1 / 72

第 19 章 遠端管理

第 19 章 遠端管理. 本章重點. 19 - 1 終端機服務 19 - 2 啟用遠端管理功能 19 - 3 建立與結束遠端管理連線 19 - 4 啟用單一登入( SSO )功能. 遠端管理. 所謂的 『 遠端管理 』 ( Remote Administration )是指無法到伺服器前操作的系統管理員 , 可以透過網路連線到伺服器 , 執行新增帳戶、設定權限、修改群組原則等等管理工作 , 彷彿就坐在伺服器前使用鍵盤與滑鼠。

daire
Download Presentation

第 19 章 遠端管理

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第 19 章 遠端管理

  2. 本章重點 • 19-1 終端機服務 • 19 - 2 啟用遠端管理功能 • 19 - 3 建立與結束遠端管理連線 • 19 - 4 啟用單一登入(SSO)功能

  3. 遠端管理 • 所謂的『遠端管理』(Remote Administration)是指無法到伺服器前操作的系統管理員, 可以透過網路連線到伺服器, 執行新增帳戶、設定權限、修改群組原則等等管理工作, 彷彿就坐在伺服器前使用鍵盤與滑鼠。 • 其實這種『如朕親臨』的本事通常被稱為『遠端遙控』(Remote Control), 但是遠端遙控所涉及的範圍太大, 既可以管理, 也可以執行應用程式, 而這兩件事所牽涉的內容有很大的差異。

  4. 遠端管理 • 因此本章聚焦於利用遠端遙控來管理系統, 至於執行應用程式的部分, 安排在下一章介紹。 • Windows Server 2008 內建了遠端管理功能, 它是屬於終端機服務(Terminal Service)的一部份, 因此我們應該先認識終端機服務, 再來學習遠端管理。

  5. 19 - 1 終端機服務 • 從 Windows 2000 Server 開始, 終端機服務成為作業系統核心的一部份, 區分為『遠端管理』(Remote Administration)和『應用程式伺服器』(Application Server)兩種模式。 • 到了 Windows Server 2003 / 2003 R2 雖然不再用這兩個名詞, 但是大致上承襲同樣的架構。

  6. Windows Server 2008 終端機服務的新內容 • Windows Server 2008 終端機服務是一種伺服器角色(Server Role), 包含了以下五項角色服務(Role Service): • 終端機伺服器(Terminal Server):讓用戶端可以執行伺服器的應用程式。 • TS 授權(TS Licensing):用來管理連線到終端機伺服器的用戶端授權(CAL, Client Access License)數量。

  7. Windows Server 2008 終端機服務的新內容 • TS 工作階段代理人(TS Session Broker):在具有網路負載平衡(NLB)功能的多部伺服器環境, 確保用戶端會連線到保有自己的工作階段(Session)的伺服器。 • TS 閘道(TS Gateway):對於來自網際網路的用戶端, 必須通過 TS 閘道的驗證與授權後, 才允許連線到企業內部網路。 • TS Web 存取(TS Web Access):允許用戶端透過 Web 介面連線到伺服器, 可說是『Web 版的遠端桌面連線』。

  8. Windows Server 2008 終端機服務的新內容 • 其實上面這 5 個角色服務都和遠端管理沒有什麼關係, 所以目前毋須安裝。 • 而本章的主角--遠端管理, 因為是預設就已經安裝的元件, 所以沒有所謂的伺服器角色或角色服務之分。 • 除了上述的 5 個角色服務之外, Windows Server 2008 的終端機服務還新增了以下的功能: • 支援寬螢幕、大尺寸的顯示器

  9. Windows Server 2008 終端機服務的新內容 • 面對日益增多的大尺寸、寬螢幕液晶顯示器, Windows Server 2008 支援 4:3、16:9 和 16:10 的畫面比例, 最大畫面可達到 4096 × 2048 像素。 • 而 Windows Server 2003 / 2003 R2 則只支援 4:3 畫面比例, 最大畫面僅 1600 × 1200 像素。 • 支援『跨螢幕顯示』(Monitor Sapnning) • 可以用多個螢幕共同顯示一個桌面, 就像『電視牆』一樣。

  10. Windows Server 2008 終端機服務的新內容 • 不過前提是每部螢幕都得設定相同的解析度, 而且最大畫面還是不能超過 4096 × 2048 像素。 • 單一登入(Single Sign-On, SSO) • 若使用網域帳戶登入 Windows Vista, 之後與網域內的終端機伺服器連線時, 可以毋須再輸入帳戶名稱與密碼。 • 或者透過具有 TS Gateway 功能的終端機伺服器連線到其它終端機伺服器, 也同樣不必再次輸入帳戶名稱與密碼。

  11. Windows Server 2008 終端機服務的新內容 • 這種只登入一次便可存取多部電腦的方式稱為 SSO, 關於這部分的細節請參考 19-4 節。 • 支援 32 Bit 色彩深度(Color Depth):亦即用 32 位元代表一個像素的色彩。 • 可將更多的 PnP 裝置重新導向, 例如:支援 PTP(Picture Transfer Protocol)的數位相機、支援 MTP(Midia Transfer Protocol)的多媒體播放器。 • 具有 TS Easy Print 功能:我們毋須事先在終端機伺服器安裝印表機驅動程式, 建立遠端連線後仍可以使用在用戶端所設好的印表機。

  12. 19 - 2 啟用遠端管理功能 • 當我們安裝好 Windows Server 2008 系統時, 預設已經安裝了遠端管理的元件, 只是基於安全性的考量而未啟用。

  13. 啟用遠端管理功能 • 啟用遠端管理功能的方式有以下 3 種: • 1. 在初始設定工作視窗啟用:

  14. 啟用遠端管理功能 • 2. 在伺服器管理員視窗啟用:

  15. 啟用遠端管理功能 • 3. 在系統視窗啟用: • 在『開始 / 電腦』命令按右鈕, 執行『內容』命令:

  16. 啟用遠端管理功能 • 上述 3 種方式都會開啟系統內容交談窗的遠端頁次, 如下圖:

  17. 啟用遠端管理功能 • 不允許連線到此電腦 • 預設選取此項, 代表任何使用者都無法利用遠端桌面連線, 連線到此電腦。簡單地說, 就是拒絕他人從遠端遙控此電腦。 • 允許來自執行任何版本之遠端桌面的電腦進行連線 • 若選取此項, 只要用戶端利用遠端桌面連線, 便能與此電腦建立連線, 遙控此電腦。 • 當我們無法確定用戶端執行哪一種 Windows 作業系統時, 應該選取此項。

  18. 啟用遠端管理功能 • 初次選取此項時會看到以下的交談窗: • 此交談窗的意思是:伺服器將允許防火牆對來自用戶端的遠端桌面連線要求予以放行(亦即『建立例外』), 以建立連線, 所以我們一定要按確定鈕。

  19. 啟用遠端管理功能 • 但是這種自動建立例外的功能, 目前僅對 Windows 防火牆有效, 若採用其它廠商的防火牆, 則需手動開放 TCP 3389 連接埠。 • 僅允許來自執行含有網路層級驗證之遠端桌面的電腦進行連線 • 若選取此項, 僅支援網路層級驗證(NLA, Network Layer Authentication)的遠端桌面連線才能建立連線。 • 初次選取此項時, 也會看到上述將會啟用遠端桌面防火牆例外的交談窗, 同樣應該按確定鈕。

  20. 網路層級驗證 • 所謂的網路層級驗證是一種身分驗證機制, 在無此機制時, 伺服器端是先建立連線、後執行身分驗證;而網路 層級驗證則將程序相反, 先執行身分驗證, 通過驗證後才建立連線。 • 這樣做的優點如下: • 伺服器端耗用的資源較少 • 因為通過驗證才能建立連線, 如果使用者輸入錯誤的帳戶名稱或密碼, 就無法通過驗證, 伺服器自然不需要耗費資源建立連線, 因此比較節省系統資源。

  21. 網路層級驗證 • 降低被 DoS 攻擊的機率 • 當惡意的使用者對伺服器建立大量連線, 以進行 DoS (Denial of Service) 攻擊時, 如果伺服器先建立連線、後進行驗證, 便會讓網路頻寬被一大堆等候驗證的連線佔滿, 而無法服務其他的使用者。 • 若先驗證後才建立連線, 便不會有此問題。

  22. 網路層級驗證 • 由於目前只有 Windows Vista / Vista SP1 和 Windows Server 2008 等系統內建的遠端桌面連線程式支援網路層級驗證, 所以若我們確定用戶端執行這些作業系統, 就適合選取此項。 • 如果用戶端為 Windows XP 或 Windows Server 2003 / 2003 R2, 根據微軟的說法, 連線到 http://support.microsoft.com/kb/925876, 下載並安裝 6.0 版的遠端桌面連線程式(RDC 6.0), 便可支援網路層級驗證功能。

  23. 網路層級驗證 • 但是我們實測結果並非如此, 雖然安裝了 RDC 6.0, 卻仍不支援網路層級驗證, 即使是 Windows XP SP3 亦然。

  24. 怎麼判斷目前所用的遠端桌面連線程式, 是否支援網路層級驗證? • 請執行『開始 / 所有程式 / 附屬應用程式 / 遠端桌面連線』命令:

  25. 怎麼判斷目前所用的遠端桌面連線程式, 是否支援網路層級驗證?

  26. 指定允許連線的使用者或群組 • 伺服器啟用遠端管理功能後, 預設只有 Administrators 群組的成員可以建立連線, 若要指定其它的使用者或群組也可以建立連線, 請如下操作:

  27. 指定允許連線的使用者或群組

  28. 指定允許連線的使用者或群組

  29. 指定允許連線的使用者或群組

  30. 指定允許連線的使用者或群組 • 接著再按 3 次確定鈕即可完成設定。 • 其實以上動作的背後意義是:系統將我們所選取的使用者或群組加入 Remote Desktop Users群組。 • 這是因為系統預設將允許透過終端機服務登入的權利賦予 Remote Desktop Users群組, 所以該群組的成員才能利用遠端桌面連線程式來登入。

  31. 19 - 3 建立與結束遠端管理連線 • 一旦伺服器啟用遠端管理功能之後, 用戶端可以透過遠端桌面連線或遠端桌面來建立連線。 • 由於這兩個名詞太過相似, 為了避免讀者混淆, 我們將後者稱為『遠端桌面主控台』--因為它其實是一個開啟了遠端桌面嵌入式管理管理單元的 MMC 主控台。

  32. 以『遠端桌面連線』來建立連線 • 假設用戶端執行 Windows Vista, 請執行『開始 / 所有程式 / 附屬應用程式 / 遠端桌面連線』命令:

  33. 以『遠端桌面連線』來建立連線

  34. 以『遠端桌面連線』來建立連線

  35. 以『遠端桌面連線』來建立連線 • 連線列左端的圖釘用來控制何時顯示該列, 預設是『釘住』狀態, 代表一直顯示;若點選圖釘圖示, 使其變成『橫躺』狀態, 代表只在滑鼠指標經過時才顯示連線列。 • 倘若該伺服器已經有人用 administrator 帳戶登入, 則他會被強迫登出, 回到請按 CTRL + ALT + DEL 來登入的畫面, 而原先的工作環境(桌面和所開啟的視窗)會被從遠端登入的使用者所接管。

  36. 結束遠端桌面連線 • 結束遠端桌面連線時, 可區分成『關閉執行中的程式』和『不關閉執行中的程式』兩種方式。

  37. 關閉執行中的程式 • 執行伺服器的『開始 / 登出』命令, 便會關閉所有執行中的程式, 並中斷連線:

  38. 不關閉執行中的程式 • 若按連線列最右端的關閉鈕, 則可中斷連線, 但不關閉執行中的程式:

  39. 不關閉執行中的程式 • 當我們要在伺服器上執行某些耗費時間的工作(例如:重整資料庫)時, 其實毋須一直佔用連線, 可以在開始執行後便中斷連線、但不關閉執行中的程式, 過一段時間後再重新連線, 察看執行進度。

  40. 何謂『工作階段』(Session)? • 一般來說, 建立一個全新的連線便是建立一個工作階段, 直到中斷此連線, 該工作階段便結束。 • 在此期間, 所佔用的記憶體、CPU 運算時間、執行的程式、開啟的檔案等等, 都屬於同一個工作階段。 • 因此執行 IE、瀏覽網站是建立一個工作階段, 執行遠端桌面連線、遙控伺服器也是建立一個工作階段, 每個工作階段擁有唯一的工作階段代號(Session ID)。

  41. 何謂『工作階段』(Session)? • 然而, 不同通訊協定所建立的工作階段有著不同的特性, IE 所建立的工作階段, 在關閉 IE 時便宣告結束。 • 但是遠端桌面連線所建立的工作階段, 卻可以在中斷連線之後繼續存在, 等到下次又建立連線時能接續原先的工作階段, 毋須建立新的工作階段。

  42. 以『遠端桌面主控台』來建立連線 • 假設要在 Windows Server 2008 遙控管理另一部 Windows Server 2008, 除了用上述的遠端桌面連線之外, 亦可執行『開始 / 系統管理工具 / 終端機服務 / 遠端桌面』命令:

  43. 以『遠端桌面主控台』來建立連線

  44. 以『遠端桌面主控台』來建立連線 • 在上圖有個利用 / admin 選項連線多選鈕, 預設會選取, 代表在連線時會送出『/ admin』參數, 這會造成以下的影響: • 用來建立連線的使用者帳戶, 必須是 Administrators群組的成員。 • 取消 TS Easy Print 功能。 • 取消 TS 工作階段代理人(TS Session Broker)重新導向功能。 • 取消 PnP 裝置重新導向功能。

  45. 以『遠端桌面主控台』來建立連線 • 伺服器的背景主題自動切換為 Windows 傳統。 • 要連線的伺服器若未安裝『終端機伺服器』角色服務, 是否送出 / admin 參數都沒差異。 • 但是若安裝了『終端機伺服器』角色服務, 用戶端連線時必須送出 / admin 參數, 才能毋須 TS 授權就可以建立連線。

  46. 以『遠端桌面主控台』來建立連線 • 而且, 若連線的目標不是 Windows Server 2008 伺服器, 而是 Windows Server 2003 或 Windows XP 主機, 微軟建議不要選取利用 / admin 選項連線多選鈕。 • 此外, 我們還發現一個小 bug --瀏覽鈕沒作用! • 原本預期按瀏覽鈕之後, 可以看到有哪些 Windows Server 2008 可連線, 事實上卻沒顯示任何伺服器。

  47. 以『遠端桌面主控台』來建立連線 • 所以還是得如上頁步驟 2 依靠手動輸入電腦名稱或 IP 位址, 輸入完畢後按確定鈕:

  48. 以『遠端桌面主控台』來建立連線

  49. 以『遠端桌面主控台』來建立連線

  50. 以『遠端桌面主控台』來建立連線 • 接著可參照以上方式, 繼續與其它伺服器建立連線, 並隨時可在各連線之間切換, 等於一次可以管理多部伺服器。 • 最後記得執行『檔案 / 另存新檔』命令, 將這一切設定存成 msc 檔, 以後只要執行此 msc 檔便會開啟相同的主控台。

More Related