Управление сетью без границ

Pocket PC — удобное устройство для работы с электронной почтой и календарем, ввода заметок и запуска многочисленных приложений почти из любого места. Современный Pocket PC располагает мощным процессором и средствами беспроводной связи и может использоваться ИТ-администратором в качестве платформы для дистанционного управления сетью. В данной статье рассматриваются методы применения Pocket PC для дистанционного администрирования и приводится обзор восьми программных продуктов, с помощью которых можно управлять системами Windows и сетевыми устройствами отовсюду, где имеется беспроводное соединение с Internet.

Удаленное администрирование с использованием Pocket PC

Чтобы использовать Pocket PC для дистанционного управления сетью, необходимо подготовить инфраструктуру, в частности открыть порты брандмауэра и установить программу управления. В большинстве продуктов дистанционного администрирования на базе Pocket PC используется архитектура клиент/сервер. Другими словами, фирменный клиент или браузер работают на Pocket PC и устанавливают связь с сервером управления, размещенным в сети. Программа на сервере управления устанавливает соединение (или служит посредником) между удаленным клиентом и сервером управления и выдает команды дистанционно управляемым серверам и сетевым устройствам.

Как правило, на удаленно управляемых серверах инсталлировать специальное программное обеспечение не требуется. Связь устанавливается только между Pocket PC и сервером управления; такая схема упрощает настройку брандмауэра. В разных продуктах для связи между Pocket PC и сервером управления используются различные протоколы — HTTP, Secure Sockets Layer (SSL — уровень защищенных гнезд) или собственные разработки компаний. Большинству продуктов необходимо открывать брандмауэр только для связи с удаленным Pocket PC. Единственное исключение среди рассмотренных продуктов — GoToMyPC компании Expertcity; клиент GoToMyPC необходимо устанавливать на каждом дистанционно управляемом компьютере. Механизм опроса, реализованный на клиентах внутри сети, связывается с внешним Web-приложением провайдера прикладных услуг (Application Service Provider, ASP).

Одни продукты шифруют данные, пересылаемые между Pocket PC и сервером управления, другие ведут открытую широковещательную передачу данных (в том числе имени пользователя и пароля). Для более надежной защиты можно загрузить в Pocket PC независимый клиент VPN, а затем организовать туннель между карманным устройством и совместимым коммутатором VPN на границе сети. VPN не только шифрует административный трафик, но и обеспечивает более безопасный доступ к сети, по сравнению с пересылкой трафика на внутренний сервер с использованием правил брандмауэра.

В различных продуктах предъявляются разные требования к типу учетных записей, с которыми Pocket PC устанавливает удаленные соединения. В некоторых случаях требуется ввести доменную учетную запись пользователя и пароль, с помощью которых Pocket PC получает доступ к целевому серверу через сервер управления, не нарушая безопасность сети. В результате администратор может обращаться к данным удаленной системы в соответствии с полномочиями его доменной учетной записи. В других продуктах для доступа к серверу управления нужны другие учетные данные. В зависимости от настройки конфигурации, продукты используют для доступа к целевой системе и выполнения конкретных действий привилегированную доменную учетную запись, которая хранится в консоли управления.

К сожалению, поскольку в командах удаленного управления вместо настоящих учетных данных пользователя применяются доменные учетные записи, хранящиеся на сервере управления, выполненные дистанционно операции регистрируются под одной учетной записью. Чтобы смягчить этот недостаток, в некоторых продуктах можно регистрировать все административные задания на сервере управления, прежде чем они будут действительно выполнены на сервере. Для большей безопасности многие продукты поддерживают продукты с двойной аутентификацией, такие как RSA SecurID компании RSA Security.

Управление затрудняется из-за неудобства ввода данных на Pocket PC. Новые версии Microsoft Transcriber очень удобны для заметок, но трудно быстро набрать вручную такую команду, как

copy C:winntsystem32somefile.exe C:destination,

а в процессе ввода часто случаются ошибки. При вводе с клавиатуры допускается меньше ошибок, но, как правило, на это приходится тратить больше времени. Для решения данной проблемы в некоторых продуктах предусмотрены специальные процедуры дистанционного администрирования с помощью щелчков мыши, макрокоманд и даже простых сценариев.

Быстродействие инструментов дистанционного администрирования зависит от полосы пропускания канала связи, особенно при использовании беспроводных сетей или медленных сотовых соединений карманных компьютеров. Тестирование продуктов для данного обзора проводилось с использованием устройства Toshiba e755 со встроенным беспроводным адаптером 802.11b.

ASG-MobileControl Administrator

ASG-MobileControl Administrator компании ASG Software Solutions располагает удобным и хорошо продуманным интерфейсом удаленного управления на базе Web. Привычные для администратора облик и поведение программы напоминают Windows. Для работы ASG-MobileControl Administrator требуется Windows .NET Framework и Microsoft IIS; доступ к приложению возможен через браузер. В процессе установки на сервере управления устанавливаются Framework, обновленная версия Microsoft Data Access Components (MDAC) и программные файлы MobileControl. Для ограничения доступа к дистанционно управляемым серверам используется комбинированный метод на основе PIN и аутентификации Windows.

После настройки конфигурации компьютеров и учетных записей пользователей в серверном приложении можно назначить правила доступа. Например, одному пользователю можно предоставить полномочия по управлению учетными записями, другому — право включать и выключать компьютер. Для активизации и лицензирования всех дистанционно управляемых систем используется интерфейс управления MobileControl. Это простая задача, но параметры каждого компьютера приходится вводить вручную.

Из удачно организованного меню команд Pocket PC (экран 1) можно управлять компьютерами, принт-серверами, серверами Microsoft SQL Server, учетными записями пользователей и групп, серверами IIS, устройствами SNMP и электропитанием. Спускаясь по иерархии меню, пользователь переходит на более глубокие уровни управления объектом. Навигацию по объектам можно ускорить, назначая избранными (favorites) многие объекты, например принт- и IIS-серверы.

Наряду с функциями управления удаленными серверами, ASG-MobileControl Administrator располагает несколькими полезными инструментами, в том числе Ping, DNS Lookup, Whois, Telnet, Secure Shell (SSH), Tracert и командной строкой. Для ускорения типовых процедур можно выбрать компьютер и операцию из меню.

GoToMyPC

GoToMyPC — уникальный инструмент дистанционного администрирования на базе службы подписки, в котором используется миниатюрная версия «рабочего стола» Windows. Благодаря комбинации Web-узла ASP и масштабированию экрана этот метод администрирования удаленных компьютеров более других похож на использующийся в Windows. В других инструментах для типовых задач применяются ярлыки и меню, а в GoToMyPC имеется настоящий «рабочий стол» Windows. Разработчикам GoToMyPC удалось избежать недостатков клиента Pocket PC Terminal Services; размеры экрана можно изменять от крошечных (в режиме Scale to fit) до приемлемых для чтения (50%) и даже до 400%. Кроме того, учитывая соотношение горизонтальных и вертикальных сторон экранов большинства Pocket PC, GoToMyPC позволяет повернуть дисплей на 90?.

В результате получается на удивление хорошая, хотя и миниатюрная, картинка. Даже в режиме Scale-to-fit (экран 2) удается манипулировать экранными элементами (я не рекомендую этого делать во время езды в автобусе; при таких крошечных размерах рука должна быть твердой). Открывать меню, щелкать на пиктограммах и манипулировать элементами «рабочего стола» можно с помощью пера, хотя операции выполняются довольно медленно, а команды иногда приходится повторять. Как правило, стандартные операции приложений дистанционного администрирования работают быстрее и эффективнее, но тем не менее инструменты «рабочего стола» полезны.

На каждой дистанционно управляемой системе должен располагаться агент GoToMyPC, но специально настраивать брандмауэр не требуется, так как главный компьютер опрашивает центральную службу GoToMyPC через каждые 15 секунд. Для дистанционного управления сервером необходимо запустить хост-приложение GoToMyPC, но не обязательно оставаться зарегистрированным; приложение работает как служба. Принцип работы GoToMyPC больше похож на Net Meeting, чем на Windows 2000 Server Terminal Services, так как администратор регистрируется интерактивно, и если экран GoToMyPC не заблокирован специальной командой, то другие пользователи могут обращаться к службе и видеть все действия администратора.

iAdmin Mobile

Знакомый и удобный интерфейс мобильного клиента iAdmin Mobile компании JRB Software обеспечивает простой доступ к большинству системных параметров, необходимых администратору. С помощью iAdmin можно останавливать и перезапускать службы (экран 3); просматривать журналы событий; управлять учетными записями пользователей и групп и очередями печати; запускать задания; включать и отключать компьютер, просматривать разделяемые диски и файлы; управлять DNS, доменами, Microsoft Exchange и IIS с помощью встроенных функций администрирования.

Благодаря минимальной функциональности, iAdmin Mobile занимает лишь 2 Мбайт на жестком диске сервера управления. Вводить новые управляемые серверы в консоль iAdmin Mobile приходится по одному. Это утомительная процедура, но если серверов немного, то данное ограничение можно в расчет не принимать.

Чтобы установить связь с мобильного клиента, нужно зарегистрироваться один раз в начале сеанса, а затем использовать те же учетные данные для дистанционного доступа к управляемым компьютерам. Учетные данные, назначаемые на сервере управления, определяют круг доступных и управляемых дистанционно компьютеров.

С помощью iAdmin Mobile можно управлять учетными записями пользователей и групп, в частности создавать учетные записи пользователей и локальные или глобальные группы, удалять учетные записи пользователей и группы, изменять членство в группах и пароли. Кроме того, iAdmin Mobile позволяет управлять серверами Exchange, IIS и серверами DNS, не интегрированными с Active Directory (AD). Однако некоторые функции ограничены; например, команда Exchange Administration отображает только статистику сервера Exchange. iAdmin Mobile можно использовать для запуска и прекращения работы Web-узла и резервного копирования метабазы IIS. Команда Domain Administration выдает список атрибутов домена, в том числе политику паролей домена и роли мастеров операций. К сожалению, на экране карманного компьютера нельзя увидеть данные, возвращаемые при выполнении утилит из командной строки. Например, можно запустить notepad.exe на удаленном сервере, но нельзя увидеть результаты выполнения команды Ipconfig.

IC2

Программа IC2 компании Inciscent обеспечивает кроссплатформенное администрирование сети. Сервер работает на Web-сервере Resin компании Caucho Technology, а в качестве внутренней базы данных применяется MySQL. Для навигации по модулю дистанционного администрирования систем Windows (Windows Management Module, WMM) используется набор многоуровневых меню. Например, чтобы просмотреть журнал событий системы, следует щелкнуть на пунктах Network tools, Computers, Connect to Computer, а затем ввести имя компьютера, имя пользователя, пароль и домен. К сожалению, при подключении к другому управляемому компьютеру или запуске другого инструмента IC2 процедуру аутентификации приходится повторять. Эта проблема решена для доменных учетных записей в новейшей версии инструмента; администратор может зарегистрироваться один раз, а затем установить связь с любым сервером, который является членом домена. Благодаря этому новшеству переключаться между дистанционно управляемыми серверами становится очень просто.

IC2 отображает у клиента соответствующий список инструментов, в том числе Services, Processes, Local Users, Local Groups, Event Logs, Utilities, File Browser, Installer, Network Adapters и командную строку. В интерфейсе удобно просматривать состояние учетных записей пользователей (экран 4). Клиент IC2 задействует клиент Telnet или SSH для подключения к сетевым устройствам. Поддержка SNMP облегчает мониторинг SNMP-совместимого оборудования как Windows, так и других типов.

Для упрощения работы с меню используются команды быстрого вызова. В программе настройки на базе Web можно перейти на любой уровень меню (как в клиенте) и присвоить ему ярлык. Ярлыки доступны с удаленных клиентов, и администратору достаточно щелкнуть по ярлыку на экране Pocket PC, чтобы вызвать нужную функцию.

Network Tools

Перед установкой Network Tools (Net Tools) компании Blueprint Software необходимо установить службу Remote Service Control (RSC) на сервере, работающем с .NET Framework. Служба RSC работает как серверный компонент приложения. После установки RSC следует загрузить фирменную клиентскую программу Net Tools на карманный компьютер и запустить приложение.

Из пользовательского интерфейса можно управлять основными функциями системы. Однако Net Tools недостает безопасности и широты функциональности, свойственных более дорогостоящим продуктам. С помощью сервера RSC можно создавать учетные данные индивидуальных пользователей. Первичная учетная запись пользователя с достаточными полномочиями для исполнения удаленных команд должна быть интерактивно зарегистрирована на RSC-сервере, и Net Tools исполняет все команды пользователей в контексте первичного пользователя. Например, если первичный пользователь зарегистрирован на RSC-сервере в качестве администратора домена, то любой пользователь Pocket PC, знающий имя пользователя и пароль Net Tools, может подключиться к RSC-серверу и выполнять команды в качестве администратора домена. Кроме того, данные, пересылаемые между клиентом и RSC-сервером, в том числе учетные данные пользователя, не шифруются.

Команды Ping и Traceroute можно направлять по любому адресу. Сохранив адреса, можно быстро протестировать группу известных адресов в процессе диагностики. Net Tools поддерживает Telnet (но не SSH), используя Telnet-сервер, который принимает учетные данные, передаваемые открытым текстом. Пользователь может увидеть службы, драйверы устройств и процессы (экран 5), а также запустить новые процессы.

Меню Net Tools обеспечивает доступ к основным функциям управления Windows, но они уступают возможностям более дорогостоящих инструментов. Например, можно редактировать только доменную информацию пользователя (но не локальные учетные записи), блокировать/активизировать учетные записи пользователей, менять пароли пользователей, вводить учетные записи новых пользователей, но нельзя разблокировать или редактировать учетные записи пользователей и изменять членство групп. Возможности инструмента командной строки ограничены пакетными файлами и выполнением встроенных команд, таких как Dir, Path и Ver. Чтобы дистанционно запускать внешние утилиты, например Ipconfig и Netstat, их следует включить в пакетный файл.

NT Services

NT Services компании Backbone Software располагает почти всеми функциями для доступа и дистанционного управления службами, которые имеются у его конкурентов. При этом цена продукта гораздо ниже, но в нем отсутствуют проработанные меры безопасности. Программа стоимостью 69 долл. обеспечивает дистанционное управление службами, процессами, Web-узлами IIS и сеансами Terminal Services; просмотр журналов событий и информации о компьютере; создание резервных копий IIS. Функции управления NT Services не уступают аналогичным функциям других продуктов стоимостью в тысячи долларов и даже превосходят их.

Главные компоненты NT Services — Web-узел IIS и приложение COM+ (его конфигурацию приходится настраивать вручную, но это несложно). Web-сервер отображает различные страницы в зависимости от версии Web-клиента: малой версии для Microsoft Pocket Internet Explorer (PIE) или стандартной версии, совместимой с любым браузером. Специальный клиент Pocket PC не нужен.

Прилагаемый инструментарий позволяет получить сначала обзорную информацию о конкретной функции, а затем более подробные сведения. Например, щелкнув на ссылке IIS Sites (экран 6), можно запустить и остановить службу или перейти на более высокий уровень, чтобы проверить полномочия и другие параметры сайта. Программа выдает информацию о процессоре, памяти, сетевых адаптерах, накопителях, установленных пакетах обновлений и исправлениях на любом компьютере, доступном для NT Services. В программе нет функций управления группами и пользователями, командной оболочкой, SSH или Telnet для выполнения произвольных команд.

Для защищенного доступа к Web-узлу IIS необходимо настроить функции безопасности IIS. По умолчанию Web-узел управления NT Services открыт для анонимных пользователей и не зашифрован. Для управления системами в домене рекомендуется создать специальную учетную запись с административными полномочиями и использовать ее для выполнения команд. Более крупные организации могут отдать предпочтение инструменту, который поддерживает полномочия индивидуальных учетных записей, но для малых предприятий общий доступ через NT Services вполне подойдет.

Expand Beyond Mobile Suite for Microsoft

В пакет Expand Beyond Mobile Suite for Microsoft входит три приложения: PocketAdmin for Windows, PocketAdmin Console и PocketDBA. Эти приложения обеспечивают межплатформенное дистанционное управление для платформы Windows, баз данных и SSH/Telnet. Архитектура PocketAdmin состоит из структуры клиент/сервер в составе мобильного клиента, сервера XBanywhere на базе Apache Software Foundation Jakarta Tomcat и шлюза Windows. Установить связь с сервером Telnet или SSH можно из клиента PocketAdmin Console; другой способ — управлять системами Windows или базой данных с использованием пакета Expand Beyond Mobile Suite. Мобильные клиенты устанавливают связь с сервером XBanywhere, который работает на операционной системе Sun Microsystems Solaris 8 или более новой версии; Red Hat Linux 7.3 или более поздней; Windows Server 2003, Windows 2000 или Windows NT 4.0 Service Pack 6a (SP6a). Затем сервер XBanywhere устанавливает связь со шлюзом Windows, который непосредственно соединен с управляемыми серверами. Необходим лишь один сервер XBanywhere, но фирма Expand Beyond рекомендует устанавливать шлюз Windows в каждом управляемом лесу. Для работы шлюза Windows используется IIS и требуется Framework.

Клиент PocketAdmin for Windows обеспечивает представление среды предприятия в AD. Сначала администратор указывает домен и компьютер (переходя на более глубокий уровень организационных единиц — OU), затем выбирает функции управления, в том числе учетными записями пользователей и групп, просмотром журнала событий, процессами и службами. В отличие от красочных пиктограмм управления компьютером, данные представлены в текстовых таблицах (экран 7) и выглядят не так аккуратно, как данные, отображаемые инструментами с собственными клиентами.

Интерфейс пользователя на базе AD подойдет для организаций со многими серверами. Если администратору известно, где объекты расположены в AD, то он без труда найдет их в длинном списке, перемещаясь по иерархической структуре. Программа отмечает положение администратора в иерархии, и ему нетрудно вернуться на несколько уровней назад.

Кроме того, программа располагает мощной оболочкой, использующей преимущества независимо устанавливаемого SSH-сервера. Можно задействовать отдельного клиента PocketAdmin Console как полноценную оболочку SSH или выполнять короткие команды непосредственно из Web-клиента PocketAdmin for Windows.

Sonicadmin

Хорошо продуманный интерфейс программы sonicadmin фирмы Sonic Mobility обеспечивает доступ из меню к наиболее распространенным административным операциям. Из полноценной командной строки можно обратиться к привычным утилитам консоли или командам на сервере. При желании можно использовать SSH или Telnet для связи с управляемыми серверами. Возможность регистрировать дистанционные команды и действия очень удобна для аудита.

Разработанная специалистами компании архитектура клиент/сервер sonicadmin позволяет сжимать и шифровать сетевой трафик без дополнительной настройки продукта. Для загрузки клиента sonicadmin в Pocket PC и соединения с сервером sonicadmin требуется предпринять ряд мер для защиты информации, в том числе создать пользователей и авторизовать мобильное устройство. Сервер играет роль шлюза для других сетевых серверов. Для ввода ролей, имен мобильных устройств и пользователей (экран 8) и активизации серверов Windows или SSH и Telnet для дистанционного управления необходимо задействовать консоль sonicadmin. Sonicadmin хранит информацию о конфигурации в базе данных Microsoft Access, которую не требуется настраивать.

Клиент хорошо спроектирован и удобен для навигации. Процедуры просмотра списков процессов, служб и других данных просты и не отнимают много времени. Sonicadmin располагает утилитой командной строки со встроенными типовыми командами (например, Ipconfig, Netstat, Nbtstat, Net Use, Tracert). Пользователь может вводить в программу и собственные команды.

Как правильно выбрать инструмент

Многим индивидуальным пользователям и малым предприятиям подойдет модель совместной безопасности, применяемая в более доступных по цене Net Tools и NT Services. Однако высокая цена ASG-MobileControl Administrator и Expand Beyond Mobile Suite for Microsoft вполне окупается продуманной и развитой функциональностью. Большинство поставщиков предлагают полнофункциональные демонстрационные версии своих продуктов. Рекомендую воспользоваться ими, чтобы протестировать продукт перед покупкой.


Джеф Феллинг (jeff@blackstatic.com) — старший менеджер по информационной безопасности и технологиям в Internet-компании


ASG-MobileControl Administrator

Поставщик: ASG Software Solutions, http://www.asg.com

Цена: 2750 долл. для 15 серверов; 10 000 долл. для 100 серверов

Краткая характеристика

Достоинства: интуитивно понятная структура большинства инструментов дистанционного администрирования

Недостатки: ручная процедура ввода параметров компьютера


GoToMyPC

Поставщик: Expertcity, http://www.expertcity.com

Цена: План Pro, 16,95 долл./мес. за один сервер

Краткая характеристика

Достоинства: располагает всеми инструментами «рабочего стола».

Недостатки: сложность управления полным «рабочим столом» на малом экране; управляемые серверы должны часто подключаться к сайту GoToMyPC; необходимо устанавливать агента на каждой управляемой системе


iAdmin Mobile

Поставщик: JRB Software, http://www.jrb-soft.com

Цена: 600 долл. для 10 серверов; 3000 долл. для 100 серверов

Краткая характеристика

Достоинства: интуитивно понятное расположение вкладок; одноразовая аутентификация; специальные функции управления IIS и Exchange

Недостатки: ручной ввод управляемых серверов; отсутствие полноценного доступа из командной строки; мелкие ошибки в некоторых функциях


IC2

Поставщик: Inciscent, http://www.incis-cent.com

Цена: 4995 долл. для 10 серверов; 24 995 долл. для 100 серверов

Краткая характеристика

Достоинства: ярлыки для быстрого доступа к функциям; наличие основных инструментов (в том числе SSH, Telnet, Windows management); простота перемещения по уровням меню

Недостатки: невозможность кэширования учетных данных и их повторного использования при переключении между компьютерами и доменами


Network Tools

Поставщик: Blueprint Software, http://www.blue-print.com

Цена: 149 долл.

Краткая характеристика

Достоинства: отличный графический интерфейс; низкая цена

Недостатки: слабая защищенность; скудная информация; привилегированный пользователь должен оставаться зарегистрированным для работы с RSC-сервером


NT Services

Поставщик: Backbone Software, http://www.backbo-nesoftware.no

Цена: 69 долл. для управляемого сервера

Краткая характеристика

Достоинства: недорогой и надежный продукт; интуитивно понятный интерфейс; небольшое время отклика; отличные функции управления

Недостатки: нет командной строки и функций администрирования пользовательских учетных записей; нет детализированных функций безопасности


Expand Beyond Mobile Suite for Microsoft

Поставщик: Expand Beyond , http://www.xb.no

Цена: PocketAdmin for Windows (только): 7500 долл. для 100 серверов; 2500 долл. для 10 машин Windows и SQL Server

Краткая характеристика

Достоинства: навигационные ссылки позволяют вернуться в отправную точку; мощная консоль на базе SSH

Недостатки: высокая цена; неаккуратный табличный формат; трудности установки из-за применения отличного от IIS Web-сервера и отдельной процедуры настройки SSH-сервера


Sonicadmin

Поставщик: Sonic Mobility,http://www. sonicmobility.no

Цена: 2500 долл. для 10 серверов;14 900 долл. для 100 серверов

Краткая характеристика

Достоинства: отлично организованный интерфейс; полноценная командная строка

Недостатки: необходимость вручную добавлять управляемые серверы; система безопасности требует дополнительных усилий по конфигурированию