現在網絡上的遠控軟件多如牛毛，管理員們應該如何選擇呢?筆者認為，安全、穩定、高效是最重要的三個標準。下面筆者向大家推薦兩款非常實用的遠程控制工具。

　　一、部署SSH，遠程管理更安全

　　管理員經常需要telnet到遠程服務器進行管理，眾所周知Telnet服務有一個致命的弱點，它是以明文的方式傳輸用戶名和口令，所以很容易被別有用心的人竊取口令。

　　基于此筆者向大家推薦SSH(Secure Shell)，它包括服務器端和客戶端兩部分。SSH客戶端與服務器端通訊時，用戶名和密碼均進行了加密，這就有效地防止了他人對密碼的盜取。而且通信中所傳送的數據包都是“非明碼”的方式。更重要的是它提供了圖形界面，同時也可以在命令行(shell)下進行操作。

　　(一)部署SSH服務器

　　1.演示環境

　　服務器

　　OS:Windows Server 2003

　　IP:192.168.1.12

　　管理端

　　OS:Windows XP sp2

　　IP:192.168.1.22

　　軟件版本

　　Server：F-Secure SSH Server v5.3.28

　　Client：F-Secure SSH Client v5.4.56

　　2.服務端部署

　　(1)安裝

　　在服務器上，下載并安裝SSH服務器端“F-Secure SSH Server”軟件。安裝完成后，SSH服務器自動啟動。特別提示在安裝并啟動了SSH服務后，一定要關閉Telnet服務以保證服務器的安全。

#p#副標題#e#

　　(2)設置

 

　　啟動SSH服務后，網絡管理員就可以遠程登錄服務器進行維護了。但是每個局域網使用SSH服務的需求是不同的，因此默認的服務參數未必能滿足需要，那么我們就可以自行設置這些參數。

　　基本參數設置

　　運行“fsshconf.exe”服務端配置程序，在彈出的“F-Secure SSH Server Configuration”窗口左欄中，依次選擇“Server Settings→General”，然后在右邊的“General”框體中就可以進行服務端基本參數的設置了。

　　“Maximum number of connections”設置SSH服務器的最大連接數，以限制連接到SSH服務器的最大用戶數。大家可以根據自己的需要進行設置，但不要太大造成服務器的負擔，建議企業中有幾個管理員就設置幾個連接數比如設置成12。默認是0，表示沒有限制。“Idle timeout”是用戶遠程登錄的超時時間設置，默認為“0”，就是不進行登錄超時限制。“Event log filter”多選框用來定義系統日志記錄哪些信息，我們可采用默認設置，勾選“Errors”和“Warnings”兩項即可，建議大家不要勾選“Information”，否則會浪費系統資源。

　　

　　圖1

　　“Encryption”配置項下可以設置加密方法，大家可以根據企業的安全需要進行選擇。大家知道FTP服務器的個性化的登錄信息，SSH服務器也一樣可以做到。首先編寫一個登錄信息文本文件保存在文件夾中，然后點擊“Banner message file”欄的瀏覽按鈕，指定已編寫好的文本文件即可，這樣用戶遠程登錄時就能看到這些個性化的信息了。最后，大家一定要記住點擊“Apply”按鈕保存參數設置。

　　網絡參數設置

　　“Network”配置項下可以設置連接的端口，默認是“22”，筆者建議更改端口以加強安全性。當然SSH服務器使用的端口號一定不能和服務器上別的程序的端口號沖突。另外，端口更改后在客戶端連接是就必須得用這個端口。其他的參數設置建議使用默認值。

　　點擊“Identity”選項，在右欄中，我們可以使服務器重新產生新的用戶加密密鑰和對外公開使用的公鑰，它們分別存放在安裝文件夾的“hostkey”和“hostkey.pub”文件中，點擊“Generate”按鈕就可以重新生成這兩個文件。

圖2

　　SSH服務器產生一對密鑰和公鑰。客戶端使用公鑰對SSH服務器發送來的信息進行解密。當用戶第一次登錄SSH服務器時，服務器會將它的公鑰發送給客戶端，以便客戶機能對服務器發送的信息進行解密。

#p#副標題#e#

　　登陸限制參數設置

 

　　點擊“Host Restrictions”選項，在右欄中就可以對遠程登錄的計算機進行限制設置。例如，不允許IP地址為“192.168.1.30”的客戶機遠程登錄 SSH服務器，在“Deny login from hosts”輸入框中輸入“192.168.1.30”。與此類似“Group Restrictions”、“User Restrictions”分別是設置對于用戶組和具體用戶的限制。設置完成后點擊“Apply”按鈕即可。

圖3

　　SSH服務器參數的設置還有很多，除上面的以外大部分參數使用默認值即可。SSH服務器的參數保存在“sshd2_config”文件中，用戶也可以用記事本打開它，直接進行編輯，但這種方法比較麻煩，建議大家不要使用。

　　3、客戶端：客戶端的部署非常簡單，只需安裝客戶SSH客戶端程序“F-Secure SSH Client”即可。

　　(二)安全控制

　　1.連接SSH服務器

　　運行桌面上的客戶端程序，彈出“F-Secure SSH Client”主窗口，點擊工具欄中的“Connect”(連接)按鈕，彈出“Connect to Remote Host”對話框。

　　在“Host name or IP address”欄中輸入SSH服務器的地址，如輸入它的IP地址“192.168.1.12”。接著，在“User Name”欄中輸入SSH服務器的管理員賬號名，在“Port”欄中輸入SSH服務器使用的端口號。最后，點擊“Connect”按鈕即可連接SSH服務器。

圖4

#p#副標題#e#

　　此時，如果用戶是第一次遠程登錄SSH服務器，則會彈出“是否將SSH服務器公鑰保存在本地數據庫中”的提示框，點擊“是”按鈕，接著彈出“請輸入密碼”對話框，輸入管理員賬號、密碼后，點擊“OK”按鈕，就可以登錄到SSH服務器，對服務器進行遠程維護了。

 

圖5

　　提示：SSH客戶端也會產生用戶的加密密鑰和公鑰，客戶端在第一次登錄時，會將產生的公鑰復制到SSH服務器上的用戶目錄中，以便服務器能對客戶端發送的信息進行解密。用戶目錄在服務器上的存儲路徑為“C?Documents and Settings用戶名”(假設操作系統是安裝在C盤中)。

　　2.文件傳輸功能

　　SSH服務器不但提供了遠程登錄功能，還提供了文件傳輸功能。點擊“F-Secure SSH Client”主窗口的文件傳輸按鈕后，則可彈出文件傳輸窗口，以進行文件的傳輸。在“Local Folders”欄中選擇一個本地文件，然后將它拖到“Remote Folders”欄中的SSH服務器上用戶的主目錄中即可，在窗口底部的狀態欄中會顯示文件的傳輸狀態。

圖6

　　客戶端連接SSH服務器時，SSH服務器提供兩種級別的安全驗證。第一種級別基于用戶賬號密碼的安全驗證，只要知道賬號和密碼就可以登錄到SSH 服務器;第二種級別基于密鑰的安全驗證，客戶端必須為自己創建一對密鑰，并把公用密鑰傳送到SSH服務器上，這樣就有效地保證了客戶端和服務器端數據的安全傳輸。

#p#副標題#e#

　　二、ATIES出馬，輕松實現服務器遠程備份

 

　　服務器備份是服務器安全的需要，根據安全策略對服務器繼續備份也是管理人員的一項重要工作。筆者向大家推薦一款利器Acronis True Image Enterprise Server(簡稱ATIES)，通過它能輕松實現對服務器磁盤分區的遠程完整備份、增量備份和計劃備份，極大減輕網管的維護工作量。

　　下面筆者部署一個網絡環境，實例演示利用ATIES對服務器進行遠程備份。

　　服務器A(Windows Server 2003)

　　網管機B(Windows XP)

　　任務：

　　1.遠程備份服務器A中的磁盤分區，鏡像文件存儲在服務器A的共享文件夾“TEST”中。

　　2.利用“計劃任務”功能實現自動增量備份。

　　(一)部署控制中心

　　在網管機器B中，下載并運行ATIES安裝程序，彈出組件安裝對話框，點擊“Install Acronis True Image Management Console”選項，同意用戶許可協議后，一路點擊“NEXT”按鈕，就完成了ATIES控制中心的安裝。

　　(二)遠程部署Agent(代理)

　　要想進行遠程備份操作，必須為服務器A遠程安裝Agent代理程序。

　　在網管機器B中，依次點擊“開始→程序→Acronis→Acronis true image management console→Acronis true image management console”項目。在ATIES控制中心窗口中點擊“Install acronis componets to a remote computer”選項，進入到“遠程安裝向導”對話框，點擊“NEXT”按鈕后，選中“Registered components”單選項，在接下來的“程序選擇”對話框中列出兩個程序組件:Acronis true image agent和Acronis true image enterprise server。這里筆者要為服務器A安裝代理程序，因此選擇“Acronis true image agent”項目如圖7，然后進入到“登錄信息”對話框。

圖7

　　在“Computer”欄中輸入服務器A的IP地址，如“192.168.1.12”，也可以點擊“Browse”按鈕，在計算機瀏覽框中找到服務器A，然后在“User name”和“Password”欄中分別輸入服務器A的管理員賬號名和密碼，如“lw”賬號。這里筆者建議選中“Allow to reboot remote computer automatically”選項，因為代理程序遠程安裝后，必須重新啟動系統才能生效。最后點擊“Proceed”按鈕，開始為服務器A遠程安裝代理程序。安裝完成后，服務器A將自動重新啟動系統。

 

圖8

　　(三)讓文件夾共享

　　這里筆者要在網管機器B中遠程備份服務器A的磁盤分區，并將“鏡像文件”存儲在服務器A的“S_bak”共享文件夾中。這里注意服務器A使用的是NTFS文件系統，因此共享文件夾的訪問權限不但受到“共享權限”限制，還受到NTFS文件系統的訪問權限限制。我們首先要在服務器A上對“S_bak”共享文件夾訪問權限進行合理設置。

　　1.設置共享權限

　　在服務器A的資源管理器中，右鍵點擊“S_bak”共享文件夾，選擇“屬性”，切換到“共享”標簽頁，點擊“權限”按鈕，彈出“S_bak的權限”設置對話框，點擊“添加”按鈕，將“lw”賬號添加到“組或用戶名稱”列表框內，并且還要給該賬號賦予“完全控制權限”，最后點擊“確定”按鈕，完成共享權限設置。

　　2.NTFS訪問權限設置

　　以上設置的只是共享訪問權限，畢竟“S_bak”共享文件夾是受“共享訪問權限”和“NTFS訪問權限”雙重制約的。如果NTFS文件系統不允許“lw”賬號訪問共享，也是不行的。

#p#副標題#e#

　　切換到“安全”標簽頁后，首先將“lw”賬號添加到“組或用戶名稱”列表框中，接下來還要為該賬號設置訪問權限。選中“lw”賬號后，在“lw的權限”列表框中選中“讀取和運行、列出文件夾目錄、讀取、修改和寫入”項目，最后點擊“確定”按鈕。

 

圖9

　　經過以上操作后，就完成了“S_bak”共享文件夾訪問權限的設置。這里要注意以上操作是在服務器A進行的。

　　(四)遠程備份從此簡單

　　到此為止，遠程備份的準備工作就全部完成了，下面就可以在網管機器B中對服務器A的磁盤分區進行遠程備份。

　　1.連接服務器A

　　在網管機器B的ATIES控制中心窗口中，點擊“Connect to a remote computer”項目，彈出“遠程連接計算機”對話框，在“Computer”欄中輸入服務器A的IP地址“192.168.1.12”，點擊“Options”按鈕后，在“User name”和“Password”欄中分別輸入服務器A的管理員賬號名“lw”和賬號密碼如圖10，點擊“OK”按鈕后，進入到“Pick a task for the remote computer”窗口，說明已經成功連接到服務器A。

圖10

#p#副標題#e#

　　2.第一次完全手工備份

 

　　下面就開始實施遠程手工備份服務器A磁盤分區。點擊“Backup”選項，彈出“創建鏡像文件向導”對話框，點擊“NEXT”按鈕后，在接下來的對話框中列出服務器A的磁盤分區。這里筆者以“C盤”分區為例，選中“C盤分區”項目，點擊“NEXT”按鈕后，為鏡像文件指定存儲位置。

　　在“網絡計算機”對話框中找到服務器A，彈出登錄對話框窗口，輸入服務器A的管理員賬號后，進入到“S_bak”共享文件夾，接著為鏡像文件起個名字，如“server.tib”。下面選擇“鏡像模式”，這是筆者第一次為服務器A的C盤分區進行備份，因此要選擇完全備份方式，選中“Create the full backup image archive”選項，點擊“NEXT”按鈕后，要為鏡像文件設置一個復雜的“保護密碼”，防止有人非法竊取。接著還要為鏡像文件設置分卷方式、壓縮率等，如果沒有特殊要求，使用默認值即可。最后點擊“Proceed”按鈕，就開始遠程備份服務器A的C盤分區。備份成功后，就會在服務器A的“S_bak”共享文件夾中生成一個名為“rtj.tib”的鏡像文件。

圖11

　　3.計劃增量備份

　　以上完成了第一次手工備份，但以后每次都要手工備份是非常麻煩的，ATIES提供了“計劃任務”功能，利用它創建備份任務，可以輕松完成自動備份。

　　在網管機器B的ATIES控制中心窗口中，點擊下方的“Show tasks”選項，彈出“計劃任務向導”對話框，計劃備份向導的操作過程和手工備份向導基本相似，只是多出“備份時間間隔”參數的設置。

圖12

#p#副標題#e#

　　還是以備份服務器A的C盤分區為例，在“計劃任務向導”對話框中選中服務器A的C盤分區，指定好鏡像文件的存儲位置“S_bak共享文件夾中rtj.tib”。這里要注意:“鏡像模式”要選中“Create differential backup archive”項目，也就是增量備份。

 

圖13

　　接著指定好分卷方式、壓縮率等，然后進入到“備份時間間隔”參數設置對話框。這里筆者每天都要對服務器A的C盤分區進行遠程增量備份，選中“Daily”單選項，點擊“NEXT”按鈕后，在“Start time”欄中設置每天開始計劃備份的時間;然后進入到“用戶信息”對話框，在這里輸入要使用的服務器A的管理員賬號密碼，最后點擊“Finish”按鈕，完成備份任務的創建。這樣一來，網管機器B每天都可以自動對服務器A的C盤分區進行遠程增量備份，免去了手工備份的麻煩。

圖14

　　利用ATIES實現磁盤分區的遠程備份的確能方便網管對備份文件的統一管理。在設置過程中一定意以下兩點:1、要正確設置服務器A的網絡防火墻和共享文件夾的訪問權限，這樣在網絡中進行遠程備份的人員才能訪問服務器A，保證備份文件被正常存儲在共享文件夾中;1、遠程備份人員要擁有服務器A的管理員訪問權限，否則就無法正常安裝代理程序和遠程連接服務器A。

　　總結：現在的遠控工具實在是太多了，也許大家都有自己常用的工具，不管大家選擇那款工具安全性是最重要的。選擇工具的時候一定要慎重，從企業的需要出發把好安全關以免引狼入室造成安全隱患。希望筆者推薦的這兩款遠控工具為大家帶來安全快捷的遠控體驗。