Anton04

Изменения Автор: Anton04 Дата: 30-10-2019 Описание: Обновление списка использованной литературы. Добавлены методы проверки.

Создание этой темы это попытка структуривать всю прочитанную информацию по данному вопросу, плюс возможно ещё что-то...

Дано: группа серверов (2012R2), часть серверов в домене, а часть серверов в рабочей группе.
Задача-1: с одного из серверов в домене управлять через "Диспетчер серверов" серверами в рабочей группе.
Задача-2: с одного из серверов в рабочей группе управлять через "Диспетчер серверов" серверами в рабочей группе и в домене.
Можно сказать, что таким образом мы реализуем перекрёстное управление любым сервером и с любого сервера.

Решение и первой и второй задачи состоит из нескольких этапов, есть ли отличие в реализации при решении второй задачи я пока не выяснял, поэтому будем считать, что данные задачи тождественны:

1. Добавляем сервера рабочей группы в доверенные узлы.
2. Разрешаем запуск процессов с повышенными правами не от встроенной учётной записи администратора или системной учётной записи.
3. Настройка Windows Firewall для разрешения подключения к соответствующим службам.

1)
Данной командой в PowerShell мы просматриваем список доверенных серверов:
Если список пуст, то добавляем нужный сервер в список:
где server1 - это имя сервера рабочей группы (вместо имени допускается использовать IP адрес, см. Непонятный TrustedHosts);
ключ Force необязателен и говорит о том, чтоб не выводить запрос подтверждение о добавлении в список.

Если список доверенных серверов не пуст, то тогда нам поможет команда:
где server1 - это имя сервера рабочей группы (вместо имени допускается использовать IP адрес),
ключ Concatenate говорит именно о том, чтоб добавить необходимую запись к уже существующей.
ключ Force необязателен и говорит о том, чтоб не выводить запрос подтверждение о добавлении в список.

И последнее, если нам совсем не хочется каждый раз прописывать новые имена или IP, то выполняем (подчёркиваю, это очень не рекомендуется делать, по соображениям безопасности):
Тоже самое можно сделать через GPO: Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Удаленное управление Windows/Служба удаленного управления Windows.

Тестируем что коннект есть осуществляется следующим образом (имя сервера может быть как FQDN, так и нет):

2) Данную задачу можно выполнить несколькими способами: с помощью команды PowerShell, с помощью встроенной утилиты REG (из командной строки), с помощью подготовленного (экспортированного) файла реестра или внесением нужного значения напрямую через regedit. Я опишу первые два способа.

PowerShell:
cmd или PowerShell:
3) Тут тоже существую несколько способов, начиная от PowerShell, cmd, GPO и заканчивая GUI интерфейсом Windows Firewall. Описывать как это сделать в GPO или через интерфейс Windows Firewall я не буду, там и так всё наглядно.
Поэтому опишу только как это сделать в PowerShell или cmd (как выполнить все команды в одной среде я ещё не доработал, поэтому у меня получилась сборная солянка из команд PowerShell и cmd).

PowerShell
Данная команда делает следующее:
а) запускат WinRM сервис;
б) устанавливает автостарт службы WinRM в автоматический;
в) создает прослушиватель;
г) добавляет исключения файрвола;
д) включает все зарегистрированные конфигурации сессий PowerShell для получения инструкций от удаленных машин;
е) регистрирует конфигурацию если она не зарегистрирована «Microsoft.PowerShell»;
ж) регистрирует конфигурацию если она не зарегистрирована «Microsoft.PowerShell32» на 64 битных машинах;
з) убирает запрет «Deny Everyone» из дескриптора безопасности всех конфигураций сессий;
и) перезапускает сервис WinRM.

и часть команд в cmd.

cmd:
Тестируем подключение к сервису WinRM (имя сервера может быть как FQDN, так и нет):

Теоретически это всё, после этого можно добавить любой сервер в "Диспетчер серверов" Windows и после ввода логина и пароля получить доступ.
Но есть нюансы и вопросы на которые я так и не нашёл ответа.

Вопрос который так не был решён:

Как диагностировать, что не сделано (не разрешено) на сервере если после добавления сервера в "Диспетчер серверов" Windows я получаю ошибку: "ошибка проверки подлинности Kerberos"? Притом, что я свободно добавляю любые оснастки в mmс от этого сервера на сервере управления.

P.S. Буду рад исправлениям и дополнениям.

P.P.S. Материалы и статьи которые были использованы мной для изучения вопроса:
Remote Management with Server Manager
PowerShell Remoting - настройка и удаленное управление
Как использовать контекст "netsh advfirewall firewall" вместо "netsh firewall" для управления поведением брандмауэра Windows в Windows Server 2008 и Windows Vista
Контекст командной строки Netsh AdvFirewall Firewall
PowerShell. Решение проблем связанных с удалённым подключением
Microsoft.WSMan.Management
Непонятный TrustedHosts.