Использование удаленного помощника (Remote Assistance) при включенном брандмауэре Windows |
Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.
В этой статье мы рассмотрим, как использовать удаленный помощник (Remote Assistance) в среде с включенным брандмауэром Windows.
Обсуждаемые темы включают использование политик групп (Group Policy) для создания исключения для удаленного помощника (Remote Assistance exception) для компьютеров, настройку компьютеров для передачи предложений удаленного помощника (Remote Assistance) и подсказки по использованию удаленного помощника (Remote Assistance). Удаленный помощник (Remote Assistance) – это один из инструментов, который не полностью оправдал свою начальную цель. Он впервые появился в Windows XP и представлялся Microsoft двумя способами: как способ для подразделений поддержки для снижения затрат по поддержке пользователей, и как средство для пользователей по получению помощи от экспертов в интернет (Internet). К несчастью второе назначение не стало таким полезным, каким оно изначально планировалось. Причины этого в основном касаются сетевого аппаратного обеспечения. В домашних сетях с их широкополосными соединениями к интернет и защищенными NAT маршрутизаторами, фактом является то, что удаленный помощник (Remote Assistance) не всегда работает. На практике, если и Новичок (Novice – пользователь/компьютер, нуждающийся в помощи) и эксперт (Expert – пользователь/компьютер, предоставляющий помощь) спрятаны аз NAT, то традиционный, основанный на приглашениях (invitation) удаленный помощник (Remote Assistance) просто не работает. И даже если только один из них находится за NAT маршрутизатором, то удаленный помощник (Remote Assistance) обычно не работает, если маршрутизатор не поддерживает технологию Universal Plug and Play (UPnP), в противном случае, входящие пакеты, направленные на порт 3389, могут быть перенаправлены клиенту, просящего о помощи. Наконец, существуют проблемы на брандмауэре, связанные с удаленным помощником (Remote Assistance), и основная проблема заключается в том, что и брандмауэр на компьютере Эксперта (Expert) и брандмауэр на компьютере новичка (Novice) должны быть настроены для разрешения входящего и исходящего трафика по порту 3389. Для брандмауэра Windows это означает открыть порт 3389 для входящих соединений, т.к. фильтрация исходящих соединений не производится, но вскоре с выходом Vista это может измениться (там будет выполняться фильтрация и входящих и исходящих соединений). Все эти “аппаратные сложности и сложности брандмауэра “ делают удаленный помощник (Remote Assistance) сложным в использовании инструментом для многих начинающих пользователей, и лично я не знаю никого, кто бы пользовался им дома для решения своих компьютерных проблем. Снижение затрат на поддержку – это совершенно другая вещь, и в этом случае удаленный помощник (Remote Assistance) действительно помогает. Однако не очень широко известно, что можно использовать удаленный помощник (Remote Assistance) в двух случаях: пользователи могут запросить помощь, когда она им нужна, и эксперты могут предложить помощь, когда им кажется, что пользователям может помочь их советы. Давайте я сперва немного расскажу обращении к удаленному помощнику (Remote Assistance Invitations), а затем мы перейдем к использованию помощи второго типа – советы удаленного помощника (Remote Assistance offers) в корпорации, где используются политики групп (Group Policy) для управления конфигурацией рабочего стола (desktop configuration). Приглашения удаленного помощника (Remote Assistance Invitations) Первый вариант использования удаленного помощника (Remote Assistance) – это когда новичок (Novice) обращается за помощью к Эксперту (Expert). После того как Эксперт получает и принимает приглашение, он может просмотреть рабочий стол компьютера Новичка, пообщаться с ним, и получив согласие новичка перехватить контроль над его компьютером для устранения проблем. Новичок может послать приглашение клиенту тремя способами: с помощью Windows Messenger, отправив электронное сообщение, или передав файл. Для того, чтобы послать приглашение Новичок нажимает на Start, All Programs, Remote Assistance. В результате откроется окно удаленного помощника в разделе помощи и поддержки (Help and Support): Рисунок 1: Отправка запроса о помощи с помощью Remote Assistance Для того, чтобы принять приглашение Эксперт (Expert) всего лишь должен открыть его и нажать на Yes, в результате чего откроется консоль Remote Assistance на машине Эксперта. Тем временем на экране компьютера Новичка появится диалоговое окно, сообщающее, что Эксперт принял приглашение, и запрашивающее разрешение на доступ к рабочему столу Новичка и общение с ним. Если Новичок соглашается, то консоль Удаленного помощника (Remote Assistance) запускает инструмент, который позволяет Эксперту видеть рабочий стол Новичка на своем компьютере. Ниже представлен рисунок, полученный с помощью Virtual PC, который отображает рабочий Новичка в левом верхнем углу, и рабочий стол Эксперта в нижнем правом углу экрана: Рисунок 2: Bob (Новичок) слева сверху и Mary (Эксперт) слева снизу Предложения удаленного помощника (Offering Remote Assistance) Бывают однако случаи, когда специалисты по поддержке могут захотеть сами предложить помощь пользователю, даже если пользователь не просил ее. Этот случай известен как предложение удаленного помощника (Offer Remote Assistance), и вы должны знать некоторые вещи о нем, перед тем, как захотите применить его на практике. Во-первых, этот инструмент работает лишь когда компьютеры Новичка и Эксперта принадлежат одному домену или доверительному домену (trusting domain), т.е. он не будет работать сценарии с рабочими группами (workgroup scenario) и поэтому не применим для большинства домашних пользователей (home users). Конечно, это также исключает Windows XP Home Edition, поэтому он только работает на Windows XP Professional (или Windows Server 2003). Во-вторых, вы должны четко подключить компьютеры Новичков, для того чтобы они могли получать и принимать предложения удаленного помощника (Remote Assistance), а наиболее удобный для этого способ – это использование политик групп (Group Policy), который будет объяснен ниже. В-третьих, вы должны настроить параметры для политик групп (Group Policy) для предложений удаленного помощника (Offer Remote Assistance), вы должно задать список Экспертов, которые авторизованы помогать пользователям в вашей сети. Этот последний шаг очень важен, если вы не хотите, чтобы просто кто угодно мог предлагать помощь вашим пользователям, например, хакер, который взломал одну из ваших компьютеров может затем предлагать «помощь» вашим пользователям, и вы прекрасно понимаете, к чему это может привести. Поэтому давайте приступим к конфигурации политик групп (Group Policy) для включения предложений удаленного помощника (Offer Remote Assistance) не некоторых компьютерах Новичков. Для нашего сценария, наш Эксперт (Mary Jones) находится в Ванкувере (Vancouver), а Новичок (Bob Smith) находится в Виннипеге (Winnipeg), поэтому мы начнем с создания и привязки объекта политики групп (Group Policy Object - GPO) под названием WinnipegGPO для организационной единицы Winnipeg в нашем домене: Рисунок 3: Использование политик групп (Group Policy) для настройки Offer Remote Assistance на компьютере Новичков в Winnipeg Рисунок 4: Настройка политик Offer Remote Assistance Рисунок 5: Подключение Offer Remote Assistance для режима получения контроля Рисунок 6: Добавление Mary Jones в список пользователей, которым разрешено предлагать удаленную помощь Примечание: Вы могли заметить другую политику на рисунке 4 под названием Solicted Remote Assistance. Вы можете настроить эту политику для того, чтобы разрешить или запретить Новичкам возможность посылать приглашения для удаленной помощи Экспертам в вашей сети, если вы захотите. Обратите внимание, что до появления Service Pack 2, отключение этой политики приводило к отключению предложений удаленного помощника (Remote Assistance), в с появлением SP2 это было исправлено. Теперь, когда настроили политики групп (Group Policy) для включения предложений удаленного помощника (Offer Remote Assistance) на компьютерах новичков в Winnipeg, вам нужно сделать кое-что еще – настроить брандмауэр Windows на тех же самых компьютерах для того, чтобы разрешить получать удаленную помощь. Вы можете использовать политику групп для этих целей. Для того чтобы сделать это, используйте снова редактор Group Policy Object Editor по-прежнему для объекта WinnipegGPO и перейдите к Computer Configuration \ Administrative Templates \ Network \ Network Connections \ Windows Firewall \ Domain Profile \ Windows Firewall: Define Port Exceptions:
Рисунок 7: Настройка политик брандмауэра Windows на компьютерах Новичков
Откройте эту политику, включите ее, нажмите на кнопку Show и укажите исключение для TCP порта под номером 135, как показано ниже на рисунке:Рисунок 8: Создание исключения для порта TCP 135 для входящих соединений для получения предложений удаленного помощника (Remote Assistance offers) Рисунок 9: Создание программных исключений для предложений удаленного помощника (Offer Remote Assistance) Теперь Mary может предлагать помощь Bob с помощью предложений удаленного помощника (Offer Remote Assistance). Для того чтобы сделать это, Mary должна открыть Help and Support (Помощь и поддержка), нажать на ссылку "Use tools to view your computer information and diagnose problems" (Использовать инструменты для просмотра информации о компьютере и диагностики проблем) в основном окне Help and Support. В следующем окне (под названием Tools) она должна нажать на ссылку "Offer Remote Assistance" (предложить удаленную помощь), в результате чего открывается окно Offer Remote Assistance, в котором она вводит название компьютера (или IP адрес) компьютера Bob: Рисунок 10: Mary предлагает удаленную помощь для пользователей компьютера под названием XP191 Рисунок 11: Mary предлагает удаленную помощь Bob Рисунок 12: Bob должен принять предложение помощи от Mary |
Комментариев нет:
Отправить комментарий