Geekly articles weekly

Gerenciando o Windows Server a partir do Centro de Administração do Windows

Neste artigo, continuamos falando sobre o trabalho com o Windows Server Core 2019. Nas postagens anteriores, falamos sobre como preparamos máquinas virtuais clientes usando o exemplo da nossa nova tarifa VDS Ultralight com o Server Core por 99 rublos. Em seguida, eles mostraram como trabalhar com o Windows Server 2019 Core e como instalar uma GUI nele. Hoje falaremos sobre como gerenciar com o Windows Admin Center.

Foto: TASS

Por motivos de segurança, a dor de cabeça provavelmente foi separar as funções de servidor. Inicie várias máquinas para separar fisicamente o controlador de domínio e o servidor de arquivos.
Felizmente, a virtualização veio em nosso auxílio e agora vários serviços podem funcionar isolados um do outro, o que, por razões de segurança, não pode funcionar no mesmo servidor. A virtualização trouxe muita comodidade, a implantação de máquinas virtuais a partir de um único modelo economiza tempo dos especialistas e, fisicamente, tudo em uma caixa com um hardware poderoso.

Existem menos máquinas, e há cada vez mais servidores, até para mim, para "apenas ver" dois controladores de domínio formados, um servidor de arquivos, um servidor para aplicativos Java e vários servidores da Web. Vamos falar sobre como gerenciar com eficiência os servidores Windows, sem levantar a mão esquerda do café.

- Usando o PowerShell!

Claro que sim, mas ... não. O produto está posicionado como uma ferramenta conveniente para gerenciar uma infraestrutura gigante. É claro que isso não é inteiramente verdade; nesses casos, existem Powershell ISE e scripts, então eu gostaria de considerar casos de usuários realmente úteis. Se você tem sua própria experiência que deseja compartilhar, podemos adicioná-la a este artigo.

TL; DR


O Windows Admin Center é melhor para gerenciar componentes de estoque. Atualmente, apenas o RSAT pode gerenciar funções estabelecidas.

Usando o WAC, você pode melhorar a segurança de sua infraestrutura se usá-la como um gateway.

Uma tabela resumida disso, ele sabe como e não sabe:

Gerenciamento do sistema
WacRSAT
Gerenciamento de componentesSimSim
Editor do Registro
Sim
Não
Gerenciamento de rede
Sim
Sim
Visualizador de Eventos
Sim
Sim
Pastas compartilhadas
Sim
Sim
Gerenciamento de unidades
Sim
Somente para servidores com uma GUI
Agendador de tarefas
Sim
Sim
Gerenciamento de dispositivos
Sim
Somente para servidores com uma GUI
Gerenciamento de arquivos
Sim
Não
Gerenciamento de usuários
Sim
Sim
Gerenciamento de grupo
Sim
Sim
Gerenciamento de certificado
Sim
Sim
Atualizações
Sim
Não
Desinstalar programas
Sim
Não
Monitor do sistema
Sim
Sim

Gerenciamento de funções
Wac
RSAT
Proteção avançada de roscaTEXTONão
Defensor do Windows
TEXTO
Sim
Contentores
TEXTO
Sim
Centro Administrativo do AD
TEXTO
Sim
Domínio e relações de confiança do AD
Não
Sim
Sites e serviços do AD
Não
Sim
DHCP
TEXTO
Sim
DNS
TEXTO
Sim
Gerente DFS
Não
Sim
Gerente de GPO
Não
Sim
Gerenciador do IIS
Não
Sim

Visualizar - instalar versões beta de componentes para WAC, não faz parte da montagem. Não é necessário listar tudo, porque literalmente todos os componentes são controlados apenas com o RSAT.

Nuances


O PowerShell no Windows Admin Center não possui seu próprio ambiente de script semelhante ao Powershell ISE.
O Windows Admin Center não oferece suporte ao Powershell abaixo de 5.0; em máquinas mais antigas, você deve instalar o novo Powershell se desejar usá-lo.

A principal desvantagem do Windows Admin Center em micro instâncias é o consumo de RAM do servidor. Ele cria quatro sessões de 50 a 60 megabytes cada, e cada sessão permanece mesmo após o fechamento do Windows Admin Center.

O mesmo problema com o Powershell via Enter-PSSession, ele também cria uma nova sessão e, se você fechar a janela do terminal, uma sessão com 70 megabytes permanecerá no servidor remoto se você não o fechar antes de sair do Exit-PSSession ou Remove-Pssession.
Ao usar o Centro de administração do Windows, você terá que aturar isso, isso levará cerca de 170 megabytes de RAM, o RSAT não sofre com isso.


(Consulte wsmprovhost.exe)

Simplifique o trabalho


A conveniência máxima de gerenciamento é alcançada se a estação de trabalho na qual o WAC está instalado estiver no domínio. São necessárias as credenciais de um usuário conectado, a conexão com os servidores é realizada com um clique.

Você pode importar a lista de servidores usando um arquivo txt, listando nomes de servidores por avanço de linha, como no RSAT.

O que também agrada, anteriormente, para integrar uma máquina virtual Server Core ao AD, era necessário fazê-lo através do sconfig, o que significa que você precisa de acesso direto à sua tela. No caso de hospedagem, eu tive que fazer tudo isso através do VNC. Agora, quando você for para a página principal, poderá clicar em "Alterar identificação do computador" e entrar no domínio.



A propósito, para inserir o Windows Server 2019 no domínio, o Sysprep não é mais necessário, porque o Sysprep também precisava ser concluído por meio do VNC.

Para alterar as configurações de rede agora, você precisa fazer dois cliques. Conecte-se ao servidor e altere.

Ele sai tão rápido quanto através do WinRM, com apenas uma mão.



Aumentar a segurança


Atualmente, existem quatro tipos de implantação. Instalação local, como gateway, em um dos servidores de produção e como parte de um cluster.


* Imagem do site da Microsoft

A instalação como um gateway, em um servidor separado, é a opção mais segura e recomendada. Este é um análogo de um esquema de VPN quando o acesso ao gerenciamento está disponível apenas em um endereço IP ou seção de rede específica.

Concordo, é muito mais conveniente manter vídeos e memes em uma guia e a Central de administração do Windows na outra do que perder completamente sua conexão com o YouTube devido à entrada em uma rede segura.
Como proteger todos os seus servidores N? Usando o seguinte script:

##     ## $servers = Get-Content -Path .\Servers.txt ##      ## $rules = Get-Content -Path .\Rules.txt ## IP      WAC ## $gate = "1.1.1.1"  $MySecureCreds = Get-Credential  foreach ($server in $servers.Split("`n")) {     foreach ($line in $rules.Split("`n")) {         Invoke-Command -ComputerName $server -ScriptBlock {             Set-NetFirewallRule -Name $Using:line -RemoteAddress $Using:gate         } -Credential $MySecureCreds     } } #  , RULES.txt#  RemoteDesktop-UserMode-In-TCP RemoteDesktop-UserMode-In-UDP WINRM-HTTP-In-TCP WINRM-HTTP-In-TCP-PUBLIC #   , SERVERS.txt#  1.1.1.1, 1.1.1.2, 1.1.1.3

Esse script alterará as regras de firewall padrão de forma que você possa usar o RDP e o WinRM apenas a partir de um endereço IP específico; será necessário organizar o acesso seguro à infraestrutura.

O Powershell no Windows Admin Center não possui seu próprio ambiente de script semelhante ao Powershell ISE; você pode chamar apenas scripts prontos.



A propósito, é assim que o RDP se parece no Windows Server Core.



Conclusões


Atualmente, o Windows Admin Center não pode substituir o RSAT, no entanto, ele já contém funções que o RSAT não possui. Snap-ins antigos são adicionados, o que não é tão conveniente para gerenciar pelo navegador.

A prioridade de desenvolvimento é estranha, as funções adicionadas mais ativamente são aquelas integradas ao Azure, hospedadas pela Microsoft, em vez de funções realmente úteis.
Infelizmente, por enquanto, você só pode gerenciar todas as funções do Windows Server com conveniência se conectando a ele via RDP.

Apesar de todas as desvantagens, o Windows Admin Center possui seu próprio SDK, com o qual você pode escrever seus próprios módulos e gerenciar seu próprio software através dele, o que um dia o tornará melhor que o RSAT.

Source: https://habr.com/ru/post/pt476416/

More articles:


All Articles