第 19 章 遠端管理.

Slides:



Advertisements
Similar presentations
学年度工作总结 —— 上海建桥学院 —— 上海建桥学院 实验室与资产管理处 实验室与资产管理处.
Advertisements

2015年重点税源企业 报表填报流程培训会 海淀地税局 收入核算科.
《计算机应用基础》 课程教学大纲 计划学时: 64学时 计划学分: 4学分 课程类型: 公共必修.
计算机网络高级工 梁绍宇.
第二章:操作系统.
湖南省怀化市中小学信息技术 学科考试系统培训交流
第九章 無線網路.
T3汽修通总体介绍及软件应用 姓名:刘静静 2010年4月21日.
精誠公司 恆逸資訊教育訓練中心 資深講師 唐任威 MCT/MCSE:Security/CISSP/SSCP
企業如何建置安全的作業系統 Windows XP 網路安全
第2章 计算机网络的协议与体系结构 2.1 计算机网络体系结构的形成 2.2 协议与划分层次 2.3 计算机网络的原理体系结构
Windows系統 入侵偵測與防制工具 成大計網中心 楊峻榮 2003/10/23.
产品设计与用户体验 Pony.
第2课 Photoshop的基本操作 本章要点 具体要求 本章导读 上机练习 主讲教师:赵 渊.
研究生入学教育 网络中心
计算机安全防护技术 网络中心 2011年12月.
Application & Functions
管理系统使用注意事项 1.每个事业单位只有一张唯一的专用光盘。但为防止事业单位专用光盘损坏,可以自行刻录一张新的光盘作为备份。用于网上登记的计算机必须有光驱才行、计算机必须是xp或更好版本的的操作系统,浏览器必须是IE6.0版本以上。 2.事业单位专用光盘中“网下填表与上网提交”功能未开通,待开通后再告知大家。
第14讲 远程控制.
第2章 局域网应用.
计算机基础与实训教材系列 《电脑办公自动化实用教程》.
Word 2003 學習導引手冊 第一章 WORD 基本操作 作者 丁安強 博碩-Word 2003 學習導引手冊 Ch01.
第9章 電子商務安全防範.
Chapter 8 遠端桌面協定.
單一簽入系統第一階段帳號整合說明會 資訊與網路中心 發展規劃組 李忠昇組長.
IIS網站的安全性管理 羅英嘉 2007年4月.
網路基本概念 本章主要是為讀者建立有關網路的基本知識, 作為後續章節的基礎。首先我們會說明網路的基本概念, 接著介紹網路的各種類型與相關的作業系統, 最後則是介紹 OSI 與 DoD 等兩種網路模型, 讓讀者能進一步了解網路運作的方式。
利用 ISA Server 2004 建置應用層防護機制
計中「多媒體與網路應用」短期訓練課程 FTP server 架設 (in Windows)
Windows 2003 Server IIS網站的架設
(C) Active Network CO., Ltd
第 5 章 建立網域.
第 8 章 規劃與建立群組.
Windows實用操作及免費工具介紹.
RFID課程主題七 RFID應用—資產與設備管理.
第六章 网络基础.
计算机网络管理技术 第1章 网络管理技术概述 第2章 SNMP网络管理架构 第3章 网络流量监控技术与方法 第4章 磁盘管理
第二章 Windows XP操作系统 网考小组.
组长:吴蔚 项目组成员:吴蔚,邱丁兰,汪琳莺
Windows 2000/XP网络组建与系统管理 李燕 中南分校.
欢迎各位领导莅临胜利科技检查指导工作 安徽省公共电子阅览室 免费软件安装培训 全国公共文化发展中心安徽省级分中心 2014年09月.
第01章 Excel 2007概述 Excel 2007是目前市场上功能最强大的电子表格制作软件,它和Word、PowerPoint、Access等组件一起,构成了Office 2007办公软件的完整体系。Excel不仅具有强大的数据组织、计算、分析和统计功能,还可以通过图表、图形等多种形式形象地显示处理结果,更能够方便地与Office.
主要内容: 用户和组的基本知识 本地用户的配置与管理 本地组的配置与管理 以管理员身份启动程序
認識網際網路 網際網路(Internet)簡介 WWW簡介 臺灣地區網路資源 網路禮儀與規範 收發電子郵件 相關程式與服務
Windows Server 2008证书服务的安装
校 園 雲端輸出管理系統 新印科技股份有限公司 聯絡人:伍宏一 電 話: /
数据智能同步系统 操作指南.
第 9 章 分享檔案與資料夾.
章節速覧: 5-1 資訊安全與保護 5-2 電腦軟體授權與著作權.
AZR303 雲端整合企業識別 進行單一簽入 張書源 資深開發技術經理 台灣微軟.
昭阳系列 数据交换安全锁软件功能介绍 DEL (Data Exchange Lock)
新一代无盘技术 在图书馆电子阅览室的应用 报告人:张智翔 /4/9.
Network Application Programming(3rd Edition)
Windows 2000 Professional系統管理系列
第三章 组建Windows 2000网络基础平台.
橫跨電腦、手機與軟體的全方位端點管控解決方案
计算机组装、维修及 实训教程 第17章 微机软件的安装与设置 2019年4月11日星期四.
電子公文系統 操作暨設定說明.
Windows XP 簡易網路檢查 edo.
電腦基礎與網際網路 資訊安全 建立防火牆.
傳輸控制協議 /互聯網協議 TCP/IP.
第5章 其他数据库对象.
主要内容: 活动目录的基本知识 活动目录的安装 构造域帐户 安全策略的设置 设置共享文件夹 安装网络打印机
第6讲 用户和组的管理.
Print Security Audit System
淡江大學 公文管理系統 教育訓練 叡揚資訊.
售后培训系列之V9系统中心安装 SecManage 网安事业部 广州售后-王长绪.
TCP/IP基礎協定之認識 資訊處位 主講人 黃連發.
Presentation transcript:

第 19 章 遠端管理

本章重點 19 - 1 終端機服務 19 - 2 啟用遠端管理功能 19 - 3 建立與結束遠端管理連線 19 - 4 啟用單一登入(SSO)功能

遠端管理 所謂的『遠端管理』(Remote Administration)是指無法到伺服器前操作的系統管理員, 可以透過網路連線到伺服器, 執行新增帳戶、設定權限、修改群組原則等等管理工作, 彷彿就坐在伺服器前使用鍵盤與滑鼠。 其實這種『如朕親臨』的本事通常被稱為『遠端遙控』(Remote Control), 但是遠端遙控所涉及的範圍太大, 既可以管理, 也可以執行應用程式, 而這兩件事所牽涉的內容有很大的差異。

遠端管理 因此本章聚焦於利用遠端遙控來管理系統, 至於執行應用程式的部分, 安排在下一章介紹。 Windows Server 2008 內建了遠端管理功能, 它是屬於終端機服務(Terminal Service)的一部份, 因此我們應該先認識終端機服務, 再來學習遠端管理。

19 - 1 終端機服務 從 Windows 2000 Server 開始, 終端機服務成為作業系統核心的一部份, 區分為『遠端管理』(Remote Administration)和『應用程式伺服器』(Application Server)兩種模式。 到了 Windows Server 2003 / 2003 R2 雖然不再用這兩個名詞, 但是大致上承襲同樣的架構。

Windows Server 2008 終端機服務的新內容 Windows Server 2008 終端機服務是一種伺服器角色(Server Role), 包含了以下五項角色服務(Role Service): 終端機伺服器(Terminal Server):讓用戶端可以執行伺服器的應用程式。 TS 授權(TS Licensing):用來管理連線到終端機伺服器的用戶端授權(CAL, Client Access License)數量。

Windows Server 2008 終端機服務的新內容 TS 工作階段代理人(TS Session Broker):在具有網路負載平衡(NLB)功能的多部伺服器環境, 確保用戶端會連線到保有自己的工作階段(Session)的伺服器。 TS 閘道(TS Gateway):對於來自網際網路的用戶端, 必須通過 TS 閘道的驗證與授權後, 才允許連線到企業內部網路。 TS Web 存取(TS Web Access):允許用戶端透過 Web 介面連線到伺服器, 可說是『Web 版的遠端桌面連線』。

Windows Server 2008 終端機服務的新內容 其實上面這 5 個角色服務都和遠端管理沒有什麼關係, 所以目前毋須安裝。 而本章的主角--遠端管理, 因為是預設就已經安裝的元件, 所以沒有所謂的伺服器角色或角色服務之分。 除了上述的 5 個角色服務之外, Windows Server 2008 的終端機服務還新增了以下的功能: 支援寬螢幕、大尺寸的顯示器

Windows Server 2008 終端機服務的新內容 而 Windows Server 2003 / 2003 R2 則只支援 4:3 畫面比例, 最大畫面僅 1600 × 1200 像素。 支援『跨螢幕顯示』(Monitor Sapnning) 可以用多個螢幕共同顯示一個桌面, 就像『電視牆』一樣。

Windows Server 2008 終端機服務的新內容 不過前提是每部螢幕都得設定相同的解析度, 而且最大畫面還是不能超過 4096 × 2048 像素。 單一登入(Single Sign-On, SSO) 若使用網域帳戶登入 Windows Vista, 之後與網域內的終端機伺服器連線時, 可以毋須再輸入帳戶名稱與密碼。 或者透過具有 TS Gateway 功能的終端機伺服器連線到其它終端機伺服器, 也同樣不必再次輸入帳戶名稱與密碼。

Windows Server 2008 終端機服務的新內容 這種只登入一次便可存取多部電腦的方式稱為 SSO, 關於這部分的細節請參考 19-4 節。 支援 32 Bit 色彩深度(Color Depth):亦即用 32 位元代表一個像素的色彩。 可將更多的 PnP 裝置重新導向, 例如:支援 PTP(Picture Transfer Protocol)的數位相機、支援 MTP(Midia Transfer Protocol)的多媒體播放器。 具有 TS Easy Print 功能:我們毋須事先在終端機伺服器安裝印表機驅動程式, 建立遠端連線後仍可以使用在用戶端所設好的印表機。

19 - 2 啟用遠端管理功能 當我們安裝好 Windows Server 2008 系統時, 預設已經安裝了遠端管理的元件, 只是基於安全性的考量而未啟用。

啟用遠端管理功能 啟用遠端管理功能的方式有以下 3 種: 1. 在初始設定工作視窗啟用:

啟用遠端管理功能 2. 在伺服器管理員視窗啟用:

啟用遠端管理功能 3. 在系統視窗啟用: 在『開始 / 電腦』命令按右鈕, 執行『內容』命令:

啟用遠端管理功能 上述 3 種方式都會開啟系統內容交談窗的遠端頁次, 如下圖:

啟用遠端管理功能 不允許連線到此電腦 預設選取此項, 代表任何使用者都無法利用遠端桌面連線, 連線到此電腦。簡單地說, 就是拒絕他人從遠端遙控此電腦。 允許來自執行任何版本之遠端桌面的電腦進行連線 若選取此項, 只要用戶端利用遠端桌面連線, 便能與此電腦建立連線, 遙控此電腦。 當我們無法確定用戶端執行哪一種 Windows 作業系統時, 應該選取此項。

啟用遠端管理功能 初次選取此項時會看到以下的交談窗: 此交談窗的意思是:伺服器將允許防火牆對來自用戶端的遠端桌面連線要求予以放行(亦即『建立例外』), 以建立連線, 所以我們一定要按確定鈕。

啟用遠端管理功能 但是這種自動建立例外的功能, 目前僅對 Windows 防火牆有效, 若採用其它廠商的防火牆, 則需手動開放 TCP 3389 連接埠。 僅允許來自執行含有網路層級驗證之遠端桌面的電腦進行連線 若選取此項, 僅支援網路層級驗證(NLA, Network Layer Authentication)的遠端桌面連線才能建立連線。 初次選取此項時, 也會看到上述將會啟用遠端桌面防火牆例外的交談窗, 同樣應該按確定鈕。

網路層級驗證 所謂的網路層級驗證是一種身分驗證機制, 在無此機制時, 伺服器端是先建立連線、後執行身分驗證;而網路 層級驗證則將程序相反, 先執行身分驗證, 通過驗證後才建立連線。 這樣做的優點如下: 伺服器端耗用的資源較少 因為通過驗證才能建立連線, 如果使用者輸入錯誤的帳戶名稱或密碼, 就無法通過驗證, 伺服器自然不需要耗費資源建立連線, 因此比較節省系統資源。

網路層級驗證 降低被 DoS 攻擊的機率 當惡意的使用者對伺服器建立大量連線, 以進行 DoS (Denial of Service) 攻擊時, 如果伺服器先建立連線、後進行驗證, 便會讓網路頻寬被一大堆等候驗證的連線佔滿, 而無法服務其他的使用者。 若先驗證後才建立連線, 便不會有此問題。

網路層級驗證 由於目前只有 Windows Vista / Vista SP1 和 Windows Server 2008 等系統內建的遠端桌面連線程式支援網路層級驗證, 所以若我們確定用戶端執行這些作業系統, 就適合選取此項。 如果用戶端為 Windows XP 或 Windows Server 2003 / 2003 R2, 根據微軟的說法, 連線到 http://support.microsoft.com/kb/925876, 下載並安裝 6.0 版的遠端桌面連線程式(RDC 6.0), 便可支援網路層級驗證功能。

網路層級驗證 但是我們實測結果並非如此, 雖然安裝了 RDC 6.0, 卻仍不支援網路層級驗證, 即使是 Windows XP SP3 亦然。

怎麼判斷目前所用的遠端桌面連線程式, 是否支援網路層級驗證? 請執行『開始 / 所有程式 / 附屬應用程式 / 遠端桌面連線』命令:

怎麼判斷目前所用的遠端桌面連線程式, 是否支援網路層級驗證?

指定允許連線的使用者或群組 伺服器啟用遠端管理功能後, 預設只有 Administrators 群組的成員可以建立連線, 若要指定其它的使用者或群組也可以建立連線, 請如下操作:

指定允許連線的使用者或群組

指定允許連線的使用者或群組

指定允許連線的使用者或群組

指定允許連線的使用者或群組 接著再按 3 次確定鈕即可完成設定。 其實以上動作的背後意義是:系統將我們所選取的使用者或群組加入 Remote Desktop Users 群組。 這是因為系統預設將允許透過終端機服務登入的權利賦予 Remote Desktop Users 群組, 所以該群組的成員才能利用遠端桌面連線程式來登入。

19 - 3 建立與結束遠端管理連線 一旦伺服器啟用遠端管理功能之後, 用戶端可以透過遠端桌面連線或遠端桌面來建立連線。 由於這兩個名詞太過相似, 為了避免讀者混淆, 我們將後者稱為『遠端桌面主控台』--因為它其實是一個開啟了遠端桌面嵌入式管理管理單元的 MMC 主控台。

以『遠端桌面連線』來建立連線 假設用戶端執行 Windows Vista, 請執行『開始 / 所有程式 / 附屬應用程式 / 遠端桌面連線』命令:

以『遠端桌面連線』來建立連線

以『遠端桌面連線』來建立連線

以『遠端桌面連線』來建立連線 連線列左端的圖釘用來控制何時顯示該列, 預設是『釘住』狀態, 代表一直顯示;若點選圖釘圖示, 使其變成『橫躺』狀態, 代表只在滑鼠指標經過時才顯示連線列。 倘若該伺服器已經有人用 administrator 帳戶登入, 則他會被強迫登出, 回到請按 CTRL + ALT + DEL 來登入的畫面, 而原先的工作環境(桌面和所開啟的視窗)會被從遠端登入的使用者所接管。

結束遠端桌面連線 結束遠端桌面連線時, 可區分成『關閉執行中的程式』和『不關閉執行中的程式』兩種方式。

關閉執行中的程式 執行伺服器的『開始 / 登出』命令, 便會關閉所有執行中的程式, 並中斷連線:

不關閉執行中的程式 若按連線列最右端的關閉鈕, 則可中斷連線, 但不關閉執行中的程式:

不關閉執行中的程式 當我們要在伺服器上執行某些耗費時間的工作(例如:重整資料庫)時, 其實毋須一直佔用連線, 可以在開始執行後便中斷連線、但不關閉執行中的程式, 過一段時間後再重新連線, 察看執行進度。

何謂『工作階段』(Session)? 一般來說, 建立一個全新的連線便是建立一個工作階段, 直到中斷此連線, 該工作階段便結束。 在此期間, 所佔用的記憶體、CPU 運算時間、執行的程式、開啟的檔案等等, 都屬於同一個工作階段。 因此執行 IE、瀏覽網站是建立一個工作階段, 執行遠端桌面連線、遙控伺服器也是建立一個工作階段, 每個工作階段擁有唯一的工作階段代號(Session ID)。

何謂『工作階段』(Session)? 然而, 不同通訊協定所建立的工作階段有著不同的特性, IE 所建立的工作階段, 在關閉 IE 時便宣告結束。 但是遠端桌面連線所建立的工作階段, 卻可以在中斷連線之後繼續存在, 等到下次又建立連線時能接續原先的工作階段, 毋須建立新的工作階段。

以『遠端桌面主控台』來建立連線 假設要在 Windows Server 2008 遙控管理另一部 Windows Server 2008, 除了用上述的遠端桌面連線之外, 亦可執行『開始 / 系統管理工具 / 終端機服務 / 遠端桌面』命令:

以『遠端桌面主控台』來建立連線

以『遠端桌面主控台』來建立連線 在上圖有個利用 / admin 選項連線多選鈕, 預設會選取, 代表在連線時會送出『/ admin』參數, 這會造成以下的影響: 用來建立連線的使用者帳戶, 必須是 Administrators 群組的成員。 取消 TS Easy Print 功能。 取消 TS 工作階段代理人(TS Session Broker)重新導向功能。 取消 PnP 裝置重新導向功能。

以『遠端桌面主控台』來建立連線 要連線的伺服器若未安裝『終端機伺服器』角色服務, 是否送出 / admin 參數都沒差異。 伺服器的背景主題自動切換為 Windows 傳統。 要連線的伺服器若未安裝『終端機伺服器』角色服務, 是否送出 / admin 參數都沒差異。 但是若安裝了『終端機伺服器』角色服務, 用戶端連線時必須送出 / admin 參數, 才能毋須 TS 授權就可以建立連線。

以『遠端桌面主控台』來建立連線 而且, 若連線的目標不是 Windows Server 2008 伺服器, 而是 Windows Server 2003 或 Windows XP 主機, 微軟建議不要選取利用 / admin 選項連線多選鈕。 此外, 我們還發現一個小 bug --瀏覽鈕沒作用! 原本預期按瀏覽鈕之後, 可以看到有哪些 Windows Server 2008 可連線, 事實上卻沒顯示任何伺服器。

以『遠端桌面主控台』來建立連線 所以還是得如上頁步驟 2 依靠手動輸入電腦名稱或 IP 位址, 輸入完畢後按確定鈕:

以『遠端桌面主控台』來建立連線

以『遠端桌面主控台』來建立連線

以『遠端桌面主控台』來建立連線 接著可參照以上方式, 繼續與其它伺服器建立連線, 並隨時可在各連線之間切換, 等於一次可以管理多部伺服器。 最後記得執行『檔案 / 另存新檔』命令, 將這一切設定存成 msc 檔, 以後只要執行此 msc 檔便會開啟相同的主控台。

伺服器的畫面大小不會自動調整! 我們在不同電腦測試以『遠端桌面主控台』 連線時, 發現縮放主控台視窗的大小時, 伺服器的畫面卻不一定會跟著自動調整, 如下圖:

伺服器的畫面大小不會自動調整! 解決此問題的方法為事先設定伺服器畫面的大小, 其方式如下:

伺服器的畫面大小不會自動調整!

關閉『遠端桌面主控台』 關閉『遠端桌面主控台』時, 同樣可區分成『關閉執行中的程式』和『不關閉執行中的程式』兩種方式。

關閉執行中的程式 執行伺服器的『開始 / 登出』命令, 便會關閉所有執行中的程式, 並中斷連線:

不關閉執行中的程式 若在伺服器名稱(或 IP 位址)按右鈕執行『中斷連線』命令, 則可中斷連線, 但不關閉執行中的程式, 如下圖:

19 - 4 啟用單一登入(SSO)功能 在 19-1 節曾簡介『單一登入』功能, 此功能對於中大型網路的使用者來說相當實用, 可以免除一再輸入使用者名稱與密碼的困擾。 不過要達到此功能, 必須具備以下的條件: 用戶端必須採用 Windows Vista / Vista SP1 或 Windows Server 2008 系統, 伺服器必須採用 Windows Server 2008 系統。 伺服器與用戶端必須都加入相同網域或互相信任的網域。

啟用單一登入(SSO)功能 符合上述的條件後, 請在伺服器與用戶端分別啟用 SSO 功能。 用戶端登入網域的帳戶, 必須在伺服器也能用來登入網域, 而且允許與伺服器建立連線(請參考 19-9 頁的『指定允許連線的使用者或群組』)。 符合上述的條件後, 請在伺服器與用戶端分別啟用 SSO 功能。

在伺服器啟用 SSO 功能 在 Windows Server 2008 執行『開始 / 系統管理工具 / 終端機服務 / 終端機服務設定』命令:

在伺服器啟用 SSO 功能

在伺服器啟用 SSO 功能 在安全性階層欄位的交涉, 代表伺服器會與用戶端協調, 若用戶端支援 SSL (TLS1.0), 便優先使用此加密方式;否則便使用 RDP 加密方式。 因為 Windows Vista 和 Windows Server 2008 都支援 SSL (TLS1.0), 所以協調的結果當然還是使用 SSL (TLS1.0)。 換言之, 選取交涉或SSL (TLS1.0)的結果都是採用 SSL (TLS1.0), 而這裡所謂的啟用其實只是確認而已。

在用戶端啟用 SSO 功能 假設用戶端是 Windows Vista 系統, 請按開始鈕輸入 "gpedit.msc"、按 Enter 鍵, 開啟本機群組原則編輯器視窗:

在用戶端啟用 SSO 功能

在用戶端啟用 SSO 功能

在用戶端啟用 SSO 功能 接著再按兩次確定鈕、關閉本機群組原則編輯器視窗, 即可完成設定, 最後重新啟動系統, 才能讓此群組原則生效。 然後執行『開始 / 所有程式 / 附屬應用程式 / 遠端桌面連線』命令:

在用戶端啟用 SSO 功能 Windows Vista 直接以目前登入的使用者名稱和密碼送給伺服器驗證, 通過驗證後便允許建立連線, 所以毋須輸入使用者名稱和密碼。 或許有人會覺得每次都必須指定伺服器名稱蠻麻煩, 萬一臨時要連線的對象不在本機群組原則的設定裡, 還得修改設定、重新開機。 在這裡我們透露一個小技巧--可以用『萬用字元』來指定伺服器的電腦名稱!

在用戶端啟用 SSO 功能 例如:genie-* 或 *.xdom.biz.tw, 所以若輸入"TermSrv/*", 代表連線到任何伺服器時都啟用 SSO 功能, 這就能解決先前的困擾了。

使用 SSO 功能時常見的問題 一般使用 SSO 功能時, 最常犯的錯誤在於忽略使用者帳戶的限制。 舉例來說, xdom\tony 帳戶(xdom 是網域名稱)被限制只能在 Tony-Vista 電腦登入網域, 因此當用戶端以此帳戶執行遠端桌面連線, 試圖透過 SSO 功能要與伺服器建立連線時, 便會看到以下的示誤訊息。

使用 SSO 功能時常見的問題

使用 SSO 功能時常見的問題 此時應該在網域控制站執行『開始 / 系統管理工具 / Active Directory 使用者和電腦』命令, 雙按 tony、切換到帳戶頁次, 再按登入到鈕:

使用 SSO 功能時常見的問題 此外, 另一個也很常見的交談窗如下: 代表目前的帳戶未被伺服器允許建立遠端連線(因為預設僅有 Administrators 群組能建立連線)。

使用 SSO 功能時常見的問題 解決之道是開啟遠端桌面使用者交談窗, 將目前的帳戶加入清單中, 如下圖(假設目前的帳戶為 xdom\tony):