Комплект ресурсов для Windows Vista Глава 23. Поддержка пользователей с помощью удаленного помощника (часть 3)
Управление удаленным помощником с помощью групповой политики
В корпоративной среде удаленным помощником можно управлять с помощью групповой политики. Параметры политики для удаленного помощника — это все параметры компьютера, которые находятся в следующем расположении политики:
Конфигурация компьютераАдминистративные шаблоныСистемаУдаленный помощник
Когда эти параметры политики записываются в реестр на целевых компьютерах, они сохраняются в следующем разделе реестра:
HKLMSOFTWAREPoliciesMicrosoftWindowsNTTerminal Services
Получите набор ресурсов для Windows Vista уже сегодня!
Параметры политики удаленного помощника сведены в Табл. 23-4.
Политика | Описание |
Запрашиваемая удаленная помощь | Включение этой политики позволяет пользователям целевых компьютеров использовать запрошенный RA для запроса помощи по электронной почте, передаче файлов или обмену мгновенными сообщениями. Отключение этой политики запрещает пользователям использовать запрошенный RA. Значение по умолчанию — «Не настроено», что позволяет пользователям изменять свои настройки удаленного помощника с помощью вкладки «Удаленный» системного CPL на панели управления. Если политика включена, вы можете дополнительно настроить, можно ли запретить Помощникам совместно использовать контроль над компьютером пользователя, максимальное время жизни билета и метод, используемый для отправки приглашений по электронной почте. (Windows Vista не поддерживает метод MAILTO — вместо этого выберите SMAPI, если целевые компьютеры работают под управлением Windows Vista.) Срок действия билета применяется только к приглашениям RA, отправленным по электронной почте или путем передачи файлов. Время жизни билета по умолчанию, когда групповая политика не используется, составляет 6 часов. Если эта политика включена, вы также должны включить исключение удаленного помощника в брандмауэре Windows, чтобы разрешить работу запрошенного RA. В неуправляемой среде этот параметр также можно настроить с помощью вкладки «Удаленное» системного CPL на панели управления. Эта политика также поддерживается в Windows XP Professional и Windows Server 2003. |
Предлагайте удаленную помощь | Включение этой политики позволяет назначенным помощникам использовать предложение RA для оказания помощи пользователям целевых компьютеров. Отключение этой политики или оставление ее в состоянии «Не настроено» предотвращает использование предложения RA для предоставления помощи пользователям целевых компьютеров. Если политика включена, вы можете дополнительно настроить, могут ли помощники просматривать или контролировать компьютеры пользователей, и вы должны указать список помощников, которым разрешено предлагать RA пользователям целевых компьютеров. Помощники могут быть либо пользователями, либо группами и должны быть указаны в форме имя_домена имя_пользователя или имя_домена имя_группы. Если эта политика включена, необходимо также включить исключение удаленного помощника в брандмауэре Windows, чтобы разрешить работу предложения RA. Эта политика также поддерживается в Windows XP Professional и Windows Server 2003. Дополнительные сведения см. на вкладке «Объяснение» этого параметра политики. |
Разрешить только подключения Vista или более поздних версий | Файл приглашения Vista по умолчанию включает в себя специальный узел XP для обратной совместимости. Этот узел не зашифрован и позволяет машинам XP подключаться к машине Vista, которая создала билет. Включение этой политики приводит к тому, что все приглашения RA, созданные пользователями целевых компьютеров, не включают узел XP, тем самым обеспечивая дополнительный уровень безопасности и конфиденциальности. При отключении этой политики или оставлении ее не настроенной такая информация, как IP-адрес и номер порта, остается незашифрованной в приглашениях RA. Этот параметр политики применяется только к приглашениям RA, отправленным с помощью электронной почты или передачи файлов, и не влияет на использование мгновенных сообщений для запроса помощи или об использовании Offer RA для предложения помощи. В неуправляемой среде этот параметр также можно настроить, нажав «Дополнительно» на вкладке «Удаленный» диалогового окна «Свойства системы». Эта политика поддерживается только на платформах Windows Vista и более поздних версий. |
Настроить предупреждающие сообщения | Включение этой политики приводит к отображению указанного предупреждения на целевых компьютерах, когда помощник хочет войти в состояние совместного использования экрана или общего управления во время сеанса RA. Отключение этой политики или оставление ее не настроенной приводит к отображению предупреждения по умолчанию в каждом экземпляре. Если политика включена, вы можете дополнительно указать предупреждающее сообщение, которое будет отображаться в каждом экземпляре. Эта политика поддерживается только на платформах Windows Vista и более поздних версий. |
Включить ведение журнала сеансов | Включение этой политики приводит к регистрации активности сеанса RA на целевых компьютерах. Дополнительные сведения см. в разделе «Ведение журнала удаленного помощника» ранее в этой главе. Отключение этой политики приводит к отключению аудита RA на целевых компьютерах. Значение по умолчанию — «Не настроено», и в этом случае аудит RA автоматически включается. Эта политика поддерживается только на платформах Windows Vista и более поздних версий. |
Включите оптимизацию пропускной способности | Включение этой политики приводит к тому, что указанный уровень оптимизации пропускной способности используется для улучшения работы RA по сетевым подключениям с низкой пропускной способностью. Отключение этой политики или оставление ее не настроенной позволяет использовать системные значения по умолчанию. Если политика включена, вы должны указать уровень оптимизации полосы пропускания, который вы хотите использовать, из следующих параметров: · Без оптимизации · Нет полного перетаскивания окна · Отключить фон · Полная оптимизация (используйте 8-битный цвет) Если выбран вариант «Без оптимизации», компьютер пользователя будет использовать тему Windows Basic с полным фоном, а во время сеанса общего управления помощник сможет перетаскивать полные окна по экрану пользователя. Дополнительная оптимизация отключает эффекты, чтобы сделать помощник более отзывчивым. Эта политика поддерживается только на платформах Windows Vista и более поздних версий. |
Табл. 23-4 Параметры групповой политики для удаленного помощника
ПРИМЕЧАНИЕ. В Windows XP членам группы «Администраторы домена» неявно предоставлялись права помощника, даже если они не были добавлены в список помощников параметра политики «Предложение удаленной помощи». Это больше не относится к Vista, где группа «Администраторы домена» теперь должна быть явно добавлена в список помощников, чтобы предоставить им привилегии помощника для предложения RA.
Настройка удаленного помощника в неуправляемых средах
Пользователи неуправляемых компьютеров могут включать и настраивать удаленную помощь с помощью вкладки «Удаленный» системного CPL в панели управления (рис. 23-4). Для включения или отключения удаленного помощника и настройки его параметров таким образом требуются учетные данные локального администратора на компьютере, поэтому при попытке пользователя появится запрос UAC.
Рис. 23-4: Настройка RA на вкладке «Удаленное» системного CPL на панели управления.
Обратите внимание, что изменения настроек, сделанные таким образом, повлияют на всех пользователей в системе. Параметры реестра для каждой машины для удаленного помощника находятся в следующем разделе:
HKLMSYSTEMCurrentControlSetControlRemote Assistance
В управляемых средах, когда следующий параметр групповой политики включен, параметры панели управления для настройки удаленного помощника становятся недоступными (выделены серым цветом).
Конфигурация компьютераАдминистративные шаблоныСистемаУдаленный помощникЗапрашиваемый удаленный помощник
ПРИМЕЧАНИЕ. Параметры групповой политики всегда преобладают над параметрами, настроенными локально, если они перекрываются.
Дополнительные параметры реестра для настройки удаленного помощника
Дополнительное поведение удаленного помощника можно настроить, изменив определенные параметры реестра. В частности, параметры реестра для каждого пользователя для удаленного помощника находятся в следующем разделе:
HKCUSoftwareMicrosoftУдаленный помощник
Эти настройки можно изменить в режиме ожидания подключения или в режиме подключения с помощью кнопки «Настройки».
ПРЕДУПРЕЖДЕНИЕ. Если для управления параметрами удаленного помощника используется групповая политика и какие-либо настроенные параметры политики перекрывают эти параметры реестра, приоритет имеют параметры политики.
Прямо из источника: устранение неполадок удаленной помощи
Джон Теккетала, руководитель программы удаленной помощи и группа удаленной помощи в Microsoft
Ниже приведены некоторые советы по устранению неполадок удаленного помощника в Windows Vista.
- Когда я пытаюсь создать приглашение по электронной почте или сохранить в файл, я вижу предупреждающее сообщение о том, что брандмауэр Windows в настоящее время блокирует удаленную помощь.
Исключение брандмауэра удаленного помощника будет меняться в зависимости от вашего сетевого расположения (частное, общедоступное или доменное). Если вы находитесь дома, тип вашего сетевого расположения должен быть установлен как «частный», так как это автоматически включает исключение брандмауэра удаленного помощника. Если ваше сетевое расположение установлено как «общедоступное», то исключение брандмауэра «Удаленный помощник» не включается автоматически в целях безопасности. Он должен быть включен администратором.
Если вы подключены к управляемой сети (например, если вы находитесь в корпоративном домене), сетевое расположение классифицируется как «домен», а исключение «Удаленный помощник» не включается автоматически. Ожидается, что он будет настроен системным администратором с помощью групповой политики. - Я не могу использовать RA для подключения с домашнего компьютера к рабочему.
RA использует Teredo (IPv6) для обхода NAT. Однако Teredo нельзя использовать для обхода корпоративного брандмауэра. Поскольку у вас нет глобально доступного IPv4-адреса в корпоративной сети, RA не может подключиться к вам из-за пределов корпоративной сети. - Если я отключу брандмауэр Windows, в некоторых случаях я не смогу установить соединение RA. Это нелогично, так как я ожидаю, что подключение будет менее ограниченным при отключенном брандмауэре.
В Vista брандмауэр Windows поддерживает IPv6. Исключение RA в брандмауэре Windows включает Teredo для обхода границ. Если брандмауэр Windows отключен, возможность использовать Teredo для обхода NAT также отключена. Брандмауэр Windows должен работать с включенным исключением RA, чтобы RA мог проходить через NAT с помощью Teredo. - Я не могу использовать RA для подключения с работы к домашнему компьютеру.
Ваш корпоративный брандмауэр может быть настроен на блокировку исходящих одноранговых соединений. В управляемой среде (компьютеры, присоединенные к домену), которая обычно находится в корпоративной сети, исключение RA не включает Teredo (обход границы), поскольку корпоративные брандмауэры обычно блокируют исходящий трафик UDP. Обход NAT с использованием Teredo в этом сценарии по умолчанию отключен. Если человек, которому вы пытаетесь помочь, находится за UPnP NAT или напрямую подключен к Интернету, вы сможете установить соединение. Уточните у своего сетевого администратора, можно ли разрешить исходящие одноранговые соединения через корпоративный брандмауэр. - Когда я перемещаю свой ноутбук (или меняю местоположение в домашней сети) из «частного» в «общедоступное», я не могу подключиться к определенным компьютерам.
Если у вас есть ноутбук, который перемещается между работой и домом, свойства исключения брандмауэра RA в брандмауэре Windows будут меняться в зависимости от того, классифицируется ли ваше сетевое расположение как «частное», «общедоступное» или «домен». В частном местоположении исключение RA включено по умолчанию, и если вы используете UPnP NAT, исключение RA разрешит связь с UPnP NAT, чтобы включить соединения RA, использующие UPnP. В общедоступной сети исключение RA не включено по умолчанию, и его необходимо включить с помощью учетных данных администратора. Кроме того, «общедоступный» профиль по умолчанию не разрешает связь UPnP в целях безопасности, тем самым ограничивая возможность подключения RA в некоторых случаях. - Я использую соединение с низкой пропускной способностью, и человек, который помогает мне, испытывает медленное обновление экрана.
Установите для параметра «Использование пропускной способности» в разделе «Настройки» значение «Низкий», чтобы уменьшить пропускную способность, используемую во время подключения к удаленному помощнику. Имейте в виду, что качество изображения снижается по мере ограничения пропускной способности. - Почему я не могу подключиться к машинам XP, находящимся за NAT, так же легко, как я могу подключиться к машинам Vista?
RA в XP не поддерживает Teredo для обхода NAT. Следовательно, попытка подключения Vista к XP RA может завершиться неудачей в случаях, когда оба компьютера находятся за NAT без UPnP. - Как РА устанавливает соединение?
Когда приглашение RA будет создано, компьютер пользователя установит себя в качестве слушателя на всех его IP-адресах (IPv4 и IPv6), включая его адрес Teredo. Все эти слушатели ждут подключения с компьютера помощника. Информация об адресе и порте, связанная с этими различными слушателями, передается на компьютер помощника с помощью приглашения RA (которое передается Messenger, когда Messenger используется для запуска RA). Затем компьютер помощника пытается одновременно подключиться ко всем парам адрес/порт в приглашении. Первое успешное соединение используется для сеанса RA, а остальные попытки соединения прекращаются. - Как устранить сбой соединения между двумя домашними компьютерами с Vista, которые находятся за NAT?
Обратитесь к информации о подключении RA в таблицах 23-5 и 23-6, чтобы убедиться, что имеющаяся у вас сетевая конфигурация поддерживает подключение RA. Затем сделайте следующее:- Убедитесь, что брандмауэр Windows на компьютере человека, которому помогают, работает и настроен для RA.
- Брандмауэр Windows совместим с IPv6 и должен быть запущен, чтобы включить обход NAT с помощью Teredo.
- Сетевое расположение компьютера должно быть «частным» или «общедоступным», поскольку Teredo не включен в настройках «домен» или «управляемый».
- Исключение удаленного помощника в брандмауэре должно быть включено, чтобы разрешить подключения RA.
- Убедитесь, что между пользователем и помощником нет пограничного брандмауэра (например, NAT с брандмауэром, который блокирует динамические порты или исходящий трафик UDP), поскольку он может блокировать одноранговые приложения, такие как RA.
- Подтвердите, что пользователь и помощник не находятся за симметричным NAT и что Teredo может перейти в «квалифицированное» состояние на обеих машинах. Чтобы определить это, сделайте следующее:
1. Сначала запустите Teredo, переведя RA в состояние «ожидание подключения». Это можно сделать, введя msra.exe /saveasfile myinvitation mypassword в командной строке.
2. Затем проверьте, можно ли активировать Teredo на обеих машинах и перейти ли он в «квалифицированное» состояние. Откройте окно командной строки с повышенными привилегиями и введите netsh interface show teredo state в командной строке. Вывод должен показать Teredo в «квалифицированном» состоянии. Если Teredo не перейдет в состояние «подтверждено» на обеих машинах, то соединение RA между этими двумя компьютерами может оказаться невозможным. Teredo не перейдет в квалифицированное состояние, если существует одно из этих двух условий:
- Не удалось связаться с глобальным сервером Teredo по адресу teredo.ipv6.microsoft.com.
- Компьютер находится за симметричным NAT. Чтобы убедиться в этом, посмотрите на вывод netsh interface show teredo state и проверьте вывод в строке «NAT:», которая указывает тип NAT.
- Убедитесь, что брандмауэр Windows на компьютере человека, которому помогают, работает и настроен для RA.