Bạn có muốn xem trang web bằng một ngôn ngữ khác không?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Thay đổi ngôn ngữ
Mục lục

Giới thiệu

Công cụ Quản trị Máy chủ Từ xa (RSAT) cho phép quản trị viên quản lý các vai trò Windows Server từ một trạm làm việc khách thay vì đăng nhập trực tiếp vào các máy chủ. Việc điều khiển PowerShell từ xa thêm tính tự động hóa và kiểm soát một-nhiều cho các kiểm tra và thay đổi định kỳ. Cùng nhau, RSAT và PowerShell từ xa bao phủ hầu hết các công việc quản trị hàng ngày trong môi trường Windows Server, từ các tác vụ thư mục và chính sách đến các dịch vụ hạ tầng và máy chủ ứng dụng.

Bản dùng thử miễn phí của TSplus Remote Access

Giải pháp thay thế Citrix/RDS tối ưu cho truy cập desktop/ứng dụng. An toàn, tiết kiệm chi phí, tại chỗ/cloud

Bắt đầu một Thử nghiệm Miễn phí

Công cụ Quản trị Máy chủ Từ xa (RSAT) là gì?

Công cụ Quản trị Máy chủ Từ xa (RSAT) là một bộ công cụ của Microsoft cho phép các quản trị viên quản lý các vai trò và tính năng của Windows Server từ một máy khách Windows. Thay vì đăng nhập vào một bộ điều khiển miền hoặc máy chủ hạ tầng để mở một bảng điều khiển, một quản trị viên cài đặt RSAT trên một máy trạm quản trị và chạy các snap-in hoặc mô-đun PowerShell liên quan tại chỗ.

RSAT bao gồm gì

RSAT không phải là một bảng điều khiển đơn. Nó là một tập hợp các công cụ cụ thể theo vai trò có thể được cài đặt dưới dạng các khả năng của Windows. Các thành phần RSAT phổ biến bao gồm:

  • Công cụ Active Directory (bao gồm mô-đun PowerShell Active Directory)
  • Công cụ máy chủ DNS
  • Công cụ máy chủ DHCP
  • Công cụ Quản lý Chính sách Nhóm
  • Công cụ vai trò bổ sung và bảng điều khiển quản lý tùy thuộc vào môi trường

Lợi ích thực tiễn là tính nhất quán. Một trạm làm việc quản trị được quản lý tốt với RSAT giảm thiểu thời gian mất do "các công cụ bị thiếu" và hỗ trợ vệ sinh hoạt động tốt hơn vì công việc diễn ra từ một thiết bị được kiểm soát thay vì từ các máy chủ sản xuất.

Nơi RSAT phù hợp trong môi trường Windows Server

RSAT có giá trị nhất trong các môi trường Windows Server, nơi các vai trò hạ tầng được tập trung và truy cập lặp đi lặp lại. Trong nhiều miền Windows, Windows Server Remote Desktop cũng được sử dụng cho quyền truy cập quản trị bên cạnh RSAT và PowerShell từ xa. Các ví dụ điển hình bao gồm:

  • Các bộ điều khiển miền và dịch vụ danh tính
  • Máy chủ DNS và DHCP
  • Dịch vụ tệp và hạ tầng chia sẻ
  • Máy chủ ứng dụng hỗ trợ khối lượng công việc theo dòng kinh doanh
  • Các vai trò liên quan đến Remote Desktop mà các quản trị viên phải xác thực dịch vụ và cấu hình thường xuyên.

RSAT không tự cấp quyền. Nó chỉ đơn giản là cung cấp các công cụ cho phép quản trị viên sử dụng các quyền được giao cho họ. Đó là lý do tại sao RSAT hoạt động tốt nhất như một phần của mô hình hoạt động rộng hơn: truy cập quản trị viên phân đoạn, quyền được ủy quyền và giám sát tập trung.

Trong môi trường Windows Server, nơi các quản trị viên cũng cần truy cập GUI đầy đủ cho các ứng dụng hoặc phiên được lưu trữ một cách thỉnh thoảng, TSplus Remote Access có thể bổ sung RSAT và PowerShell từ xa.

Tại sao quản trị viên sử dụng PowerShell để quản lý máy chủ từ xa?

PowerShell là lớp tự động hóa mặc định cho quản trị Windows. RSAT cung cấp các giao diện; PowerShell cung cấp kiểm soát, tốc độ và khả năng lặp lại. Ngay cả khi một quản trị viên thích các bảng điều khiển GUI cho một số nhiệm vụ nhất định, PowerShell trở nên cần thiết ngay khi số lượng máy chủ tăng lên hoặc các nhiệm vụ cần được tiêu chuẩn hóa.

Tự động hóa và khả năng lặp lại

PowerShell biến các quy trình thủ công thành các tập lệnh có thể được tái sử dụng, xem xét và cải tiến. Điều đó quan trọng cho:

  • Kiểm tra dịch vụ định kỳ trước các khoảng thời gian bảo trì
  • Xác thực cấu hình cơ bản (tính năng, dịch vụ, cài đặt registry)
  • Các nhiệm vụ kiểm toán như xuất báo cáo hoặc so sánh sự thay đổi cấu hình
  • Các bước xác minh sau khi vá lỗi sau khi khởi động lại và cập nhật

Một kịch bản cũng trở thành tài liệu. Thay vì dựa vào kiến thức bộ lạc, các nhóm CNTT có thể xây dựng sách hướng dẫn vận hành tạo ra kết quả dự đoán được trong các môi trường Windows Server.

Một-nhiều hoạt động

Quản lý GUI thường chỉ một máy chủ tại một thời điểm. PowerShell Remoting cho phép các hoạt động một-nhiều, điều này giúp với:

  • Chạy cùng một lệnh trên nhiều máy chủ
  • Thu thập nhật ký hoặc đầu ra cấu hình vào một báo cáo duy nhất
  • Hành động nhất quán trong các sự cố (khởi động lại dịch vụ, dừng một quy trình, cách ly một máy chủ)
  • Giảm thời gian dành cho việc lặp lại các cú nhấp chuột giống nhau trên các hệ thống.

Đây là lý do chính khiến PowerShell vẫn giữ vai trò trung tâm ngay cả trong các tổ chức đầu tư mạnh vào công cụ đồ họa.

Điều gì xảy ra khi bạn cần RSAT và Remote PowerShell?

RSAT và PowerShell Remoting chồng chéo nhau, nhưng chúng giải quyết các phần khác nhau của cùng một vấn đề. Nhiều quy trình làm việc trên Windows Server nhanh hơn khi cả hai đều có sẵn.

Các nhiệm vụ chung yêu cầu cả hai

Một số tác vụ bắt đầu trong một bảng điều khiển và kết thúc trong một kịch bản, hoặc ngược lại. Ví dụ:

  • Sử dụng Quản lý Chính sách Nhóm để thiết kế một chính sách, sau đó sử dụng PowerShell để xuất báo cáo hoặc xác thực liên kết và phạm vi.
  • Sử dụng DNS Manager để kiểm tra một vùng một cách tương tác, sau đó sử dụng PowerShell để tạo hoặc cập nhật hàng loạt các bản ghi.
  • Sử dụng Active Directory Users and Computers để điều tra một đối tượng người dùng, sau đó sử dụng mô-đun AD để áp dụng các thay đổi tiêu chuẩn hóa cho nhiều người dùng.

Trên thực tế, RSAT rất tốt cho việc phát hiện và chỉnh sửa có mục tiêu, trong khi PowerShell rất tốt cho việc thay đổi theo tiêu chuẩn và xác thực trên toàn bộ đội tàu.

Những gì cần chuẩn hóa trên các máy trạm quản trị viên

Để tránh sự lệch lạc của công cụ và giảm thời gian khắc phục sự cố, nhiều đội ngũ CNTT chuẩn hóa:

  • Các khả năng RSAT nào được cài đặt (bộ đầy đủ so với bộ tối thiểu)
  • Các mô-đun và phiên bản PowerShell được sử dụng trong runbook
  • Một bộ kịch bản cơ bản cho các kiểm tra sức khỏe và các hoạt động định kỳ
  • Phương thức truy cập (xác thực miền, hộp nhảy, mạng quản lý)

Điều này làm cho việc quản lý từ xa trở nên đáng tin cậy hơn, đặc biệt khi nhiều quản trị viên chia sẻ trách nhiệm cho các môi trường Windows Server.

Cách cài đặt Công cụ Quản trị Máy chủ Từ xa bằng PowerShell?

Phần này nhắm đến quy trình làm việc chính xác: cách cài đặt Công cụ Quản trị Máy chủ Từ xa bằng PowerShell. Quy trình rất đơn giản, và nó có thể được lặp lại trên nhiều máy nếu bạn sử dụng các kịch bản cung cấp.

Bước 1: Kiểm tra các tính năng RSAT có sẵn

Mở PowerShell với quyền quản trị và chạy: 

Get-WindowsCapability -Name RSAT* -Online

Danh sách này liệt kê các khả năng RSAT và cho thấy liệu mỗi khả năng có được cài đặt hay không. Trường chính là Trạng thái:

  • Không có mặt có nghĩa là khả năng có sẵn nhưng chưa được cài đặt
  • Đã cài đặt có nghĩa là khả năng đã có sẵn

Nếu một quản trị viên mong đợi một mô-đun (như ActiveDirectory) nhưng nó bị thiếu, lệnh này là cách nhanh nhất để xác nhận xem khả năng đúng có được cài đặt hay không.

Bước 2: Cài đặt tất cả các công cụ RSAT qua PowerShell

Để cài đặt bộ công cụ RSAT đầy đủ có sẵn cho máy: 

Get-WindowsCapability -Name RSAT* -Online | Add-WindowsCapability -Online

Cách tiếp cận này phổ biến cho các trạm làm việc quản trị viên chuyên dụng vì nó giảm thiểu các khoảng trống "bất ngờ" sau này. Nếu tổ chức của bạn ưa thích một dấu chân tối thiểu, hãy chỉ cài đặt các khả năng cần thiết, nhưng giữ cho sự lựa chọn nhất quán trong toàn đội.

Bước 3: Cài đặt một thành phần RSAT cụ thể

Nếu bạn chỉ cần một bộ công cụ, hãy cài đặt khả năng đó trực tiếp. Ví dụ cho Active Directory: 

Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Điều này hữu ích cho các nhóm muốn có các bản dựng nhẹ hoặc tách biệt trách nhiệm (ví dụ, nhân viên hỗ trợ vs quản trị hạ tầng).

Xác minh cài đặt RSAT

Sau khi cài đặt, xác nhận rằng mô-đun PowerShell liên quan tồn tại. Đối với Active Directory: 

Get-Module -ListAvailable ActiveDirectory

Nếu nó xuất hiện, hãy nhập nó để xác nhận rằng nó tải đúng cách: 

Import-Module ActiveDirectory

Tại thời điểm đó, RSAT đã được cài đặt và sẵn sàng. Bạn có thể sử dụng các bảng điều khiển GUI (Công cụ Windows) và các mô-đun vai trò trong các kịch bản.

Cách kết nối với máy chủ từ xa bằng PowerShell?

PowerShell Remoting phụ thuộc vào WinRM. Trong các môi trường miền, nó thường đã được cấu hình sẵn, nhưng trong nhiều mạng, nó vẫn cần được kích hoạt và xác thực. Một cấu hình remoting tốt cung cấp cho các quản trị viên quyền truy cập nhanh chóng, có kiểm soát mà không cần dựa vào các phiên làm việc trên máy tính để bàn cho mỗi tác vụ.

Bước 1: Bật PowerShell Remoting trên máy chủ

Trên máy chủ mục tiêu, chạy: 

Enable-PSRemoting -Force

Cấu hình này thiết lập WinRM cho việc từ xa, tạo các trình nghe và kích hoạt các quy tắc tường lửa trong các kịch bản tiêu chuẩn. Trong các môi trường được quản lý, Chính sách Nhóm có thể áp dụng các cài đặt WinRM. Nếu việc từ xa "hoạt động trong một thời gian ngắn và sau đó dừng lại", chính sách là một ứng cử viên mạnh.

Bước 2: Kết nối với một máy chủ từ xa

Để mở một phiên tương tác (một shell từ xa): 

Enter-PSSession -ComputerName SERVER01 -Credential DOMAIN\AdminUser

Đây là mẫu tiêu chuẩn cho powershell kết nối với máy chủ từ xa và là một phương pháp phổ biến cho kết nối từ xa powershell đến máy chủ khi khắc phục sự cố. Nó tốt nhất cho các chẩn đoán tương tác, ngắn hạn.

Thoát khỏi phiên khi hoàn tất: 

Thoát-PSSession

Mẹo: nếu bạn gặp vấn đề về phân giải tên, hãy thử sử dụng FQDN của máy chủ thay vì tên ngắn. Các kiểm tra danh tính Kerberos và chứng chỉ có thể nhạy cảm với sự không khớp tên.

Bước 3: Chạy lệnh từ xa mà không cần phiên tương tác

Để lập trình và tự động hóa, hãy sử dụng Invoke-Command : 

Invoke-Command -ComputerName SERVER01 -ScriptBlock { Get-Service }

Điều này thực thi trên máy chủ từ xa và trả về kết quả tại chỗ. Nó thường là mô hình được ưa chuộng cho các thao tác lặp lại vì dễ dàng hơn để bao bọc trong các tập lệnh, ghi lại kết quả và xử lý lỗi.

Bước 4: Phiên làm việc liên tục cho công việc lặp lại

Nếu bạn cần chạy nhiều lệnh, hãy sử dụng một phiên làm việc liên tục: 

$session = New-PSSession -ComputerName SERVER01 -Credential DOMAIN\AdminUser Invoke-Command -Session $session -ScriptBlock { Get-Process } Remove-PSSession $session

Điều này giúp tránh việc kết nối lại nhiều lần và hữu ích trong các kịch bản bảo trì chạy một chuỗi kiểm tra và hành động cố định.

Làm thế nào để bạn khắc phục sự cố kết nối từ xa PowerShell?

Lỗi từ xa thường trông giống nhau, nhưng nguyên nhân thường rơi vào ba nhóm: cấu hình WinRM, mạng/tường lửa và xác thực/độ tin cậy. Chẩn đoán danh mục trước, sau đó sửa chữa những gì áp dụng.

Dịch vụ WinRM và cấu hình từ xa

Bắt đầu với dịch vụ WinRM trên máy chủ: 

Get-Service WinRM

Nếu nó không chạy: 

Bắt đầu-Dịch vụ WinRM

Sau đó áp dụng lại cấu hình từ xa: 

Enable-PSRemoting -Force

Nếu dịch vụ đang chạy nhưng kết nối vẫn thất bại, hãy kiểm tra xem Chính sách Nhóm có đang thực thi cài đặt trình nghe WinRM hoặc hạn chế các khách hàng được phép hay không.

Tường lửa và cổng 5985

Nếu lỗi là thông báo hết thời gian chờ hoặc không thể kết nối, hãy xác nhận các quy tắc tường lửa trên máy chủ: 

Enable-NetFirewallRule -DisplayGroup "Windows Remote Management"

Cũng xác thực phân loại hồ sơ mạng và bất kỳ quy tắc phân đoạn mạng nào giữa máy trạm quản trị và máy chủ. Nếu đường dẫn quản lý vượt qua một VPN cho Remote Desktop mẫu, xác nhận rằng các quy tắc định tuyến và tường lửa cho phép lưu lượng WinRM đi qua từ đầu đến cuối. Việc điều khiển từ xa hoạt động "trong VLAN của máy chủ" nhưng không thành công "từ subnet quản trị" thường là vấn đề của ACL hoặc chính sách tường lửa.

TrustedHosts trong các tình huống không thuộc miền

Trong môi trường làm việc nhóm, TrustedHosts có thể được yêu cầu trên máy khách: 

Set-Item WSMan:\localhost\Client\TrustedHosts -Value "SERVER01"

Giữ TrustedHosts hẹp và rõ ràng. Tránh các mục wildcard rộng trừ khi bạn có các biện pháp kiểm soát bù đắp mạnh mẽ và bạn hiểu các tác động về bảo mật.

Cạm bẫy xác thực và "bước nhảy đôi"

Một vài mẫu gây ra sự nhầm lẫn lặp đi lặp lại:

  • Tên máy tính không đúng: Kerberos và các kiểm tra danh tính có thể thất bại nếu tên DNS không khớp với những gì máy chủ mong đợi.
  • Quyền không đủ: Remoting hoạt động nhưng các lệnh thất bại vì tài khoản thiếu quyền trên hệ thống mục tiêu.
  • Nhảy đôi: Truy cập một tài nguyên thứ hai từ bên trong một phiên làm việc từ xa (như chia sẻ tệp hoặc một máy chủ khác) có thể thất bại do các ràng buộc ủy quyền.

Khi khắc phục sự cố, hãy tách “Tôi không thể kết nối” khỏi “Tôi đã kết nối, nhưng hành động không thành công”. Chúng chỉ ra các cách sửa chữa khác nhau.

Bạn có thể làm gì khi PowerShell Remoting không đủ?

Trong khi các kết nối từ xa PowerShell rất lý tưởng cho việc quản lý qua dòng lệnh, nhiều đội ngũ CNTT vẫn cần quyền truy cập từ xa đồ họa đầy đủ vào các máy chủ Windows và các ứng dụng kinh doanh. Một số công cụ của nhà cung cấp chỉ có giao diện đồ họa, một số tác vụ cần ngữ cảnh hình ảnh, và một số khối lượng công việc yêu cầu các quản trị viên tương tác với một ứng dụng được lưu trữ trên máy chủ giống như người dùng. Khi các quản trị viên quay lại các phiên tương tác, a danh sách kiểm tra cấu hình RDP an toàn giúp chuẩn hóa việc tăng cường bảo mật và giảm thiểu rủi ro.

Tại sao vẫn cần truy cập GUI

Các trường hợp phổ biến bao gồm:

  • Chạy các snap-in MMC hoặc bảng điều khiển của nhà cung cấp không hoạt động tốt qua các kịch bản
  • Khắc phục sự cố lỗi giao diện ứng dụng và vấn đề môi trường người dùng
  • Thực hiện các tác vụ yêu cầu xác thực tương tác (trình cài đặt, trình hướng dẫn, nhật ký trực quan)
  • Hỗ trợ các ứng dụng kinh doanh được xuất bản từ Windows Server

PowerShell vẫn là công cụ tốt nhất cho tự động hóa và các hoạt động lặp lại, nhưng truy cập GUI thường vẫn cần thiết để có cái nhìn toàn diện.

TSplus Remote Access bổ sung cho RSAT và PowerShell như thế nào?

TSplus Remote Access cung cấp một cách an toàn để truy cập các máy tính để bàn Windows và các ứng dụng Windows từ xa, bao gồm các kịch bản truy cập dựa trên web. Trong các môi trường mà các quản trị viên và người dùng cần truy cập đáng tin cậy vào các ứng dụng được lưu trữ trên Windows Server, TSplus Remote Access có thể bổ sung cho RSAT và PowerShell bằng cách bao phủ các trường hợp sử dụng tương tác:

  • Truy cập an toàn vào máy chủ desktop hoặc các ứng dụng đã được công bố khi cần làm việc với GUI
  • Các phiên làm việc đồng thời nhiều người dùng khi phù hợp cho các môi trường máy chủ chia sẻ
  • Giảm sự phụ thuộc vào định tuyến VPN phức tạp cho các tình huống truy cập thường xuyên
  • Một giải pháp thực tiễn cho các doanh nghiệp vừa và nhỏ cần cung cấp dịch vụ từ xa mà không cần xây dựng một hạ tầng RDS đầy đủ.

Mô hình hoạt động vẫn đơn giản: sử dụng RSAT và PowerShell cho công việc quản trị có cấu trúc và sử dụng truy cập GUI an toàn khi công việc yêu cầu quản trị tương tác hoặc phân phối ứng dụng.

Kết luận

RSAT cộng với PowerShell Remoting là một trong những sự kết hợp hiệu quả nhất cho việc quản trị Windows Server. Cài đặt RSAT với PowerShell để chuẩn hóa máy trạm quản trị của bạn, kích hoạt WinRM remoting trên các máy chủ và chọn mẫu remoting phù hợp cho công việc: các phiên tương tác để khắc phục sự cố, và Invoke-Command cho tự động hóa và khả năng lặp lại. Khi công việc yêu cầu truy cập GUI đầy đủ hoặc hỗ trợ người dùng, hãy thêm một lớp truy cập và hỗ trợ từ xa bổ sung cho bộ công cụ dòng lệnh của bạn thay vì thay thế nó.

Bản dùng thử miễn phí của TSplus Remote Access

Giải pháp thay thế Citrix/RDS tối ưu cho truy cập desktop/ứng dụng. An toàn, tiết kiệm chi phí, tại chỗ/cloud

Bắt đầu một Thử nghiệm Miễn phí

Chia sẻ:

Facebook Twitter LinkedIn

Nhóm của bạn TSplus

Đọc thêm

back to top of the page icon