Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2012/2012 R2 » 2012 R2 - Добавление серверов в диспетчер сервера для рабочей группы и домена

Ответить
Настройки темы
2012 R2 - Добавление серверов в диспетчер сервера для рабочей группы и домена

Аватара для Anton04

Ветеран


Сообщения: 2054
Благодарности: 389


Конфигурация

Профиль | Отправить PM | Цитировать


Изменения
Автор: Anton04
Дата: 30-10-2019
Описание: Обновление списка использованной литературы. Добавлены методы проверки.
Создание этой темы это попытка структуривать всю прочитанную информацию по данному вопросу, плюс возможно ещё что-то...

Дано: группа серверов (2012R2), часть серверов в домене, а часть серверов в рабочей группе.
Задача-1: с одного из серверов в домене управлять через "Диспетчер серверов" серверами в рабочей группе.
Задача-2: с одного из серверов в рабочей группе управлять через "Диспетчер серверов" серверами в рабочей группе и в домене.
Можно сказать, что таким образом мы реализуем перекрёстное управление любым сервером и с любого сервера.

Решение и первой и второй задачи состоит из нескольких этапов, есть ли отличие в реализации при решении второй задачи я пока не выяснял, поэтому будем считать, что данные задачи тождественны:

1. Добавляем сервера рабочей группы в доверенные узлы.
2. Разрешаем запуск процессов с повышенными правами не от встроенной учётной записи администратора или системной учётной записи.
3. Настройка Windows Firewall для разрешения подключения к соответствующим службам.

1)
Данной командой в PowerShell мы просматриваем список доверенных серверов:
Код: Выделить весь код
get-item wsman:\localhost\client\TrustedHosts
Если список пуст, то добавляем нужный сервер в список:
Код: Выделить весь код
set-Item wsman:\localhost\client\TrustedHosts -Value server1 -Force
где server1 - это имя сервера рабочей группы (вместо имени допускается использовать IP адрес, см. Непонятный TrustedHosts);
ключ Force необязателен и говорит о том, чтоб не выводить запрос подтверждение о добавлении в список.

Если список доверенных серверов не пуст, то тогда нам поможет команда:
Код: Выделить весь код
set-Item wsman:\localhost\client\TrustedHosts -Value server1 -Concatenate -Force
где server1 - это имя сервера рабочей группы (вместо имени допускается использовать IP адрес),
ключ Concatenate говорит именно о том, чтоб добавить необходимую запись к уже существующей.
ключ Force необязателен и говорит о том, чтоб не выводить запрос подтверждение о добавлении в список.

И последнее, если нам совсем не хочется каждый раз прописывать новые имена или IP, то выполняем (подчёркиваю, это очень не рекомендуется делать, по соображениям безопасности):
Код: Выделить весь код
set-item wsman:localhost\client\TrustedHosts -Value * -Force
Тоже самое можно сделать через GPO: Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Удаленное управление Windows/Служба удаленного управления Windows.

Тестируем что коннект есть осуществляется следующим образом (имя сервера может быть как FQDN, так и нет):

Код: Выделить весь код
Test-WSMan -ComputerName "server1"
2) Данную задачу можно выполнить несколькими способами: с помощью команды PowerShell, с помощью встроенной утилиты REG (из командной строки), с помощью подготовленного (экспортированного) файла реестра или внесением нужного значения напрямую через regedit. Я опишу первые два способа.

PowerShell:
Код: Выделить весь код
New-ItemProperty -Name LocalAccountTokenFilterPolicy -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -PropertyType Dword -Value 1
cmd или PowerShell:
Цитата:
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
3) Тут тоже существую несколько способов, начиная от PowerShell, cmd, GPO и заканчивая GUI интерфейсом Windows Firewall. Описывать как это сделать в GPO или через интерфейс Windows Firewall я не буду, там и так всё наглядно.
Поэтому опишу только как это сделать в PowerShell или cmd (как выполнить все команды в одной среде я ещё не доработал, поэтому у меня получилась сборная солянка из команд PowerShell и cmd).

PowerShell
Код: Выделить весь код
Enable-PSRemoting
Данная команда делает следующее:
а) запускат WinRM сервис;
б) устанавливает автостарт службы WinRM в автоматический;
в) создает прослушиватель;
г) добавляет исключения файрвола;
д) включает все зарегистрированные конфигурации сессий PowerShell для получения инструкций от удаленных машин;
е) регистрирует конфигурацию если она не зарегистрирована «Microsoft.PowerShell»;
ж) регистрирует конфигурацию если она не зарегистрирована «Microsoft.PowerShell32» на 64 битных машинах;
з) убирает запрет «Deny Everyone» из дескриптора безопасности всех конфигураций сессий;
и) перезапускает сервис WinRM.

и часть команд в cmd.

cmd:
Код: Выделить весь код
netsh advfirewall firewall set rule name="Удаленное управление Windows (HTTP - входящий трафик)" new enable=yes
Код: Выделить весь код
netsh advfirewall firewall set rule name="Удаленное управление брандмауэром Windows (RPC)" new enable=yes
Код: Выделить весь код
netsh advfirewall firewall set rule name="Удаленное управление журналом событий (RPC)" new enable=yes
Код: Выделить весь код
netsh advfirewall firewall set rule name="Удаленное управление журналом событий (RPC-EPMAP)" new enable=yes
Код: Выделить весь код
netsh advfirewall firewall set rule name="Удаленное управление журналом событий (именованные каналы - входящий)" new enable=yes
Код: Выделить весь код
netsh advfirewall firewall set rule name="Удаленное управление службой (RPC)" new enable=yes
Код: Выделить весь код
netsh advfirewall firewall set rule name="Удаленное управление службой (RPC-EPMAP)" new enable=yes
Код: Выделить весь код
netsh advfirewall firewall set rule name="Удаленное управление службой (именованные каналы - входящий)" new enable=yes
Код: Выделить весь код
netsh advfirewall firewall set rule name="Удаленное управление томами (RPC - EPMAP)" new enable=yes
Код: Выделить весь код
netsh advfirewall firewall set rule name="Удаленное управление томами - загрузчик службы виртуальных дисков (RPC)" new enable=yes
Тестируем подключение к сервису WinRM (имя сервера может быть как FQDN, так и нет):

Код: Выделить весь код
Test-NetConnection -ComputerName server1 -Port 5985
Теоретически это всё, после этого можно добавить любой сервер в "Диспетчер серверов" Windows и после ввода логина и пароля получить доступ.
Но есть нюансы и вопросы на которые я так и не нашёл ответа.

Вопрос который так не был решён:

Как диагностировать, что не сделано (не разрешено) на сервере если после добавления сервера в "Диспетчер серверов" Windows я получаю ошибку: "ошибка проверки подлинности Kerberos"? Притом, что я свободно добавляю любые оснастки в mmс от этого сервера на сервере управления.

P.S. Буду рад исправлениям и дополнениям.

P.P.S. Материалы и статьи которые были использованы мной для изучения вопроса:
Remote Management with Server Manager
PowerShell Remoting - настройка и удаленное управление
Как использовать контекст "netsh advfirewall firewall" вместо "netsh firewall" для управления поведением брандмауэра Windows в Windows Server 2008 и Windows Vista
Контекст командной строки Netsh AdvFirewall Firewall
PowerShell. Решение проблем связанных с удалённым подключением
Microsoft.WSMan.Management
Непонятный TrustedHosts.

-------
Слабый всю жизнь идёт лёгкой дорогой, черта сильного выбрать трудный путь.
Будь осторожен в своих желаниях, ибо они иногда сбываются.


Отправлено: 14:04, 14-02-2018

 


Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2012/2012 R2 » 2012 R2 - Добавление серверов в диспетчер сервера для рабочей группы и домена

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
2012 R2 - доступ к компьютерам рабочей группы из домена kostolomus Windows Server 2012/2012 R2 7 07-05-2016 21:23
Любой язык - Скрипт для изменения рабочей группы компьютера cambit Скриптовые языки администрирования Windows 0 05-11-2015 21:17
VPN - Объединение домена и рабочей группы через vpn, сети территориально удаленные SWR199 Сетевые технологии 11 14-01-2013 15:24
DNS/DHCP - [решено] Недоступен список серверов для этой рабочей группы. Martia Сетевые технологии 0 14-07-2011 11:57
[решено] Ошибка "Не доступен список серверов для этой рабочей группы" CyMpak Microsoft Windows NT/2000/2003 14 02-10-2004 01:54




 
Переход