In Windows Server® 2008 R2 kunt u met Serverbeheer bepaalde beheertaken uitvoeren op externe computers. Als u een computer extern met Serverbeheer wilt beheren, brengt u op dezelfde manier een verbinding tussen Serverbeheer en een externe computer tot stand als u dat zou doen bij MMC's (Microsoft-beheerconsoles) voor andere technologieën.

Ondersteunde scenario's voor extern beheer

De volgende scenario's voor extern beheer worden ondersteund vanuit Serverbeheer in Windows Server 2008 R2.

  • Server naar server   Serverbeheer kan op een volledige installatie van Windows Server 2008 R2 worden gebruikt om functies en onderdelen te beheren die zijn geïnstalleerd op een andere server waarop Windows Server 2008 R2 wordt uitgevoerd.

  • Server naar Server Core   Serverbeheer kan op een volledige installatie van Windows Server 2008 R2 worden gebruikt om functies en onderdelen te beheren die zijn geïnstalleerd op een Server Core-installatie van Windows Server 2008 R2.

  • Client naar server   Serverbeheer is geïnstalleerd als onderdeel van Hulpprogramma's voor het beheren van externe servers op een computer waarop Windows® 7 wordt uitgevoerd. Hiermee kunnen functies en onderdelen worden beheerd op een computer waarop ofwel de volledige of de Server Core-installatie van Windows Server 2008 R2 wordt uitgevoerd.

Broncomputernaar externe computerDomein C (toegevoegd als vertrouwde host)

Domein A

Domein B

Werkgroep

Domein A

Domein B

Werkgroep

Opmerkingen
  • Als u een externe computer beheert vanaf een computer waarop Windows 7 wordt uitgevoerd, start u de service Windows Remote Management (WinRM) om toevoeging van vertrouwde hosts toe te staan. Open als volgt een opdrachtpromptsessie met verhoogde gebruikersbevoegdheden: klik op Start, Alle programma's en Bureau-accessoires, klik vervolgens met de rechtermuisknop op Opdrachtprompt en klik daarna op Als administrator uitvoeren. Typ het volgende en druk op Enter: net start winrm
  • Bij externe verbindingen in het scenario Werkgroep naar werkgroep/domein moet de externe computer worden toegevoegd aan de lijst met vertrouwde hosts op de broncomputer. U doet dit door op de broncomputer de volgende opdracht uit te voeren in een opdrachtpromptvenster dat is geopend met verhoogde gebruikersbevoegdheden.
  • winrm set winrm/config/client @{TrustedHosts="Naam externe computer"}
  • Als bij externe verbindingen in het scenario Werkgroep naar werkgroep/domein een gebruiker niet is aangemeld met de ingebouwde administratoraccount van de broncomputer, moet de volgende WinRM-registersleutel worden geconfigureerd om externe toegang vanaf de broncomputer mogelijk te maken. Deze wijziging is vereist vanwege een beperking van Gebruikersaccountbeheer voor niet-administratoraccounts die lid zijn van de groep Administrators. U wijzigt deze registersleutel door op de broncomputer de volgende opdracht uit te voeren in een opdrachtpromptvenster dat is geopend met verhoogde gebruikersbevoegdheden.
  • reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
  • Met WinRM zijn standaard per gebruiker maximaal vijf actieve verbindingen met een externe computer toegestaan. Verhoog deze limiet door op de broncomputer de volgende opdracht uit te voeren, waarbij X het aantal verbindingen is dat u wilt toestaan. De opdracht moet worden uitgevoerd in een opdrachtpromptvenster dat is geopend met verhoogde gebruikersbevoegdheden.
  • winrm s winrm/config/winrs @{MaxShellsPerUser="X"}

Beveiligingsoverwegingen voor extern beheer met Serverbeheer

Belangrijk

U moet lid zijn van de groep Administrators op computers die u met Serverbeheer wilt beheren.

Omdat de functionaliteit voor extern beheer bij Serverbeheer wordt geleverd door Windows PowerShell-technologie, gelden voor Serverbeheer de beveiligingsoverwegingen met betrekking tot extern beheer van Windows PowerShell. Een kwaadwillende gebruiker kan proberen de aanmeldingsreferenties te stelen, die door een beheerder via een externe verbinding worden geleverd, maar dit is gewoonlijk een laag risico. Andere mogelijke bedreigingen met een zeer laag risico zijn wijzigingen van DLL's door kwaadwillende gebruikers of pogingen om vertrouwelijke gegevens of gegevens waarmee personen worden geïdentificeerd, te verkrijgen in het logboekbestand van Serverbeheer. Gebruikers die toegangsrechten voor de lokale computer hebben, kunnen logboekbestanden van Serverbeheer lezen, maar logboekbestanden bevatten geen vertrouwelijke persoonlijke of accountgegevens zoals wachtwoorden.

Taken die u op een externe server kunt uitvoeren met Serverbeheer

U kunt in Serverbeheer op een externe computer de volgende taken uitvoeren.

  • De status van automatische Windows-updates weergeven

  • Voer BPA-scans uit voor functies. Zie Scans uitvoeren en filteren in de analysefunctie voor aanbevolen procedures (BPA) voor meer informatie.

  • De CEIP-status (Windows-programma ter verbetering van de klanttevredenheid) weergeven of wijzigen

  • Windows Foutrapportage configureren

  • Windows Firewall-gegevens weergeven of wijzigen

  • Functies vanaf startpagina's van functies weergeven en beheren

    Opmerking

    Als u functie- of onderdeelspecifieke programma's of modules wilt gebruiken in een Serverbeheer-console die is verbonden met een externe server, moeten die programma's worden geïnstalleerd op de broncomputer met behulp van Hulpprogramma's voor het beheren van externe servers.

  • De instellingen voor de verbeterde beveiliging voor Internet Explorer weergeven

  • Services beheren vanaf een startpagina voor functies

Taken die u niet extern kunt uitvoeren met Serverbeheer

Met name om de beveiligingsrisico's voor servers te beperken kunnen de volgende taken niet worden uitgevoerd in een externe Serverbeheer-sessie.

  • functies, functieservices en functies toevoegen of verwijderen

  • Instellingen van Extern bureaublad configureren

  • Systeemeigenschappen configureren

  • Controleren op nieuwe functies

  • Instellingen voor automatische Windows-updates wijzigen

  • Netwerkinstellingen wijzigen

  • De computernaam of het domeinlidmaatschap wijzigen

  • De instellingen voor de verbeterde beveiliging voor Internet Explorer wijzigen

  • Voer de wizard Beveiliging configureren uit, als de broncomputer een server is waarop Windows Server 2008 R2 wordt uitgevoerd.

Extern beheer in- of uitschakelen in Windows Server 2008 R2

Extern beheer met Serverbeheer moet zijn ingeschakeld op de doelcomputer om servers te helpen beveiligen tegen onbevoegde toegang. En u moet dit inschakelen voordat administrators verbinding kunnen maken met een computer waarop Windows Server 2008 R2 extern wordt uitgevoerd met behulp van Serverbeheer.

Voordat u een server kunt configureren voor extern beheer met behulp van Serverbeheer, moet u diverse groepsbeleidsinstellingen inschakelen waarmee Windows Firewall-uitzonderingen worden bepaald. Voer de stappen in Groepsbeleid instellen voor extern beheer met Serverbeheer uit om te controleren of er geen groepsbeleidsinstellingen zijn die de configuratie van de server voor extern beheer overschrijven.

Opmerking

De procedures in deze sectie kunnen alleen worden uitgevoerd op een computer met Windows Server 2008 R2. U kunt extern beheer niet in- of uitschakelen op een computer met Windows 7 omdat Windows 7 niet kan worden beheerd met behulp van Serverbeheer.

Groepsbeleid instellen voor extern beheer van Serverbeheer
  1. Open Editor voor lokaal groepsbeleid op de computer die u extern wilt beheren. Ga hiervoor als volgt te werk: klik achtereenvolgens op Start en Uitvoeren, typ gpedit.msc in het vak Openen en druk op Enter.

  2. Vouw Computerconfiguratie, Beheersjablonen, Windows-onderdelen en Windows Remote Management uit en selecteer vervolgens WinRM-service.

  3. Dubbelklik in het detailvenster op Automatische configuratie van listeners toestaan.

  4. Selecteer Ingeschakeld en klik op OK.

  5. Vouw in het structuurvenster achtereenvolgens Windows-instellingen, Beveiligingsinstellingen, Windows Firewall met geavanceerde beveiliging en Windows Firewall met geavanceerde beveiliging uit.

  6. Klik met de rechtermuisknop op Regels voor binnenkomende verbindingen en klik op Nieuwe regel.

  7. Selecteer Vooraf gedefinieerd op de pagina Regeltype van de wizard Nieuwe regel voor binnenkomende verbindingen.

  8. Selecteer Extern logboekbeheer in het vervolgmenu Vooraf gedefinieerd. Klik op Volgende.

  9. Klik op de pagina Vooraf gedefinieerde regels op Volgende om de nieuwe regels te accepteren.

  10. Selecteer De verbinding toestaan op de pagina Actie en klik op Voltooien. De verbinding toestaan is de standaardinstelling.

  11. Herhaal stap 5 tot en met 10 om nieuwe regels voor binnenkomende verbindingen voor de volgende twee extra vooraf gedefinieerde regeltypen te maken.

    • Extern servicebeheer

    • Extern beheer van Windows Firewall

  12. Sluit Editor voor lokaal groepsbeleid.

Extern beheer met Serverbeheer configureren met de Windows-interface
  1. Open Serverbeheer op de computer die u extern wilt beheren. U opent Serverbeheer als volgt: klik op Start, ga naar Systeembeheer en klik op Serverbeheer.

  2. Klik in het gebied Serveroverzicht van de startpagina van Serverbeheer op Extern beheer met Serverbeheer configureren.

  3. Ga op een van de volgende manieren te werk.

    • Geef op dat deze computer extern kan worden beheerd met Serverbeheer door Extern beheer van deze server vanaf andere computers inschakelen te selecteren.

    • Als u wilt voorkomen dat deze computer extern wordt beheerd met Serverbeheer, schakelt u het selectievakje Extern beheer van deze server vanaf andere computers inschakelen uit.

    • Als u extern beheer wilt inschakelen maar de instelling niet kunt wijzigen, volgt u de stappen in de procedure Groepsbeleid instellen voor extern beheer met Serverbeheer en gaat u vervolgens naar de volgende stap.

  4. Klik op OK.

  5. Controleer of de uitzonderingen voor de volgende firewall-regels zijn ingeschakeld, en of deze niet worden uitgeschakeld door groepsbeleidsinstellingen.

    • Extern servicebeheer (NP-In)

    • Extern servicebeheer (RPC)

    • Extern servicebeheer (RPC-EPMAP)

    • Extern logboekbeheer (NP-In)

    • Extern logboekbeheer (RPC)

    • Extern logboekbeheer (RPC-EPMAP)

    • Extern beheer van Windows Firewall (RPC)

    • Extern beheer van Windows Firewall (RPC-EPMAP)

    U gaat hiertoe als volgt te werk.

    1. Open de module Windows Firewall met geavanceerde beveiliging op een van de volgende manieren:

      • Klik in het gebied Informatie over de beveiliging van het hoofdvenster van Serverbeheer op Ga naar Windows Firewall.

      • Vouw in het structuurvenster van Serverbeheer Configuratie uit en klik vervolgens op Windows Firewall met geavanceerde beveiliging.

      • Klik op Start, wijs Systeembeheer aan en klik vervolgens op Windows Firewall met geavanceerde beveiliging.

    2. Klik in het gebied Aan de slag van het detailvenster Windows Firewall met geavanceerde beveiliging op Regels voor binnenkomende verbindingen.

    3. Zoek in de lijst met regels de regels die worden aangegeven in deze stap.

    4. Als in de kolom Ingeschakeld de waarde Nee wordt weergegeven voor een van de aangegeven regels, dubbelklikt u op de regel om het dialoogvenster Eigenschappen voor de regel te openen.

    5. Schakel op het tabblad Algemeen van het dialoogvenster Eigenschappen het selectievakje Ingeschakeld in. Klik op OK.

      Opmerking

      Hoewel extern beheer met Serverbeheer nog wel mogelijk is als de uitzonderingen voor de firewall-regels van Extern logboekbeheer zijn uitgeschakeld, kunnen de externe-verbindingstijden erg langzaam zijn, afhankelijk van het aantal functies en onderdelen dat wordt uitgevoerd op de computer die u wilt beheren, tenzij de uitzonderingen voor deze firewall-regels zijn ingeschakeld. U wordt aangeraden firewall-regels van Extern logboekbeheer in te schakelen om vertragingen bij verbindingen te voorkomen.

Extern beheer met Serverbeheer configureren met de Windows-interface
  1. Open op de computer die u extern wilt beheren, een Windows PowerShell-sessie met verhoogde gebruikersbevoegdheden. U doet dit als volgt: klik achtereenvolgens op Start, Alle programma's, Bureau-accessoires en Windows PowerShell, klik met de rechtermuisknop op de snelkoppeling Windows PowerShell en klik vervolgens op Uitvoeren als administrator.

  2. Typ in de Windows PowerShell-sessie het volgende en druk vervolgens op Enter.

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

  3. Typ het volgende en druk vervolgens op Enter om alle vereiste uitzonderingen voor firewall-regels in te schakelen.

    Configure-SMRemoting.ps1 -force -enable

Extern beheer configureren op de Server Core-installatieoptie van Windows Server 2008 R2
  1. Typ op de computer die u extern wilt beheren, bij de opdrachtprompt die standaard verschijnt wanneer een lid van de groep Administrators zich aanmeldt bij de computer waarop de Server Core-installatieoptie van Windows Server 2008 R2 wordt uitgevoerd, het volgende en druk vervolgens op Enter.

    Dism.exe /Online /Enable-Feature /FeatureName:NetFx2-ServerCore /FeatureName:MicrosoftWindowsPowerShell /FeatureName:ServerManager-PSH-Cmdlets /FeatureName:BestPractices-PSH-Cmdlets

  2. Als de installatie is voltooid, sluit u alle toepassingen en start u de computer opnieuw op.

    Om te controleren dat Windows PowerShell en cmdlets voor Serverbeheer en de analysefunctie voor aanbevolen procedures zijn geïnstalleerd, probeert u de opdracht oclist te typen. Er word dan een lijst weergegeven met alle Windows-onderdelen die op de computer zijn geïnstalleerd.

  3. Nadat het besturingssysteem het laden heeft voltooid, meldt u zich (minimaal) als lid van de lokale groep Administrators aan.

  4. Typ in het opdrachtpromptvenster dat wordt weergegeven nadat u zich bij de computer hebt aangemeld, het volgende om een Windows PowerShell-sessie te openen en druk op Enter.

    powershell

  5. Typ het volgende in de Windows PowerShell-sessie en druk op Enter.

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

  6. Typ het volgende en druk op Enter om alle vereiste firewalluitzonderingsregels te activeren.

    Configure-SMRemoting.ps1 -force -enable

Verbinding maken met externe computers met behulp van Serverbeheer

Ga als volgt te werk om een externe server te beheren met behulp van Serverbeheer.

Verbinding maken met een andere computer met behulp van Serverbeheer
  1. Open Serverbeheer. U opent Serverbeheer als volgt: klik op Start, ga naar Systeembeheer en klik op Serverbeheer.

  2. Klik in het structuurvenster met de rechtermuisknop op Serverbeheer en klik vervolgens op Verbinden met een andere computer.

  3. Typ in het dialoogvenster Verbinden met een andere computer de naam of het IP-adres van een andere computer waarop Windows Server 2008 R2 wordt uitgevoerd in het tekstvak Een andere computer of zoek naar een andere server in het netwerk. Klik op OK.

    In het tekstvak Een andere computer kunt u een NetBIOS-naam, een FQDN-naam (Fully Qualified Domain Name) of een IPv4- of IPv6-adres opgeven. Als er geen poortnummer is opgegeven, wordt het standaardpoortnummer gebruikt. Hierna vindt u enkele voorbeelden van indelingen die u kunt opgeven in het tekstvak Een andere computer.

    • ComputerName

    • ComputerName:PortNumber

    • IP-adres: n.n.n.n

    • IPv6-adres: [n:n:n:n]

    • IPv4-adres met poortnummer: n.n.n.n:PortNumber

    • IPv6-adres met poortnummer: [n:n:n:n]:PortNumber

    Opmerking

    Als een beheerder het standaardpoortnummer van de computer heeft gewijzigd, moet de niet-standaardpoort in Windows Firewall worden geopend om binnenkomende verbindingen op die poort toe te staan. Poort 5985 wordt standaard geopend als WinRM wordt geconfigureerd, zoals wordt beschreven in Groepsbeleid instellen voor extern beheer van Serverbeheer in dit onderwerp. Niet-standaardpoorten blijven geblokkeerd totdat ze worden geopend. Zie de Help-informatie voor Windows Firewall voor meer informatie over hoe u de blokkering van een poort in Windows Firewall kunt opheffen. Typ in een opdrachtpromptsessie winrm help en druk op Enter voor meer informatie over het configureren van WinRM.

    Nadat u verbinding met een externe computer tot stand hebt gebracht, ziet u dat de naam van de computer wordt gewijzigd in de Serverbeheer-console. De computernaam in het knooppunt Serverbeheer van het structuurvenster, het veld Volledige computernaam in het gebied Serveroverzicht van Serverbeheer en de computernaam in de consolekop worden allemaal gewijzigd in de naam van de externe computer waarmee u een verbinding tot stand hebt gebracht. Omdat IP-adressen in Serverbeheer worden omgezet in FQDN's, geeft de Serverbeheer-console de FQDN van de externe computer weer als u met een IP-adres bent verbonden met een externe computer.

    Opmerking

    Als u met een IP-adres verbinding maakt met een computer in een ander domein, is het mogelijk dat de externe verbinding mislukt als gevolg van DNS Server-beperkingen waardoor het IP-adres niet in een hostnaam kan worden omgezet. Als dit gebeurt, moet u proberen verbinding te maken door een FQDN op te geven.

De Serverbeheer-cmdlet Get-WindowsFeature op een externe computer uitvoeren vanuit een Windows PowerShell-sessie
  1. Open een Windows PowerShell-sessie met verhoogde gebruikersbevoegdheden. U doet dit als volgt: klik achtereenvolgens op Start, Alle programma's, Bureau-accessoires en Windows PowerShell, klik met de rechtermuisknop op de snelkoppeling Windows PowerShell en klik vervolgens op Uitvoeren als administrator.

  2. Typ het volgende, waarbij ComputerName de naam is van de externe computer met Windows Server 2008 R2 en UserName de naam is van een gebruiker die lid is van de groep Administrators op de externe computer, en druk vervolgens op Enter.

    Enter-PSSession <ComputerName> –credential <UserName>

  3. U wordt gevraagd uw wachtwoord in een beveiligd dialoogvenster in te voeren. Typ uw wachtwoord en druk vervolgens op Enter.

  4. Typ in de Windows PowerShell-sessie het volgende om de module Serverbeheer te laden en druk vervolgens op Enter.

    Import-Module ServerManager

  5. Typ het volgende en druk op Enter.

    Get-WindowsFeature

  6. Nadat het resultaat van de cmdlet Get-WindowsFeature in uw Windows PowerShell-sessie is weergegeven, typt u het volgende om de Windows PowerShell-sessie te sluiten en drukt u vervolgens op Enter.

    Exit-PSSession

Meerdere computers beheren met behulp van Serverbeheer en MMC

U kunt ook een aangepaste Microsoft Management Console (MMC) maken, die meerdere Serverbeheer-modules bevat waarmee verschillende externe computers worden beheerd.

Meerdere computers beheren met behulp van Serverbeheer en MMC
  1. U opent Microsoft Management Console als volgt: klik op Start, klik op Uitvoeren, typ mmc en klik op OK.

  2. Klik op Module toevoegen/verwijderen in het menu Bestand.

  3. Selecteer Serverbeheer in de lijst Beschikbare modules.

  4. Klik op Toevoegen om Serverbeheer toe te voegen aan de lijst Geselecteerde modules.

  5. Herhaal de vorige stap zo vaak als nodig is om Serverbeheer-modules aan uw MMC toe te voegen. Klik op OK.

  6. Klik in het structuurvenster van de nieuwe MMC met de rechtermuisknop op het bovenste knooppunt van een Serverbeheer-module en klik vervolgens op Verbinden met een andere computer.

  7. Voer in het dialoogvenster Verbinden met een andere computer de naam of het IP-adres van een andere computer in het vak Een andere computer in of blader naar een andere server in het netwerk. Klik op OK.

    Nadat u verbinding met een externe computer tot stand hebt gebracht, ziet u dat de naam van de computer wordt gewijzigd in het Serverbeheer-knooppunt van het structuurvenster.

  8. Als u meer Serverbeheer-modules in de MMC hebt, herhaalt u deze procedure vanaf stap 6 om meer Serverbeheer-modules te verbinden met andere externe computers.

  9. Klik in het menu Bestand op Opslaan om de aangepaste MMC op te slaan.

Extern beheer vanuit Windows 7

Hoewel computers met Windows 7 niet kunnen worden beheerd met Serverbeheer, kunt u Serverbeheer installeren op een computer met Windows 7 door Hulpprogramma's voor het beheren van externe servers te installeren. Hulpprogramma's voor het beheren van externe servers voor Windows 7 kan worden gedownload op de website van Microsoft (https://go.microsoft.com/fwlink/?LinkId=131280). Nadat Hulpprogramma's voor het beheren van externe servers is geïnstalleerd, kunt u een Serverbeheer-console verbinden aan een externe computer met Windows Server 2008 R2 en de beheertaken uitvoeren op de doelserver die worden genoemd in Taken die u op een externe server kunt uitvoeren met Serverbeheer in dit onderwerp.

Nadat u Hulpprogramma's voor het beheren van externe servers hebt geïnstalleerd op een computer met Windows 7, kunt u net als bij een computer met Windows Server 2008 R2 een aangepaste Serverbeheer MMC maken om meerdere externe computers met Windows Server 2008 R2 te beheren. Zie voor meer informatie over de aanmaak van een aangepaste Serverbeheer MMC op een computer met Windows 7 en Hulpprogramma's voor het beheren van externe servers de sectie Meerdere computers beheren met behulp van Serverbeheer en MMC in dit onderwerp.

Extern beheer vanaf een computer waarop Windows 7 wordt uitgevoerd
  1. Installeer Hulpprogramma's voor het beheren van externe servers op de computer waarop Windows 7 wordt uitgevoerd.

    Download het Hulpprogramma's voor het beheren van externe servers-pakket van de website van Microsoft en volg de instructies op de pagina Downloadcentrum om Hulpprogramma's voor het beheren van externe servers te installeren.

    Als u functie- of onderdeelspecifieke programma's of modules wilt gebruiken in een Serverbeheer-console die is verbonden met een externe server, moeten die programma's worden geïnstalleerd op de broncomputer met behulp van Hulpprogramma's voor het beheren van externe servers.

  2. Nadat Hulpprogramma's voor het beheren van externe servers is geïnstalleerd, opent u Serverbeheer. U opent Serverbeheer als volgt: klik op Start, ga naar Systeembeheer en klik op Serverbeheer.

  3. Klik in het structuurdeelvenster met de rechtermuisknop op Serverbeheer en klik op Verbinden met een andere computer.

  4. Voer in het dialoogvenster Verbinden met een andere computer de naam of het IP-adres van een computer met Windows Server 2008 R2 in het vak Een andere computer in of blader naar een andere server in het netwerk. Klik op OK.

    Nadat u verbinding met een externe computer tot stand hebt gebracht, ziet u dat de naam van de computer wordt weergegeven in de Serverbeheer-console. U ziet de naam van de externe computer waarmee u een verbinding tot stand hebt gebracht, in het Serverbeheer-knooppunt van het structuurvenster, het veld Volledige computernaam in het gebied Serveroverzicht van Serverbeheer en in de consolekop.