Hogyan telepítsük az RSAT-ot és használjuk a PowerShell távoli elérést a Windows szerverek kezelésére

Bevezetés

A Távoli Szerver Adminisztrációs Eszközök (RSAT) lehetővé teszik az adminisztrátorok számára, hogy a Windows Server szerepköröket egy kliens munkaállomásról kezeljék ahelyett, hogy közvetlenül a szerverekre jelentkeznének be. A PowerShell távoli elérése automatizálást és egy-több vezérlést ad a rutinszerű ellenőrzésekhez és változtatásokhoz. Együtt az RSAT és a távoli PowerShell lefedik a legtöbb napi adminisztrációt a Windows Server környezetekben, a könyvtári és házirendi feladatoktól kezdve az infrastruktúra szolgáltatásokig és az alkalmazásszerverekig.

Mik azok a távoli szerveradminisztrációs eszközök (RSAT)?

A Távoli Szerver Adminisztrációs Eszközök (RSAT) egy Microsoft eszközkészlet, amely lehetővé teszi az adminisztrátorok számára, hogy Windows Server szerepeket és funkciókat kezeljenek egy Windows kliensgépről. Ahelyett, hogy bejelentkeznének egy tartományvezérlőbe vagy infrastruktúraszerverbe a konzol megnyitásához, egy adminisztrátor RSAT-ot telepít egy admin munkaállomásra, és helyben futtatja a megfelelő bővítményeket vagy PowerShell modulokat.

Mit tartalmaz az RSAT

Az RSAT nem egyetlen konzol. Ez egy szerepkör-specifikus eszközök gyűjteménye, amelyeket Windows képességekként lehet telepíteni. A közös RSAT összetevők közé tartoznak:

• Active Directory eszközök (beleértve az Active Directory PowerShell modult)
• DNS Szerver Eszközök
• DHCP Szerver Eszközök
• Csoportházirend-kezelő eszközök
• További szerepkörök, eszközök és kezelőfelületek a környezettől függően

A gyakorlati előny a következetesség. Egy jól kezelt adminisztrátori munkaállomás RSAT-tel csökkenti az "eltűnt eszközök" miatti időveszteséget, és támogatja a jobb működési higiéniát, mivel a munka egy ellenőrzött eszközről történik, nem pedig a termelési szerverekről.

Hol illeszkedik az RSAT a Windows Server környezetekbe

RSAT a legértékesebb a Windows Server környezetekben, ahol az infrastruktúra szerepek központosítottak és ismételten hozzáférhetők. Sok Windows tartományban, Windows Server Távoli Asztal az RSAT és a távoli PowerShell mellett adminisztratív hozzáférésre is használják. A tipikus példák közé tartozik:

• Domain vezérlők és identitás szolgáltatások
• DNS és DHCP szerverek
• Fájl szolgáltatások és megosztott infrastruktúra
• Üzleti terheléseket támogató alkalmazásszerverek
• A Remote Desktop-hoz kapcsolódó szerepkörök, ahol a rendszergazdáknak rendszeresen érvényesíteniük kell a szolgáltatásokat és a konfigurációt.

Az RSAT önmagában nem ad engedélyeket. Egyszerűen csak megjeleníti azokat az eszközöket, amelyek lehetővé teszik az adminisztrátorok számára, hogy a számukra kijelölt jogokat használják. Ezért az RSAT a legjobban egy szélesebb operatív modell részeként működik: szegmentált adminisztrátori hozzáférés, delegált jogok és központosított megfigyelés.

Windows Server környezetekben, ahol az adminisztrátoroknak időnként teljes GUI hozzáférésre van szükségük a hosztolt alkalmazásokhoz vagy munkamenetekhez, TSplus Távhozzáférés kiegészítheti az RSAT-ot és a PowerShell távoli elérést.

Miért használják a rendszergazdák a PowerShellt a távoli szerverkezeléshez?

A PowerShell az alapértelmezett automatizálási réteg a Windows adminisztrációhoz. Az RSAT interfészeket biztosít; a PowerShell irányítást, sebességet és megismételhetőséget nyújt. Még ha egy adminisztrátor a GUI konzolokat részesíti is előnyben bizonyos feladatokhoz, a PowerShell elengedhetetlenné válik, amint a szerverek száma növekszik vagy a feladatokat standardizálni kell.

Automatizálás és ismételhetőség

A PowerShell a manuális eljárásokat olyan szkriptekké alakítja, amelyeket újrahasználhatunk, felülvizsgálhatunk és javíthatunk. Ez fontos a következők számára:

• Rendszeres szolgáltatásellenőrzések karbantartási időszakok előtt
• Alapértelmezett konfiguráció érvényesítése (funkciók, szolgáltatások, rendszerleíró adatbázis beállítások)
• Auditálási feladatok, mint például jelentések exportálása vagy a konfiguráció eltéréseinek összehasonlítása
• A javítás utáni ellenőrzési lépések újraindítások és frissítések után

A szkript egyben dokumentációvá is válik. Ahelyett, hogy törzsi tudásra támaszkodnának, az IT csapatok olyan futási könyveket készíthetnek, amelyek kiszámítható eredményeket produkálnak a Windows Server környezetekben.

Több-több műveletek

A GUI adminisztráció általában egy szervert jelent egyszerre. PowerShell távoli elérés lehetővé teszi az egy-több műveleteket, amelyek segítenek a következőkben:

• A parancs futtatása sok szerveren
• Naplók vagy konfigurációs kimenetek összegyűjtése egyetlen jelentésbe
• Konzisztens intézkedések végrehajtása események során (szolgáltatás újraindítása, folyamat leállítása, gazda elszigetelése)
• Az idő csökkentése, amelyet ugyanazon kattintások ismétlésére fordítanak a rendszerek között

Ez a fő oka annak, hogy a PowerShell középpontban marad még azokban a szervezetekben is, amelyek jelentős összegeket fektetnek be grafikus eszközökbe.

Mi történik, amikor RSAT-ra és Remote PowerShell-re van szüksége?

Az RSAT és a PowerShell távoli elérése átfedésben van, de a probléma különböző részeit oldják meg. Sok Windows Server munkafolyamat gyorsabb, ha mindkettő elérhető.

Közös feladatok, amelyekhez mindkettő szükséges

Néhány feladat konzolban kezdődik és szkriptben fejeződik be, vagy fordítva. Például:

• Használja a Csoportházirend-kezelőt egy házirend megtervezéséhez, majd használja a PowerShellt jelentések exportálására vagy linkek és hatókör érvényesítésére.
• Használja a DNS-kezelőt egy zóna interaktív ellenőrzésére, majd használja a PowerShellt rekordok tömeges létrehozására vagy frissítésére.
• Használja az Active Directory Felhasználók és Számítógépek eszközt egy felhasználói objektum vizsgálatához, majd használja az AD modult, hogy szabványosított változtatásokat alkalmazzon sok felhasználón.

A gyakorlatban az RSAT kiválóan alkalmas felfedezésre és célzott módosításokra, míg a PowerShell kiválóan alkalmas a standardizált változtatásokra és a flottaszintű érvényesítésre.

Mi legyen a standard az adminisztrátori munkaállomásokon

A szerszámok eltéréseinek elkerülése és a hibaelhárítási idő csökkentése érdekében sok IT csapat standardizál.

• Mely RSAT képességek vannak telepítve (teljes csomag vs minimális készlet)
• A PowerShell modulok és verziók, amelyeket a futási könyvekben használnak
• Egységes készlet szkriptek egészségügyi ellenőrzésekhez és ismétlődő műveletekhez
• Hozzáférési módszerek (domain hitelesítés, ugró dobozok, kezelési alhálózatok)

Ez megbízhatóbbá teszi a távoli adminisztrációt, különösen, amikor több adminisztrátor osztozik a felelősségen a Windows Server környezetekért.

Hogyan telepítsük a Távoli Szerveradminisztrációs Eszközöket PowerShell segítségével?

Ez a szakasz a pontos munkafolyamatot célozza meg: hogyan telepítsük a Remote Server Administration Tools-t PowerShell segítségével. A folyamat egyszerű, és többször is megismételhető, ha provisioning szkripteket használ.

1. lépés: Ellenőrizze az elérhető RSAT funkciókat

Nyissa meg a PowerShellt rendszergazdaként, és futtassa:

Get-WindowsCapability -Name RSAT* -Online

Ez felsorolja az RSAT képességeit, és megmutatja, hogy mindegyik telepítve van-e. A kulcsmező az Állapot:

• Nem elérhető a képesség elérhető, de nincs telepítve
• Telepítve a képesség már jelen van

Ha egy adminisztrátor egy modult (például ActiveDirectory) vár, de az hiányzik, ez a parancs a leggyorsabb módja annak megerősítésére, hogy a megfelelő képesség telepítve van-e.

2. lépés: Az összes RSAT eszköz telepítése PowerShell segítségével

A teljes RSAT csomag telepítéséhez, amely elérhető a gépen:

Get-WindowsCapability -Name RSAT* -Online | Add-WindowsCapability -Online

Ez a megközelítés gyakori a dedikált admin munkaállomások esetében, mivel csökkenti a későbbi "meglepetés" hiányosságokat. Ha a szervezete minimalista megoldást preferál, csak a szükséges funkciókat telepítse, de tartsa a választást következetesnek a csapaton belül.

3. lépés: Telepítsen egy adott RSAT összetevőt

Ha csak egy eszközkészletre van szüksége, telepítse azt a funkciót közvetlenül. Példa az Active Directory-ra:

Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Ez hasznos a csapatok számára, akik könnyű verziókat szeretnének, vagy akik elkülönítik a felelősségeket (például helpdesk és infrastruktúra adminisztrátorok).

RSAT telepítésének ellenőrzése

A telepítés után ellenőrizze, hogy a kapcsolódó PowerShell modul létezik-e. Az Active Directory számára:

Get-Module -ListAvailable ActiveDirectory

Ha megjelenik, importálja, hogy megerősítse, hogy helyesen töltődik be:

Importálj-Modul ActiveDirectory

Ekkor az RSAT telepítve van és készen áll. Használhatja a GUI konzolokat (Windows Eszközök) és a szerepkör modulokat a szkriptekben.

Hogyan csatlakozzunk egy távoli szerverhez a PowerShell segítségével?

A PowerShell távoli elérés a WinRM-re épül. Domain környezetekben gyakran már konfigurálva van, de sok hálózatban még mindig engedélyezni és érvényesíteni kell. Egy jó távoli elérési beállítás gyors, ellenőrzött hozzáférést biztosít az adminisztrátorok számára anélkül, hogy minden feladathoz interaktív asztali munkamenetekre támaszkodnának.

Lépés 1: Engedélyezze a PowerShell távoli elérést a szerveren

A cél szerveren futtassa:

Engedélyezze a PSRemotingot -Force

Ez konfigurálja a WinRM-et távoli eléréshez, létrehozza a hallgatókat, és engedélyezi a tűzfal szabályokat a standard forgatókönyvekben. Kezelt környezetekben a Csoportházirend érvényesítheti a WinRM beállításokat. Ha a távoli elérés „rövid ideig működik, majd leáll”, a házirend erős jelölt.

Lépés 2: Csatlakozás egy távoli szerverhez

Interaktív munkamenet (távoli parancssor) megnyitásához:

Enter-PSSession -ComputerName SERVER01 -Credential DOMAIN\AdminUser

Ez a standard minta a PowerShell távoli szerverhez való csatlakozásához, és egy gyakori megközelítés a PowerShell távoli kapcsolatához a szerverhez hibaelhárításkor. A rövid életű, interaktív diagnosztikákhoz a legjobb.

A munkamenet befejezésekor lépjen ki:

Kilépés-PSSession

Tip: ha névfeloldási problémái vannak, próbálja meg a szerver FQDN-jét használni a rövid név helyett. A Kerberos és a tanúsítványazonosító ellenőrzések érzékenyek lehetnek a néveltérésekre.

3. lépés: Távoli parancsok futtatása interaktív munkamenet nélkül

Scripting és automatizálás céljából használja Invoke-Command :

Invoke-Command -ComputerName SERVER01 -ScriptBlock { Get-Service }

Ez a távoli szerveren hajtódik végre, és a kimenetet helyben adja vissza. Ez általában a preferált modell az ismételhető műveletekhez, mert könnyebb beágyazni szkriptekbe, naplózni az eredményeket és kezelni a hibákat.

4. lépés: Tartós munkamenetek ismételt munkához

Ha több parancsot kell futtatnia, használjon tartós munkamenetet:

$session = New-PSSession -ComputerName SERVER01 -Credential DOMAIN\AdminUser Invoke-Command -Session $session -ScriptBlock { Get-Process } Remove-PSSession $session

Ez elkerüli a folyamatos újracsatlakozást, és hasznos a karbantartási szkriptekben, amelyek egy rögzített ellenőrzési és cselekvési sorrendet futtatnak.

Hogyan háríthatja el a PowerShell távoli kapcsolatokkal kapcsolatos problémákat?

A távoli hibák gyakran hasonlóan néznek ki, de az okok általában három kategóriába sorolhatók: WinRM konfiguráció, hálózat/tűzfal és hitelesítés/bizalom. Először diagnosztizálja a kategóriát, majd javítsa ki, ami alkalmazható.

WinRM szolgáltatás és távoli konfiguráció

Indítsa el a WinRM szolgáltatást a szerveren:

Get-Service WinRM

Ha nem fut:

Start-Service WinRM

Ezután alkalmazza újra a távoli konfigurációt:

Engedélyezze a PSRemotingot -Force

Ha a szolgáltatás fut, de a kapcsolatok továbbra is megbuknak, ellenőrizze, hogy a Csoportházirend érvényesíti-e a WinRM hallgató beállításait, vagy korlátozza-e a megengedett klienseket.

Tűzfal és 5985-ös port

Ha a hiba időtúllépés vagy nem csatlakozható üzenet, erősítse meg a tűzfal szabályait a szerveren:

Enable-NetFirewallRule -DisplayGroup "Windows Remote Management"

Ellenőrizze a hálózati profilok osztályozását és a hálózati szegmentációs szabályokat is az adminisztrátori munkaállomás és a szerver között. Ha a kezelési útvonal keresztezi a VPN a Távoli Asztalhoz minta, erősítse meg, hogy az útválasztási és tűzfal szabályok lehetővé teszik a WinRM forgalmat végponttól végpontig. Az olyan távoli elérés, amely „a szerver VLAN-on belül” működik, de „az admin alhálózatról” nem, általában ACL vagy tűzfal házirendi probléma.

Nem tartománybeli forgatókönyvekben lévő TrustedHosts

Munkacsoport környezetekben a TrustedHosts szükséges lehet az ügyfélnél:

Set-Item WSMan:\localhost\Client\TrustedHosts -Value "SERVER01"

Tartsa a TrustedHosts-t szűken és egyértelműen. Kerülje a széleskörű wildcard bejegyzéseket, hacsak nincs erős kompenzáló intézkedése, és nem érti a biztonsági következményeket.

Hitelesítési csapdák és a „dupla ugrás”

Néhány minta ismételt zavart okoz:

• Hibás számítógép név: Kerberos és az azonosító ellenőrzések meghiúsulhatnak, ha a DNS nevek nem egyeznek meg azzal, amit a szerver vár.
• Insufficient rights: A távoli elérés működik, de a parancsok nem sikerülnek, mert a fióknak nincsenek jogosultságai a célrendszeren.
• Kettős ugrás: A második erőforrás elérése egy távoli munkamenetből (például egy fájlmegosztás vagy egy másik szerver) a delegálási korlátozások miatt meghiúsulhat.

Hibaelhárításkor válassza el az "Nem tudok csatlakozni" és az "Csatlakoztam, de a művelet meghiúsult" kifejezéseket. Ezek különböző megoldásokra utalnak.

Mit tehetsz, ha a PowerShell távoli elérése nem elegendő?

Míg a PowerShell távoli kapcsolatok ideálisak a parancssori adminisztrációhoz, sok IT csapatnak továbbra is szüksége van teljes grafikus távoli hozzáférésre Windows szerverekhez és üzleti alkalmazásokhoz. Néhány szállító eszköz csak grafikus felhasználói felülettel rendelkezik, egyes feladatok vizuális kontextust igényelnek, és egyes munkaterhelések megkövetelik, hogy az adminisztrátorok pontosan úgy lépjenek interakcióba a szerveren futó alkalmazással, ahogyan azt a felhasználók teszik. Amikor az adminisztrátorok interaktív munkamenetekre térnek vissza, egy biztonságos RDP konfigurációs ellenőrzőlista segít a megszorítások egységesítésében és a kitettség csökkentésében.

Miért van még szükség a GUI hozzáférésre

Gyakori esetek közé tartozik:

• MMC bővítmények vagy olyan gyártói konzolok futtatása, amelyek nem működnek jól a szkriptek alatt
• Alkalmazás UI hibák és felhasználói környezet problémák hibaelhárítása
• Interaktív érvényesítést igénylő feladatok végrehajtása (telepítők, varázslók, vizuális naplók)
• Támogató üzleti alkalmazások, amelyek a Windows Serverből kerülnek közzétételre

A PowerShell továbbra is a legjobb eszköz az automatizálásra és az ismételhető műveletekre, de a GUI hozzáférés gyakran szükséges a teljes képhez.

Hogyan egészíti ki a TSplus Remote Access az RSAT-ot és a PowerShell-t?

TSplus Távhozzáférés biztonságos módot kínál a Windows asztalokhoz és Windows alkalmazásokhoz való távoli hozzáféréshez, beleértve a webalapú hozzáférési forgatókönyveket. Olyan környezetekben, ahol az adminisztrátoroknak és a felhasználóknak megbízható hozzáférésre van szükségük a Windows Server által hosztolt alkalmazásokhoz, a TSplus Remote Access kiegészítheti az RSAT-ot és a PowerShell-t az interaktív felhasználási esetek lefedésével:

• Biztonságos hozzáférés a szerver asztali gépeihez vagy közzétett alkalmazásaihoz, amikor grafikus felhasználói felület (GUI) használata szükséges.
• Többfelhasználós egyidejű munkamenetek, ahol ez megfelelő a megosztott szerver környezetekhez
• Csökkentett függőség a bonyolult VPN útvonalaktól a rutin hozzáférési forgatókönyvekhez
• Praktikus alternatíva a kis- és középvállalkozások számára, akiknek távoli szolgáltatásra van szükségük anélkül, hogy teljes RDS infrastruktúrát építenének ki.

Az operációs modell egyszerű marad: használja az RSAT-ot és a PowerShell-t a strukturált adminisztrációs munkához, és használjon biztonságos GUI hozzáférést, amikor a feladat interaktív adminisztrációt vagy alkalmazás szállítást igényel.

Következtetés

A RSAT és a PowerShell távoli vezérlés az egyik leghatékonyabb kombináció a Windows Server adminisztrációhoz. Telepítse a RSAT-ot PowerShell-lel, hogy egységesítse az adminisztrátori munkaállomását, engedélyezze a WinRM távoli vezérlést a szervereken, és válassza ki a megfelelő távoli vezérlési mintát a feladathoz: interaktív munkamenetek a hibaelhárításhoz, és Invoke-Command az automatizáláshoz és a megismételhetőséghez. Amikor a feladat teljes GUI-hozzáférést vagy felhasználói támogatást igényel, adjon hozzá egy távoli hozzáférési és támogatási réteget, amely kiegészíti a parancssori eszközkészletét, nem pedig helyettesíti azt.