, где требовалось слишком много перескакивания от одного средства к другому. Мы поставили важную цель при разработке Windows Server 2008 в целом и диспетчера серверов в частности – сделать администрирования сервера более эффективным путем предоставления администраторам возможности выполнять многие типы задач в одном месте. Как следствие, с помощью диспетчера серверов можно:

* Просматривать роли и компоненты, установленные на сервере, и вносить в них изменения.
* Выполнять управленческие задачи, касающиеся сервера, такие как запуск или остановку служб либо управление локальной учетной записью пользователя.
* Выполнять управленческие задачи, касающиеся ролей, установленных на сервере.
* Проверять состояние сервера, определять важные события и анализировать проблемы настройки.
* Устанавливать или удалять роли, службы ролей и компоненты, используя графический интерфейс или командную строку.

Консоль диспетчера сервера представляет массу информации и функций на небольшом пространстве. На рис. 2 показана роль узла файловых служб на консоли диспетчера сервера. Основное окно консоли содержит четыре свертываемых раздела: сводку по серверу, сводку по ролям, сводку по компонентам, а также материалы и поддержку.

Рис. 2 Консоль управления сервером, отображающая роль файловых служб.

В сводке по серверу имеются два подраздела: сведения о компьютере и сведения о безопасности. В подразделе сведений о компьютере отображаются имя компьютера, домен, имя учетной записи локального администратора, сетевые подключения и код продукта операционной системы. Для изменения этой информации можно использовать команды. Подраздел сведений о безопасности отображает, включены ли автоматическое обновление Windows и брандмауэр Windows, а также включена ли настройка усиленной безопасности Windows Internet Explorer® (либо для администраторов, либо для прочих пользователей). Аналогично, здесь доступны команды для изменения этих параметров и для просмотра всех дополнительных вариантов.

В разделе сводки по ролям имеется таблица, указывающая, какие роли установлены на сервере. Команды в этом разделе позволяют добавлять или удалять роли или перейти в более подробную консоль, через которую можно управлять отдельной ролью.

Раздел сводки по компонентам предоставляет таблицу, указывающую, какие компоненты установлены на сервере. Как и ожидалось, что здесь можно добавлять и удалять компоненты.

Наконец, в разделе материалов и поддержки указывается, принимает ли сервер участие в программе повышения удобства работы заказчика и отчетах об ошибках Windows, а также позволяет настроить участие сервера в программах обратной связи. Здесь также можно быстро обнаружить дополнительные разделы по справке и исследованиям, доступные в технических центрах TechCenter и технических библиотеках Windows Server.

Сведения о ролях

Каждая установленная роль имеет собственную главную страницу внутри диспетчера серверов. Для каждой из этих главных страниц ролей раздел материалов и поддержки предлагает меню из рекомендованных настроек или случаев, в которых работает эта роль или части роли. Каждая рекомендованная настройка связана с контрольным списком справки, проводящим пользователя через задачи, которые необходимо выполнить для обеспечения наибольшего удобства работы для данной роли.

Особенно удобной стороной диспетчера серверов является то, что он поднимает наверх важную информацию и команды, помещая их прямо там, где они нужны пользователю. Если, например, пользователь просматривает главную страницу роли файловых служб, он может немедленно увидеть любые события, относящиеся к этой роли; ему не нужно запускать для этого средство просмотра событий и строить фильтр.

Однако, некоторые роли могут создавать сотни событий, так что у пользователя также есть возможность создавать собственные фильтры прямо с главной страницы роли. Он можно выбрать «Фильтровать события» в боковом меню и еще более сузить категории отображаемых событий. Данный диалог не предоставляет всех возможностей фильтрации, доступных в средстве просмотра событий, но он позволяет быстро сосредоточить внимание только на событиях, относящихся к данной конкретной роли, не утруждая себя фильтрацией прочих.

Аналогично, имеется возможность увидеть состояние системных служб (службы, требуемые данной ролью, но являющиеся частью общей системы) и служб ролей (службы, относящиеся к данной конкретной роли). Для некоторых служб можно выбирать, какие части роли доступны,и устанавливать различные наборы служб ролей. Прямо с главной страницы роли можно запускать и останавливать службы, а также указывать, какие службы следует отслеживать как системные для данной роли.

Работа с мастерами

Основательно разработанный мастер может сэкономить время пользователя и помочь ему в предотвращении ошибок, особенно при работе с задачами, выполняемыми лишь время от времени. В предыдущих версиях Windows Server для изменения установленных на сервере компонентов требовалось использовать мастера управления данным сервером, настройки данного сервера и добавления или удаления компонентов Windows. Проверки зависимости были ограничены, и мастер добавления или удаления компонентов Windows требовал завершения установки одной роли перед добавлением следующей.

Теперь использование мастеров диспетчера ролей позволяет устанавливать или удалять по нескольку ролей, служб ролей и компонентов за один сеанс. Но, что более важно, в ходе работы с мастерами диспетчера серверов выполняются проверки зависимости, обеспечивающие установку всех необходимых ролей и служб ролей. И роли устанавливаются с рекомендованными параметрами безопасности по умолчанию – впрочем, их можно изменить, используя мастер настройки безопасности. Единственного сеанса одного из мастеров диспетчера серверов реально достаточно, чтобы полностью подготовить сервер к развертыванию.

В диспетчере серверов имеется набор мастеров, в том числе мастера добавления ролей, добавления служб ролей, добавления компонентов, удаления ролей, удаления служб ролей и удаления компонентов.

Мастер добавления ролей, который, как несложно догадаться, используется для добавления ролей к серверу, автоматически проверяет зависимости между ролями и убеждается в том, что установлены все роли, а также службы ролей, требуемые для работы каждой выбранной роли. Для некоторых ролей, таких как службы терминалов и службы сертификации Active Directory, мастер добавления ролей также предоставляет страницы настройки, позволяющие пользователю указать желаемую настройку роли в процессе установки. Рис. 3 демонстрирует страницу выбора ролей сервера мастера добавления ролей.

Рис. 3 Использование мастера добавления ролей для выбора ролей сервера

Большинство ролей состоят из нескольких элементов, которые диспетчер серверов именует службами ролей. После установки сложной роли можно использовать мастер добавления служб роли для добавления к ней служб.
Подобно мастеру добавления ролей, мастер добавления компонентов позволяет устанавливать компоненты. За один сеанс можно добавить один или несколько компонентов.

Мастер удаления ролей, согласно своему названию, позволяет удалять роли с сервера. Мастер автоматически проверяет зависимости, чтобы убедиться, что роли или службы ролей, необходимые другим ролям не удалены и остаются установленными. Также можно удалять службы ролей из установленной роли, используя мастер удаления служб ролей. В то же время мастер удаления компонентов позволяет удалять компоненты системы.

Командная строка

Порой я встречаю специалистов по ИТ, которые просто ненавидят мастера. Хотя лишь немногие испытывают настолько бурные чувства, многие специалисты по ИТ любят иметь возможность использования командной строки. Это может быть более удобным, поскольку делает возможным простую повторяемость и использование сценариев. Диспетчер серверов предоставляет средство командной строки ServerManagerCmd.exe, которое заметно проще в использовании, чем прежние средства ocsetup и pkgmgr. ServerManagerCmd.exe можно использовать для установки и удаления ролей, служб ролей и компонентов. Также можно использовать простые параметры для отображения списка всех ролей, служб ролей и компонентов – включая как установленные, так и доступные для установки.

Эта командная строка дает возможность выполнять автоматическую установку и удаление ролей, служб ролей и компонентов, что весьма удобно. Командную строку можно использовать для установки или удаления единственной роли, службы ролей или компонента в экземпляре команды; либо можно использовать файл ответов XML при помощи команды диспетчера серверов для установки или удаления нескольких ролей, служб ролей и компонентов единственным экземпляром команды. Также можно просматривать журналы и запускать запросы для отображения списков ролей, служб ролей и компонентов, включая как уже установленные, так и доступные для установки.

Изюминкой этого средства командной строки является параметр whatif, позволяющий увидеть какие именно изменения будут внесены в сервер установкой указанной роли. Например, на рис. 4 показаны результаты запуска следующей команды:

ServerManagerCmd -install Web-Server
-allsubfeatures -whatif

Помните ли вы день, когда в ваши руки попала Windows Server 2008? Это было замечательное событие. С момента выхода предыдущей операционной системы прошло пять долгих лет. С начальной установкой пришлось повозиться довольно долго.

Вы ввели имя пользователя и пароль в окне входа, после чего увидели окно нового мастера под названием «Задачи первоначальной настройки» (Initial Configuration Tasks). Закрыв мастер, вы впервые увидели сделавший много шума диспетчер сервера (Server Manager).

«Вот оно! - могли вы подумать в волнении, изучая роли и функциональность. - Всего лишь одно окно, а все консоли управления собраны в одном месте. Теперь щелкнем правой кнопкой корневой узел и попытаемся поуправлять другим сервером. Упс, что-то не так…»

Вы помните, что произошло дальше, - вы осознали, что первая версия диспетчера сервера не была решением для удаленного администрирования. Справедливости ради надо отметить, что в Microsoft не анонсировали предыдущую версию Windows Server 2008 как решение для удаленного администрирования. Тем не менее, большинство из нас были шокированы, узнав, что функциональности удаленного администрирования в диспетчере сервера не было.

Подключение к другому компьютеру

В Microsoft все же прислушиваются к своим потребителям. В конечном счете, в Microsoft Windows 2008 R2 появилась возможность удаленного администрирования. В этой версии ОС, щелкнув правой кнопкой корневой узел в диспетчере сервера, можно открыть контекстное меню, содержащее команду Connect to Another Computer (Подключиться к другому компьютеру).

Но новый элемент в контекстном меню еще не означает, что все сразу заработает. Вернемся к корневому узлу в диспетчере сервера. Щелкните правой кнопкой имя сервера и выберите «Подключиться к другому компьютеру». Вас ждет еще один сюрприз. Первая попытка удаленного управления компьютером закончится неудачно. В этот момент появится сообщение об ошибке (рис. 1 ). Прежде чем приступать к удаленному управлению с помощью диспетчера сервера, нужно настроить несколько параметров.

Рис. 1. Сообщение об ошибке при попытке подключения к другому компьютеру

Чтобы понять, зачем нужно настроить эти параметры, надо понять, как работает удаленное управление. Часть функциональности удаленного управления Server Manager обеспечивается за счет Windows PowerShell. При изменении настройки в диспетчере сервера фактически выполняется команда Windows PowerShell. Диспетчер сервера лишь предоставляет интерфейс для этих операций, от вашего имени выполняя команды Windows PowerShell и сообщая их результаты.

Windows PowerShell всего лишь механизм отправки удаленных команд. Для обеспечения полноценного цикла управления на каждом удаленном сервере должна быть служба для прослушивания входящих команд и их локального выполнения. Это служба удаленного администрирования Windows (Windows Remote Management, WinRM), которая по умолчанию не активирована и не настроена. Ее можно включить, используя групповые политики.

Создайте новый объект групповой политики (Group Policy Object, GPO) и свяжите его с подразделением, в котором находятся серверы. Затем последовательно раскройте узлы Computer Configuration/Policies/Administrative Templates/Windows Components/Windows Remote Management/WinRM Service (Настройка компьютера/Политики/Шаблоны администрирования/Компоненты Windows/Удаленное управление/Windows Служба WinRM). Нам нужна политика Allow automatic configuration of listeners (Разрешить автоматическую настройку слушателей). Эта политика включает WinRM и заставляет ее прослушивать команды удаленного управления.

Рис. 2. Включение автоматической настройки слушателей

Выполнив настройку на странице конфигурации (рис. 2 ) можно задать диапазон IP-адресов хостов, которым разрешено удаленно управлять серверами.

Далее нужно настроить второй параметр объекта GPO для управления средой, в которой работает брандмауэр Windows. Последовательно раскройте узлы Computer Configuration/Policies/Windows Settings/Security Settings/Windows Firewall with Advanced Security (Настройка компьютера/Политики/Параметры Windows/Параметры безопасности/Брандмауэр Windows c расширенными настройками безопасности). Создайте три предопределенных входящих правила, разрешающих трафик служб Remote Event Log Management (Удаленное управление журналом событий), Remote Service Management (Служба удаленного управления) и Windows Firewall Remote Management (Удаленное управление брандмауэром Windows).

Если групповые политики не используются, можно разрешить удаленное управление вручную с помощью диспетчера сервера. Откройте диалоговое окно настройки удаленного управления (рис. 3 ), щелкнув ссылку Configure Server Manager Remote Management (Настроить удаленное управление Server Manager). Отметьте флажок Enable remote management of this server from other computers (Разрешить удаленное управление этим сервером с других компьютеров). Это нужно сделать для всех серверов, которыми планируется управлять удаленно.

Рис. 3. Диалоговое окно настройки удаленного управления Server Manager

Теперь можно приступить к удаленному управлению другими компьютерами под управлением Windows Server 2008 R2. Сначала в средстве удаленного администрирования сервера (Remote Server Administration Tools) нужно установить инструменты для управления ролями удаленного управления, сервисами ролей и функциями локального компьютера. Для этого нужно:

добавить или удалить нужные роли, службы ролей и функции;
настроить параметры удаленного рабочего стола;
настроить параметры системы;
проверить новые роли;
изменить параметры автоматического обновления Windows;
изменить параметры настройки сети;
изменить имя компьютера и его членство в домене;
изменить параметры расширенной безопасности Internet Explorer;
если компьютер является сервером под управлением Windows Server 2008 R2, выполнить Мастер настройки безопасности (Security Configuration Wizard).

Прощай RPC, здравствуй WinRM!

Удаленное управление с помощью Windows Remote Management (WinRM) может потребовать определенных усилий по настройке, но в итоге вы получите более удобную архитектуру удаленного управления сервером. Почему? Служба WinRM спроектирована для управления серверами Windows по ограниченному числу сетевых портов. Эта служба общается по протоколу HTTP через единственный TCP-порт 5985. Эта комбинация единственного порта и протокола устраняет множество проблем сетевой безопасности, присущих удаленному вызову процедур (Remote Procedure Call, RPC) – основному инструменту, применявшемуся в прошлом.

Как вы наверняка знаете, для управления серверами с помощью RPC требуется открыть целый диапазон портов на каждом Windows-сервере. Это плохо с точки зрения безопасности. С другой стороны, WinRM обеспечивает механизм управления серверами через единственную и надежно защищенную точку входа. Явное определение ограниченного числа доверенных IP-адресов обеспечивает дополнительную защиту от атак.

Кроме того, разрешение удаленного управления через единственный порт оказывается полезным, когда управляемый компьютер расположен за брандмауэром. С помощью WinRM можно удаленно управлять серверами в сетях периметра или в других защищенных сетях при значительном снижении угрозы атак.

На данный момент возможности удаленного управления средствами диспетчера сервера все еще несколько ограничены. Однако переход к использованию WinRM в качестве протокола и Windows PowerShell как оболочки - явный сигнал о том, что компания Microsoft движется в верном направлении.

Кто знает, может, когда-нибудь мы навсегда сможем отказаться от управления с применением RPC. Этот день я запомню навсегда.

Роли и компоненты

По большому счету, каждая роль заслуживает собственной статьи. О некоторых из них рассказывается более подробно в этом выпуске TechNet Magazine , некоторые уже были освещены, а некоторым это еще предстоит. Каждую из них стоит изучить, начиная с информации, предоставленной на technet2.microsoft.com/windowsserver2008/en/servermanager/default.mspx .

В список ролей не входят такие элементы, как шифрование диска BitLockerTM и балансировка сетевой нагрузки (Network Load Balancing – NLB). Это вызвано тем, что они являются компонентами – их присутствие желательно, но пользователь не будет покупать систему только ради них. Роли, с другой стороны, представляют именно задачи, для выполнения которых система и покупается. Для примера, пользователи не покупают серверы, чтобы применить балансировку сетевой нагрузки. Они покупают их с целью, скажем, обслуживания веб-узла. NLB может быть весьма существенным аспектом, скажем, веб-сервера, но не целью, ради которой сервер существует.

Вместо установки и включения всех компонентов сервера администратор выбирает, какие из них следует установить. (Список компонентов, входящих в Windows Server 2008, показан на рис. 1 .) Включение только необходимых ролей и компонентов позволяет улучшить стабильность и безопасность. Если компонент или роль не установлены, то не надо и беспокоиться о потребляемых ими ресурсах. Аналогично, не надо беспокоиться об устранении неполадок компонентов или обеспечении безопасности ролей, если они не установлены.

Рис 1 Компоненты, поставляемые в комплекте с Windows Server 2008

Возможности Microsoft .NET Framework 3.0

Технология шифрования диска BitLocker

Серверные расширения BITS

Пакет администрирования диспетчера подключений

Темы рабочего стола

Управление групповой политикой

Клиент печати через Интернет

Сервер службы имен хранилищ Интернета (iSNS)

Монитор портов LPR

Очередь сообщений

Многопутевой ввод/вывод

Протокол однорангового разрешения имен

qWave

Удаленный помощник

Средства удаленного администрирования сервера

Диспетчер съемных носителей

Прокси RPC через HTTP

Службы для NFS.

Сервер SMTP

Диспетчер хранилища для сетей SAN

Простые службы TCP/IP

Службы SNMP

Подсистема для приложений на основе UNIX

Клиент Telnet

Сервер Telnet

Клиент протокола TFTP

Отказоустойчивая кластеризация

Балансировка сетевой нагрузки

Система архивации Windows Server

Диспетчер системных ресурсов Windows

Сервер службы WINS (дополнительно)

Служба беспроводной локальной сети

Внутренняя база данных Windows

Windows PowerShell

Служба активации процессов Windows

Диспетчер серверов

Просматривать роли и компоненты, установленные на сервере, и вносить в них изменения.
Выполнять управленческие задачи, касающиеся сервера, такие как запуск или остановку служб либо управление локальной учетной записью пользователя.
Выполнять управленческие задачи, касающиеся ролей, установленных на сервере.
Проверять состояние сервера, определять важные события и анализировать проблемы настройки.
Устанавливать или удалять роли, службы ролей и компоненты, используя графический интерфейс или командную строку.

Консоль диспетчера сервера представляет массу информации и функций на небольшом пространстве. На рис. 2 показана роль узла файловых служб на консоли диспетчера сервера. Основное окно консоли содержит четыре свертываемых раздела: сводку по серверу, сводку по ролям, сводку по компонентам, а также материалы и поддержку.

Рис. 2 Консоль управления сервером, отображающая роль файловых служб.

Сведения о ролях

Работа с мастерами

Мастер добавления ролей, который, как несложно догадаться, используется для добавления ролей к серверу, автоматически проверяет зависимости между ролями и убеждается в том, что установлены все роли, а также службы ролей, требуемые для работы каждой выбранной роли. Для некоторых ролей, таких как службы терминалов и службы сертификации Active Directory, мастер добавления ролей также предоставляет страницы настройки, позволяющие пользователю указать желаемую настройку роли в процессе установки. Рис. 3 демонстрирует страницу выбора ролей сервера мастера добавления ролей.

Рис. 3 Использование мастера добавления ролей для выбора ролей сервера

Подобно мастеру добавления ролей, мастер добавления компонентов позволяет устанавливать компоненты. За один сеанс можно добавить один или несколько компонентов.

Командная строка

Изюминкой этого средства командной строки является параметр whatif, позволяющий увидеть какие именно изменения будут внесены в сервер установкой указанной роли. Например, на рис. 4 показаны результаты запуска следующей команды:

ServerManagerCmd -install Web-Server -allsubfeatures -whatif

Рис. 4 Использование параметра whatif для просмотра изменений, которые были бы внесены в сервер

Более углубленное рассмотрение деталей и синтаксиса ServerManagerCmd.exe имеется в документе "Server Manager Technical Overview Appendix" («Приложении к техническому обзору диспетчера серверов») по адресу

Служба администрирования задач и процессов Windows (диспетчер), как известно, является очень мощным средством отслеживания всех процессов, включая пользовательские и системные, инструментом устранения некоторых проблем, а также визуальным помощником в определении нагрузки на системные ресурсы. Но бывает и так, что пользователь вдруг ни с того ни с сего получает уведомление о том, что Диспетчер задач отключен администратором. Ладно, если его действительно отключил администратор локального компьютера или сети, а если терминал не имеет локального подключения, а пользователь сам, по идее, обладает правами администратора?

Почему возникает предупреждение «Диспетчер задач отключен администратором»?

Причин для появления такого сообщения может быть, сколько угодно. Прежде всего, это может быть связано с политикой безопасности, когда администратор компьютера или сети (сисадмин) отключает возможность его использования только для того, чтобы неопытный юзер, не дай бог, не завершил какие-либо жизненно важные системные процессы.

С другой стороны, если на терминале работает только один пользователь, то есть, сам администратор, тоже может возникнуть предупреждение, что Диспетчер задач отключен администратором. Windows 7, например, как и любая другая система, просто блокирует доступ к его основным функциям. Причем сразу совершенно непонятно, почему. Давайте рассмотрим основные методы решения этой проблемы.

Что делать в первую очередь, если Диспетчер задач отключен администратором (Windows всех версий)?

Для начала отметим, что паниковать явно не стоит. Проблема в большинстве случаев исправляется достаточно просто.

Если такая ситуация наблюдается на администраторском компьютере, очень может быть, что пользователь просто подхватил вирус (и это, кстати, очень частая ситуация). Как уже понятно, для ее исправления нужно запустить сканирование системы либо штатным антивирусом (углубленный анализ), либо портативной утилитой, либо средством проверки, запускаемым с диска или USB-носителя до старта самой «операционки». Однако, не всегда все так просто.

Включение Диспетчера в Windows XP

Рассмотрим в качестве одного из примеров ОС Windows XP при условии, что на одном терминале присутствует несколько учетных записей, и в данный момент пользователь работает в своем персональном сеансе без административных прав.

В данном случае при попытке запуска службы и появится уведомление «Диспетчер задач отключен администратором». Как включить этот процесс? Нет ничего проще. Для этого очень хорошо подходит утилита Windows XP Tweaker, которую можно найти в Интернете даже в виде портативной версии.

После запуска программы находим в левом поле утилит раздел «Защита», после чего справа откроется окно настроек системы. Если в поле запрета вызова Диспетчера стоит галочка, ее нужно просто убрать и сохранить изменения путем нажатия кнопки «Применить». После этого доступ к службе будет восстановлен. Если этого не произошло, и предупреждение «Диспетчер задач отключен администратором», появится снова, необходимо просто произвести перезагрузку компьютерного терминала.

Использование утилиты AVZ

Достаточно интересной и мощной является многозадачная утилита AVZ. Берем ту же ситуацию. У пользователя появляется уведомление, что Диспетчер задач отключен администратором. Как включить службу, используя AVZ? Практически так же, как и в прошлом случае.

Только здесь необходимо из меню «Файл» вызывать раздел восстановления настроек системы, а в окне процессов и служб поставить «птичку» напротив пункта «Разблокировка Диспетчера задач» (пункт 11). Доступ будет восстановлен даже без перезагрузки.

Кстати сказать, при помощи этой программы таким же методом можно разблокировать доступ к редактору системного реестра, который сисадмины частенько блокируют.

Использование клиента групповой политики

Теперь рассмотрим стандартное средство исправления ситуации, которое имеется в самой операционной системе. Это так называемый клиент групповой политики. Процесс, правда, выглядит несколько сложнее.

Итак, что делать, если Диспетчер задач отключен администратором в этом примере? Заходим в поле поиска, расположенное в главном меню «Пуск» и прописываем строку gpedit.msc, после чего в открывшемся клиенте слева обращаем внимание на раздел пользовательской конфигурации, в котором имеются подразделы административных шаблонов и системы. Справа в окне будет видна строка «Удаленный Диспетчер задач». После двойного клика на ней нужно выбрать либо параметр «Не задано», либо параметр «Отключить» (заметьте, параметр включения блокирует доступ к службе Диспетчера задач). Теперь просто сохраняем изменения, и доступ восстанавливается.

Включение службы в редакторе реестра

Приведем еще более сложную ситуацию, когда система информирует пользователя, что Диспетчер задач отключен администратором. Выходом из такой ситуации может стать вызов стандартного редактора системного реестра (при условии, что пользователь имеет к нему доступ). Если доступа нет, включить его можно при помощи утилиты AVZ, как это было описано выше.

В меню «Выполнить» прописываем regedit (или используем клавиши Win + R), а в реестре находим раздел System, запрятанный очень глубоко). Таких разделов может быть несколько, но использовать нужно именно тот, при клике на котором справа отобразится окно, содержащее строку Disable Task Manager (тип REG_DWORD). Поиск можно задать и по ключевой строке, так будет быстрее. Двойной клик на строке вызывает установленное значение. Если служба отключена, это будет «0». Как уже понятно, его нужно исправить на «1» и нажать кнопку «OK».

Использование командной строки

Напоследок, еще один, наверное, самый сложный для рядового пользователя вариант отключения уведомлений, сигнализирующих, что Диспетчер задач отключен администратором.

В этом примере необходимо в командной строке, запущенной от имени Администратора, прописать значение cmd. В окне редактора прописываем следующее: «REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System», через пробел «/v», затем еще раз через пробел «DisableTaskMgr», еще один пробел и параметр «/t», далее «REG_DWORD» и опять через пробел «/d 0 /f» (все команды без кавычек). Должно получиться как картинке.

После этого нажимается клавиша Enter (ввод). Теперь можно попробовать запустить сам Диспетчер задач, правда, делать это нужно исключительно из командной строки (в поле вводится команда taskmgr).

У этого метода есть один недостаток. Он позволяет включить службу одноразово. В случае, когда может потребоваться многократное использование, лучше заранее создать текстовый файл с вышеприведенными командами, а затем изменить его расширение на.bat (в любой программе типа стандартного «Блокнота»). Такой исполняемый файл для включения доступа нужно будет запускать исключительно от имени Администратора, что делается при помощи меню, вызываемого правым кликом на самом файле. Вот, собственно, и все.