Zdalna administracja jest tym dla administratora, czym dla każdego z nas pilot do telewizora. Niby nic, ale spróbuj przeżyć weekend bez pilota. Jak skonfigurować komputery do zdalnego zarządzania? Nie jest to wcale takie skomplikowane, w dodatku nie musi być kosztowne.
Klient VNC.
Jesteś zawalony pracą. Siedzisz skupiony nad jakimś bardzo ważnym projektem. Nagle dzwoni telefon i użytkownik żąda od Ciebie informacji o tym, jak krok po kroku założyć konto pocztowe. Gotujesz się cały, ale cierpliwie próbujesz wyjaśnić, co gdzie wpisać.
Nic z tego, kwadrans tłumaczenia nie daje rezultatów. Musisz wstać, iść i sam wszystko skonfigurować. Jeśli coś podobnego zdarzyło Ci się choć raz, to wiesz, jakim błogosławieństwem dla każdego administratora sieci są programy pozwalające na zdalny dostęp do komputerów użytkowników.
Co i dla kogo?
Producenci oprogramowania wiedzą, jak złożone problemy muszą na co dzień rozwiązywać administratorzy sieci, dlatego oferują wiele programów pozwalających na zdalne zarządzanie. Firmy takie jak Microsoft również starają się wprowadzić do swoich systemów rozwiązania, które pozwolą na wykonanie pewnych czynności zdalnie.
Przykładem może być Windows 2000 lub XP, w które wbudowane zostało wiele funkcji usprawniających działania administracyjne. W sieci z kontrolerem domeny opartym na W2K można skorzystać z takich funkcji jak: dystrybucja oprogramowania przez Założenia grup, zarządzanie z wykorzystaniem Microsoft Managment Console itd. Niestety, rozwiązania te mają pewne ograniczenia. Założenia grup wbudowane w Windows 2000 Server wykazują pełne możliwości wtedy, gdy sieć składa się z klientów pracujących pod kontrolą Windows 2000 Professional. Windows XP pozwala na zdalny dostęp do systemu przez sieć lokalną lub Internet, ale może wówczas zostać wylogowany aktualnie pracujący klient. Konfiguracja zdalnego pulpitu XP jest opisana w dalszej części tekstu.
Najczęściej administrator ma do czynienia w sieci z wieloma systemami operacyjnymi i wówczas musi korzystać z zewnętrznych pakietów oprogramowania. Do dużych firm, w których pracują setki komputerów, przeznaczone są aplikacje zajmujące się ewidencjonowaniem sprzętu, pomiarem wykorzystania oprogramowania, dystrybucją oprogramowania oraz zdalną pomocą dla użytkowników itp. Przykładem takiego oprogramowania może być System Managment Server 2.0 Microsoftu. Programy tego typu ze względu na wysoką cenę nie są atrakcyjną propozycją dla firm z niewielkimi sieciami komputerowymi.
Drugą grupę programów, mniej kosztownych, lecz niewykonujących tylu skomplikowanych zadań administracyjnych, stanowią aplikacje do zdalnego zarządzania pojedynczymi systemami komputerowymi. Do tego celu można wykorzystać programy PC Anywhere, Remote Administrator lub Virtual Network Computing, czyli VNC.
VNC dla każdego?
Oprogramowania obsługującego zdalny dostęp jest bardzo wiele - wystarczy wejść na stronę http://tucows.icm.edu.pl, wpisać w opcjach wyszukiwania remote control, a pojawią się informacje o bardzo dużej liczbie płatnego lub bezpłatnego oprogramowania. Jednym z dostępnych programów jest VNC. Ma kilka zalet, które go wyróżniają.
Aplikacja działa w środowisku klient-serwer, co oznacza, że są dwie niezależne części oprogramowania: serwerowa, instalowana w systemie, do którego będzie uzyskiwany dostęp, oraz kliencka, umożliwiająca podłączanie się do serwera. Jedną z największych zalet VNC jest jego wieloplatformowość. Są wersje pozwalające na zdalny dostęp do Linuksa, Macintosha, Windows, Solarisa i inne.
Kolejną zaletę stanowi to, że jest on oferowany jako produkt bezpłatny (licencja GNU). Użytkownikom udostępnione są binarne wersje programów przeznaczonych do każdej z platform, a także źródłowy kod aplikacji. Dokumentacja do produktu jest publikowana na stronie internetowej online bądź można ją pobrać w pakietach ZIP, TGZ i TAR.Z.
Następną użyteczną cechą jest to, że użytkownicy VNC nie muszą instalować żadnego oprogramowania. Wystarczy uruchomić jeden nieduży plik wykonywalny (vncviewer.exe) lub przeglądarkę internetową obsługującą Javę.
Co ciekawe, oferowane są również rozwiązania pozwalające na dostęp do zdalnego pulpitu użytkownikom Windows CE czy BeOS, posiadaczom Nokii 9000, Amigi i wielu innym. Pełną listę sposobów implementacji i obsługiwanych klientów można znaleźć pod adresem www.uk. research.att.com/vnc/platforms.html.
Łyżka dziegciu
Virtual Network Computing nie może w pełni zadowolić wszystkich użytkowników, zwłaszcza tych, którzy chcą uzyskać dostęp do systemów opartych na Windows.
Jednym z jego mankamentów jest na przykład brak możliwości uwierzytelnienia użytkowników z wykorzystaniem istniejących kont domenowych lub lokalnych. Dostęp do zdalnej konsoli realizowany jest przez podanie hasła ustawianego na serwerze VNC.
Okno konfiguracji VNC.
Chcąc zapewnić dostęp do zdalnego systemu windowsowego większej liczbie użytkowników, można się również nieco rozczarować. W takim wypadku wszyscy zostaną podłączeni do jednego pulpitu, będą więc sobie wzajemne przeszkadzać podczas ruchów myszą lub wprowadzania danych z klawiatury. W przypadku systemów uniksowych dostęp poszczególnych użytkowników do różnych konsoli rozwiązuje tego typu problem.
Na koniec warto wspomnieć o tym, że połączenia realizowane za pomocą VNC nie są szyfrowane ani kompresowane, a co za tym idzie, VNC nadaje się doskonale do zastosowania w sieci lokalnej. Żeby zapewnić sobie odpowiedni poziom bezpieczeństwa, trzeba się posłużyć oprogramowaniem zewnętrznym.
W wypadku szybkości rzędu 10 lub 100 Mb/s praca z VNC jest bezproblemowa. Kłopoty mogą się pojawić wówczas, gdy chce się zdalnie zarządzać systemami w sieciach rozległych i dysponuje łączem o przepustowości rzędu 14,4-33,6 Kb/s. W takim wypadku wydajność nie jest oszałamiająca, a praca bywa utrudniona, choć możliwa.
Instalacja i konfiguracja VNC
Instalacja programu VNC jest wyjątkowo prosta. Należy pobrać ze strony http://www.uk.research.att.com/vnc/ wersję programu odpowiednią do Twojego systemu operacyjnego. Kto będzie zdalnie zarządzać systemem opartym na Windows, pobiera pakiet vnc-3.3.3r9_x86_win32.zip.
Ta wersja współpracuje z systemami Windows 9x, NT, Me, 2000 oraz XP. Archiwum zawiera dwa katalogi: vncviewer, w którym znajduje się program (vncviewer.exe) do połączenia ze zdalnym pulpitem, oraz winvnc, katalog z instalatorem serwera VNC. Po rozpakowaniu archiwum w dowolnym folderze, można rozpocząć instalację. Należy uruchomić setup.exe, a następnie odpowiadać na pytania instalatora. Wystarczy podać nazwę docelowego katalogu aplikacji i nazwę folderu, który pojawi się w menu Programy. Kolejny etap to konfiguracja aplikacji.
Po zainstalowaniu pakietu w pierwszej kolejności należy wprowadzić do Rejestru domyślne parametry programu VNC, wybierając kolejno menu Programy | VNC | Administrative Tools | Instal default registry settings. Następnie wyznacza się sposób startu serwerowej części VNC. Chcąc podłączać się zdalnie do systemów Windows 9x, trzeba uruchamiać VNC z folderu Autostart. Należy do niego dodać skrót Run WinVNC (App Mode). Niestety, ma to tę wadę, że pracując w sieci, należy się najpierw zalogować, a dopiero wtedy serwer VNC zostanie uruchomiony.
Dodawanie użytkowników uprawinionych do korzystania ze zdalnego pulpitu.
Kto pracuje z NT, W2K i XP, nie musi się o to martwić, ponieważ może uruchamiać serwer VNC jako usługę. W tym celu należy przejść do narzędzi administracyjnych VNC i kliknąć skrót Install WinVNC Service. Rezultat można zobaczyć, klikając w Panelu sterowania ikonę Usługi w wypadku NT, a Narzędzia administracyjne | Usługi w wypadku W2K i XP. Program będzie domyślnie startował, automatycznie posługując się uprawnieniami lokalnego konta systemowego.
Kolejną czynnością jest określenie hasła, niezbędnego podczas podłączania się do konsoli. Tę opcję konfiguruje się, wybierając Start | Programy | VNC | Show user settings i wpisując w pole Password przygotowane i najlepiej mocno skomplikowane hasło. Warto zauważyć, że hasło, w przeciwieństwie do reszty ruchu sieciowego generowanego przez VNC, nie jest przesyłane jawnie.
Przypisanie hasła dostępu kończy konfigurację VNC. Teraz każdy z użytkowników mających część kliencką, czyli vncviewer, może się podłączyć i administrować systemem zdalnie.
Przydatne opcje
Dla programu VNC można określić kilka dodatkowych opcji konfiguracyjnych. Dotyczą one tego, w jaki sposób użytkownicy będą mieli odświeżany ekran oraz czym będą mogli się posługiwać.
VNC ma bardzo czytelne okno konfiguracyjne. Dostępne w nim opcje dzielą się na dwie sekcje: Incoming Connections i Update Handling. Pierwsze określa takie parametry, jak wspomniane już hasło oraz ustawienia myszy i klawiatury. W zależności od wymagań można wyłączyć obsługę myszy i klawiatury przez użytkownika. W takim wypadku będzie on mógł jedynie podglądać pulpit serwera, bez dokonywania na nim jakichkolwiek zmian. Opcja ta jest przydatna, gdy chce się zademonstrować jakąś funkcję na swoim pulpicie większej liczbie osób, np. pracując w systemie wykładowca - uczniowie. Druga opcja pozwala na wyłączenie klawiatury i myszy po stronie serwera i wtedy osoba przy komputerze może tylko obserwować zdalne poczynania administratora. To się przydaje na przykład wtedy, gdy trzeba udzielić pomocy użytkownikowi niepotrafiącemu poradzić sobie z jakimś problemem.
Opcje dostępne w sekcji Update Handlig służą do odświeżania ekranu, na przykład gdy wystąpią jakieś kłopoty z właściwym przesyłaniem obrazu. Domyślnie zaznaczone są Poll Foreground Window i Poll Console Window Only. Pierwsza określa, że odświeżane ma być tylko aktywne okno serwera VNC, druga dotyczy odświeżania wyłącznie okna poleceń. Pozostałe opcje to Poll Full Screen, która odświeża cały obszar ekranu, oraz Poll Window Under Cursor, odświeżające jedynie to okno, na którego obszarze znajduje się kursor. Ostatnią opcję, Poll On Event Received Only, stosuje się w przypadku nisko wydajnych łączy. Odświeżane jest wówczas tylko to, co zostanie zmienione na skutek zdarzenia związanego z myszą lub klawiaturą.
Bezpieczeństwo mile widziane
Zezwolenie na podłączenie się do zdalnego pulpitu przez Zaporę połączenia internetowego.
Program VNC nie ma wbudowanych mechanizmów kompresji oraz zabezpieczania przed podsłuchaniem przesyłanych informacji. Rozwiązaniem może być tunelowanie danych przez protokół SSH (Secure Shell). Standardowo SSH wykorzystywany jest do zapewnienia bezpiecznej, szyfrowanej komunikacji między systemem klienta a konsolą serwera. Przydatna będzie również inna cecha tego protokołu - przekierowanie portów.
W Internecie dostępne są jego komercyjne i bezpłatne wersje. W najlepszej sytuacji są użytkownicy systemów uniksowych, z którymi najczęściej SSH jest dostarczany w jednym pakiecie. Pod adresem http://www.networksimplicity.com/openssh/ dostępna jest bezpłatna wersja do Windows NT, 2000 i XP. Windows 9x może korzystać tylko z oprogramowania klienta. OpenSSH zawiera dwa komponenty: część serwerowa zajmuje się przyjmowaniem połączeń, a część kliencka służy do nawiązywania bezpiecznej komunikacji. Po pobraniu pakietu należy zainstalować część serwerową OpenSSH w komputerze, z którego będzie prowadzona zdalna administracja. Polega to na zaznaczeniu jednego pola wyboru podczas instalacji. Zestawiająca połączenie stacja robocza powinna zostać wyposażona w część przeznaczoną dla klienta.
Okno parametrów zdalnego pulpitu z zasadach grupy.
Opis pełnej konfiguracji OpenSSh wykracza poza zakres tego artykułu, ale nie jest skomplikowany. Do podstawowych zadań wystarczy zapoznanie się z zawartością dwóch plików tekstowych: Quick Start Guide i Readme. Co trzeba zrobić, żeby SSH spełniało swoje zadanie podczas korzystania z VNC? Należy dysponować zainstalowanym i skonfigurowanym hostem VNC oraz zainstalowanym, skonfigurowanym i automatycznie uruchamianym serwisem OpenSSH. Następnie trzeba po stronie klienta zestawić połączenie z serwerem SSH, wpisując w wierszu poleceń:
ssh -L 5900:nazwa_lub_ip_servera_vnc:5900 nazwa_lub_ip_servera_vnc -C
Polecenie to nawiązuje połączenie klienta z serwerem, a parametr -L określa, że system ma słuchać na porcie 5900 i wszystko, co do niego trafi, przekazać zgodnie z podaną nazwą lub adresem. Port 5900 jest domyślnie wykorzystywany przez VNC. Na koniec parametr -C określa, że przesyłane dane mają być kompresowane. Konieczne jest umieszczenie w rejestrach klienta i serwera dwóch wpisów. Pierwszy to wpis w kluczu HKEY_LOCAL_MACHINE\ SOFTWARE\ORL\WinVNC3 z opcją AllowLoopback=1 (typ danych Dword). Drugi to HKEY_LOCAL_MACHINE\ SOFTWARE\ORL\WinVNC3\Default z tą samą opcją: AllowLoopback=1. Po wykonaniu tych czynności można już pracować zdalnie z VNC. Wystarczy uruchomić vncviewer.exe i w pole adresu wpisać localhost. Połączenie przez SSH zapewnia większe bezpieczeństwo, jednak zmniejsza wydajność. Należy je stosować tylko wtedy, gdy jest to konieczne.
Zdalne zarządzanie w XP
Kogo nie interesuje zdalny dostęp za pomocą programu VNC, może skorzystać z funkcji Pulpit zdalny wbudowanej w Windows XP Professional. Usługa ta wykorzystuje protokół RDP (Remote Desktop Protocol) i technologię usług terminalowych oferowanych już w serwerze W2K. Klientem zarządzającym zdalnie XP może być jeden z następujących systemów: Windows 9X, NT, 2000, Me i XP.
Ponieważ protokół RDP pozwala na wymianę informacji przez dowolne połączenie oparte na protokole TCP/IP, dostęp do pulpitu ze stacji roboczej może być uzyskiwany i przez sieć lokalną, i przez WAN. Trzeba jedynie dysponować skonfigurowanym i działającym połączeniem VPN lub Dial-up.
Jedną z zalet zdalnego pulpitu jest umożliwianie dostępu do lokalnych zasobów serwera. Na przykład administrator podłączający się do zdalnego komputera może korzystać z drukarki znajdującej się lokalnie przy jego komputerze lub z drukarki podpiętej do serwera. Dotyczy to również Schowka, portów, systemu plików oraz urządzeń audio. Użytkownicy uzyskują zdalny dostęp do systemu, posługując się oprogramowaniem klienckim dostarczanym na płycie instalacyjnej Windows XP Professional.
Windows XP zawiera również oprogramowanie zapewniające komunikację przez interfejs WWW. Aby z niego skorzystać, trzeba mieć zainstalowane Podłączanie pulpitu zdalnego w sieci Web, funkcję dostępną w dostarczanym z XP serwerem WWW (Panel sterowania | Dodaj lub usuń programy | Dodaj/Usuń komponenty systemu Windows | Internetowe Usługi Informacyjne | Usługa World Wide Web).
Okno klienta zdalnego puplitu
Konfiguracja usługi Pulpit zdalny
Do skonfigurowania usługi Pulpit zdalny potrzeba dosłownie kilku chwil. Na początek przypomnijmy, że wszelkie czynności konfiguracyjne w Windows XP wymagają pracy z odpowiednimi uprawnieniami. Trzeba się zalogować na konto administratora lub należące do grupy Administratorzy.
Najpierw należy włączyć zdalny dostęp do komputera, wchodząc we właściwości Mojego komputera lub przez obiekt System w Panelu sterowania. Następnie na karcie Zdalny zaznacza się pole wyboru Zezwalaj użytkownikom na zdalne łączenie się z tym komputerem. Teraz należy określić, którzy użytkownicy będą mogli korzystać ze zdalnego pulpitu: po wybraniu opcji Wybierz użytkowników zdalnych dodaje się konta uprawnione do zdalnego dostępu. Możliwość podłączenia się do komputera jest zawsze automatycznie zagwarantowana dla członków grupy Administratorzy i nie trzeba dodawać ich ręcznie.
Chcąc uzyskać dostęp do swojego komputera spoza chronionej firewallem sieci lokalnej, należy pamiętać o odblokowaniu odpowiedniego portu na zaporze. Dla usługi Pulpit zdalny domyślnie jest to port 3389. Korzystając z wbudowanej w XP Zapory połączenia internetowego, zaznacza się jedynie opcję Pulpit zdalny w zaawansowanych ustawieniach firewalla.
Ustawienia zaawansowane
Okno opcji klienta zdalnego pulpitu.
Opisane powyżej ustawienia są podstawowymi parametrami pracy usługi Pulpit zdalny. Dodatkowe opcje związane z tym serwisem konfiguruje się w module Zasady grupy. W tym celu należy uruchomić Microsoft Managment Console (Start | Uruchom | mmc), następnie w menu Plik wybrać Dodaj/Usuń przystawkę | Dodaj | Zasady grupy i załadować obiekt zasad grupy: komputer lokalny.
Zasady grupy zawierają dwa konfigurowalne elementy: ustawienia komputera oraz ustawienia użytkownika. Pierwsze dotyczą zmian w parametrach lokalnej stacji roboczej, drugie - zalogowanego użytkownika. Opcje związane ze zdalnym zarządzaniem są ukryte w folderze, do którego dociera się, wybierając: Konfiguracja komputera | Szablony administracyjne | Składniki systemu Windows | Usługi terminalowe. Tam też można zmienić parametry związane z takimi opcjami zdalnego pulpitu, jak przekierowywanie danych, szyfrowanie, sesje itp.
Najistotniejsze z nich to ustawienia związane z bezpieczeństwem. Pierwsza opcja, na którą należy zwrócić uwagę, to Zawsze monituj klienta o hasło po połączeniu. Wymusza ona podawanie hasła przy korzystaniu ze zdalnego pulpitu. Jeśli nie zostanie uaktywniona, użytkownicy będą mogli tak skonfigurować klienty, by hasło było podawane automatycznie. Drugim istotnym ustawieniem jest poziom szyfrowania przesyłanych danych. Po wybraniu opcji Ustaw poziom szyfrowania danych można określić, czy serwer będzie wymuszał szyfrowanie 128-bitowe, czy ustalał poziom szyfrowania według ustawień klienta. Przy innych parametrach usługi zdalny pulpit warto zwrócić uwagę na elementy związane z przekierowaniami. Podczas podłączania klient może określić, czy takie zasoby, jak drukarki, porty lub urządzenia audio, mają być przekierowywane do lokalnego komputera. Odpowiednio konfigurując Zasady grupy, administrator może narzucać klientom swoją wolę i nie pozwalać między innymi na współużytkowanie Schowka lub kierowanie zadań wydruku do lokalnej drukarki.
Podłączanie klientów
Użytkownicy chcący uzyskać zdalny dostęp do komputera powinni skorzystać z oprogramowania dostarczonego razem z systemem Windows XP (folder Support/tools). Można również pobrać klienta ze strony internetowej Microsoftu.
W celu instalacji klienta np. w środowisku 9x, należy uruchomić pakiet msrdpcli.exe. Po jego zainstalowaniu w menu Programy | Accessories | Communications jest dostępny nowy skrót, Remote Desktop Connection (w polskiej wersji XP będzie to Podłączanie pulpitu zdalnego). Po uruchomieniu programu wyświetla się okno z polem przeznaczonym na adres lub nazwę komputera, którego ekran ma zostać przechwycony. Po wpisaniu właściwego IP i uwierzytelnieniu połączenie zostaje zestawione. Od tej pory można wykonywać wszelkie operacje zdalnie.
Na koniec warto się przyjrzeć, jakie elementy konfiguracyjne oferuje okno Połączenie pulpitu zdalnego. Po kliknięciu przycisku Opcje pojawiają się dodatkowe parametry połączenia. Dotyczą one rozmiaru ekranu, liczby wyświetlanych kolorów, możliwych do wykonania przekierowań oraz ustawień wydajności połączenia.
