ניהול תחנות מרוחקות [מדריך]

אור צמח מעניק הצצה ליכולת של ארגון לתמוך במחשביו המרוחקים כאשר הרשת היחידה אליה הם מחוברים היא רשת האינטרנט

תמונה: flickr, cc-by, Joybot

בפוסט הבא אני מעוניין להרחיב קצת על יכולת חמקמקה, הדרושה לרבים מהארגונים הקיימים היום בשוק ואשר נשמעת מאוד מורכבת לביצוע כשהאמת זה שהיא, ובכן, ממש לא…

מדובר ביכולת של ארגון (במידה והוא חפץ בכך) לתמוך במחשבי הארגון המרוחקים כאשר הרשת היחידה אליה הם מחוברים היא רשת האינטרנט. אני מדבר לא רק על תחנות בסניפים מרוחקים אשר חיבור ישיר אליהן לא מצדיק את עצמו מבחינה כלכלית אלא גם על מנהלים בנסיעות עסקים, אנשים העובדים מביתם וכיום, עם המגמה ההולכת וגדלה של מחשוב נייד, יכול להיות שמדובר פשוט בשהיה מחוץ למשרד לארוחת צהריים ארוכה עם מחשב נייד.

לצורך כך, אנו מטמיעים לרוב מערכות שליטה ותחזוקה מרכזיות כגון WSUS לעדכוני מערכת, שרתי אנטי וירוס או שרת כדוגמת SCCM שעושה הכל יחד וגם מאפשר לנו לבצע פעולות נוספות כדוגמת Remote Control, אך כאשר אנחנו פורסים את השירותים הנ”ל אנו לרוב מניחים שיש תקשורת כלשהיא בין תחנת הקצה לשרת הניהול, מה שלא קורה כאשר התחנה שלנו מחוברת לרשת של ארומה.

לכן, כדי להשאיר את התחנות שלנו מנוהלות גם דרך האינטרנט, בואו נסקור מספר פתרונות אפשריים

Virtual Private Network Connection

חיבור ה-VPN מוכר היטב לכל מנהל רשת מתחיל, מדובר בתוספת קטנה למערכת ההפעלה או לתוכנת צד שלישי אשר מאפשרת חיבור וירטואלי ומאובטח דרך רשת האינטרנט לשרתי החברה שלנו בצורה כזו שהמחשב *חושב (משחק מילים משעשע) שהוא נמצא ברשת המקומית ובמידה וצריך לבצע עליו פעולות כגון Remote Control או לעדכן את תוכנת האנטי וירוס, העדכון מתבצע “כמעט” כמו בחיבור רגיל לרשת הארגון. למה כמעט? כי עדיין אנחנו מוגבלים ברוחב הקו איתו אנחנו מחוברים. (הרחבה מעניינת לנושא ה-VPN ניתן למצוא תחת הערך Direct Access בגרסת ה-Enterprise של Windows 7 אשר מאפשרת חיבור קבוע לרשת הארגון דרך האינטרנט ללא התערבות המשתמש)

פתרון זה מצריך קניית רישוי עבור פתרון החיבור מרחוק, הקמת תשתית ארגונית אשר תתמוך בחיבור מרחוק וכמובן, התקנה והגדרת VPN Connection בתחנות הקצה בכדי שיוכלו להתחבר מרחוק.

היתרונות הברורים של חיבור זה הינם שמדובר בפתרון הוליסטי לחיבור המחשב מרחוק לכל שירותי הארגון (לאחר שווידאנו שכל נושאי אבטחת המידע טופלו בהתאם)

Internet Facing Clients

כמעט לכל שרת ניהול יש יישום קטן הנקרא Client אשר מותקן בתחנות הקצה ואשר מדבר איתו “מאחורי הקלעים”, אותו Client משמש את שרת הניהול לבצע פעולות ספציפיות לאותו שרת על תחנת הקצה כגון הפצת יישומים, הפצת מערכות הפעלה, התקנת עדכוני מערכת ואף ביצוע Inventory ו-Remote Control. על מנת שה Client יוכל לדבר עם שרת הניהול דרך רשת האינטרנט ללא שימוש ב-VPN, אנו צריכים “לפרסם” (Publish) את שרת הניהול שלנו “החוצה” לשרת האינטרנט כך שיוכל לתקשר עם תחנות אלה בצורה מלאה.

פתרון זה מחייב התקנת תשתית ספציפית בשרתי הארגון שלנו כך שיוכלו לדבר עם תחנות דרך האינטרנט בצורה מאובטחת כאשר לרוב מדובר בפרויקט פחות מורכב (וגם זול) מפריסת תשתית VPN מלאה. החיסרון הוא כמובן שמדובר בחיבור ה Client בלבד. לא ניתן יהיה לבצע פעולות בחיבור מרחוק מלבד מה שה-Client עצמו יודע לבצע – מישהו אמר גישה לקבצים ולמייל ?

על החידושים ב-SCCM 2012 בכל הנוגע ל-Internet Facing Clients, אני ממליץ על הקישור הבא.

עכשיו, בעוד שמדובר בשני פתרונות ותיקים ומוכחים לפתרון בעיית הניהול מרחוק של התחנות, הבעיה הקבועה תמיד נשארת – ניהול תחנות, ובמיוחד תחנות מרוחקות עלול להיות יקר ומורכב מדי עבור ארגונים רבים, במיוחד משרדים קטנים ומבוזרים, בהם חצי מהסגל בחו”ל או עובד מהבית והחצי השני במשרד או בבית הקפה. לארגונים כאלה ואחרים, עלות ההקמה והרישוי של מערכת שכזו עלולות להיות לא כדאיות בעליל וכאן נכנס לתמונה Windows Intune.

Windows Intune הוא אחד משירותי הענן החדשים של מיקרוסופט המכוון בדיוק לאותם ארגונים אשר להם דרוש לא רק פתרון ניהול מרכזי ונוח, אלא גם שפתרון זה יחול על כל תחנות הארגון, בין אם הן במשרד או לא.

השירותים ש-Windows Intune מספק לתחנות הארגון הן:

  • ממשק מרכזי מבוסס Web אשר זמין מכל דפדפן לניהול מרכזי של תחנות הארגון ללא עלויות תשתית או רישוי

Windows Intune

  • ניהול Windows Updates (במקום שרת WSUS)
  • ניהול יישומי אנטי וירוס של מיקרוסופט (Microsoft Security Essentials החינמי והזריז וגם תמיכה ב Forefront)
  • Monitoring (היכן יש תקלות ביישומים, הודעות שגיאה, תקלות כלליות ועוד)
  • שליטה מרחוק באמצעות כלי ה-Easy Assist מבית מיקרוסופט – ז”א, לעזור למנכ”ל שלנו עם דפדפן האינטרנט כאשר הוא נמצא בנסיעת עסקים
  • קביעת Security Policy – מעין Group Policy מוקטן שחל דרך האינטרנט
  • ביצוע מצאי חומרה ותוכנה, כולל אכיפת רישוי מיקרוסופט

בגרסה הקרובה (2.0) של Windows Intune אנו נקבל גם את היכולות הבאות:

  • ניהול הפצת יישומים דרך האינטרנט – דרך Microsoft Azure
  • Remote Tasks – כמו למשל ביצוע Restart או עדכון חתימות AV
  • ניהול רישוי של תוכנות צד שלישי
  • ניהול הרשאות מורחב

Windows Intune מאפשר לנו לנהל תחנות מרוחקות בצורה כמעט מלאה (הפצה של מערכות הפעלה דרך האינטרנט היא עדיין לא רעיון כ”כ ישים), ללא עלויות הקמה, שדרוג או הכנה לגדילה עתידית בצורה מיידית והינו פתרון מרשים וזול מאוד עבור ארגונים רבים.

בנוסף, כל תחנה אשר רוכשים עבורה את רשיון השימוש ב-Windows Intune זכאית להטבות רישוי רבות וביניהן – Windows 7 Enterprise SKU הגרסא המומלצת ביותר של Windows 7 הזמינה רק דרך הסכמי הרישוי של מיקרוסופט

לשאלות ותשובות, ניתן לגשת לאתר ה-FAQ הראשי של המוצר כאן.

ניתן לנסות את השירות בחינם ל 30 יום כאן.

נכתב על-ידי אור צמח, Microsoft Windows Client Regional Director ויועץ מומחה בחברת Dario ופורסם במקור בבלוג של חברת Dario.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: