在服务器管理器中配置远程管理

在 Windows Server 中,可以使用服务器管理器在远程服务器上执行管理任务。 运行 Windows Server 2016 的服务器会默认启用远程管理。 若要使用服务器管理器以远程方式管理服务器,需将该服务器添加到服务器管理器服务器池中。

你可以使用服务器管理器来管理运行较早版本的 Windows Server 的远程服务器,但对于这些较早版本的操作系统,必须完成下列更新才能进行完全管理。

若要管理运行比 Windows Server 2016 更早的 Windows Server 版本的服务器,请安装以下软件和更新,以便通过使用 Windows Server 2016 中的服务器管理器来管理较旧版本的 Windows Server。

操作系统 软件要求 可管理性
Windows Server 2012 R2 或 Windows Server 2012 - .NET Framework 4.6
- Windows Management Framework 5.0。 Windows Management Framework 5.0 下载包更新 Windows Server 2012 R2、Windows Server 2012 和 Windows Server 2008 R2 上的 Windows Management Instrumentation (WMI) 提供程序。 通过更新的 WMI 提供程序,服务器管理器可以收集安装在托管服务器上的角色和功能的相关信息。 在应用更新之前,运行 Windows Server 2012 R2、Windows Server 2012 或 Windows Server 2008 R2 的服务器的可管理性状态为“不可访问”
- 在运行 Windows Server 2012 R2 或 Windows Server 2012 的服务器上不再需要与知识库文章 2682011 关联的性能更新。
Windows Server 2008 R2 - .NET Framework 4.5
- Windows Management Framework 4.0. Windows Management Framework 4.0 下载包更新 Windows Server 2008 R2 上的 Windows Management Instrumentation (WMI) 提供程序。 通过更新的 WMI 提供程序,服务器管理器可以收集安装在托管服务器上的角色和功能的相关信息。 在应用更新之前,运行 Windows Server 2008 R2 的服务器的可管理性状态为“不可访问”。
- 通过更新与知识库文章 2682011 关联的性能,服务器管理器可从 Windows Server 2008 R2 收集性能数据。
Windows Server 2008 - .NET Framework 4
- Windows Management Framework 3.0 Windows Management Framework 3.0 下载包更新 Windows Server 2008 上的 Windows Management Instrumentation (WMI) 提供程序。 通过更新的 WMI 提供程序,服务器管理器可以收集安装在托管服务器上的角色和功能的相关信息。 在应用更新之前,运行 Windows Server 2008 的服务器的可管理性状态为“不可访问 - 请确定运行 Windows Management Framework 3.0 的早期版本”。
- 通过更新与知识库文章 2682011 关联的性能,服务器管理器可从 Windows Server 2008 收集性能数据。

若要详细了解如何添加工作组中要管理的服务器,或如何从运行服务器管理器的工作组计算机管理远程服务器,请参阅将服务器添加到服务器管理器

启用或禁用远程管理

在 Windows Server 2016 中,会默认启用远程管理。 使用服务器管理器远程连接到运行 Windows Server 2016 的计算机之前,必须先在目标计算机上启用服务器管理器远程管理(若已禁用)。 本部分中的过程将介绍如何禁用远程管理,以及如何重新启用远程管理(如果已禁用)。 在服务器管理器控制台中,本地服务器的远程管理状态会显示在“本地服务器”页的“属性”区域中

即使已启用远程管理,内置管理员帐户之外的本地管理员帐户也可能不具有远程管理服务器的权限。 必须将远程用户帐户控制 (UAC) LocalAccountTokenFilterPolicy 注册表设置配置为允许内置管理员帐户之外的本地管理员组帐户远程管理服务器

在 Windows Server 2016 中,服务器管理器依赖于 Windows 远程管理 (WinRM) 和分布式组件对象模型 (DCOM) 进行远程通信。 “配置远程管理”对话框所控制的设置只会影响部分使用 WinRM 进行远程通信的服务器管理器和 Windows PowerShell。 这些设置不会影响部分使用 DCOM 进行远程通信的服务器管理器。 例如,服务器管理器使用 WinRM 与运行 Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2012 的远程服务器进行通信,但使用 DCOM 与运行 Windows Server 2008 和 Windows Server 2008 R2 的服务器进行通信,并且未应用 Windows Management Framework 4.0Windows Management Framework 3.0 更新。 Microsoft 管理控制台 (MMC) 和其他旧管理工具使用 DCOM。 有关如何更改这些设置的详细信息,请参阅本主题中的配置使用 DCOM 的 MMC 或其他工具远程管理

注意

本部分中的过程只能在运行 Windows Server 的计算机上完成。 无法使用这些过程在运行 Windows 10 的计算机上启用或禁用远程管理,因为无法使用服务器管理器管理该客户端操作系统。

使用 Windows 界面启用服务器管理器远程管理

  1. 注意

    “配置远程管理”对话框所控制的设置并不影响服务器管理器中使用 DCOM 进行远程通信的部分。

    在要对其进行远程管理的计算机上,打开服务器管理器(如果尚未打开)。 在 Windows 任务栏上,单击“服务器管理器”。 在“开始”屏幕上,单击“服务器管理器”磁贴

  2. 在“本地服务器”页的“属性”区域,单击“远程管理”属性的超链接值。

  3. 执行下列操作之一,然后单击“确认”

    • 若要阻止使用服务器管理器或 Windows PowerShell(如果已安装)远程管理此计算机,请清除“允许从其他计算机中远程管理此服务器”复选框。

    • 若要允许使用服务器管理器或 Windows PowerShell 远程管理此计算机,则选中“允许从其他计算机中远程管理此服务器”。

使用 Windows PowerShell 启用服务器管理器远程管理的步骤

  1. 在要对其进行远程管理的计算机上,执行下列操作之一,以使用提升的用户权限打开 Windows PowerShell 会话。

    • 在 Windows 桌面上,右键单击任务栏上的 Windows PowerShell,然后单击“以管理员身份运行”

    • 在 Windows 的“开始”屏幕上,右键单击“Windows PowerShell”,然后单击应用栏上的“以管理员身份运行”

  2. 键入以下内容,然后按 Enter 启用所有必需的防火墙规则例外。

    Configure-SMremoting.exe -enable

使用命令行启用服务器管理器远程管理

  1. 在要对其进行远程管理的计算机上,使用提升的用户权限打开命令提示符会话。 为此,在“开始”屏幕上,键入 cmd,当“应用”结果中显示“命令提示符”磁贴时右键单击该磁贴,然后单击应用栏上的“以管理员身份运行”

  2. 运行下面的可执行文件。

    %windir%\system32\Configure-SMremoting.exe

  3. 执行下列操作之一:

    • 若要禁用远程管理,请键入 Configure-SMremoting.exe -disable,然后按 Enter

    • 若要启用远程管理,请键入 Configure-SMremoting.exe -enable,然后按 Enter

    • 若要查看当前远程管理设置,请键入 Configure-SMremoting.exe -get,然后按 Enter

在较早版本 Windows Server 上启用服务器管理器和 Windows PowerShell 远程管理的步骤

配置使用 DCOM 的 MMC 或其他工具远程管理

  1. 执行下列步骤之一,以打开“高级安全 Windows 防火墙”管理单元。

    • 在服务器管理器中“本地服务器”页的“属性”区域中,单击“Windows 防火墙”属性的超文本值,然后单击“高级设置”

    • 在“开始”屏幕上,键入 WF.msc,然后当“应用”结果中显示该管理单元磁贴时单击该磁贴

  2. 在树窗格中,选择“入站规则”

  3. 验证是否启用了下列防火墙规则例外,并且未被组策略设置禁用。 如果未启用其中任一项,则继续执行下一步骤。

    • COM+ 网络访问(DCOM-In)

    • 远程事件日志管理 (NP-In)

    • 远程事件日志管理 (RPC)

    • 远程事件日志管理 (RPC-EPMAP)

  4. 右键单击未启用的规则,然后单击上下文菜单中的“启用规则”。

  5. 关闭“高级安全 Windows 防火墙”管理单元。

使用组策略禁用远程管理的步骤

  1. 执行下列操作之一来打开本地组策略编辑器。

    • 在运行 Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2012 的服务器上,在“开始”屏幕上键入 gpedit.msc,然后在显示 gpedit 磁贴时单击该磁贴

    • 从运行 Windows Server 2008 R2 或 Windows Server 2008 的服务器上,在“运行”对话框中键入 gpedit.msc,然后按 Enter

  2. 打开“计算机配置”\“管理模板”\“Windows 组件”\“Windows 远程管理 (WinRM)”\“WinRM 服务”

  3. 在内容窗格中,双击“允许通过 WinRM 进行远程服务器管理”

  4. 在“允许通过 WinRM 进行远程服务器管理”策略设置对话框中,选择“禁用”来禁用远程管理。 单击“确定”保存更改并关闭策略设置对话框。

在无人参与安装期间使用应答文件禁用远程管理的步骤

  1. 使用 Windows 系统映像管理器 (Windows SIM) 为 Windows Server 2016 安装创建无人参与安装应答文件。 有关如何创建应答文件和使用 Windows SIM 的详细信息,请参阅什么是 Windows 系统映像管理器?循序渐进:适用于 IT 专业人士的 Windows 基本部署

  2. 在应答文件中,找到“Microsoft-Windows-Web-Services-for-Management-Core\EnableServerremoteManagement”设置

  3. 若要在想要对其应用应答文件的所有服务器上默认禁用服务器管理器远程管理,请将“Microsoft-Windows-Web-Services-for-Management-Core \EnableServerremoteManagement”设置为 False

    注意

    此设置将禁止远程管理作为操作系统设置过程的一部分。 配置此设置不会阻止管理员在操作系统设置完成后启用服务器管理器远程管理。 管理员可以使用本主题中的使用 Windows 界面配置服务器管理器远程管理使用 Windows PowerShell 启用服务器管理器远程管理再次启用服务器管理器远程管理。

    如果禁止远程管理默认作为无人参与安装的一部分,并且安装完成后不在服务器上再次启用远程管理,那么该应答文件所应用于的服务器则无法通过使用服务器管理器来进行完全管理。 运行 Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2012(且默认禁用远程管理)的服务器在添加到服务器管理器服务器池后,会在服务器管理器控制台中生成可管理性状态错误。

Windows 远程管理 (WinRM) 侦听器设置

服务器管理器依赖于要管理的远程服务器上的默认 WinRM 侦听器设置。 如果远程服务器上的默认身份验证机制或 WinRM 侦听器端口号已从默认设置进行了更改,则服务器管理器无法与该远程服务器通信。

下表显示了有关使用服务器管理器进行管理的默认 WinRM 侦听器设置。

  • WinRM 服务正在运行。

  • 创建了一个 WinRM 侦听器,以接受通过端口号 5985 的 HTTP 请求。

  • Windows 防火墙设置中启用了端口号 5985,以允许通过 WinRM 的请求。

  • 同时启用了“Kerberos”和“协商式”身份验证类型。

默认端口号为 5985,以使 WinRM 与远程计算机进行通信。

有关如何配置 WinRM 侦听器设置的详细信息,可在命令提示符处键入 winrm help config,然后按 ENTER

另请参阅

将服务器添加到服务器管理器Windows PowerShell:Windows Server 技术中心的 about_remote_Troubleshooting用户帐户控制的说明