Давать советы попавшему в затруднительное положение пользователю по телефону, во-первых, неудобно для администратора, а во-вторых, намного менее эффективно, чем поддерживать связь по сети. В ответ на просьбы пользователей и сотрудников служб технической поддержки Microsoft включила в состав Windows XP функцию Remote Assistance — средство для устранения неполадок и предоставления технической поддержки в удаленном режиме.
В Remote Assistance использована испытанная технология Windows 2000 Server Terminal Services. Во время сеанса Remote Assistance специалист службы технической поддержки может непосредственно видеть, что происходит на экране пользователя, и может даже удаленно управлять его компьютером. Несмотря на то что некоторые функции Remote Assistance предназначены для домашних пользователей, этот инструмент удобен и для корпоративных служб технической поддержки, особенно если используется в сочетании с групповыми политиками Active Directory (AD).
Есть некоторое сходство между Remote Assistance и Remote Desktop в Windows XP, однако не следует их путать. Оба инструмента используют технологию Terminal Services, но Remote Desktop сфокусирован на увеличении производительности за счет предоставления доступа к сеансу на компьютере Windows (т. е. доступа к файлам и приложениям на рабочем компьютере через домашний компьютер), тогда как Remote Assistance позволяет техническому специалисту поддерживать связь с пользователем, а также управлять пользовательской системой с целью решения какой-то проблемы.
Установка сеанса
То, что Remote Assistance, похоже, создавался как инструмент для домашних пользователей, становится особенно отчетливо видно, если посмотреть на способы инициировать сеанс удаленного обслуживания. Ссылки Remote Assistance в меню Help and Support Center в XP дают три варианта для запроса помощи.
Первый вариант, Use Windows Messenger, подходит для домашнего пользователя, желающего установить сеанс технической поддержки с другом, в предположении, что обе стороны имеют учетные записи Windows Messenger. Однако в этом способе аутентификация пользователя выполняется через Windows Messenger, что не позволяет задавать пароль для сеанса дистанционного обслуживания.
Второй вариант, use email, позволяет отправлять запрос на обслуживание через Simple Messaging API (MAPI) — удобный почтовый клиент. Файл, присоединенный к почтовому сообщению, имеет расширение .MsRcIncident. Этот файл, который называется файлом приглашения, является файлом XML. Когда он исполняется на компьютере получателя, запускается Windows Help and Support, который в свою очередь запускает Remote Assistance и инициирует сеанс обслуживания компьютера отправителя.
Третий вариант, Save invitation as a file (Advanced), позволяет пользователям сохранить приглашение в виде файла и переслать его получателю другим способом, например отправить через почтовое Internet-приложение или с помощью переносного устройства. И второй, и третий варианты позволяют задать пароль, чтобы случайные получатели приглашения не имели свободного доступа к системе пользователя.
Файл приглашения сам по себе не дает получателю (помощнику) явного разрешения управлять системой отправителя. Запрашивающий пользователь в любой момент может разрешить или запретить подключение, а после того, как подключение состоялось, разрешить или запретить помощнику брать на себя управление системой.
Если обычные способы запроса и предоставления дистанционного обслуживания могут удовлетворить потребности маленьких фирм и домашних пользователей, ИТ-отделы большинства крупных компаний предпочтут придерживаться более строгой дисциплины. Пользователи могут менять настройки Remote Assistance на своих домашних компьютерах, но применение групповых политик в среде AD обеспечит лучший контроль и более простое администрирование. Для большей защищенности можно также выполнить настройку корпоративного брандмауэра и минимизировать риски, связанные с Remote Assistance.
Настройка Remote Assistance
Настройку Remote Assistance можно выполнить на вкладке Remote диалогового окна System Properties. Для того чтобы пользователь мог попросить кого-либо о помощи, следует установить на его рабочей станции флажок в ячейке Allow Remote Assistance invitations to be sent from this computer. Щелчком по Advanced можно раскрыть диалоговое окно Remote Assistance Settings, показанное на Экране 1. Если очистить ячейку Allow this computer to be controlled remotely («Разрешить удаленное управление этим компьютером»), сеанс дистанционного обслуживания будет ограничен режимом «только просмотр». Чтобы уменьшить вероятность перехвата приглашения посторонними, можно ограничить время его действия.
Экран 1. Диалоговое окно Remote Assistance Settings |
Групповые политики также позволяют назначать пользователей, которые могут осуществлять дистанционное обслуживание без приглашения. Параметр Computer Configuration Administrative TemplatesSystem RemoteAssistanceSolicited Remote Assistance в Group Policy дает возможность выбрать точно такие же варианты настроек, какие администратор может задать на вкладке Remote диалогового окна System Properties. Описание и способ выбора режима «только просмотр» или режима удаленного управления немного отличаются от представленных на вкладке Remote, но результат один и тот же.
Настройка Computer Configuration Administrative TemplatesSystemRemote AssistanceOffer Remote Assistance затрагивает функциональность, доступную только через групповые политики. Настройка Offer Remote Assistance позволяет назначить пользователей, имеющих право инициировать сеанс дистанционного обслуживания, не получая приглашения. Определяя свойства Offer Remote Assistance (см. Экран 2), следует выбрать Allow helpers to remotely control the computer («Разрешить помощникам дистанционное управление компьютером»), в противном случае будет установлен режим «только просмотр». Необходимо также определить круг сотрудников, имеющих право предлагать дистанционное обслуживание. Для того чтобы определить таких пользователей, нужно сначала щелкнуть Show, а затем, пользуясь синтаксисом DomainUser или DomainGroup, добавить записи в список помощников. Проверить в дальнейшем правильность введенной информации не удастся, поэтому следует дважды просмотреть каждое имя, прежде чем добавлять его в список помощников.
Экран 2. Настройка параметров Remote Assistance |
Предоставление дистанционного обслуживания
После того как специалисты технической поддержки будут добавлены в список помощников на нужных компьютерах, они могут инициировать сеанс дистанционного обслуживания, при условии, что обе системы — помощника и конечного пользователя — работают на XP и что оба лица — и помощник, и конечный пользователь — являются членами одного и того же домена или доменов, связанных между собой доверительными отношениями. Обычный способ установления сеанса дистанционного обслуживания по инициативе помощника состоит в следующем.
- Щелкните Start, Help и Support.
- Щелкните Tools, затем в левой панели выберите Offer Remote Assistance.
- В правой панели щелкните Connect, выберите в поле со списком имя пользователя, которому нужно помочь, затем щелкните Start Remote Assistance.
Сеанс будет проходить точно так же, как если бы он был инициирован по приглашению пользователя.
Для тех, кто часто осуществляет дистанционное обслуживание, можно предложить и более простой способ установления сеанса. Необходимо создать ярлык с URL hcp://CN=Microsoft%20Corporation,L=Redmond,S=Washington,C=US/Remote%20Assistance/Escalation/unsolicited/unsolicitedrcui.htm. Щелчок по этому адресу запускает Help and Support Center и отображает панель, позволяющую указать машину, к которой требуется подключиться. Созданный ярлык можно распространить по компьютерам персонала службы технической поддержки компании.
Брандмауэр и дистанционное обслуживание
Поскольку технология Terminal Services использует RDP для связи между системами, порт 3389 на брандмауэре должен быть открыт. Можно обеспечить дополнительную меру защиты, заблокировав исходящий трафик через порт 3389, чтобы пользователи не могли задействовать Remote Assistance для связи с системами за пределами брандмауэра.
Использование Network Address Translation (NAT) совместно с Remote Assistance — сложная задача, обсуждение которой выходит за рамки данной статьи. Информацию о применении Remote Assistance в средах с различными брандмауэрами и NAT можно найти в статье Microsoft «Supported Connection Scenarios for Remote Assistance» (http://support.microsoft.com/?kbid=301529).
Некоторые неудобства и обходные пути
Тех, кто отвечает за использование системы дистанционного обслуживания в крупной компании, едва ли придется убеждать в том, что возможность обращения пользователей за помощью к неуполномоченным лицам должна быть строго ограничена. К сожалению, отключение настройки Solicited Remote Assistance («Дистанционное обслуживание по запросу») также лишает возможности получить обслуживание и по инициативе помощника. До тех пор пока Microsoft не устранит это недоразумение, единственный выход из положения состоит в обучении пользователей. После того как будет создана инфраструктура, в которой специалисты технической поддержки смогут выполнять дистанционное обслуживание по своей инициативе, нужно научить всех сотрудников пользоваться этой инфраструктурой и реже прибегать к отправке просьб об обслуживании. Если администратор вынужден полагаться на модель обслуживания по приглашению, он должен требовать от пользователей умения обращаться с усиленными паролями и устанавливать разумные сроки действия приглашений, а также установить единый для всей компании способ доставки приглашений.