Unabhängig davon, ob es sich um einen Windows Server mit Desktop Experience oder einen Windows Server Core handelt, empfiehlt Microsoft einen Windows Server in erster Linie remote zu verwalten. Allerdings liegt es auf der Hand, dass eine grafische Remoteverwaltung gerade bei Core Servern einiges erleichtert. Damit die Remoteverwaltung mittels Server-Manager, RSAT-Tools oder Windows Admin Center reibungslos funktioniert, sind einige Dinge zu beachten. Welche dies konkret sind, beleuchte ich in diesem Artikel.
Getestet wurde dieser Artikel unter Windows Server 2016 und Windows 10 Version 1803.
Firewallregeln per GPO ausrollen
In dieser Anleitung gehe ich davon aus, dass sich sämtliche Server und Clients in der Domäne befinden und das Domänenprofil aktiv ist. Zunächst ist eine neue GPO zu erstellen und mit der gewünschten OU zu verknüpfen. Die Firewalleinstellungen sind schließlich unter Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Windows Defender Firewall mit erweiterter Sicherheit -> Windows Defender Firewall mit erweiterter Sicherheit -> Eingehende Regeln zu finden. Per Rechtsklick kann schließlich eine neue Regel erstellt werden. Um die Regeln zu erstellen ist zunächst unter "Vordefiniert" eine Gruppe…
… und im nächsten Schritt die entsprechenden Regeln auszuwählen:
In folgendem Screenshot ist zu sehen, welche Regeln alles erforderlich sind:
Die Regel "Windows-Remoteverwaltung (HTTP eingehend)" ist unter Serversystemem standardmäßig aktiv, unter Clientsystemen jedoch nicht.
Die Regeln der Gruppe "Remotevolumenverwaltung" müssen auch auf den Systemen aktiviert werden, von denen die Remoteverbindung aus aufgebaut werden soll. Ansonsten lässt sich die Datenträgerverwaltung auf dem Remotecomputer nicht öffnen.
Sicherheit erhöhen
Aus Sicherheitsgründen sollte noch konfiguriert werden, dass die Remoteverwaltung nur von bestimmten IP-Adressen aus aufgerufen werden darf. Dies kann über die Eigenschaften der Regeln konfiguriert werden:
Windows RM-Dienst starten
Ebenfalls erforderlich ist es, dass der Dienst "Windows-Remoteverwaltung (WS-Verwaltung)", kurz "WinRM" ausgeführt wird. Unter Serversystemen ist dies standardmäßig der Fall, unter Clientsystemen jedoch nicht. Um sicher zu gehen, ist es empfehlenswert eine entsprechende GPO zu erstellen. Dies gelingt unter Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Systemdienste:
Sämtliche Remoteverwaltungstools wie das Windows Admin Center oder RSAT sollten jetzt funktionieren:
Viel Spaß mit der Remoteverwaltung von Windows. Wie verwaltet ihr eure Systeme? Lasst es mich in den Kommentaren wissen! 🙂
Weiterführende Links
Quellen