在 Windows Server(R) 2008 R2 中,可以使用服务器管理器在远程计算机上执行某些管理任务。若要使用服务器管理器远程管理计算机,需要将服务器管理器连接到远程计算机,所采用的方式与采用其他技术连接 Microsoft 管理控制台 (MMC) 的方式相同。
支持的远程管理方案
以下是 Windows Server 2008 R2 中服务器管理器支持的远程管理方案。
- 服务器到服务器 可以在 Windows Server 2008 R2 的完整安装上使用服务器管理器来管理运行 Windows Server 2008 R2 的其他服务器上安装的角色和功能。
- 服务器到服务器核心 可以在 Windows Server 2008 R2 的完整安装上使用服务器管理器来管理在 Windows Server 2008 R2 的服务器核心安装上安装的角色和功能。
- 客户端到服务器 在运行 Windows(R) 7 的计算机上,服务器管理器作为远程服务器管理工具的一部分安装。可以使用它来管理运行 Windows Server 2008 R2 的完整安装或服务器核心安装的计算机上的角色和功能。
| 源计算机 | 到远程计算机 | 域 C(作为受信任的主机添加) | |||
|---|---|---|---|---|---|
域 A | 域 B | 工作组 | |||
域 A | √ | ||||
域 B | √ | ||||
工作组 | √ | √ | |||
 | 注意 |
|
使用服务器管理器进行远程管理的安全注意事项
 | 重要 |
您必须是要使用服务器管理器管理的计算机上“管理员”组的成员。 |
由于服务器管理器远程管理功能是使用 Windows PowerShell 技术提供的,因此服务器管理器远程管理从 Windows PowerShell 继承安全注意事项。恶意用户可能尝试通过远程连接窃取管理员提供的登录凭据,但一般来说,这个风险程度较低。风险程度非常低的其他潜在威胁包括动态链接库 (DLL) 被恶意用户修改、尝试获得服务器管理器日志文件中的敏感数据或个人标识数据。对本地计算机拥有访问权限的用户可以读取服务器管理器日志文件,但日志文件不包含个人或帐户敏感信息,如密码。
可以在远程计算机上使用服务器管理器执行的任务
您可以在远程计算机上的服务器管理器中执行以下任务。
- 查看 Windows 自动更新状态
- 对角色运行最佳做法分析器扫描。有关详细信息,请参阅在最佳做法分析器中运行和筛选扫描。
- 查看或更改 Windows 客户体验改善计划 (CEIP) 状态
- 配置 Windows 错误报告
- 查看或更改 Windows 防火墙信息
- 查看和管理角色主页中的角色
注意 若要在连接到远程服务器的服务器管理器控制台中使用特定于角色或特定于功能的工具或管理单元,必须使用远程服务器管理工具在源服务器上安装这些工具。
- 查看 Internet Explorer 高级安全配置设置
- 管理角色主页中的服务
无法使用服务器管理器远程执行的任务
由于主要目标是最大程度地降低服务器的安全风险,因此在远程服务器管理器会话中不能完成以下任务。
- 添加或删除角色、角色服务和功能
- 配置远程桌面设置
- 配置系统属性
- 检查新角色
- 更改 Windows 自动更新设置
- 更改网络设置
- 更改计算机名称或域成员身份
- 更改 Internet Explorer 高级安全配置设置
- 当源计算机是运行 Windows Server 2008 R2 的服务器时运行安全配置向导
在 Windows Server 2008 R2 中启用或禁用远程管理
若要帮助保护服务器以防止未经授权的访问,管理员必须先在目标计算机上启用服务器管理器远程管理,然后才能使用服务器管理器远程连接到运行 Windows Server 2008 R2 的计算机。
将服务器配置为使用服务器管理器进行远程管理之前,必须启用多个控制 Windows 防火墙例外的组策略设置。可以按照设置用于服务器管理器远程管理的组策略中的步骤执行操作来确认没有组策略设置替代服务器的远程管理配置。
| 注意 |
只能在运行 Windows Server 2008 R2 的计算机上完成此部分中的过程。不能在运行 Windows 7 的计算机上启用或禁用远程管理,因为 Windows 7 不能使用服务器管理器进行管理。 |
 | 设置用于服务器管理器远程管理的组策略的步骤 |
在要远程管理的计算机上,打开“本地组策略编辑器”。若要执行此操作,请依次单击「开始」、“运行”,在“打开”框中键入 gpedit.msc,然后按 Enter。
展开“计算机配置”、“管理模板”、“Windows 组件”、“Windows 远程管理”,然后选择“WinRM 服务”。
在细节窗格中,双击“允许侦听器的自动配置”。
选择“已启用”,然后单击“确定”。
在树窗格中,展开“Windows 设置”、“安全设置”、“高级安全 Windows 防火墙”,然后展开“高级安全 Windows 防火墙”。
右键单击“入站规则”,然后单击“新建规则”。
在新建入站规则向导的“规则类型”页上,选择“预定义”。
在“预定义”下拉菜单中,选择“远程事件日志管理”。单击“下一步”。
在“预定义规则”页上,单击“下一步”以接受新规则。
在“操作”页上,选择“允许连接”,然后单击“完成”。“允许连接”是默认选择。
重复步骤 5 到 10 为以下其他两个预定义规则类型创建新入站规则。
- 远程服务管理
- Windows 防火墙远程管理
- 远程服务管理
关闭“本地组策略编辑器”。
| 使用 Windows 界面配置服务器管理器远程管理的步骤 |
在要远程管理的计算机上,打开服务器管理器。要打开“服务器管理器”,请单击「开始」,指向“管理工具”,然后单击“服务器管理器”。
在服务器管理器主页的“服务器摘要”区域中,单击“配置服务器管理器远程管理”。
请执行以下操作之一。
- 若要允许使用服务器管理器远程管理该计算机,则选中“从其他计算机启用该服务器的远程管理”。
- 若要阻止使用服务器管理器远程管理该计算机,则清除“从其他计算机启用该服务器的远程管理”复选框。
- 如果要启用远程管理,但不能更改设置,请按照设置用于服务器管理器远程管理的组策略过程中的步骤操作,然后继续进行下一步。
- 若要允许使用服务器管理器远程管理该计算机,则选中“从其他计算机启用该服务器的远程管理”。
单击“确定”。
确认启用了以下防火墙规则的例外,并且组策略设置没有禁用这些例外。
- 远程服务管理(NP-In)
- 远程服务管理(RPC)
- 远程服务管理(RPC-EPMAP)
- 远程事件日志管理(NP-In)
- 远程事件日志管理(RPC)
- 远程事件日志管理(RPC-EPMAP)
- Windows 防火墙远程管理(RPC)
- Windows 防火墙远程管理(RPC-EPMAP)
为此,请执行下列操作。
通过执行以下操作之一打开“高级安全 Windows 防火墙”管理单元:
在服务器管理器主窗口的“安全信息”区域中,单击“转到 Windows Firewall”。
在服务器管理器树窗格中,展开“配置”,然后单击“高级安全 Windows 防火墙”。
单击「开始」,指向“管理工具”,然后单击“高级安全 Windows 防火墙”。
在“高级安全 Windows 防火墙”细节窗格的“入门”区域中,单击“入站规则”。
在规则列表中,找到在该步骤中指定的规则。
如果任何已指定规则的“已启用”列中显示“无”,则双击该规则打开其“属性”对话框。
在规则“属性”对话框的“常规”选项卡上,选择“已启用”。单击“确定”。
注意 尽管禁用“远程事件日志管理”防火墙规则的例外时,仍然可以使用服务器管理器进行远程管理,但远程连接时间可能非常漫长(具体情况取决于要管理的计算机上运行的角色和功能数量),除非启用这些防火墙规则的例外。建议您启用“远程事件日志管理”防火墙规则,以防止连接延迟。
- 远程服务管理(NP-In)
| 使用 Windows PowerShell 配置服务器管理器远程管理的步骤 |
在要远程管理的计算机上,使用提升的用户权限打开 Windows PowerShell 会话。为此,请依次单击「开始」、“所有程序”、“附件”、Windows PowerShell,右键单击 Windows PowerShell 快捷方式,然后单击“以管理员身份运行”。
在 Windows PowerShell 会话中,键入以下内容,然后按 Enter。
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
键入以下内容,然后按 Enter 启用所有必需的防火墙规则例外。
Configure-SMRemoting.ps1 -force -enable
| 在 Windows Server 2008 R2 的服务器核心安装选项上配置远程管理的步骤 |
在要远程管理的计算机上,在 “管理员”组的成员登录到运行 Windows Server 2008 R2 的服务器核心安装选项的计算机上时默认打开的命令提示符下,键入以下内容,然后按 Enter。
Dism.exe /Online /Enable-Feature /FeatureName:NetFx2-ServerCore /FeatureName:MicrosoftWindowsPowerShell /FeatureName:ServerManager-PSH-Cmdlets /FeatureName:BestPractices-PSH-Cmdlets
完成安装之后,关闭所有应用程序,然后重新启动计算机。
若要验证是否安装了服务器管理器的 Windows PowerShell 和 cmdlet 以及最佳做法分析器,请尝试输入 oclist 命令,该命令会返回计算机上安装的所有 Windows 功能的列表。
操作系统完成加载之后,至少以本地“管理员”组成员的身份登录到计算机。
在登录到计算机之后打开的命令提示符窗口中,键入以下内容以打开 Windows PowerShell 会话,然后按 Enter。
powershell
在 Windows PowerShell 会话中,键入以下内容,然后按 Enter。
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
键入以下内容,然后按 Enter 启用所有必需的防火墙规则例外。
Configure-SMRemoting.ps1 -force -enable
使用服务器管理器连接到远程计算机
执行以下操作以使用服务器管理器管理远程服务器。
| 使用服务器管理器连接到另一台计算机的步骤 |
打开服务器管理器。要打开“服务器管理器”,请单击「开始」,指向“管理工具”,然后单击“服务器管理器”。
在树窗格中,右键单击“服务器管理器”,然后单击“连接到另一台计算机”。
在“连接到另一台计算机”对话框的“另一台计算机”文本框中,输入运行 Windows Server 2008 R2 的另一台计算机的名称或 IP 地址,或者浏览网络上的其他服务器。单击“确定”。
在“另一台计算机”字符串框中,可以指定 NetBIOS 名称、完全限定的域名 (FQDN) 或 IPv4/IPv6 地址。如果未指定端口号,则会使用默认端口号。下列内容是可以在“另一台计算机”文本框中指定的格式示例。
- ComputerName
- ComputerName:PortNumber
- IP 地址:n.n.n.n
- IPv6 地址:[n:n:n:n]
- 具有端口号的 IPv4 地址:n.n.n.n:PortNumber
- 具有端口号的 IPv6 地址:[n:n:n:n]:PortNumber
注意 如果管理员更改了计算机的默认端口号,则必须在 Windows 防火墙中打开非默认的端口,才能允许此端口上的传入连接。如果 WinRM 按本主题中“设置用于服务器管理器远程管理的组策略的步骤”中的描述进行了配置,则在默认情况下,端口 5985 处于打开状态。而非默认端口在打开之前,会保持阻止状态。有关如何在 Windows 防火墙中取消阻止端口的详细信息,请参阅 Windows 防火墙的帮助。有关如何配置 WinRM 的详细信息,请在命令提示符会话中键入 winrm help,然后按 Enter。
连接到远程计算机之后,请注意服务器管理器控制台中的计算机名称会发生更改。树窗格的服务器管理器节点中的计算机名称、服务器管理器的“服务器摘要”区域中的“计算机全名”字段以及控制台标题中的计算机名称都更改为您要连接到的远程计算机名称。由于服务器管理器可以将 IP 地址解析为 FQDN,因此,如果您通过使用 IP 地址来连接到远程计算机,则服务器管理器控制台会显示远程计算机的 FQDN。
注意 如果您使用 IP 地址连接到其他域中的计算机,则远程连接可能会失败,因为 DNS 服务器限制会导致无法将 IP 地址解析成主机名。如果出现这种情况,请尝试通过指定 FQDN 进行连接。
- ComputerName
| 在远程计算机上从 Windows PowerShell 会话运行服务器管理器 Get-WindowsFeature cmdlet 的步骤 |
使用提升的用户权限打开 Windows PowerShell 会话。为此,请依次单击「开始」、“所有程序”、“附件”、Windows PowerShell,右键单击 Windows PowerShell 快捷方式,然后单击“以管理员身份运行”。
键入以下内容,其中 ComputerName 是运行 Windows Server 2008 R2 的远程计算机的名称,UserName 是远程计算机上属于“管理员”组成员的用户的名称,然后按 Enter。
Enter-PSSession <ComputerName> –credential <UserName>
系统将提示您在安全的对话框中输入密码。键入密码,然后按 Enter。
在 Windows PowerShell 会话中,键入以下内容以加载服务器管理器管理单元,然后按 Enter。
Import-Module ServerManager
键入以下内容,然后按 Enter。
Get-WindowsFeature
在 Windows PowerShell 会话中显示 Get-WindowsFeature cmdlet 的结果之后,键入以下内容关闭 Windows PowerShell 会话,然后按 Enter。
Exit-PSSession
使用服务器管理器和 MMC 管理多台计算机
您还可以创建一个自定义的 Microsoft 管理控制台 (MMC),该控制台包含多个服务器管理器管理单元,每个管理单元用于管理不同的远程计算机。
| 使用服务器管理器和 MMC 管理多台计算机的步骤 |
要打开 Microsoft 管理控制台,请依次单击「开始」、“运行”,键入 mmc,然后单击“确定”。
在“文件”菜单上,单击“添加/删除管理单元”。
在“可用的管理单元”列表中,选择“服务器管理器”。
单击“添加”以将服务器管理器添加到“所选管理单元”列表中。
根据需要重复上一步骤多次,以将服务器管理器管理单元添加到 MMC 中。单击“确定”。
在新 MMC 的树窗格中,右键单击服务器管理器管理单元的顶部节点,然后单击“连接到另一台计算机”。
在“连接到另一台计算机”对话框的“另一台计算机”字符串框中输入另一台计算机的名称或 IP 地址,或者浏览网络上的其他服务器。单击“确定”。
连接到远程计算机之后,请注意树窗格服务器管理器节点中的计算机名称会发生更改。
如果 MMC 中包含其他服务器管理器管理单元,则从步骤 6 重复该过程以将其他服务器管理器管理单元连接到其他远程计算机。
在“文件”菜单上,单击“保存”以保存您的自定义 MMC。
从 Windows 7 进行远程管理
尽管运行 Windows 7 的计算机无法使用服务器管理器管理,但您可以通过安装远程服务器管理工具在运行 Windows 7 的计算机上安装服务器管理器。适用于 Windows 7 的远程服务器管理工具可以从
在运行 Windows 7 的计算机上安装远程服务器管理工具之后,就像在运行 Windows Server 2008 R2 的计算机上一样,您可以创建一个自定义的服务器管理器 MMC 以管理多台运行 Windows Server 2008 R2 的远程计算机。若要在运行 Windows 7 和远程服务器管理工具的计算机上创建自定义的服务器管理器 MMC,请参阅本主题中的使用服务器管理器和 MMC 管理多台计算机。
| 从运行 Windows 7 的计算机进行远程管理的步骤 |
在运行 Windows 7 的计算机上安装远程服务器管理工具。
从
Microsoft 网站 (可能为英文网页)下载远程服务器管理工具程序包,然后按照“下载中心”页上提供的说明安装远程服务器管理工具。若要在连接到远程服务器的服务器管理器控制台中使用特定于角色或特定于功能的工具或管理单元,必须使用远程服务器管理工具在源服务器上安装这些工具。
安装远程服务器管理工具之后,打开服务器管理器。要打开“服务器管理器”,请单击「开始」,指向“管理工具”,然后单击“服务器管理器”。
在树窗格中,右键单击“服务器管理器”,然后单击“连接到另一台计算机”。
在“连接到另一台计算机”对话框的“另一台计算机”字符串框中输入运行 Windows Server 2008 R2 的另一台计算机的名称或 IP 地址,或者浏览网络上的其他服务器。单击“确定”。
连接到远程计算机之后,请注意服务器管理器控制台中会显示计算机名称。您可以在树窗格的服务器管理器节点、服务器管理器的“服务器摘要”区域中的“计算机全名”字段以及控制台标题中的计算机名称中看到您要连接到的远程计算机名称。