Удаленное администрирование серверов Windows

У меня есть друг, который управляет компанией, которая с годами постепенно росла, а вместе с ней росла и их сеть. Он начал с компьютеров с MS-DOS и постепенно добавлял различные серверы и настольные компьютеры Windows, пока сегодня у него не было нескольких десятков компьютеров с примерно полдюжиной операционных систем Windows, и еще один компьютер с MS-DOS 6.22, на котором размещено важное для бизнеса приложение, которое он боится переходить на Windows.

Это может звучать как ужасная история для каждого системного администратора, но подобные ситуации сегодня слишком распространены в бизнес-среде. По сути, это результат ряда факторов, включая ограниченный бюджет на обновление аппаратного и программного обеспечения, а также отсутствие предвидения и планирования. Вы можете целый день спорить с такими людьми, что модернизация всей их сети до единой унифицированной платформы, такой как Windows Server 2003 в серверной части и Windows XP на рабочем столе, принесет им значительную экономию совокупной стоимости владения (TCO) и они отвечают, что держат накладные расходы на низком уровне из-за ограниченной прибыли и не могут позволить себе такой капитальный ремонт, каким бы желательным он ни был в долгосрочной перспективе.

Таким образом, хотя революция была бы логичным способом действий в подобной ситуации, более вероятным является медленное и постепенное развитие, в результате чего администраторам необходимо иметь под рукой широкий набор инструментов для управления различными версиями Windows, работающими в их сети.. Хитрость заключается в том, чтобы знать, какой инструмент необходим для выполнения каждой работы, и именно об этом эта статья.

Лабиринт инструментов

Компакт-диски продуктов Windows 2000 Server/Advanced Server содержат файл установщика Windows с именем adminpak.msi в каталоге /I386. Компакт-диски продукта Windows Server 2003 содержат файл с таким же именем в той же папке. Оба эти файла.msi устанавливают полный набор инструментов с графическим интерфейсом и командной строки для администрирования Windows, но что следует использовать в смешанной среде Windows 2000/2003?

Ответом является файл adminpak.msi с компакт-диска с продуктом Windows Server 2003. Этот новый набор инструментов администрирования (сборка 3790) можно использовать для администрирования компьютеров с Windows 2000 и Windows Server 2003 в вашей сети. Однако этот новый пакет инструментов имеет несколько ограничений:

1. Средства администрирования Windows Server 2003 нельзя установить на рабочую станцию администратора, работающую под управлением Windows 2000 Professional, поэтому, если вы хотите запускать эти средства с рабочей станции (а не с сервера), вы должны установить их на компьютере с Windows XP Professional, который на нем установлен Service Pack 1 или более поздней версии. Конечно, вы также можете установить эти инструменты на рядовой сервер Windows Server 2003 и выполнять всю свою административную работу, например сервер, работающий на вашем рабочем столе, но это немного дороговато с точки зрения затрат.

2. Средства администрирования Windows Server 2003 используют подписывание LDAP для защиты связи между запущенными экземплярами этих средств и серверами, которыми они управляют. Эта функция влияет на работу ряда инструментов администрирования, включая четыре консоли Active Directory, ADSI Edit, инструменты командной строки Ds*.exe (например, dsadd и dsmod) и консоль управления групповыми политиками. Из-за этого, если в вашей сети все еще есть контроллеры домена Windows 2000, им потребуется как минимум Service Pack 3, чтобы вы могли администрировать их с помощью инструментов администрирования Windows Server 2003.

3. Некоторые средства администрирования Windows Server 2003 были удалены из версии adminpak.msi для Windows Server 2003. Это включает в себя маршрутизацию и удаленный доступ, диспетчер информационных служб Интернета (IIS) и службу проверки подлинности в Интернете. К сожалению, это означает, что если у вас есть серверы удаленного доступа или веб-серверы, которыми нужно управлять, вы не можете управлять ими с рабочей станции администратора Windows XP с установленным adminpak.msi Build 3790. Ваши основные альтернативы в этом случае: (а) пойти в серверную комнату и войти в локальную консоль сервера, которым вы хотите управлять, или (б) включить удаленный рабочий стол (или установить службы терминалов в режиме удаленного администрирования на Windows 2000 server) и откройте подключение к удаленному рабочему столу на компьютере с XP, чтобы установить сеанс удаленного администрирования с сервером, которым вы хотите управлять.

4. Некоторые инструменты администрирования Windows Server 2003 просто нельзя использовать для администрирования определенных аспектов серверов Windows 2000. Например, консоль центра сертификации не будет работать с центрами сертификации (ЦС) Windows 2000, а сценарии администрирования Iis*.vbs (такие как Iisweb.vbs и Iisback.vbs) работают только с машинами IIS 6, а не с IIS 5..

5. Некоторые инструменты администрирования Windows Server 2003 вообще не будут работать с рабочей станции, и их необходимо запускать с локальной консоли сервера, которым вы хотите управлять. Ярким примером здесь является использование Ntdsutil.exe для принудительного восстановления из командной строки, хотя есть обходной путь — скопировать DLL с именем Ntdsbsrv.dll с контроллера домена Windows Server 2003 на рабочую станцию администратора Windows XP.

6. Некоторые специфичные для Windows Server 2003 функции инструментов администрирования Windows Server 2003 работают (естественно) только с серверами Windows Server 2003, но не с серверами Windows 2000. Например, консоль Active Directory и доверительные отношения не будет отображать расширенные функции леса и домена или расширенные типы доверительных отношений, поддерживаемые Windows Server 2003, при подключении к контроллерам домена Windows 2000; параметр Подключиться к консоли при добавлении нового подключения к консоли удаленных рабочих столов не работает при подключении к серверу Windows 2000, на котором запущены службы терминалов в режиме удаленного администрирования; функция «Сохраненные запросы» в Active Directory Users and Computers (не поддерживается в Windows 2000); средство выбора объектов, позволяющее одновременно изменять одно и то же свойство для нескольких объектов в Active Directory Users and Computers (также не поддерживается в Windows 2000); и так далее.

7. Наконец, некоторые аспекты некоторых инструментов администрирования Windows Server 2003 не будут работать на машинах XP, даже если вы администрируете серверы Windows Server 2003! В качестве примера взгляните на свойства учетной записи администратора при просмотре с помощью Active Directory Users and Computers, сначала при запуске этого инструмента на компьютере с Windows Server 2003 в домене, а затем при запуске его на компьютере с Windows XP в домене. домен:

Рисунок 1: Свойства учетной записи администратора при просмотре с компьютера под управлением Windows Server 2003 с помощью Active Directory Users and Computers.

Рис. 2: Свойства учетной записи администратора при просмотре с компьютера с Windows XP с помощью Active Directory Users and Computers.

Заметили что-нибудь другое? Вкладка Dial-in отсутствует при просмотре свойств учетной записи пользователя с компьютера XP! Это означает, что вы не можете настроить обратный вызов для коммутируемого соединения с рабочей станции администратора Windows XP, вы должны сделать это либо с консоли сервера, либо с помощью подключения к удаленному рабочему столу (для чего требуется, чтобы удаленный рабочий стол был включен на сервере). ). Конечно, вы можете управлять большинством параметров удаленного доступа с помощью политик удаленного доступа вместо вкладки «Входящие звонки» с помощью консоли «Маршрутизация и удаленный доступ», но эта консоль также недоступна на компьютерах с XP!

Есть и другие особенности при запуске Adminpak.mis Build 3790 с машин XP. Например, вы не можете использовать контекст dhcp команды netsh для удаленной настройки DHCP-серверов Windows Server 2003 с рабочего стола администратора XP — если вы попытаетесь запустить любую команду netsh dhcp server, вы получите сообщение об ошибке.

Вывод

Microsoft сообщает на странице загрузки сборки 3790 файла adminpak.msi, что «это окончательная версия (сборка 3790) файла adminpak.msi». Учитывая недостатки и ограничения запуска этих инструментов на рабочих столах администратора Windows XP, обескураживает тот факт, что они не тратят больше времени на усовершенствование этих инструментов, чтобы они работали лучше. Но то, что Microsoft заявляет, что что-то является окончательным, не означает, что так оно и останется — возможно, когда будет выпущен пакет обновления 1 для Windows Server 2003, появится новая версия этих инструментов, преодолевающая ограничения текущей версии.

Тем временем, однако, что должны сделать администраторы смешанной сети Windows 2000/2003/XP, чтобы убедиться, что у них есть нужные инструменты для работы? Некоторые предложения:

• Не утруждайте себя наличием в офисе рабочей станции Windows 2000 Professional с установленной версией adminpak.msi для Windows 2000 для управления серверами Windows 2000. Это связано с тем, что средства администрирования Windows Server 2003 достаточно хорошо справляются с работой по управлению серверами Windows 2000 нижнего уровня (если вы помните, какие функции Windows Server 2003 не поддерживаются в Windows 2000).
  
• у вас есть много веб-серверов или серверов удаленного доступа под управлением Windows Server 2003 для управления, рассмотрите возможность использования рядового сервера Windows Server 2003 в качестве рабочей станции администратора вместо компьютера с XP. Таким образом, вы можете подключаться к этим машинам с помощью консолей диспетчера маршрутизации и удаленного доступа и информационных служб Интернета (IIS) вместо использования подключения к удаленному рабочему столу.
  
• Если у вас несколько веб-серверов или серверов удаленного доступа под управлением Windows Server 2003, включите удаленный рабочий стол на этих серверах и управляйте ими удаленно с помощью подключения к удаленному рабочему столу с рабочей станции администратора Windows XP.

И постарайтесь получить офис в нескольких минутах ходьбы от серверной комнаты, если возникнут какие-либо другие несовместимости, которые затруднят управление вашими серверами с вашего рабочего стола XP. В конце концов, системным администраторам обычно не хватает физических упражнений!