V systému Windows Server® 2008 R2 lze pomocí Správce serveru provádět některé úlohy správy ve vzdálených počítačích. Chcete-li počítač vzdáleně spravovat pomocí Správce serveru, připojte jej ke vzdálenému počítači stejným způsobem, jako připojujete konzoly MMC (Microsoft Management Console) v případě jiných technologií.
Podporované scénáře vzdálené správy
Následující scénáře vzdálené správy jsou podporovány Správcem serveru v systému Windows Server 2008 R2.
- Server-server Správce serveru lze při úplné instalaci systému Windows Server 2008 R2 použít ke správě rolí a funkcí nainstalovaných na jiném serveru s uvedeným systémem.
- Server-jádro serveru Správce serveru lze při úplné instalaci systému Windows Server 2008 R2 použít ke správě rolí a funkcí nainstalovaných v instalaci jádra serveru uvedeného systému.
- Klient-server Správce serveru je nainstalován jako součást Nástrojů pro vzdálenou správu serveru v počítači se systémem Windows® 7. Tuto funkci lze použít ke správě rolí a funkcí v počítači s úplnou instalací nebo instalací jádra serveru systému Windows Server 2008 R2.
Zdrojový počítač | Ke vzdálenému počítači | Doména C (přidaná jako důvěryhodný hostitel) | |||
---|---|---|---|---|---|
Doména A | Doména B | Pracovní skupina | |||
Doména A | √ | ||||
Doména B | √ | ||||
Pracovní skupina | √ | √ |
Poznámky | |
|
Požadavky na zabezpečení vzdálené správy pomocí Správce serveru
Důležité informace | |
V počítači, který chcete spravovat pomocí Správce serveru, musíte být členem skupiny Administrators. |
Vzhledem k tomu, že je funkce vzdálené správy pomocí Správce serveru zajišťována technologií Prostředí Windows PowerShell, vztahují se na ni požadavky na zabezpečení prostředí Prostředí Windows PowerShell. Uživatel se zlými úmysly se může pokusit neoprávněně získat přihlašovací pověření zadané správcem přes vzdálené připojení. Obecně se však jedná o nízké riziko. Mezi další možné hrozby, které představují velmi nízké riziko, patří změna knihoven DLL uživatelem se zlými úmysly nebo pokusy o získání citlivých dat či určitelných osobních údajů ze souboru protokolu Správce serveru. Uživatelé s přístupovými právy k místnímu počítači mohou číst soubory protokolu Správce serveru. Ty však neobsahují citlivé osobní údaje ani informace o účtu, jako například hesla.
Úlohy, které lze provádět na vzdáleném serveru pomocí Správce serveru
Ve vzdáleném počítači lze pomocí Správce serveru provádět následující úlohy.
- Zobrazení stavu automatických aktualizací systému Windows.
- Spuštění kontrol rolí Analyzátorem osvědčených postupů. Další informace naleznete v tématu Spouštění a filtrování kontrol v Analyzátoru osvědčených postupů.
- Zobrazení nebo změna stavu programu Zlepšování systému Windows na základě zkušeností uživatelů (CEIP).
- Konfigurace služby Zasílání zpráv o chybách systému Windows.
- Zobrazení nebo změna informací o bráně Windows Firewall.
- Zobrazení a správa rolí z domovských stránek rolí.
Poznámka Chcete-li použít nástroje nebo moduly snap-in určené pro konkrétní roli či funkci v konzole Správce serveru, která je připojena ke vzdálenému serveru, je nutné uvedené nástroje nainstalovat ve zdrojovém počítači pomocí Nástrojů pro vzdálenou správu serveru.
- Zobrazení nastavení konfigurace rozšířeného zabezpečení aplikace Internet Explorer.
- Správa služeb z domovské stránky role.
Úlohy, které nelze provádět vzdáleně pomocí Správce serveru
Z důvodu minimalizace rizik zabezpečení serverů nelze ve vzdálené relaci Správce serveru provádět následující úlohy.
- Přidání nebo odebrání rolí, služeb rolí či funkcí
- Konfigurace nastavení vzdálené plochy
- Konfigurace vlastností systému
- Hledání nových rolí
- Změna nastavení automatických aktualizací systému Windows
- Změna nastavení sítě
- Změna názvu počítače nebo členství v doméně
- Změna nastavení konfigurace rozšířeného zabezpečení aplikace Internet Explorer
- Pokud zdrojový počítač představuje server se systémem Windows Server 2008 R2, spusťte Průvodce konfigurací zabezpečení.
Povolení a zakázání vzdálené správy v systému Windows Server 2008 R2
Než se správci budou moci prostřednictvím Správce serveru vzdáleně připojit k počítači se systémem Windows Server 2008 R2, je nejprve nutné z důvodu ochrany serverů před neoprávněným přístupem povolit v cílovém počítači vzdálenou správu pomocí Správce serveru.
Před konfigurací serveru na vzdálenou správu pomocí Správce serveru je třeba povolit několik možností nastavení zásad skupiny, které řídí výjimky brány Windows Firewall. Postupujte podle pokynů v části Nastavení zásad skupiny pro vzdálenou správu pomocí Správce serveru a ujistěte se, že žádné nastavení zásad skupiny nepřepisuje konfiguraci serveru pro vzdálenou správu.
Poznámka | |
Postupy uvedené v této části lze provést pouze v počítačích se systémem Windows Server 2008 R2. Vzdálenou správu nelze povolit ani zakázat v počítači se systémem Windows 7, protože tento systém nelze spravovat pomocí Správce serveru. |
- Nastavení zásad skupiny pro vzdálenou správu pomocí Správce serveru
- Konfigurace vzdálené správy pomocí Správce serveru s využitím rozhraní systému Windows
- Konfigurace vzdálené správy pomocí Správce serveru s využitím prostředí Windows PowerShell
Nastavení zásad skupiny pro vzdálenou správu pomocí Správce serveru |
V počítači, který chcete vzdáleně spravovat, spusťte Editor místních zásad skupiny. Klikněte na tlačítko Start a na příkaz Spustit, do pole Otevřít zadejte hodnotu gpedit.msc a stiskněte klávesu ENTER.
Rozbalte položky Konfigurace počítače, Šablony pro správu, Součásti systému Windows, Vzdálená správa systému Windows a vyberte možnost Služba WinRM.
V podokně podrobností dvakrát klikněte na položku Povolit automatickou konfiguraci naslouchacích procesů.
Klikněte na možnost Povoleno a na tlačítko OK.
V podokně se stromem rozbalte položky Nastavení systému Windows, Nastavení zabezpečení, Brána Windows Firewall s pokročilým zabezpečením a Brána Windows Firewall s pokročilým zabezpečením.
Pravým tlačítkem myši klikněte na položku Příchozí pravidla a klikněte na příkaz Nové pravidlo.
V Průvodci vytvořením nového příchozího pravidla vyberte na stránce Typ pravidla možnost Předdefinováno.
V rozevíracím seznamu Předdefinováno vyberte položku Vzdálená správa protokolu událostí. Klikněte na tlačítko Další.
Na stránce Předdefinovaná pravidla přijměte nová pravidla kliknutím na tlačítko Další.
Na stránce Akce vyberte možnost Povolit připojení a klikněte na tlačítko Dokončit. Možnost Povolit připojení je nastavena jako výchozí.
Zopakováním kroků 5 až 10 můžete vytvořit nová příchozí pravidla pro následující dva další předdefinované typy pravidel.
- Vzdálená správa služeb
- Vzdálená správa brány Windows Firewall
- Vzdálená správa služeb
Ukončete Editor místních zásad skupiny.
Konfigurace vzdálené správy pomocí Správce serveru s využitím rozhraní systému Windows |
V počítači, který chcete vzdáleně spravovat, spusťte Správce serveru. Chcete-li spustit Správce serveru, klikněte na tlačítko Start, přejděte na položku Nástroje pro správu a pak klikněte na příkaz Správce serveru.
V oblasti Souhrn serverů na domovské stránce Správce serveru klikněte na možnost Konfigurovat vzdálenou správu pomocí Správce serveru.
Proveďte jednu z následujících akcí.
- Chcete-li povolit vzdálenou správu tohoto počítače pomocí Správce serveru, zaškrtněte políčko Povolit vzdálenou správu tohoto serveru z jiných počítačů.
- Chcete-li zakázat vzdálenou správu tohoto počítače pomocí Správce serveru, zrušte zaškrtnutí políčka Povolit vzdálenou správu tohoto serveru z jiných počítačů.
- Chcete-li povolit vzdálenou správu, přestože nemůžete změnit nastavení, postupujte podle kroků v části Nastavení zásad skupiny pro vzdálenou správu pomocí Správce serveru, a pak pokračujte dalším krokem.
- Chcete-li povolit vzdálenou správu tohoto počítače pomocí Správce serveru, zaškrtněte políčko Povolit vzdálenou správu tohoto serveru z jiných počítačů.
Klikněte na tlačítko OK.
Ujistěte se, že jsou povoleny výjimky z následujících pravidel brány firewall a nejsou zakázány nastavením zásad skupiny.
- Vzdálená správa služeb (NP-In)
- Vzdálená správa služeb (RPC)
- Vzdálená správa služeb (RPC-EPMAP)
- Vzdálená správa protokolu událostí (NP-In)
- Vzdálená správa protokolu událostí (RPC)
- Vzdálená správa protokolu událostí (RPC-EPMAP)
- Vzdálená správa brány Windows Firewall (RPC)
- Vzdálená správa brány Windows Firewall (RPC-EPMAP)
Postupujte následujícím způsobem.
Spusťte modul snap-in Brána Windows Firewall s pokročilým zabezpečením pomocí jednoho z následujících postupů:
V oblasti Informace o zabezpečení hlavního okna Správce serveru klikněte na možnost Přejít k bráně Windows Firewall.
V podokně se stromem Správce serveru rozbalte položku Konfigurace a klikněte na možnost Brána Windows Firewall s pokročilým zabezpečením.
Klikněte na tlačítko Start, přejděte na příkaz Nástroje pro správu a klikněte na položku Brána Windows Firewall s pokročilým zabezpečením.
V oblasti Začínáme podokna podrobností Brána Windows Firewall s pokročilým zabezpečením klikněte na položku Příchozí pravidla.
V seznamu pravidel vyhledejte pravidla uvedená v tomto kroku.
Pokud se ve sloupci Povoleno u některého z uvedených pravidel zobrazuje hodnota Ne, klikněte dvakrát na dané pravidlo a otevřete související dialogové okno Vlastnosti.
Na kartě Obecné dialogového okna Vlastnosti daného pravidla vyberte možnost Povoleno. Klikněte na tlačítko OK.
Poznámka Vzdálená správa pomocí Správce serveru je možná i v případě, že jsou výjimky z pravidel brány firewall pro funkci Vzdálená správa protokolu událostí zakázány. Pokud však nejsou uvedené výjimky povoleny, může být vzdálené připojení velmi pomalé, a to v závislosti na počtu rolí a funkcí spuštěných v počítači, který chcete spravovat. Jestliže chcete předejít zpoždění při připojení, doporučujeme pravidla brány firewall pro funkci Vzdálená správa protokolu událostí povolit.
- Vzdálená správa služeb (NP-In)
Konfigurace vzdálené správy pomocí Správce serveru s využitím prostředí Windows PowerShell |
V počítači, který chcete vzdáleně spravovat, spusťte relaci prostředí Prostředí Windows PowerShell se zvýšenými uživatelskými právy. Za tímto účelem klikněte na tlačítko Start, klikněte na příkaz Všechny programy, klikněte na položku Příslušenství, klikněte na položku Prostředí Windows PowerShell, klikněte pravým tlačítkem myši na zástupce Prostředí Windows PowerShell a poté klikněte na příkaz Spustit jako správce.
V relaci prostředí Prostředí Windows PowerShell zadejte následující příkaz a stiskněte klávesu ENTER.
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
Zadáním následujícího příkazu a stisknutím klávesy ENTER povolte všechny vyžadované výjimky z pravidel brány firewall.
Configure-SMRemoting.ps1 -force -enable
Konfigurace vzdálené správy v instalaci jádra serveru systému Windows Server 2008 R2 |
V počítači, který chcete vzdáleně spravovat, zadejte na příkazovém řádku (otevřeném ve výchozím nastavení při přihlášení člena skupiny Administrators k počítači s možností instalace jádra serveru systému Windows Server 2008 R2) následující příkaz a stiskněte klávesu ENTER.
Dism.exe /Online /Enable-Feature /FeatureName:NetFx2-ServerCore /FeatureName:MicrosoftWindowsPowerShell /FeatureName:ServerManager-PSH-Cmdlets /FeatureName:BestPractices-PSH-Cmdlets
Po dokončení instalace ukončete všechny aplikace a restartujte počítač.
Jestliže chcete ověřit, zda je nainstalováno prostředí Prostředí Windows PowerShell, rutiny Správce serveru a Analyzátor osvědčených postupů, zadejte příkaz oclist, který vrátí seznam všech funkcí systému Windows nainstalovaných v počítači.
Po zavedení operačního systému se k počítači přihlaste minimálně s oprávněním člena místní skupiny Administrators.
V okně příkazového řádku, které se otevře po přihlášení k počítači, zadejte následující příkaz pro spuštění relace prostředí Prostředí Windows PowerShell a stiskněte klávesu ENTER.
powershell
V relaci prostředí Prostředí Windows PowerShell zadejte následující příkaz a stiskněte klávesu ENTER.
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
Zadáním následujícího příkazu a stisknutím klávesy ENTER povolte všechny vyžadované výjimky z pravidel brány firewall.
Configure-SMRemoting.ps1 -force -enable
Připojení k vzdáleným počítačům pomocí Správce serveru
Chcete-li spravovat server pomocí Správce serveru, proveďte následující kroky.
Připojení k jinému počítači pomocí Správce serveru |
Spusťte Správce serveru. Chcete-li spustit Správce serveru, klikněte na tlačítko Start, přejděte na položku Nástroje pro správu a pak klikněte na příkaz Správce serveru.
V podokně se stromem klikněte pravým tlačítkem na položku Správce serveru a klikněte na příkaz Připojit k jinému počítači.
V dialogovém okně Připojit k jinému počítači zadejte do textového pole Jiný počítač název či IP adresu jiného počítače se systémem Windows Server 2008 R2 nebo vyhledejte jiný server v síti. Klikněte na tlačítko OK.
V textovém poli Jiný počítač je možné zadat název NetBIOS, plně kvalifikovaný název domény nebo IPv4 či IPv6 adresu. Jestliže není zadáno žádné číslo portu, bude použito výchozí. Následují příklady formátů, které lze zadat do textového pole Jiný počítač.
- ComputerName
- ComputerName:PortNumber
- IP adresa: n.n.n.n
- IPv6 adresa: [n:n:n:n]
- IPv4 adresa s číslem portu: n.n.n.n:PortNumber
- IPv6 adresa s číslem portu: [n:n:n:n]:PortNumber
Poznámka Pokud správce výchozí číslo portu počítače změnil, je nutné daný nevýchozí port otevřít v bráně Windows Firewall, aby u něj byla povolena příchozí připojení. Port 5985 je otevřen ve výchozím nastavení v případě, že je nakonfigurována služba Vzdálená správa systému Windows způsobem popsaným v tomto tématu v části Nastavení zásad skupiny pro vzdálenou správu pomocí Správce serveru. Nevýchozí porty zůstávají zablokovány, dokud nejsou otevřeny. Další informace o postupu odblokování portu v bráně Windows Firewall získáte v nápovědě k uvedené bráně. Chcete-li získat další informace o postupu konfigurace služby Vzdálená správa systému Windows v relaci příkazového řádku, zadejte příkaz winrm help a stiskněte klávesu ENTER.
Po připojení ke vzdálenému počítači si všimněte, že se v konzole Správce serveru změní název počítače. Název počítače v uzlu Správce serveru podokna se stromem, pole Úplný název počítače v oblasti Souhrn serverů Správce serveru a název počítače v záhlaví konzoly se změní na název vzdáleného počítače, ke kterému jste připojeni. Vzhledem k tomu, že Správce serveru překládá IP adresy na plně kvalifikované názvy domény, bude konzola Správce serveru v případě připojení ke vzdálenému počítači prostřednictvím IP adresy zobrazovat plně kvalifikovaný název domény vzdáleného počítače.
Poznámka Pokud se připojujete k počítači v odlišné doméně pomocí IP adresy, může dojít k chybě vzdáleného připojení, protože omezení serveru DNS mohou znemožnit překlad IP adresy na název hostitele. Jestliže k tomu dojde, připojte se tak, že zadáte plně kvalifikovaný název domény.
- ComputerName
Spuštění rutiny Get-WindowsFeature Správce serveru ve vzdáleném počítači z relace prostředí Windows PowerShell |
Spusťte relaci prostředí Prostředí Windows PowerShell se zvýšenými uživatelskými právy. Za tímto účelem klikněte na tlačítko Start, klikněte na příkaz Všechny programy, klikněte na položku Příslušenství, klikněte na položku Prostředí Windows PowerShell, klikněte pravým tlačítkem myši na zástupce Prostředí Windows PowerShell a poté klikněte na příkaz Spustit jako správce.
Zadejte následující příkaz, kde parametr ComputerName představuje název vzdáleného počítače se systémem Windows Server 2008 R2 a parametr UserName zastupuje jméno uživatele, který je členem skupiny Administrators ve vzdáleném počítači, a stiskněte klávesu ENTER.
Enter-PSSession <Název_počítače> -credential <Uživatelské_jméno>
Budete vyzváni k zadání hesla do zabezpečeného dialogového okna. Zadejte své heslo a stiskněte klávesu ENTER.
V relaci prostředí Prostředí Windows PowerShell zadejte následující příkaz pro zavedení modulu snap-in Správce serveru a stiskněte klávesu ENTER.
Import-Module ServerManager
Zadejte následující příkaz a stiskněte klávesu ENTER.
Get-WindowsFeature
Po zobrazení výsledků rutiny Get-WindowsFeature v relaci prostředí Prostředí Windows PowerShell zadejte následující příkaz pro ukončení relace prostředí Prostředí Windows PowerShell a stiskněte klávesu ENTER.
Exit-PSSession
Správa více počítačů pomocí Správce serveru a konzoly MMC
Můžete také vytvořit vlastní konzolu MMC (Microsoft Management Console), která bude obsahovat několik modulů snap-in Správce serveru. Každý z nich bude určen ke správě jiného vzdáleného počítače.
Správa více počítačů pomocí Správce serveru a konzoly MMC |
Pokud chcete spustit konzolu MMC, klikněte na tlačítko Start a na příkaz Spustit, zadejte příkaz mmc a klikněte na tlačítko OK.
V nabídce Soubor klikněte na příkaz Přidat nebo odebrat modul snap-in.
V seznamu Moduly snap-in k dispozici vyberte položku Správce serveru.
Kliknutím na tlačítko Přidat přidejte Správce serveru do seznamu Vybrané moduly snap-in.
Podle potřeby zopakujte předchozí krok a přidejte další moduly snap-in Správce serveru do konzoly MMC. Klikněte na tlačítko OK.
V podokně se stromem nové konzoly MMC klikněte pravým tlačítkem na nejvyšší uzel modulu snap-in Správce serveru a klikněte na příkaz Připojit k jinému počítači.
V dialogovém okně Připojit k jinému počítači zadejte do textového pole Jiný počítač název či IP adresu jiného počítače nebo vyhledejte jiný server v síti. Klikněte na tlačítko OK.
Po připojení ke vzdálenému počítači si všimněte, že se v uzlu Správce serveru podokna se stromem změní název počítače.
Pokud konzola MMC obsahuje další moduly snap-in Správce serveru, zopakujte tento postup od kroku 6 a přidejte další moduly snap-in Správce serveru pro ostatní vzdálené počítače.
V nabídce Soubor klikněte na tlačítko Uložit a uložte vlastní konzolu MMC.
Vzdálená správa ze systému Windows 7
Přestože počítače se systémem Windows 7 nelze spravovat pomocí Správce serveru, je možné jej do těchto počítačů nainstalovat tak, že nainstalujete Nástroje pro vzdálenou správu serveru. Nástroje pro vzdálenou správu serveru pro systém Windows 7 jsou k dispozici ke stažení na
Po instalaci Nástrojů pro vzdálenou správu serveru do počítače se systémem Windows 7 nebo se systémem Windows Server 2008 R2 je možné vytvořit vlastní konzolu MMC Správce serveru zajišťující správu více vzdálených počítačů se systémem Windows Server 2008 R2. Informace o vytvoření vlastní konzoly MMC Správce serveru v počítači se systémem Windows 7 a Nástroji pro vzdálenou správu serveru naleznete v části Správa více počítačů pomocí Správce serveru a konzoly MMC v tomto tématu.
Vzdálená správa z počítače se systémem Windows 7 |
Nainstalujte Nástroje pro vzdálenou správu serveru do počítače se systémem Windows 7.
Stáhněte balíček Nástroje pro vzdálenou správu serveru z
webu společnosti Microsoft a podle pokynů na webu služby Stažení softwaru jej nainstalujte.Chcete-li použít nástroje nebo moduly snap-in určené pro konkrétní roli či funkci v konzole Správce serveru, která je připojena ke vzdálenému serveru, je nutné uvedené nástroje nainstalovat ve zdrojovém počítači pomocí Nástrojů pro vzdálenou správu serveru.
Po instalaci Nástrojů pro vzdálenou správu serveru spusťte Správce serveru. Chcete-li spustit Správce serveru, klikněte na tlačítko Start, přejděte na položku Nástroje pro správu a pak klikněte na příkaz Správce serveru.
V podokně se stromem klikněte pravým tlačítkem na položku Správce serveru a klikněte na příkaz Připojit k jinému počítači.
V dialogovém okně Připojit k jinému počítači zadejte do textového pole Jiný počítač název či IP adresu počítače se systémem Windows Server 2008 R2 nebo vyhledejte jiný server v síti. Klikněte na tlačítko OK.
Po připojení ke vzdálenému počítači si všimněte, že se v konzole Správce serveru zobrazuje jeho název. Název vzdáleného počítače, ke kterému jste připojeni, se zobrazuje v uzlu Správce serveru podokna se stromem, v poli Úplný název počítače v oblasti Souhrn serverů Správce serveru a v záhlaví konzoly.