Gestion de Windows Server à partir du Centre d'administration Windows

Dans cet article, nous continuons à parler de travailler avec Windows Server Core 2019. Dans les articles précédents, nous avons expliqué comment nous préparons les machines virtuelles clientes en utilisant l'exemple de notre nouveau tarif VDS Ultralight avec Server Core pour 99 roubles. Ensuite, ils ont montré comment travailler avec Windows Server 2019 Core et comment installer une interface graphique sur celui-ci. Aujourd'hui, nous allons parler de la gestion avec le Centre d'administration Windows.

_{Photo: TASS}

Pour des raisons de sécurité, le mal de tête était probablement de séparer les rôles de serveur. Démarrez plusieurs machines pour séparer physiquement le contrôleur de domaine et le serveur de fichiers.
Heureusement, la virtualisation est venue à notre aide, et maintenant plusieurs services peuvent fonctionner indépendamment les uns des autres, ce qui, pour des raisons de sécurité, ne peut pas fonctionner sur le même serveur. La virtualisation a apporté beaucoup de commodité, le déploiement de machines virtuelles à partir d'un modèle unique fait gagner du temps et physiquement aux spécialistes, le tout dans une seule boîte avec un matériel puissant.

Il y a moins de machines, et il y a de plus en plus de serveurs, même pour moi, pour "voir" que deux contrôleurs de domaine se sont formés, un serveur de fichiers, un serveur pour les applications Java et un tas de serveurs Web, alors parlons de la façon de gérer efficacement les serveurs Windows, sans lever la main gauche du café.

- Utilisation de Powershell!

Bien sûr que oui, mais ... non. Le produit se positionne comme un outil pratique pour gérer une infrastructure géante. Il est clair que ce n'est pas tout à fait vrai, dans de tels cas, il y a Powershell ISE et des scripts, donc je voudrais considérer des cas d'utilisateurs vraiment utiles. Si vous avez votre propre expérience que vous souhaitez partager, nous pouvons l'ajouter à cet article.

TL; DR

Le Centre d'administration Windows est mieux adapté à la gestion des composants d'origine. Actuellement, seul RSAT peut gérer les rôles établis.

En utilisant WAC, vous pouvez améliorer la sécurité de votre infrastructure si vous l'utilisez comme passerelle.

En résumé, il sait et ne sait pas comment:

Gestion du système

Gestion des rôles

Aperçu - l'installation des versions bêta des composants pour WAC, ne fait pas partie de l'assemblage. Il n'est pas nécessaire de tout énumérer, car littéralement tous les composants sont contrôlés uniquement avec RSAT.

Nuances

Powershell dans le Centre d'administration Windows n'a pas son propre environnement de script similaire à Powershell ISE.
Windows Admin Center ne prend pas en charge Powershell en dessous de 5.0, sur les machines plus anciennes, vous devez installer le nouveau Powershell si vous souhaitez l'utiliser.

Le principal inconvénient de Windows Admin Center dans les micro-instances est la consommation de RAM du serveur. Il crée quatre sessions de 50 à 60 mégaoctets chacune, et chaque session reste même après la fermeture du Centre d'administration Windows.

Le même problème avec Powershell via Enter-PSSession, il crée également une nouvelle session, et si vous fermez simplement la fenêtre du terminal, une session pesant 70 mégaoctets restera sur le serveur distant si vous ne le fermez pas avant de quitter en utilisant Exit-PSSession ou Remove-Pssession.
Lorsque vous utilisez le Centre d'administration Windows, vous devrez le supporter, cela vous enlèvera environ 170 mégaoctets de RAM, RSAT n'en souffre pas.


(Voir wsmprovhost.exe)

Simplifiez le travail

La commodité de gestion maximale est obtenue si votre poste de travail sur lequel le WAC est installé se trouve dans le domaine. Il prend les informations d'identification d'un utilisateur connecté, la connexion aux serveurs s'effectue en un seul clic.

Vous pouvez importer la liste des serveurs à l'aide d'un fichier txt, répertoriant les noms de serveurs par saut de ligne, comme dans RSAT.

Ce qui est également agréable, plus tôt, afin d'intégrer la machine virtuelle Server Core dans AD, j'ai dû le faire via sconfig, ce qui signifie que vous avez besoin d'un accès direct à son écran. Dans le cas de l'hébergement, j'ai dû faire tout cela via VNC. Maintenant, lorsque vous accédez à la page principale, vous pouvez cliquer sur "Modifier l'ID de l'ordinateur" et entrer dans le domaine.



Soit dit en passant, pour entrer Windows Server 2019 dans le domaine, Sysprep n'est plus requis, car Sysprep devait également être complété via VNC.

Pour modifier les paramètres réseau, vous devez maintenant effectuer deux clics. Connectez-vous au serveur et changez.

Il sort aussi vite que via WinRM, avec une seule main.

Augmentez la sécurité

Il existe actuellement quatre types de déploiement. Installation locale, en tant que passerelle, sur l'un des serveurs de production et dans le cadre d'un cluster.


* Image du site Web de Microsoft

L'installation en tant que passerelle, sur un serveur distinct, est l'option la plus sécurisée et recommandée. Il s'agit d'un analogue d'un schéma VPN lorsque l'accès à la gestion n'est disponible qu'à partir d'une adresse IP spécifique ou d'une section réseau.

D'accord, il est beaucoup plus pratique de conserver les vidéos et les mèmes sur un onglet et le Centre d'administration Windows sur l'autre que de perdre complètement la connexion à YouTube en raison de l'accès au réseau sécurisé.
Comment sécuriser tous vos serveurs N? En utilisant le script suivant:

##     ## $servers = Get-Content -Path .\Servers.txt ##      ## $rules = Get-Content -Path .\Rules.txt ## IP      WAC ## $gate = "1.1.1.1"  $MySecureCreds = Get-Credential  foreach ($server in $servers.Split("`n")) {     foreach ($line in $rules.Split("`n")) {         Invoke-Command -ComputerName $server -ScriptBlock {             Set-NetFirewallRule -Name $Using:line -RemoteAddress $Using:gate         } -Credential $MySecureCreds     } } #  , RULES.txt#  RemoteDesktop-UserMode-In-TCP RemoteDesktop-UserMode-In-UDP WINRM-HTTP-In-TCP WINRM-HTTP-In-TCP-PUBLIC #   , SERVERS.txt#  1.1.1.1, 1.1.1.2, 1.1.1.3 

Ce script changera les règles standard du pare-feu afin que vous puissiez utiliser RDP et WinRM uniquement à partir d'une adresse IP spécifique, vous devrez organiser un accès sécurisé à l'infrastructure.

Powershell dans Windows Admin Center n'a pas son propre environnement de script similaire à Powershell ISE, vous ne pouvez appeler que des scripts prêts à l'emploi.



Au fait, c'est à quoi ressemble RDP sur Windows Server Core.

Conclusions

Actuellement, Windows Admin Center n'est pas en mesure de remplacer RSAT, cependant, il contient déjà des fonctions que RSAT n'a pas. De vieux composants logiciels enfichables sont ajoutés, ce qui n'est pas très pratique pour la gestion via le navigateur.

La priorité de développement est étrange, les plus activement ajoutées sont les fonctions intégrées à Azure, hébergées par Microsoft, au lieu de fonctions vraiment utiles.
Malheureusement, pour l'instant, vous ne pouvez gérer toutes les fonctions de Windows Server que confortablement en vous y connectant via RDP.

Malgré tous les inconvénients, le Windows Admin Center a son propre SDK, avec lequel vous pouvez écrire vos propres modules et gérer votre propre logiciel à travers lui, ce qui le rendra un jour meilleur que RSAT.