在局域網工作環境中,網絡管理員為了方便管理服務器系統,常常會通過遠程桌面方式來進行遠程管理;可是,當我們嘗試遠程管理Windows Server 2008服務器系統時,發現並不是那麼順利,甚至無法進行遠程管理。出現這種情況,主要是Windows Server 2008系統的安全功能比以往增強了,這使得遠程管理之路多了不少安全關卡;為了讓Windows Server 2008系統遠程管理更順暢,我們需要對症下藥,排除遠程管理之路上的種種安全關卡。
排除網絡發現關卡
Windows Server 2008系統與普通服務器系統相比,新增加了網絡發現功能,一旦該功能沒有正常啟用時,那麼任何用戶是無法通過遠程桌面方式訪問到Windows Server 2008系統的。為了能夠對Windows Server 2008服務器系統順暢進行遠程管理,我們需要啟用對應系統的網絡發現功能,下面是啟用網絡發現功能的具體操作步驟:
首先打開Windows Server 2008系統桌面中的“開始”菜單,從中逐一單擊“設置”/“控制面板”命令,在彈出的系統控制面板窗口中,雙擊網絡和共享中心圖標,打開網絡和共享中心管理窗口;
圖1 啟用網絡發現功能
其次從網絡和共享中心管理窗口中找到共享和發現設置項,再展開網絡發現設置選項,打開如圖1所示的設置區域,選中“啟用網絡發現”選項,再單擊“應用”按鈕,這樣一來Windows Server 2008系統的網絡發現功能日後就不會阻礙我們對本地服務器系統進行遠程管理操作了。
排除防火牆限制關卡
Windows Server 2008系統在自帶防火牆方面的功能又有了明顯的增強,而增強了的防火牆程序在默認狀態下會對遠程桌面連接進行限制,如果不取消這種限制,那麼我們同樣也不能對Windows Server 2008服務器系統進行遠程管理;在排除防火牆限制關卡時,我們可以按照如下步驟來進行:
首先依次單擊Windows Server 2008系統桌面中的“開始”、“設置”、“控制面板”命令,打開對應系統的控制面板窗口,雙擊其中的Windows防火牆圖標,在其後界面的左側顯示區域單擊“啟用或關閉Windows防火牆”鏈接,打開本地服務器系統的Windows基本配置窗口;
圖2 啟用遠程桌面服務
其次單擊該基本配置窗口中的“例外”選項卡,打開如圖2所示的選項設置頁面,檢查其中的“遠程桌面”選項是否處於選中狀態,一旦發現該選項還沒有被選中時,那就說明Windows Server 2008系統自帶防火牆會對遠程桌面連接進行限制的;為了取消這種限制,我們必須選中這裡的“遠程桌面”選項,同時單擊“確定”按鈕保存好上述設置操作,這樣一來任何用戶遠程連接服務器系統時就不會受到防火牆的阻擋限制了。
當然,要想對Windows Server 2008系統進行遠程管理,我們還需要設置一下對應系統的組策略參數,以便讓系統自帶防火牆允許用戶入站進行遠程管理;在進行這種設置操作時,我們可以先依次單擊“開始”、“運行”命令,在彈出的系統運行文本框中執行“gpedit.msc”命令,打開對應系統的組策略編輯窗口;在該窗口的左側子窗格中,逐級展開“計算機配置”、“管理模板”、“網絡”、“網絡連接”、“Windows防火牆”組策略子項,在目標子項下面包含兩個選項,如果Windows Server 2008服務器系統位於域工作環境,那麼我們應該雙擊“域配置文件”選項下面的“Windows防火牆:允許入站遠程管理例外”,在其後界面中選中“已啟用”選項,要是Windows Server 2008服務器系統位於工作組環境中,那麼我們應該雙擊“標准配置文件”選項下面的“Windows防火牆:允許入站遠程管理例外”,之後再將該策略選項啟用起來,如此一來我們才能真正對Windows Server 2008系統進行遠程管理。
排除登錄權限關卡
即使我們啟用了Windows Server 2008系統的遠程桌面功能,不過在默認狀態下,該系統是不允許任何用戶不經過授權就能對本地服務器系統進行遠程管理的,因此當我們嘗試利用服務器系統已有帳號遠程登錄Windows Server 2008系統時,發現始終不能成功登錄。為了確保遠程登錄操作很順暢,我們可以對目標登錄帳號進行授權,讓其有權通過遠程桌面連接方式來對服務器系統進行遠程管理,下面就是具體的設置步驟:
首先在Windows Server 2008系統桌面中依次單擊“開始”/“程序”/“管理工具”/“服務器管理器”命令,在彈出的服務器管理器控制台窗口中,單擊左側顯示區域中的“服務器管理器”選項,在對應該選項的右側顯示區域,單擊“服務器摘要”設置項處的“更改系統屬性”按鈕,打開Windows Server 2008系統的屬性設置對話框;
其次單擊該屬性設置對話框中的“遠程”選項卡,並在對應的遠程標簽頁面中選中“只允許運行帶網絡級身份驗證的遠程桌面的計算機”選項,同時單擊該選項下面的“選擇用戶”按鈕,打開如圖3所示的設置窗口;
圖3 添加帳戶權限
接著檢查該設置窗口的用戶賬號列表框中是否存在特定的遠程管理賬號,要是發現該賬號還不存在時,我們只要單擊這裡的“添加”按鈕,從其後出現的賬號選擇對話框中,將目標用戶賬號選中並導入進來,最後單擊“確定”按鈕返回,這樣一來我們日後始終特定的用戶賬號就能順利通過遠程桌面連接方式登錄進Windows Server 2008系統,並對該系統進行遠程管理操作了。
排除端口限制關卡
一旦將Windows Server 2008系統的遠程桌面功能啟用起來後,那麼服務器系統就相當於被打開了一扇門,此時具有合法權限的用戶可以遠程管理服務器,沒有權限的非法用戶也能想辦法通過這扇門來攻擊服務器。為了保障服務器系統的運行安全性,不少網絡管理員常常會將遠程桌面的連接端口號碼從默認的3389修改成其他陌生的號碼,日後任何一位用戶必須知道遠程桌面的連接端口號碼才能與服務器系統成功建立遠程桌面連接;因此,當我們遇到無法通過遠程桌面連接到Windows Server 2008服務器系統中時,就需要仔細檢查對應服務器系統中的遠程桌面連接端口號碼有沒有被修改,如果已經更改的話,我們可以按照如下步驟查看到新的遠程端口號碼,日後將新端口號碼附加到遠程連接主機後面就可以了:
首先以超級權限登錄進入Windows Server 2008系統,依次單擊該系統桌面中的“開始”/“運行”命令,在彈出的系統運行對話框中,輸入字符串命令“regedit”,單擊“確定”按鈕後,打開系統的注冊表編輯窗口;
其次將鼠標定位於該編輯窗口左側顯示區域中的HKEY_LOCAL_MACHINE分支選項上,在該分支下面依次點選YSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp注冊表子項,在對應tcp注冊表子項的右側顯示區域,找到雙字節鍵值PortNumber;
圖4 查看遠程連接端口號
接著用鼠標雙擊目標雙字節鍵值,打開如圖4所示的設置對話框,在該對話框的“數值數據”文本框中我們就能查看到新的遠程桌面連接端口號碼了,例如這裡查看的遠程桌面連接端口號碼假設為“2008”,那麼日後我們必須在遠程連接主機後面加上“:2008”後綴,才能成功連接到目標服務器系統中。