2.8 启动远程管理操作
远程管理操作的启动方式有以下几种:
2.8.1 从管理控制台启动会话
在这种方式中,远程会话由管理控制台上的管理员启动。管理控制台通常放置于企业网络内,受管设备则可以置于企业网络内部或外部。下图说明了从管理控制台启动的受管设备上的远程会话。
图 2-1 控制台启动的会话
当受管设备引导时,会自动启动“远程管理代理”。部署设备后,此设备中即创建了默认的“远程管理”策略。使用默认策略时只能通过基于权限鉴定的模式来远程管理设备。如果要创建新的“远程管理”策略,则新策略会覆盖默认策略。
如果 ZENworks 管理区域设置分布在两个或两个以上启用 NAT 的专用网络中,而这些专用网络又通过公用网络互相连接,则必须在这些专用网络的网关上部署 DNS_ALG。DNS_ALG 可确保由 ZENworks 组件启动的 DNS 查找查询能够返回映射主机名的正确私用地址,并可让管理控制台与受管设备之间能够进行通讯。有关 DNS_ALG 的详细信息,请参见 DNS ALG RFC - 2694 (http://www.ietf.org/rfc/rfc2694)。
如果要通过使用设备的 DNS 名称对设备进行远程管理,请确保网络中已部署动态 DNS 服务。
远程操作员可以采用以下任意一种方式启动会话:
在 ZENworks 控制中心启动远程管理操作
您可以从设备环境或用户环境启动各种“远程管理”操作:
从设备环境启动远程管理会话
启动设备上的远程管理会话
-
在“ZENworks 控制中心”内,单击选项卡。
-
单击或,然后选择要远程管理的设备。单击,然后选择要执行的“远程管理”操作。
或
在左侧窗格的中,选择要执行的“远程管理”操作。
可执行的远程操作如下:
-
远程控制: 显示“远程管理”对话框,可让您在受管设备上执行“远程控制”、“远程查看”或“远程执行”操作。
-
远程诊断: 显示“远程诊断”对话框,可让您在受管设备上执行“远程诊断”操作。
-
传送文件: 显示“文件传送”对话框,可让您在受管设备上执行文件传送操作。
-
-
在显示的对话框中填写选项。下表包含各种可用选项的信息:
字段
细节
设备
指定要远程管理的设备的主机名或 IP 地址。
操作
选择要在受管设备上执行的远程操作的类型。此选项仅在“远程管理”对话框中可用。
应用程序
选择要在设备上起动以执行远程诊断的应用程序。此选项仅在“远程诊断”对话框中可用。
鉴定
选择鉴定到受管设备时使用的方式。鉴定方式有:
-
基于权限的鉴定
-
基于口令的鉴定
端口
指定“远程管理”服务侦听时使用的端口号。默认情况下,端口号为 5950。
会话模式
选择下列其中一种会话模式:
-
协作: 可让您以协作模式起动“远程控制”会话和“远程查看”会话。默认会选择此模式进行“远程控制”操作。如果您最先在受管设备上起动“远程控制”会话,就可获得主远程操作员的特权,包括:
-
邀请其他远程操作员加入远程会话。
-
将“远程控制”权限委派给某个远程操作员。
-
收回委派给远程操作员的控制权限。
-
终止“远程会话”。
之后起动的会话都是“远程查看”会话。
注:Linux 尚不支持协作模式。
-
-
共享: 允许多个远程操作员同时控制受管设备。
-
排它: 可让您在受管设备上起动排它性远程会话。某个会话以排它模式起动后,该受管设备上便无法再启动其他远程会话。默认会选择此模式进行“远程查看”操作。
此选项仅在“远程管理”对话框中可用。
会话加密
使用 SSL 加密(TLSv1 协议)可确保远程会话受到保护。
启用超速缓存
启用远程管理会话数据超速缓冲功能可以提高性能。此选项适用于“远程控制”、“远程查看”和“远程诊断”操作。目前只有 Windows 系统支持此选项。
启用动态带宽优化
启用可用网络带宽检测,并适当调整会话设置以提高性能。此选项适用于“远程控制”、“远程查看”和“远程诊断”操作。
启用日志记录
将会话和调试信息记录在 novell-zenworks-vncviewer.txt 文件中。如果是通过 Internet Explorer 起动“ZENworks 控制中心”(ZCC),该文件默认会保存在桌面上,如果是通过 Mozilla* FireFox* 起动 ZCC,则该文件会保存在 mozilla 的安装目录中。
通过代理路由
可让受管设备的远程管理操作通过远程管理代理进行路由。如果受管设备位于专用网络或使用 NAT(网络地址转换)的防火墙或路由器的另一侧,设备的远程管理操作就可以通过远程管理代理进行路由。目前只有 Windows 系统支持此选项。
填写以下字段:
代理: 指定远程管理代理的 DNS 名称或 IP 地址。默认情况下,此字段中将填入在代理设置面板中配置的用于在设备上执行远程操作的代理。您可以指定其他代理。
代理人端口: 指定远程管理代理侦听时使用的端口号。默认端口号为 5750。
注:“远程管理审计”将显示运行远程管理代理的设备的 IP 地址,而非管理控制台的 IP 地址。
使用以下密钥对进行标识
如果部署了内部证书颁发机构 (CA),则下列选项将不会显示。如果部署了外部 CA,请填写以下字段:
私用密钥: 单击浏览并选择远程操作员的私用密钥。
证书: 单击浏览并选择私用密钥对应的证书。此证书必须链接到为区域配置的证书授权者。
受支持的密钥和证书格式为 DER、PEM 和 PFX。如果使用的是 PFX 格式,则相同文件中必须同时有密钥和证书。您应为密钥和证书提供此文件作为输入。
启用超速缓存路径: 启用要在管理控制台上超速缓存的主键和证书路径。
目前只有 Windows 系统支持此选项。
-
-
单击起动选定的远程操作。
从用户环境启动远程管理会话
如果要在用户登录的受管设备上执行远程会话以协助该用户,请执行以下操作:
-
在“ZENworks 控制中心”中,单击选项卡。
-
单击。
-
选择用户以远程管理其所登录的设备。
-
单击,然后选择要执行的“远程管理”操作。
可执行的操作如下:
-
远程控制: 显示“远程管理”对话框,可让您在受管设备上执行“远程控制”、“远程查看”或“远程执行”操作。
-
远程诊断: 显示“远程诊断”对话框,可让您在受管设备上执行“远程诊断”操作。
-
传送文件: 显示“文件传送”对话框,可让您在受管设备上执行文件传送操作。
-
-
在显示的对话框中填写选项。下表包含各种可用选项的信息:
字段
细节
设备
指定要远程管理的设备的主机名或 IP 地址。
操作
选择要在受管设备上执行的远程操作的类型。此选项仅在“远程管理”对话框中可用。
应用程序
选择要在设备上起动以执行远程诊断的应用程序。此选项仅在“远程诊断”对话框中可用。
鉴定
选择鉴定到受管设备时使用的方式。鉴定方式有:
-
基于权限的鉴定
-
基于口令的鉴定
端口
指定“远程管理”服务侦听时使用的端口号。默认情况下,端口号为 5950。
会话模式
选择下列其中一种会话模式:
-
协作: 可让您以协作模式起动“远程控制”会话和“远程查看”会话。默认会选择此模式进行“远程控制”操作。如果您最先在受管设备上起动“远程控制”会话,就可获得主远程操作员的特权,包括:
-
邀请其他远程操作员加入远程会话。
-
将“远程控制”权限委派给某个远程操作员。
-
收回委派给远程操作员的控制权限。
-
终止“远程会话”。
之后起动的会话都是“远程查看”会话。
注:Linux 尚不支持协作模式。
-
-
共享: 允许多个远程操作员同时控制受管设备。
-
排它: 可让您在受管设备上起动排它性远程会话。某个会话以排它模式起动后,该受管设备上便无法再启动其他远程会话。默认会选择此模式进行“远程查看”操作。
此选项仅在“远程管理”对话框中可用。
会话加密
使用 SSL 加密(TLSv1 协议)可确保远程会话受到保护。
启用超速缓存
启用远程管理会话数据超速缓冲功能可以提高性能。此选项适用于“远程控制”、“远程查看”和“远程诊断”操作。目前只有 Windows 系统支持此选项。
启用动态带宽优化
启用可用网络带宽检测,并适当调整会话设置以提高性能。此选项适用于“远程控制”、“远程查看”和“远程诊断”操作。
启用日志记录
将会话和调试信息记录在 novell-zenworks-vncviewer.txt 文件中。如果是通过 Internet Explorer 起动“ZENworks 控制中心”(ZCC),该文件默认会保存在桌面上,如果是通过 Mozilla* FireFox* 起动 ZCC,则该文件会保存在 mozilla 的安装目录中。
通过代理路由
可让受管设备的远程管理操作通过远程管理代理进行路由。如果受管设备位于专用网络或使用 NAT(网络地址转换)的防火墙或路由器的另一侧,设备的远程管理操作就可以通过远程管理代理进行路由。目前只有 Windows 系统支持此选项。
填写以下字段:
代理: 指定远程管理代理的 DNS 名称或 IP 地址。默认情况下,此字段中将填入在代理设置面板中配置的用于在设备上执行远程操作的代理。您可以指定其他代理。
代理人端口: 指定远程管理代理侦听时使用的端口号。默认端口号为 5750。
注:“远程管理审计”将显示运行远程管理代理的设备的 IP 地址,而非管理控制台的 IP 地址。
使用以下密钥对进行标识
如果部署了内部证书颁发机构 (CA),则下列选项将不会显示。如果部署了外部 CA,请填写以下字段:
私用密钥: 单击浏览并选择远程操作员的私用密钥。
证书: 单击浏览并选择私用密钥对应的证书。此证书必须链接到为区域配置的证书授权者。
受支持的密钥和证书格式为 DER、PEM 和 PFX。如果使用的是 PFX 格式,则相同文件中必须同时有密钥和证书。您应为密钥和证书提供此文件作为输入。
启用超速缓存路径: 启用要在管理控制台上超速缓存的主键和证书路径。
目前只有 Windows 系统支持此选项。
-
-
单击起动选定的远程操作。
以独立模式启动远程管理操作
在独立模式下启动远程管理操作之前,请先安装远程管理查看器。有关安装此查看器的信息,请参见部分 2.6, 安装远程管理查看器。
以独立模式启动“远程管理操作”:
-
双击 nzrViewer.exe 文件起动“ZENworks Remote Management 客户程序”。
-
在显示的“ZENworks Remote Management 连接”窗口中,以 IP 地址~~端口格式指定受管设备的 DNS 名称或 IP 地址以及端口号。例如,10.0.0.0~~1000。
-
采用下列其中一种格式指定远程管理代理的 DNS 名称或 IP 地址以及端口号:
-
IP 地址~~端口。例如 10.0.0.0~~5750。
-
IP 地址~端口。例如 10.0.0.0~50。
-
-
单击。
一旦鉴定成功,远程会话即会启动。默认起动的是“远程控制”会话。
使用命令行选项启动远程管理操作
在通过命令行起动远程管理操作之前,请先安装远程管理查看器。有关安装此查看器的信息,请参见部分 2.6, 安装远程管理查看器。
使用命令行选项启动“远程管理”操作:
-
在命令提示符处,更改查看器的安装目录。默认情况下,查看器会安装到 <用户的 Application Data 文件夹>\Novell\ZENworks\Remote Management\bin 目录中。
-
执行以下命令:
nzrViewer [/选项<参数(如果有)>][受管设备的 IP 地址] [~~端口]
受管设备的默认端口为 5950。
有关可用命令行选项的信息,请参见部分 2.9.1, 用于起动远程操作的命令行选项。
-
单击。
一旦鉴定成功,远程会话即会启动。如果在命令行中未指定远程操作类型,则默认情况会起动“远程控制”会话。
但是,使用命令行选项启动远程管理操作有以下限制:
-
如果您不想在 nzrViewer 命令中为 SSL 鉴定指定 key、cert 和 CAcert 命令行选项,请确保在远程管理策略的安全性设置中启用了选项。但是,不建议使用此选项,因为这样会使设备的安全性降低。
-
如果受管设备是“管理区域”的一部分,请确保查看器所提供的证书有效、已签名并且已链接到 CA,否则 SSL 鉴定将失败。
注:从“ZENworks 控制中心”(ZCC) 起动远程会话时,ZCC 会自动生成证书并将其传送到查看器以起动会话。证书有效期只有 4 天。
-
受管设备使用查看器提供的证书来识别远程操作员。如果查看器未提供证书,将无法识别用户,此时在权限讯息、可见信号和审核日志中会将该用户记录为。
2.8.2 从受管设备启动会话
在此情况下,远程会话由受管设备上的用户启动。这种方式在管理控制台无法与受管设备连接的情况下非常有用。下图说明了由受管设备的用户启动的远程会话。
图 2-2 代理启动的会话
在以下情况下,受管设备的用户可以请求远程管理员在设备上执行远程会话:
-
远程操作员已起动“远程管理侦听程序”以侦听用户发出的远程会话请求。
-
在“远程管理”策略中启用了选项。
-
管理控制台的防火墙中必须已打开“远程管理侦听程序”侦听远程连接所使用的端口。默认端口为 5550。
请求会话:
-
双击通知区域中的 ZENworks 图标。
-
在左侧窗格中,浏览到,然后单击。
-
单击显示“请求会话”对话框。
请求“远程管理”会话的功能由管理员控制,也就是说可以禁用该选项,特别是当您的公司或部门没有专门的咨询台人员可随时充当远程操作员时。如果选项没有显示为链接文本,则表明该选项已被禁用。
-
在列表中,选择您要进行远程会话的远程操作员。
或
如果没有列出远程操作员,请在字段中提供该操作员的连接信息。
-
在字段中,选择您要打开的操作类型(“远程控制”、“远程查看”、“远程诊断”、“文件传送”或“远程执行”)。
有关每个操作的信息,请参见部分 1.2, 了解远程管理操作。
-
单击起动会话。
如果想让公共网络与专用网络建立连接,请部署“DNS 应用层网关”(DNS_ALG)。有关 DNS_ALG 的详细信息,请参考 RFC 2694。