В этой статье мы рассмотрим, как использовать удаленный помощник (Remote Assistance) в среде с включенным брандмауэром Windows.
Обсуждаемые темы включают использование политик групп (Group Policy) для создания исключения для удаленного помощника (Remote Assistance exception) для компьютеров, настройку компьютеров для передачи предложений удаленного помощника (Remote Assistance) и подсказки по использованию удаленного помощника (Remote Assistance).
Удаленный помощник (Remote Assistance) – это один из инструментов, который не полностью оправдал свою начальную цель. Он впервые появился в Windows XP и представлялся Microsoft двумя способами: как способ для подразделений поддержки для снижения затрат по поддержке пользователей, и как средство для пользователей по получению помощи от экспертов в интернет (Internet). К несчастью второе назначение не стало таким полезным, каким оно изначально планировалось. Причины этого в основном касаются сетевого аппаратного обеспечения. В домашних сетях с их широкополосными соединениями к интернет и защищенными NAT маршрутизаторами, фактом является то, что удаленный помощник (Remote Assistance) не всегда работает. На практике, если и Новичок (Novice – пользователь/компьютер, нуждающийся в помощи) и эксперт (Expert – пользователь/компьютер, предоставляющий помощь) спрятаны аз NAT, то традиционный, основанный на приглашениях (invitation) удаленный помощник (Remote Assistance) просто не работает. И даже если только один из них находится за NAT маршрутизатором, то удаленный помощник (Remote Assistance) обычно не работает, если маршрутизатор не поддерживает технологию Universal Plug and Play (UPnP), в противном случае, входящие пакеты, направленные на порт 3389, могут быть перенаправлены клиенту, просящего о помощи. Наконец, существуют проблемы на брандмауэре, связанные с удаленным помощником (Remote Assistance), и основная проблема заключается в том, что и брандмауэр на компьютере Эксперта (Expert) и брандмауэр на компьютере новичка (Novice) должны быть настроены для разрешения входящего и исходящего трафика по порту 3389. Для брандмауэра Windows это означает открыть порт 3389 для входящих соединений, т.к. фильтрация исходящих соединений не производится, но вскоре с выходом Vista это может измениться (там будет выполняться фильтрация и входящих и исходящих соединений). Все эти “аппаратные сложности и сложности брандмауэра “ делают удаленный помощник (Remote Assistance) сложным в использовании инструментом для многих начинающих пользователей, и лично я не знаю никого, кто бы пользовался им дома для решения своих компьютерных проблем.
Снижение затрат на поддержку – это совершенно другая вещь, и в этом случае удаленный помощник (Remote Assistance) действительно помогает. Однако не очень широко известно, что можно использовать удаленный помощник (Remote Assistance) в двух случаях: пользователи могут запросить помощь, когда она им нужна, и эксперты могут предложить помощь, когда им кажется, что пользователям может помочь их советы. Давайте я сперва немного расскажу обращении к удаленному помощнику (Remote Assistance Invitations), а затем мы перейдем к использованию помощи второго типа – советы удаленного помощника (Remote Assistance offers) в корпорации, где используются политики групп (Group Policy) для управления конфигурацией рабочего стола (desktop configuration).
Приглашения удаленного помощника (Remote Assistance Invitations)
Первый вариант использования удаленного помощника (Remote Assistance) – это когда новичок (Novice) обращается за помощью к Эксперту (Expert). После того как Эксперт получает и принимает приглашение, он может просмотреть рабочий стол компьютера Новичка, пообщаться с ним, и получив согласие новичка перехватить контроль над его компьютером для устранения проблем. Новичок может послать приглашение клиенту тремя способами: с помощью Windows Messenger, отправив электронное сообщение, или передав файл. Для того, чтобы послать приглашение Новичок нажимает на Start, All Programs, Remote Assistance. В результате откроется окно удаленного помощника в разделе помощи и поддержки (Help and Support):
Рисунок 1: Отправка запроса о помощи с помощью Remote Assistance
Нажатие на ссылку «Invite someone to help you» предоставит Новичку варианта отправки приглашения – с помощью Messenger, электронной почты, или сохранив файл под название RAInvitation.msrcincient на гибком диске или в общей папке в сети, откуда Эксперт сможет забрать его. Вложения в электронном письме и сохраненные файлы можно защитить с помощью пароля, в противном случае это будет простой текст XML, например, Новичок Bob Smith посылает приглашение Эксперту Mary Jones:
Для того, чтобы принять приглашение Эксперт (Expert) всего лишь должен открыть его и нажать на Yes, в результате чего откроется консоль Remote Assistance на машине Эксперта. Тем временем на экране компьютера Новичка появится диалоговое окно, сообщающее, что Эксперт принял приглашение, и запрашивающее разрешение на доступ к рабочему столу Новичка и общение с ним. Если Новичок соглашается, то консоль Удаленного помощника (Remote Assistance) запускает инструмент, который позволяет Эксперту видеть рабочий стол Новичка на своем компьютере. Ниже представлен рисунок, полученный с помощью Virtual PC, который отображает рабочий Новичка в левом верхнем углу, и рабочий стол Эксперта в нижнем правом углу экрана:
Рисунок 2: Bob (Новичок) слева сверху и Mary (Эксперт) слева снизу
Если Mary нужно перехватить контроль над компьютером Bob для устранения каких-нибудь проблем, то она может просто нажать на кнопку Take Control на панели инструментов в верхней левой части консоли удаленного помощника (Remote Assistance). В результате этого на экране компьютера Bob появится окно, запрашивающее разрешение не это действие, и если Bob разрешит, то клавиатура и мышь его компьютера теперь окажутся под контролем у Mary, поэтому лучше перед тем, как перехватить контроль, чтобы Эксперт посоветовал Новичку не использовать клавиатуру и мышь до того, как Эксперт не закончить свою работу и не вернет контроль обратно Новичку (либо пользователь может нажать ESC и прекратить сессию Эксперта и вернуться в режим просмотра).
Предложения удаленного помощника (Offering Remote Assistance)
Бывают однако случаи, когда специалисты по поддержке могут захотеть сами предложить помощь пользователю, даже если пользователь не просил ее. Этот случай известен как предложение удаленного помощника (Offer Remote Assistance), и вы должны знать некоторые вещи о нем, перед тем, как захотите применить его на практике. Во-первых, этот инструмент работает лишь когда компьютеры Новичка и Эксперта принадлежат одному домену или доверительному домену (trusting domain), т.е. он не будет работать сценарии с рабочими группами (workgroup scenario) и поэтому не применим для большинства домашних пользователей (home users). Конечно, это также исключает Windows XP Home Edition, поэтому он только работает на Windows XP Professional (или Windows Server 2003). Во-вторых, вы должны четко подключить компьютеры Новичков, для того чтобы они могли получать и принимать предложения удаленного помощника (Remote Assistance), а наиболее удобный для этого способ – это использование политик групп (Group Policy), который будет объяснен ниже. В-третьих, вы должны настроить параметры для политик групп (Group Policy) для предложений удаленного помощника (Offer Remote Assistance), вы должно задать список Экспертов, которые авторизованы помогать пользователям в вашей сети. Этот последний шаг очень важен, если вы не хотите, чтобы просто кто угодно мог предлагать помощь вашим пользователям, например, хакер, который взломал одну из ваших компьютеров может затем предлагать «помощь» вашим пользователям, и вы прекрасно понимаете, к чему это может привести.
Поэтому давайте приступим к конфигурации политик групп (Group Policy) для включения предложений удаленного помощника (Offer Remote Assistance) не некоторых компьютерах Новичков. Для нашего сценария, наш Эксперт (Mary Jones) находится в Ванкувере (Vancouver), а Новичок (Bob Smith) находится в Виннипеге (Winnipeg), поэтому мы начнем с создания и привязки объекта политики групп (Group Policy Object — GPO) под названием WinnipegGPO для организационной единицы Winnipeg в нашем домене:
Рисунок 3: Использование политик групп (Group Policy) для настройки Offer Remote Assistance на компьютере Новичков в Winnipeg
Откройте WinnipegGPO в редакторе Group Policy Object Editor и перейдите к папке Computer Configuration \ Administrative Templates \ System \ Remote Assistance \ Offer Remote Assistance:
Рисунок 4: Настройка политик Offer Remote Assistance
Откройте эту политику, включите ее и выберите либо «Allow helpers to remotely control the computer» (разрешить помощникам удаленно управлять компьютером) (по умолчанию) или «Allow helpers to only view the computer» (Разрешить помощникам только просматривать компьютер), в зависимости, что вам нужно:
Рисунок 5: Подключение Offer Remote Assistance для режима получения контроля
Нажмите на кнопку Show и добавьте Mary Jones в список помощников (Экспертов) виде domainname\username (название домена\имя пользователя), т.е. r2.local\mjones:
Рисунок 6: Добавление Mary Jones в список пользователей, которым разрешено предлагать удаленную помощь
Обратите внимание, что вы также можете добавлять группы помощников в виде domainname\group (название домена\группа), если захотите. Нажмите на кнопку OK для того, чтобы настроить политику и подождите, пока она применится для компьютеров Новичков.
Примечание: Вы могли заметить другую политику на рисунке 4 под названием Solicted Remote Assistance. Вы можете настроить эту политику для того, чтобы разрешить или запретить Новичкам возможность посылать приглашения для удаленной помощи Экспертам в вашей сети, если вы захотите. Обратите внимание, что до появления Service Pack 2, отключение этой политики приводило к отключению предложений удаленного помощника (Remote Assistance), в с появлением SP2 это было исправлено.
Теперь, когда настроили политики групп (Group Policy) для включения предложений удаленного помощника (Offer Remote Assistance) на компьютерах новичков в Winnipeg, вам нужно сделать кое-что еще – настроить брандмауэр Windows на тех же самых компьютерах для того, чтобы разрешить получать удаленную помощь. Вы можете использовать политику групп для этих целей. Для того чтобы сделать это, используйте снова редактор Group Policy Object Editor по-прежнему для объекта WinnipegGPO и перейдите к Computer Configuration \ Administrative Templates \ Network \ Network Connections \ Windows Firewall \ Domain Profile \ Windows Firewall: Define Port Exceptions:
Рисунок 7: Настройка политик брандмауэра Windows на компьютерах Новичков
Откройте эту политику, включите ее, нажмите на кнопку Show и укажите исключение для TCP порта под номером 135, как показано ниже на рисунке:
Рисунок 8: Создание исключения для порта TCP 135 для входящих соединений для получения предложений удаленного помощника (Remote Assistance offers)
Теперь выберите политику Windows Firewall: Define Program Exceptions, включите ее, нажмите на кнопку Show, и укажите три программных исключения, как показано на рисунке ниже:
Рисунок 9: Создание программных исключений для предложений удаленного помощника (Offer Remote Assistance)
Если вам необходимо, то повторите процедуру, описанную выше, со стандартным профилем (Standard Profile), а затем нажмите на кнопку OK, для настройки политик, а затем подождите, пока они применятся для компьютеров Новичков.
Теперь Mary может предлагать помощь Bob с помощью предложений удаленного помощника (Offer Remote Assistance). Для того чтобы сделать это, Mary должна открыть Help and Support (Помощь и поддержка), нажать на ссылку «Use tools to view your computer information and diagnose problems» (Использовать инструменты для просмотра информации о компьютере и диагностики проблем) в основном окне Help and Support. В следующем окне (под названием Tools) она должна нажать на ссылку «Offer Remote Assistance» (предложить удаленную помощь), в результате чего открывается окно Offer Remote Assistance, в котором она вводит название компьютера (или IP адрес) компьютера Bob:
Рисунок 10: Mary предлагает удаленную помощь для пользователей компьютера под названием XP191
Если Mary нажмет на кнопку Connect, то ей будет предложено выбрать пользователя на удаленном компьютере, которому она хочет помочь:
Рисунок 11: Mary предлагает удаленную помощь Bob
Затем Mary нажимает на кнопку Start Remote Assistance, в результате чего на ее машине откроется консоль удаленного помощника (Remote Assistance console). Тем временем, на машине Bob появится окно, спрашивающее разрешение на принятие помощи от Mary:
Рисунок 12: Bob должен принять предложение помощи от Mary
После того, как Bob соглашается принять предложение, Mary может увидеть рабочий стол Bob и поговорить с ним, а также при правильной настройке политики нажать на кнопку Take Control, для того чтобы перехватить контроль над компьютером Bob для устранения проблем (Bob конечно может по прежнему отказаться от помощи).
www.windowsnetworking.com
Tags: domain, nat, Windows XP