Thursday, November 23rd, 2017

Windows Vista Resource Kit Глава 23: Поддержка пользователей с помощью Remote Assistance (Часть 3)

Published on Февраль 19, 2009 by   ·   Комментариев нет

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Управление удаленным помощником с помощью политики группы Group Policy

В корпоративной среде удаленным помощником (Remote Assistance) можно управлять с помощью политики группы (Group Policy). Все настройки политики для удаленного помощника (Remote Assistance) относятся к компьютеру, и их можно найти в следующем месте:

Computer Configuration\Administrative Templates\System\Remote Assistance

Когда эти настройки политики записываются в реестр на необходимых компьютерах, они хранятся в следующем ключе реестра (registry key):

HKLM\SOFTWARE\Policies\Microsoft\WindowsNT\Terminal Services

Основные настройки политики для удаленного помощника (Remote Assistance) приводятся в таблице 23-4.

Таблица 23-4: Настройки политики группы для удаленного помощника
Политика Описание
Solicited Remote Assistance Включение этой политики позволяет пользователям использовать вызываемый режим (Solicited RA) для запроса помощи с помощью электронной почты (e-mail), передачи файлов или с помощью мгновенных сообщений (instant messaging). Отключение этой политики запрещает пользователям использовать вызываемый режим (Solicited RA). По умолчанию эта настройка не настроена (Not Configured), что позволяет пользователям изменить их настройки для удаленного помощника (Remote Assistance) с помощью закладки Remote для System CPL в Control Panel (панель управления).Если политика включена, то вы сможете также настроить, может ли помощник получать контроль над компьютером пользователя, максимальное время жизни билета и метод, используемый для отправления приглашений по электронной почте. (Операционная систем Windows Vista не поддерживает метод MAILTO, поэтому выбирайте SMAPI в том случае, если другие компьютеры работают под управлением операционной системы Windows Vista.) Время жизни билета (Ticket lifetime) применяется только для приглашений RA, посланных по электронной почте или с помощью передачи файлов. По умолчанию время жизни билета, если не используется политика группы (Group Policy), составляет 6 часов.

Если политика включена, то вы также должны добавить исключение для удаленного помощника (Remote Assistance) на брандмауэре Windows Firewall, чтобы вызываемый режим (Solicited RA) смог работать.

В неуправляемых средах этот параметр также можно настроить с помощью закладки Remote на System CPL в Control Panel (панель управления).

Эта политика также поддерживается для операционных систем Windows XP Professional и Windows Server 2003.

Offer Remote Assistance Включение этой политики позволяет назначенным помощникам использовать предложение помощи (Offer RA) для поддержки пользователей на определенных компьютерах. Если вы отключите эту политику, или оставите ее не настроенной (Not Configured), то помощники не смогут использовать предложение помощи (Offer RA).Если политика включена, то вы можете также настроить, смогут ли помощники просматривать или контролировать компьютер пользователя, а также вы должны задать список помощников, которым разрешено предлагать помощь (Offer RA) для пользователей на данных компьютерах. Помощники могут быть заданы либо с помощью пользователей, либо с помощью групп, формат выгладит так domain_name\username или domain_name\groupname.

Если политика включена, то вы также должны добавить исключение для удаленного помощника (Remote Assistance) на брандмауэре Windows Firewall, чтобы предложение помощи (Offer RA) заработало.

Эта политика также поддерживается в операционной системе Windows XP Professional и Windows Server 2003. Смотри закладку Explain для этой настройки политики.

Allow Only Vista Or Later Connections По умолчанию файл приглашения, сформированный на компьютере с операционной системой Vista, включает в себя специальный узел для обратной совместимости с XP. Это узел не шифруется и позволяет компьютерам с операционной системой XP подключаться к компьютеру с операционной системой Vista, на которой был создан билет. Включение этой политики приводит к тому, что все приглашения RA, сформированные пользователями, не включают этот узел XP, за счет чего достигается дополнительный уровень безопасности и секретности. Если вы отключите эту политику или оставите ее не настроенной (Not Configured), то такая информация в приглашении RA, как IP адрес и номер порта, останется незащищенной. Настройки этой политики касаются лишь приглашений RA, отправленных с использованием электронной почты (e-mail) или передачи файлов, и не оказывает влияния на обмен мгновенными сообщениями (instant messaging) для обращения за помощью.В неуправляемых средах этот параметр можно настроить, нажав на кнопку Advanced (дополнительно) на закладке Remote в диалоговом окне System Properties (системные свойства).

Эта политика поддерживается только для операционной системы Windows Vista и выше.

Customize Warning Messages Включение этой политики приводит к том, что на компьютере пользователя будет отображаться особое сообщение, когда помощник захочет перейти в режим разделения экрана (Screen Sharing State) или режим контроля компьютера (Control Sharing State) во время сессии RA. Если вы отключите эту политику или оставите ее не настроенной (Not Configured) приведет к тому, что будет отображаться сообщение по умолчанию в обоих случаях.Если политика подключена, то вы сами можете задать текст сообщения, которое будет отображаться в каждом из случаев.

Эта политика поддерживается лишь для операционной системы Windows Vista и выше.

Turn On Session Logging Включение этой политики приводит к тому, что происходит журнализация сессии RA. Более подробно вы могли узнать из раздела под названием «Remote Assistance Logging» ранее в этой главе. Отключение этой политики приводит к тому, что аудит RA отключается для всех компьютеров, которых касается эта политика. Значение по умолчанию Not Configured, в этом случае аудит RA включен автоматически.Эта политика поддерживается только для платформы Windows Vista и выше.
Turn On Bandwidth Optimization Включение этой политики приводит к тому, что будет использоваться указанный уровень оптимизации пропускной способности для улучшения взаимодействия с помощью RA в сетях с низкой пропускной способностью. Отключение этой политики приводит к тому, что используются системные настройки по умолчанию.Если включить эту политику, то вы можете указать уровень оптимизации пропускной способности, который вы хотите использовать:

  • No Optimization (без оптимизации)
  • No Full Window Drag (не полное окно)
  • Turn Off Background (отключить фон)
  • Full Optimization (Use 8-Bit Color) (полная оптимизация с использованием 8-битного цвета)

Если выбрана настройка No Optimization (без оптимизации), то на компьютере пользователя будет отражаться основная тема Windows с полным фоном, и во время сессии помощник сможет перетаскивать полное окно на экране пользователя. Дополнительная оптимизация позволяет отключить эффекты.

Эта политика поддерживается только на платформе Windows Vista и выше.

Примечание: В операционной системе Windows XP членство в группе администраторов домена (Domain Admin) позволяло получить помощниками привилегии, даже если они не были добавлены в список для политики Offer Remote Assistance. В операционной системе Vista это не так, и члены группы администраторы домена (Domain Admin) должны быть также добавлены в список помощников.

Настройка удаленного помощника в неупраляемых средах

Пользователи неуправляемых компьютеров могут подключить и настроить удаленный помощник Remote Assistance с помощью закладки Remote в System CPL в Control Panel (панель управления, см. Рисунок 23-4). Для включения или отключения удаленного помощника (Remote Assistance), а также для настройки его параметров необходимы права локального администратора на компьютере, поэтому возникнет окно UAC, когда пользователь попытается это выполнить.

Как включить teredo?

Рисунок 23-4: Настройка RA из закладки Remote в System CPL в Control Panel

Обратите внимание, что изменения настроек, произведенные таким способом коснуться всех пользователей в системе. Настройки реестра для удаленного помощника (Remote Assistance) находятся в следующем ключе:

HKLM\SYSTEM\CurrentControlSet\Control\Remote Assistance

В управляемых средах, если включена эта настройка политики группы (Group Policy), то настройки панели управления для конфигурации удаленного помощника становятся недоступными (выделены серым цветом).

Computer Configuration\Administrative Templates\System\Remote Assistance\Solicited Remote Assistance

Примечание: настройки политики группы (Group Policy) всегда превалируют над локальными настройками в том случае, если они пересекаются.

Дополнительные настройки реестра для настройки удаленного помощника

Дополнительные настройки для удаленного помощника (Remote Assistance) можно настроить с помощью модификации определенных настроек реестра. Более конкретно, пользовательские настройки для удаленного помощника (Remote Assistance) находятся в следующем ключе:

HKCU\Sofware\Microsoft\Remote Assistance

Эти настройки можно изменить в режиме ожидания соединения (Waiting To Connect) или в режиме подключения, нажав на кнопку Settings (Настройки).

ВНИМАНИЕ: Если для управления настройками удаленного помощника (Remote Assistance) используется политика группы, и они пересекаются с настройками реестра, то настройки политики имеют более высокий приоритет.

Прямо из первоисточников: Устранение проблем, связанных с удаленным помощником

От Джона Теккетала ( John Thekkethala)

Несколько советов по отладке удаленного помощника в операционной системе Windows Vista:

  1. Когда я пытаюсь создать приглашение по электронной почте, или с помощью сохранения его в файле, появляется предупреждение, сообщающее, что в настоящее время брандмауэр Windows Firewall блокирует удаленный помощник (Remote Assistance).Исключение для удаленного помощника (Remote Assistance) на брандмауэре (Firewall) будет меняться в зависимости от вашего расположения в сети (частная, общая или домен). Если вы находитесь дома, то ваше сетевое расположение необходимо рассматривать, как частное (private), т.к. в этом случае исключение на брандмауэре для удаленного помощника включается автоматически. Если ваше сетевое расположение (network location) установлено в общее (public), то исключение для удаленного помощника (Remote Assistance) на брандмауэре не включается автоматически в целях безопасности. Оно должно быть включено администратором.

    Если вы подключаетесь к управляемой сети (например, когда вы находитесь внутри корпоративного домена), то считается, что вы находитесь в домене (domain) и исключение для удаленного помощника (Remote Assistance exception) не включается автоматически. Ожидается, что оно должно быть настроено с помощью политики группы (Group Policy) вашим системным администратором.

  2. Я не могу воспользоваться RA для подключения с моего домашнего компьютера к рабочему компьютеру.RA использует Teredo (IPv6) для прохождения NAT. Однако, Teredo нельзя использовать для прохождения пограничного брандмауэра (firewall). Т.к. у вас нет глобально доступного адреса IPv4 внутри корпоративной сети, то RA не может установить соединение снаружи корпоративной сети.
  3. Если я отключу брандмауэр Windows Firewall, я не могу установить соединение с RA в некоторых случаях.В операционной системе Vista брандмауэр Windows firewall умеет работать с IPv6. Исключение для RA на брандмауэре Windows Firewall включает Teredo для прохождения границы. Если отключить брандмауэр Windows Firewall, то возможность использования Teredo для прохождения NAT также отключается. Брандмауэр Windows Firewall должен быть запущен с включенным исключением для RA, чтобы была возможность прохождения NAT с помощью Teredo.
  4. Я не могу использовать RA для подключения к моему домашнему компьютеру с рабочего компьютера.Ваш корпоративный брандмауэр может быть настроен на блокирование исходящих соединений. В управляемых средах (компьютерах, подключенных к домену), которые обычно встречаются в корпоративных сетях, исключение для RA не разрешает использование Teredo (edge traversal), т.к. корпоративные брандмауэры обычно блокируют исходящий трафик UDP. Прохождение NAT с помощью Teredo в таких сценариях отключено по умолчанию. Если человек, который пытается помочь, находится за UPnP NAT или напрямую подключен к Интернет, то вы сможете установить соединение. Проконсультируйтесь со своим сетевым администратором по этому вопросу
  5. Когда я перемещаюсь со своим ноутбуком (или изменяю свое сетевое расположение) с частного «private» на общее «public», то я не могу подключиться к определенным компьютерам.Когда вы перемещаетесь между вашей работой и домом, свойства вашего исключения для RA на брандмауэре Windows Firewall изменяются в зависимости от сетевого расположения, которое классифицируется, как «private», «public» или «domain». В частном расположении (private location), исключение для RA включено по умолчанию, и если вы используете UPnP NAT, то исключение для RA разрешает соединения с UPnP NAT. В общей сети (public network) исключение для RA не включено по умолчанию, и его необходимо настроить с помощью администратора. Дополнительно профиль «public» не разрешает UPnP соединения в целях безопасности, и таким образом в некоторых случаях запрещается установление соединений с RA.
  6. Я использую сетевой соединение с низкой пропускной способностью, и у человека, который мне помогает редко обновляется экран.Установите значение параметра (Bandwidth usage) в настройках в «Low», чтобы снизить загрузку канала во время сессии с удаленным помощником (Remote Assistance). Помните, что качество изображения снижается в случае использования соединения с низкой пропускной способностью.
  7. Почему я не могу подключиться к компьютерам с операционной системой XP, которые находятся за NAT, также легко, как это происходит с компьютерами с операционной системой Vista?RA в операционной системе XP не поддерживает Teredo для прохода NAT. Следовательно попытка подключениия Vista-to-XP RA окончится неудачей в том случае, когда оба компьютер находятся за не-UPnP NAT.
  8. Как RA устанавливает соединение?Когда создано приглашение (RA invitation), компьютер пользователя начинает прослушивать по всем своим IP адресам (IPv4 и IPv6), включая свой адрес Teredo. Все эти слушатели ожидают соединения от компьютера помощника. Информация об адресе и порте, связанная с этими различными слушателями, передается на компьютер помощника с помощью приглашения RA invitation (которое передаются Messenger, если Messenger используется для запуска RA). Компьютер помощника после этого пытается одновременно подключиться по всем парам адрес/порт из приглашения. Первое, успешно установленное соединение используется для сессии RA, а остальные попытки подключения уничтожаются.
  9. Как устранить неполадки с соединением между двумя компьютерами с операционной системой Vista, которые находятся за NAT?Посмотрите на информацию о соединении RA Connectivity в таблицах 23-5 и 23-6, чтобы убедиться, что ваша сетевая конфигурация поддерживает соединение RA. После этого сделайте следующее:
    • Убедитесь, что брандмауэр Windows firewall на компьютере человека, нуждающегося в помощи, запущен и настроен для использования RA.
      • Брандмауэр Windows firewall совместим с IPv6 и должен разрешать проход NAT с помощью Teredo.
      • Сетевое расположение компьютера должно быть установлено в «private» или «public», т.к. Teredo не работает в домене.
      • Исключение для удаленного помощника (Remote Assistance) на брандмауэре должно разрешать соединения RA.
    • Убедитесь, что нет пограничных брандмауэров (т.е. NAT с брандмауэром, который блокирует динамические порты или исходящий трафик UDP) между пользователем и помощником, т.к. он может блокировать приложения типа RA.
    • Убедитесь, что пользователь и помощник не находятся за симметричным NAT и, что Teredo может находиться в квалифицированном состоянии на обеих машинах. Чтобы определить это, сделайте следующее:
      1. Во-первых, инициируйте Teredo установив RA в состояние ожидание соединения «waiting to connect». Вы также можете этой сделать, набрав в командной строке msra.exe /saveasfile myinvitation mypassword.
      2. Затем, проверьте, что Teredo может быть активирован на обеих машинах. Откройте командную строку и наберите в ней команду netsh interface show teredo state. Если Teredo не находится в квалифицированном состоянии на обеих машинах, то соединение RA может быть невозможным между этими двумя компьютерами. Teredo не находится в квалифицированном состоянии по одной из двух причин:
        • Не доступен глобальный сервер Teredo по адресу teredo.ipv6.microsoft.com.
        • Компьютер находится за симметричным NAT. Чтобы проверить это проверьте результат выполнения команды netsh interface show teredo state и посмотрите на значение строки «NAT :», в которой указывается тип NAT.
  10. Когда я помогаю кому-то, кто является обычным пользователем, я не могу запустить на компьютере пользователя программы, для которых необходимы административные права.RA позволяет пользователя передавать контроль над своим компьютером удаленному помощнику. Если пользователь является обычным пользователем, то помощник получает те же самые привилегии, что и обычный пользователь. Если помощник попытается запустить программу, для которой необходимы административные права, то с этим правами необходимо зайти локально (в Secure Desktop) самому пользователю, помощник не может зайти с ними удаленно. Это необходимо для того, чтобы избежать перехвата административных прав пользователем после закрытия сессии RA.
Таблица 23-5: соединения с RA для помощника на Windows XP
Эксперт на XP
Directly Connected Behind UPnP NAT Behind non UPnP NAT Behind corporate Edge Firewall**
Новичок на XP
Directly Connected Да Да Да Да
Behind UPnP NAT Да Да Да Да
Behind non UPnP NAT Да с использованием Msgr Да с использованием Msgr Нет Нет
Behind corporate Edge Firewall** Да с использованием Msgr Да с использованием Msgr Нет Да – если оба за одним брандмауэром
Нет – если оба за разными брандмауэрами
Новичок на Vista
Directly Connected Да Да Да Да
Behind UPnP NAT Да Да Да Да
Behind non UPnP NAT Да с использованием Msgr Да с использованием Msgr Нет Нет
Behind corporate Edge Firewall** Да с использованием Msgr Да с использованием Msgr Нет Да – если оба за одним брандмауэром
Нет – если оба за разными брандмауэрами

* Teredo соединение не доступно, если компьютер находится за симметричной «symmetric NAT»

** Edge Firewall должен разрешать исходящие соединения (в том числи с использованием клиента Microsoft ISA Firewall Client)

Таблица 23-6: соединения RA для помощника на Windows Vista
Эксперт на Vista
Directly Connected Behind UPnP NAT Behind non UPnP NAT Behind corporate Edge Firewall**
Новичок на XP
Directly Connected Да Да Да Да
Behind UPnP NAT Да Да Да Да
Behind non UPnP NAT Да с использованием Msgr Да с использованием Msgr Нет Нет
Behind corporate Edge Firewall** Да с использованием Msgr Да с использованием Msgr Нет Да – если оба за одним брандмауэром
Нет – если оба за разными брандмауэрами
Новичок на Vista
Directly Connected Да Да Да Да
Behind UPnP NAT Да Да Да Да
Behind non UPnP NAT Да с использованием Teredo* Да с использованием Teredo* Да с использованием Teredo* Нет
Behind corporate Edge Firewall** Нет Нет Нет Да – если оба за одним брандмауэром
Нет – если оба за разными брандмауэрами

* Teredo соединение не доступно, если компьютер находится за симметричной «symmetric NAT»

** Edge Firewall должен разрешать исходящие соединения (в том числи с использованием клиента Microsoft ISA Firewall Client)

Резюме

Удаленный помощник (Remote Assistance) был улучшен в операционной системе Windows Vista для обеспечения лучшей производительности, удобства в использовании, гибкости при переходе NAT, и улучшения безопасности. Лучшие рекомендации по использованию удаленного помощника (Remote Assistance) в корпоративной среде включают:

  • Использование политики групп (Group Policy), чтобы пользователи в домене могли получать предложения помощи RA от сотрудников службы помощи.
  • Использование политики групп (Group Policy), чтобы задавать исключение для RA на брандмауэре Windows Firewall.
  • Использование политики групп (Group Policy), чтобы устанавливать сценарии, позволяющие пользователям запускать исполняемый файл msra.exe, для настройки запуска сессий RA, для загрузки приглашений на сетевой диск, контролируемый сотрудниками службы помощи.
  • Если все сотрудники вашей службы помощи работают на компьютерах с Vista, то используйте политики группы (Group Policy) для шифрования билетов RA, чтобы спрятать важную информацию об IP адресах и названиях компьютеров.
  • Если для корпоративной политики необходимы записи RA для аудита, используйте политики групп (Group Policy) для включения журнализации RA на компьютерах вашей компании и периодически запускайте сценарии для копирования журналов в безопасное место.
  • Для соблюдения секретности и безопасности используйте политики группы (Group Policy) для настройки текстовых сообщений, которые будут видеть пользователи во время сессии с удаленным помощником.

www.windowsnetworking.com


Смотрите также:

Tags: , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]