👕 🖲️ 🤯 Administrar Windows Server desde el Centro de administración de Windows 🧑‍🤝‍🧑 🥌 👲🏽

En este artículo, seguimos hablando sobre trabajar con Windows Server Core 2019. En publicaciones anteriores, hablamos sobre cómo preparamos las máquinas virtuales cliente utilizando el ejemplo de nuestra nueva tarifa VDS Ultralight con Server Core por 99 rublos. Luego mostraron cómo trabajar con Windows Server 2019 Core y cómo instalar una GUI en él. Hoy hablaremos sobre la administración con el Centro de administración de Windows.

_{Foto: TASS}

Por razones de seguridad, el dolor de cabeza probablemente fue separar las funciones del servidor. Inicie varias máquinas para separar físicamente el controlador de dominio y el servidor de archivos.
Afortunadamente, la virtualización vino en nuestra ayuda, y ahora varios servicios pueden funcionar de forma aislada, lo que, por razones de seguridad, no puede funcionar en el mismo servidor. La virtualización trajo mucha conveniencia, la implementación de máquinas virtuales desde una sola plantilla ahorra tiempo a los especialistas, y físicamente, todo en una caja con un hardware potente.

Hay menos máquinas, y cada vez hay más servidores, incluso para mí, para "ver" que se han formado dos controladores de dominio, un servidor de archivos, un servidor para aplicaciones Java y un montón de servidores web, así que hablemos sobre cómo administrar de manera eficiente los servidores de Windows, sin levantar la mano izquierda del café.

- Usando Powershell!

Por supuesto que sí, pero ... no. El producto se posiciona como una herramienta conveniente para administrar una infraestructura gigante. Está claro que esto no es del todo cierto, para tales casos hay Powershell ISE y scripts, por lo que me gustaría considerar casos de usuario realmente útiles. Si tiene su propia experiencia que desea compartir, podemos agregarla a este artículo.

TL; DR

El Centro de administración de Windows es mejor para administrar componentes de inventario. Actualmente, solo RSAT puede gestionar roles establecidos.

Con WAC, puede mejorar la seguridad de su infraestructura si la usa como puerta de enlace.

Una tabla resumen de eso, él sabe cómo y no sabe cómo:

Gestión del sistema

	Wac	RSAT
Gestión de componentes	Si	Si
Editor de registro	Si	No
Gestión de red	Si	Si
Visor de eventos	Si	Si
Carpetas compartidas	Si	Si
Manejo de la unidad	Si	Solo para servidores con una GUI
Programador de tareas	Si	Si
Gestión de dispositivos	Si	Solo para servidores con una GUI
Gestión de archivos	Si	No
Gestión de usuarios	Si	Si
Gestión de grupo	Si	Si
Gestión de certificados	Si	Si
Actualizaciones	Si	No
Desinstalar programas	Si	No
Monitor del sistema	Si	Si

Gestión de roles

	Wac	RSAT
Protección avanzada de roscas	Texto	No
Defensor de Windows	Texto	Si
Contenedores	Texto	Si
Centro Administrativo AD	Texto	Si
AD Domain and Trusts	No	Si
Sitios y servicios de AD	No	Si
DHCP	Texto	Si
DNS	Texto	Si
Gerente de DFS	No	Si
Gerente de GPO	No	Si
Gerente de IIS	No	Si

Vista previa: la instalación de versiones beta de componentes para WAC no forma parte del ensamblaje. No es necesario enumerar todo, porque literalmente todos los componentes se controlan solo con RSAT.

Matices

Powershell en el Centro de administración de Windows no tiene su propio entorno de secuencias de comandos similar a Powershell ISE.
El Centro de administración de Windows no es compatible con Powershell por debajo de 5.0, en máquinas más antiguas debe instalar el nuevo Powershell si desea usarlo.

La principal desventaja del Centro de administración de Windows en micro instancias es el consumo de RAM del servidor. Crea cuatro sesiones de 50-60 megabytes cada una, y cada sesión permanece incluso después del cierre del Centro de administración de Windows.

El mismo problema con Powershell a través de Enter-PSSession, también crea una nueva sesión, y si solo cierra la ventana del terminal, una sesión que pesa 70 megabytes permanecerá en el servidor remoto si no la cierra antes de salir usando Exit-PSSession o Remove-Pssession.
Cuando use el Centro de administración de Windows, tendrá que aguantar esto, le quitará aproximadamente 170 megabytes de RAM, RSAT no sufre esto.

(Ver wsmprovhost.exe)

Simplifica el trabajo

La máxima comodidad de administración se logra si su estación de trabajo en la que está instalado el WAC está en el dominio. Toma las credenciales de un usuario que ha iniciado sesión, la conexión a los servidores se realiza con un solo clic.

Puede importar la lista de servidores utilizando un archivo txt, enumerando los nombres de los servidores por salto de línea, como en RSAT.

Lo que también es agradable, antes, para integrar la máquina virtual Server Core en AD, tuve que hacer esto a través de sconfig, lo que significa que necesita acceso directo a su pantalla. En el caso del hosting, tuve que hacer todo esto a través de VNC. Ahora, cuando vaya a la página principal, puede hacer clic en "Cambiar ID de computadora" e ingresar al dominio.

Por cierto, para ingresar Windows Server 2019 en el dominio, Sysprep ya no es necesario, porque Sysprep también tuvo que completarse a través de VNC.

Para cambiar la configuración de red ahora, necesita hacer dos clics. Conéctese al servidor y cambie.

Sale tan rápido como a través de WinRM, con solo una mano.

Aumentar la seguridad

Actualmente hay cuatro tipos de implementación. Instalación local, como puerta de enlace, en uno de los servidores de producción y como parte de un clúster.

* Imagen del sitio web de Microsoft

La instalación como puerta de enlace, en un servidor separado, es la opción más segura y recomendada. Este es un análogo de un esquema VPN cuando el acceso a la administración está disponible solo desde una dirección IP específica o sección de red.

De acuerdo, es mucho más conveniente mantener vidos y memes en una pestaña y Windows Admin Center en el otro que perder por completo su conexión a YouTube debido a ingresar a una red segura.
¿Cómo asegurar todos sus servidores N? Usando el siguiente script:

##     ## $servers = Get-Content -Path .\Servers.txt ##      ## $rules = Get-Content -Path .\Rules.txt ## IP      WAC ## $gate = "1.1.1.1"  $MySecureCreds = Get-Credential  foreach ($server in $servers.Split("`n")) {     foreach ($line in $rules.Split("`n")) {         Invoke-Command -ComputerName $server -ScriptBlock {             Set-NetFirewallRule -Name $Using:line -RemoteAddress $Using:gate         } -Credential $MySecureCreds     } } #  , RULES.txt#  RemoteDesktop-UserMode-In-TCP RemoteDesktop-UserMode-In-UDP WINRM-HTTP-In-TCP WINRM-HTTP-In-TCP-PUBLIC #   , SERVERS.txt#  1.1.1.1, 1.1.1.2, 1.1.1.3

Este script cambiará las reglas estándar del firewall para que pueda usar RDP y WinRM solo desde una dirección IP específica, deberá organizar el acceso seguro a la infraestructura.

Powershell en el Centro de administración de Windows no tiene su propio entorno de secuencias de comandos similar a Powershell ISE, solo puede llamar secuencias de comandos listas para usar.

Por cierto, así es como se ve RDP en Windows Server Core.

Conclusiones

Actualmente, el Centro de administración de Windows no puede reemplazar RSAT, sin embargo, ya contiene funciones que RSAT no tiene. Se agregan complementos antiguos, que no son tan convenientes para administrar a través del navegador.

La prioridad de desarrollo es extraña, las funciones más activamente agregadas son aquellas integradas con Azure, hosting desde Microsoft, en lugar de funciones realmente útiles.
Desafortunadamente, por ahora, solo puede administrar todas las funciones de Windows Server con comodidad conectándose a través de RDP.

A pesar de todas las desventajas, el Centro de administración de Windows tiene su propio SDK, con el que puede escribir sus propios módulos y administrar su propio software a través de él, lo que algún día lo hará mejor que RSAT.

Administrar Windows Server desde el Centro de administración de Windows

TL; DR

Matices

Simplifica el trabajo

Aumentar la seguridad

Conclusiones

More articles: