Konfiguracja Server Core Firewall i zarządzanie zdalne

Jak wiadomo, Server Core w systemie Windows Server 2008 nie obejmuje tradycyjnego pełnego graficznego interfejsu użytkownika (GUI).

Podobnie jak w przypadku standardowej (pełnej) instalacji systemu Windows Server 2008, Zapora systemu Windows jest domyślnie włączona, a większość portów sieciowych jest blokowana natychmiast po instalacji. Ponieważ jednak głównym zadaniem północy jest zapewnienie określonej usługi (czy to określonej usługi, pliku lub czegoś innego, co powinno być dostępne przez sieć), należy zezwolić na określony ruch sieciowy na zaporze.

Jednym z powodów otwierania ruchu przychodzącego na zaporze jest potrzeba zdalnej kontroli serwera. Jak wspomniano w poprzednich artykułach, możesz kontrolować Server Core za pomocą lokalnego wiersza polecenia, zdalnie za pomocą zwykłej przystawki MMC, za pośrednictwem WinRM i WinRS, a nawet za pośrednictwem pulpitu zdalnego (chociaż nadal masz zwykłe okno wiersza polecenia ...)

W większości przypadków po początkowej konfiguracji serwera trzeba będzie zarządzać rolami i funkcjami zainstalowanymi na serwerze, i prawdopodobnie należy użyć przystawki Narzędzia administracyjne MMC. Istnieją trzy scenariusze zdalnego zarządzania za pośrednictwem MMC:

  1. Rola serwera - po zainstalowaniu roli serwera na serwerze odpowiednie porty otwierają się automatycznie, umożliwiając zdalne zarządzanie nim. Nie nie są wymagane żadne dodatkowe ustawienia. Instalując niezbędne przystawki z narzędzi administracji zdalnej serwera (RSAT) na pełnoprawnej stacji roboczej (serwerze), możesz zdalnie sterować serwerem za pomocą Server Core.
  2. Serwer członkowski domeny - po włączeniu serwera do domeny zapora używa wstępnie skonfigurowanego profilu domeny, który umożliwia zdalne zarządzanie. Ponownie nie są wymagane żadne dodatkowe ustawienia..
  3. Serwer w grupie roboczej - Jest to scenariusz, w którym należy wprowadzić zmiany w konfiguracji zapory. Jeśli chcesz korzystać ze wszystkich funkcji pilota, możesz użyć następującego polecenia:
 Zapora Netsh advfirewall ustawia grupę reguł = „zdalna administracja” nowa enable = tak

To polecenie włącza większość technik zdalnego sterowania i umożliwia dostęp do większości przystawek MMC. Istnieją jednak przystawki, do których dostęp zdalny jest konfigurowany dodatkowo:

Menedżer urządzeń

Aby zezwolić na połączenie z menedżerem urządzeń, musisz włączyć ustawienie zasad „Zezwól na zdalny dostęp do interfejsu PnP”.

Zarządzanie dyskami

Aby to zrobić, musisz uruchomić usługę Virtual Disk Service (VDS) na serwerze Server Core

Zarządzanie IPSec

Najpierw musisz skonfigurować zdalne sterowanie dla IPSec. Można to zrobić za pomocą skryptu scregedit.wsf (znajduje się on w folderze system32):

 Cscript scregedit.wsf / im 1

W ten sposób dostęp do większości przystawek MMC zdalnej administracji jest umożliwiony przez jedną regułę w zaporze - reguły zapory administracji zdalnej. Często jednak konieczne jest zapewnienie dostępu tylko do ograniczonej liczby przystawek MMC..

Zapora nie ma reguł dla wszystkich przystawek; tabela zawiera listę istniejących reguł:

Aby włączyć dowolną z tych grup, musisz wpisać polecenie:

 Zapora Netsh advfirewall ustawia grupę reguł = „” nowe włączenie = tak

Gdzie jest nazwa z tabeli poniżej.

Możesz także zdalnie włączyć je z Zapory systemu Windows uruchomionej w trybie zaawansowanych zabezpieczeń. Aby wyświetlić wszystkie reguły, po prostu posortuj według kolumny „Włącz”: