阅读量:0
目录
1. 远程管理概述
服务器远程管理是一种技术,它允许IT管理员在不同的地点对服务器进行配置、监控和维护,无需物理接触到服务器本身。这种能力对于管理分布在多个位置的服务器极为重要,尤其是在当今全球化的云计算环境中。
2. 主要远程管理工具和技术
RDP (远程桌面协议)
RDP是由微软开发的一种协议,允许用户通过图形界面连接到远程Windows服务器。这是Windows环境中常用的远程管理工具之一。
- 主要特点:
- 图形界面:提供了丰富的图形用户界面,允许用户以图形方式与远程系统互动。
- 端到端加密:RDP会话由端到端加密,增加了数据传输的安全性。
- 设备重定向:支持重定向本地设备如打印机、剪贴板等到远程会话中。
- 广泛的兼容性:虽主要用于Windows,但有多个第三方客户端支持在其他操作系统如Linux和macOS上使用RDP。
SSH (安全壳)
SSH是一种加密的网络协议,用于在不安全的网络上安全地访问远程计算机。SSH广泛用于Unix和Linux系统的远程管理,但也可用于Windows。
- 主要特点:
- 加密通信:所有通过SSH的数据传输都经过加密,保护数据免受窃听和其他恶意攻击。
- 命令行接口:SSH通常使用命令行接口,适合需要执行命令或脚本的场景。
- 端口转发:支持端口转发,允许其他网络服务通过安全的SSH连接进行安全传输。
- 密钥认证:支持使用密钥对进行认证,比传统密码认证更安全。
Telnet
Telnet是一种较老的网络协议,用于从远程位置通过命令行界面访问另一台计算机。尽管它在早期广泛使用,但由于其缺乏安全性(不提供数据加密),现在通常被更安全的协议如SSH所替代。
- 主要特点:
- 易于使用:用户可以通过简单的命令行界面进行操作。
- 缺乏加密:所有通过Telnet发送的数据(包括敏感信息如密码)都是未加密的,容易被截获。
- 主要用于教育和测试:在安全要求不高的内部网络或教育环境中仍然使用。
VNC (虚拟网络计算)
VNC允许用户远程控制另一台计算机的屏幕。它是一个跨平台的解决方案,支持Windows、Mac OS、Linux等多种操作系统。
- 主要特点:
- 跨平台支持:VNC客户端和服务器可在多种操作系统上运行,如Windows、Linux和macOS。
- 简单直接:提供直接的屏幕共享功能,允许用户实时看到和控制远程桌面。
- 无需专用软件:许多操作系统已内置支持VNC,或者可以通过安装第三方软件获得支持。
- 不依赖网络速度:虽受网络质量影响,但优化后可在较慢的连接上使用。
管理控制台
如HP的iLO(Integrated Lights-Out)、Dell的iDRAC(Integrated Dell Remote Access Controller)和Supermicro的IPMI(Intelligent Platform Management Interface)等。这些是硬件级的解决方案,允许管理员即使在操作系统未启动的情况下也能管理服务器。
3. 远程管理的关键特性
- 图形界面:提供了丰富的图形用户界面,允许用户以图形方式与远程系统互动。
- 端到端加密:RDP会话由端到端加密,增加了数据传输的安全性。
- 设备重定向:支持重定向本地设备如打印机、剪贴板等到远程会话中。
- 广泛的兼容性:虽主要用于Windows,但有多个第三方客户端支持在其他操作系统如Linux和macOS上使用RDP。
- 加密通信:所有通过SSH的数据传输都经过加密,保护数据免受窃听和其他恶意攻击。
- 命令行接口:SSH通常使用命令行接口,适合需要执行命令或脚本的场景。
- 端口转发:支持端口转发,允许其他网络服务通过安全的SSH连接进行安全传输。
- 密钥认证:支持使用密钥对进行认证,比传统密码认证更安全。
- 易于使用:用户可以通过简单的命令行界面进行操作。
- 缺乏加密:所有通过Telnet发送的数据(包括敏感信息如密码)都是未加密的,容易被截获。
- 主要用于教育和测试:在安全要求不高的内部网络或教育环境中仍然使用。
- 跨平台支持:VNC客户端和服务器可在多种操作系统上运行,如Windows、Linux和macOS。
- 简单直接:提供直接的屏幕共享功能,允许用户实时看到和控制远程桌面。
- 无需专用软件:许多操作系统已内置支持VNC,或者可以通过安装第三方软件获得支持。
- 不依赖网络速度:虽受网络质量影响,但优化后可在较慢的连接上使用。
- 硬件级管理:即使在操作系统未启动的情况下也能管理服务器,适用于紧急情况下的故障排除。
4. 协议分析
RDP (远程桌面协议)
- 主要用途:提供远程图形界面访问Windows系统。
- 安全性:提供端到端加密,有多种安全特性如NLA。
- 数据传输方式:图形界面数据传输。
- 端口号:TCP和UDP端口3389。
- 兼容性:主要在Windows中使用,有限的第三方跨平台支持。
- 性能:适用于高带宽环境,因为需要传输图形数据。
- 标准化:由微软开发,部分开放规范。
SSH (安全壳)
- 主要用途:安全的远程命令行访问,广泛用于系统管理。
- 安全性:高级加密支持,包括公钥和对称加密。
- 数据传输方式:命令行文本数据传输,也支持文件传输和端口转发。
- 端口号:TCP端口22。
- 兼容性:跨平台支持,适用于几乎所有操作系统。
- 性能:性能优良,加密操作会略微影响性能。
- 标准化:由IETF定义,有多个RFC文档描述。
Telnet
- 主要用途:文本基的远程终端连接,主要用于命令行访问。
- 安全性:不提供任何加密,数据以明文形式传输。
- 数据传输方式:命令行文本数据传输。
- 端口号:TCP端口23。
- 兼容性:跨平台支持,适用于多种操作系统。
- 性能:性能较好,适用于低带宽环境。
- 标准化:由IETF定义,有多个RFC文档描述。
5. 具体实验步骤
实验一:telnet服务器(2019不支持)
安装Telnet服务
- 打开服务器管理器,点击工具,然后选择服务。
- 在服务管理器中找到Telnet服务,右键点击它,选择启动。
- 设置Telnet服务为自动启动(可选):右键点击Telnet服务,选择属性,在启动类型下拉菜单中选择自动,然后点击确定。
启动并配置Telnet服务
- 允许Telnet通过防火墙:打开控制面板,进入系统和安全> Windows Defender防火墙。
- 点击高级设置,进入防火墙高级设置。
- 在左侧选择入站规则,然后在右侧点击新建规则。
- 选择端口规则类型,然后点击下一步。
- 选择TCP,在特定本地端口中输入23(Telnet默认使用端口23),点击下一步。
- 选择允许连接,点击下一步。
- 根据需要选择该规则适用的网络类型(域、专用、公共),然后点击下一步。
- 给规则命名,如“允许Telnet”,然后点击完成。
测试Telnet连接
- 使用Telnet客户端连接到服务器:在另一台计算机上(可以是Windows或Linux),打开命令提示符(或终端)。
- 输入以下命令以测试连接到服务器:
telnet [服务器IP地址] 23
- 如果Telnet服务器工作正常,您应该会看到Telnet提示符,可以输入用户名和密码进行登录。
实验二:Windows server开启远程桌面服务RDP
添加远程桌面服务
- 打开“服务器管理器”,点击“添加角色和功能”,前面一直都是点击下一步,这步要选上面的“基于角色或基于功能的安装”,然后下一步、下一步。
- 在选择安装的服务器角色这步,勾选下面的“远程桌面服务”,然后就是一直下一步。
- 在这里的时候勾上“远程桌面会话主机”和“远程桌面授权”两个(勾选时弹出的窗口默认直接点击确定即可),下一步。
- 最后,确认信息,点击安装。
设置远程桌面服务
- 安装完成后,需要重启才能完成安装,手动将机器重启一次即可。
- 首先win+R打开运行,输入gpedit.msc,打开组策略编辑器,定位展开“计算机配置->管理模板->Windows组件->远程桌面服务”,在远程桌面会话主机里面,打开“授权”。
- 在右边的设置项中双击第一个,为此计算机设置指定的远程桌面许可证服务器,勾选“已启用”,然后在下面输入许可证服务器的地址,也就是本机物理网卡实际的IP地址,如果有多个网卡IP也可以输入127.0.0.1代替,然后点应用,确定。
- 然后双击打开第三个配置项,设置远程桌面授权模式,勾选“已启用”,在选项参数中,切换为“每用户”,然后应用、确定。
- 打开之前安装的“远程桌面服务->RD授权诊断程序”,这个程序是用来检测远程桌面服务配置是否正确的,看到如下的内容,说明整个远程授权功能已经配置好了。
添加远程的用户并授予远程权限
- 对于多用户的远程连接,还需添加Windows账户用户用来支持远程登录到这台服务器。一般情况下,一个Windows账户只能被使用一次来登录到一台机器中,如果重复使用该账户登录会把前面已经远程登录进来的挤掉线。
- 系统初始只有一个administrator管理员账户,肯定无法多个人来共享使用,因此还需要添加多个其他Windows用户以支持不同的人在不同的地方远程登录到这台服务器。
- 用户创建完成之后,需要将这些用户添加到允许远程访问的用户组,否则在远程的时候会提示该用户未被允许远程连接。在控制面板-系统和安全-允许远程访问,打开系统属性窗口,点击“选择用户”-“添加”-“高级”-“立即查找”。
测试登录
- 首先要保证是可以ping通服务器的,或者设置服务器的防火墙规则,开放出远程桌面连接的端口3389。
- 此部分内容不再列举出来。运行,输入mstsc回车,打开远程桌面连接窗口,输入远程服务器的IP地址和登录账户及密码。
注意事项
- 解决方法:
- 如果提示“由于没有远程桌面授权服务器提供许可证,远程会话被中断,请跟服务器管理员联系。”
- Win+R运行,输入regedit回车,打开注册表编辑器,在里面找到“计算机/HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM”,这里面会多出来的一个文件夹“GracePeriod”,把整个文件夹全部删掉(如果提示出错需要修改文件夹权限再删除),然后重启服务器即可。
- 如果提示“要求的函数不受支持运行-”:
- Win+R运行,输入gpedit.msc回车,打开组策略编辑器,进入“计算机配置-管理模板-系统-凭据分配”,对“加密数据修正”这项进行启用,并将保护级别设置为“易受攻击”,最后更新下组策略即可(在cmd窗口里面输入命令 gpupdate/force回车执行)。
- 关于授权(扩展):
- 远程桌面服务需要单独的授权才可以长久提供被远程的功能,否则120天就自动过期无法远程。重启后左下角会提示119天后远程桌面服务会到期,需要添加授权。在“控制面板-系统和安全-管理工具”中找到远程桌面服务文件夹,打开里面的“远程桌面授权管理器”显示未激活状态。
- 出现激活向导,下一步,然后出现激活的连接方法,这里需要手动改一下连接方法为“web浏览器”,然后下一步。
- 出现如下界面,将微软官方提供的远程桌面授权激活网页打开, 服务器没网的可以使用另一台电脑操作,网址为:https://activate.microsoft.com。
- 打开的原本网页是英文版,可以选择语言为简体中文点击红色的go即可切换;
- 将激活向导里面的“产品ID”手动复制填入到网页中的“产品ID”部分,然后公司和国家随便填,下一步。
- 确认信息,直接下一步。
- 回到之前的服务器激活向导窗口,然后输入到下面的许可证服务器ID一栏,下一步。
- 再次使用默认配置(注意勾选立即启动许可证安装向导),点击下一步,进入到许可证安装,再下一步。
- 到这步,同样地将中间位置的许可证服务器ID复制,回到刚才的网页,点“是”进入许可证安装,这里需要手动更改许可证程序下拉选择为“企业协议”,下一步。
- 首先选择产品类型,这里推荐下拉选择为“Windows Server 2012远程桌面每用户客户端访问许可证”,数量根据需要进行填写,也就是这台服务器所允许的最大远程连接数,一般50、100都足够了。然后输入企业协议号码,推荐填写6565792,还有其他备选4954438、6879321或5296992,下一步。
- 信息确认,直接下一步。
- 回到这边的激活向导,填入到许可证秘钥包ID,下一步。
- 显示如图就已完成远程桌面服务的授权。
- 如果提示“由于没有远程桌面授权服务器提供许可证,远程会话被中断,请跟服务器管理员联系。”
6. 安全性与注意事项
在进行服务器远程管理时,安全性是至关重要的。以下是一些需要注意的方面:
- 防火墙规则:确保服务器的防火墙规则正确配置,只允许必要的端口和服务对外开放。
- 账户管理:定期检查和更新账户信息,避免使用弱密码,并确保只有授权人员能够访问服务器。
- 日志监控:开启并定期检查系统日志,监控任何异常活动。
- 软件更新:保持服务器操作系统和所有远程管理工具的最新状态,以利用最新的安全补丁。
- 多因素认证:尽可能启用多因素认证(如短信验证码、硬件令牌等),以增强安全性。
- 加密通信:使用加密的通信协议(如SSH、RDP等)来保护数据传输的安全。
- 端口转发:如果使用端口转发功能,确保理解其潜在的安全风险,并正确配置。