51工具盒子概述 {#%E6%A6%82%E8%BF%B0}
本文章主要介绍如何在 Windows 资产上发布远程应用并纳管到 JumpServer 运维审计系统。
远程应用的环境 {#%E8%BF%9C%E7%A8%8B%E5%BA%94%E7%94%A8%E7%9A%84%E7%8E%AF%E5%A2%83}
远程应用发布服务器的环境建议使用 Windows2012 R2 进行配置,推荐配置为 4C8G 硬盘 100G 及以上配置。
远程应用发布在 Windows2016 上安装远程桌面时可能会失败。需要在 powershell 中执行:winrm qc 确认变更,然后重新安装。
如果远程应用发布器的系统平台是 VMware,可以联系售后同学使用 ovf 模板直接导入。
配置前先关闭域防火墙:
远程应用的配置流程 {#%E8%BF%9C%E7%A8%8B%E5%BA%94%E7%94%A8%E7%9A%84%E9%85%8D%E7%BD%AE%E6%B5%81%E7%A8%8B}
1、Windows 客户端安装 AD 域 {#1%E3%80%81windows-%E5%AE%A2%E6%88%B7%E7%AB%AF%E5%AE%89%E8%A3%85-ad-%E5%9F%9F}
(1)安装 AD 域 {#%EF%BC%881%EF%BC%89%E5%AE%89%E8%A3%85-ad-%E5%9F%9F}
进入 Windows 服务器的远程桌面。
点击"添加角色和功能"。
点击安装"AD 域"。
(2)安装 DNS 服务器 {#%EF%BC%882%EF%BC%89%E5%AE%89%E8%A3%85-dns-%E6%9C%8D%E5%8A%A1%E5%99%A8}
添加到"域",在此选"添加新林" ,"根域",且为根域命名,然后 下一步。
此处的报错可以忽略,因为 AD DS 严重的依赖 DNS,检测没有 DNS,就会报错。
如果提示 Windows 无法连接 powershell 导致无法安装,需要在 powershell 中执行 Enable-PSRemoting ,winrm quickconfig(这个可能不需要)允许连接。
至此,Windows server2012 搭建 AD 域服务器的方法就完成了。
2、Windows 客户端开启远程桌面服务 {#2%E3%80%81windows-%E5%AE%A2%E6%88%B7%E7%AB%AF%E5%BC%80%E5%90%AF%E8%BF%9C%E7%A8%8B%E6%A1%8C%E9%9D%A2%E6%9C%8D%E5%8A%A1}
选择部署类型,由于我们是将所有组件都部署在一台服务器上,可以选择"快速开始"
勾选"需要时自动重新启动目标服务器",这样在安装过程中,将会自动重启服务器
请注意:此时 Windows 已经加域,如果用 mstsc 登录的话需要加上域名。
安装完成。
点击进入"远程桌面服务",发布 remoteapp
修改会话超时时间为一分钟。
发布 RemoteApp。
3、加入 Jmservisor {#3%E3%80%81%E5%8A%A0%E5%85%A5-jmservisor}
Jmservisor 的下载地址:https://docs.jumpserver.org/zh/master/about/download/
默认安装路径:
发布 RemoteAPP。
完成客户端配置。
至此,JumpServer 远程发布即完成,可以到 JumpServer 的 Web 页面进行远程应用纳管。
以下以纳管 chrome 为例,并访问 JumpServer 官网。该远程应用发布服务器需纳管在 JumpServer 中。
Windows 远程应用发布器操作已完成。
4、配置 JumpServer 服务器端 {#4%E3%80%81%E9%85%8D%E7%BD%AE-jumpserver-%E6%9C%8D%E5%8A%A1%E5%99%A8%E7%AB%AF}
①、创建远程应用 {#%E2%91%A0%E3%80%81%E5%88%9B%E5%BB%BA%E8%BF%9C%E7%A8%8B%E5%BA%94%E7%94%A8}
点击"应用管理"→"远程应用"→"创建"→"chrome"。
提交,即远程应用创建成功。
②、创建 JumpServer 远程应用服务器的系统用户。 {#%E2%91%A1%E3%80%81%E5%88%9B%E5%BB%BA-jumpserver-%E8%BF%9C%E7%A8%8B%E5%BA%94%E7%94%A8%E6%9C%8D%E5%8A%A1%E5%99%A8%E7%9A%84%E7%B3%BB%E7%BB%9F%E7%94%A8%E6%88%B7%E3%80%82}
点击"资产管理"→"系统用户"→"普通用户"→"创建"→"RDP"。
提交,即远程应用发布服务器的系统用户创建成功。
③、创建远程应用授权 {#%E2%91%A2%E3%80%81%E5%88%9B%E5%BB%BA%E8%BF%9C%E7%A8%8B%E5%BA%94%E7%94%A8%E6%8E%88%E6%9D%83}
点击"应用授权"→"远程应用"→"创建"→"chrome"。
提交即授权成功。进入web界面进行访问。
访问成功!
远程应用的常见问题 {#%E8%BF%9C%E7%A8%8B%E5%BA%94%E7%94%A8%E7%9A%84%E5%B8%B8%E8%A7%81%E9%97%AE%E9%A2%98}
问题一:关闭远程应用后,会话未关闭 {#%E9%97%AE%E9%A2%98%E4%B8%80%EF%BC%9A%E5%85%B3%E9%97%AD%E8%BF%9C%E7%A8%8B%E5%BA%94%E7%94%A8%E5%90%8E%EF%BC%8C%E4%BC%9A%E8%AF%9D%E6%9C%AA%E5%85%B3%E9%97%AD}
问题:
解决:
修改注册表。"win+R"唤起"运行",输入"regedit"进入注册表编辑器。
问题二:远程应用冲突 {#%E9%97%AE%E9%A2%98%E4%BA%8C%EF%BC%9A%E8%BF%9C%E7%A8%8B%E5%BA%94%E7%94%A8%E5%86%B2%E7%AA%81}
"win+R"唤起"运行",输入"gpedit.msc"唤起组策略编辑器。
"管理模板"→"Windows 组件"→"远程桌面服务"→"远程桌面会话主机"→"连接"
问题三:远程会话未自动注销 {#%E9%97%AE%E9%A2%98%E4%B8%89%EF%BC%9A%E8%BF%9C%E7%A8%8B%E4%BC%9A%E8%AF%9D%E6%9C%AA%E8%87%AA%E5%8A%A8%E6%B3%A8%E9%94%80}
"win+R"唤起"运行",输入"gpedit.msc"唤起组策略编辑器。
"管理模板"→"Windows 组件"→"远程桌面服务"→"远程桌面会话主机"→"会话时间限制"。
