Перейти к основному содержимому
Версия: Privileged Access Manager 3.1

Серверы

Для установки компонентов PAM серверы на ОС Windows должны:

  • обращаться к одному DNS-серверу;
  • находиться в одном домене и сети;
  • иметь запущенную службу WinRM.
  • иметь имя хоста, совпадающее с DNS-именем сервера, в нижнем регистре и формате FQDN.
    Пример: pam.my-company.local.

Аппаратные и программные требования, а также сетевое взаимодействие для серверов смотрите в разделе Системные требования.

Запуск службы WinRM

Для выполнения сервисных операций на серверах управления и доступа запустите службу WinRM.

Чтобы запустить службу:

  1. Запустите PowerShell от имени администратора.

  2. Выполните команду:

    Enable-PSRemoting –Force

Команда задает стандартные настройки WinRM, меняет тип запуска службы на автоматический и разрешает входящие сетевые подключения через брандмауэр Windows к портам 5985 и 5986.

Настройка сервера доступа RDS

Пользователи PAM могут открывать Web/Desktop-сессии через сервер доступа RDS. Подключение реализовано с помощью Remote Desktop Services Microsoft (Службы удаленных рабочих столов). Когда пользователь подключается к серверу доступа RDS, запускается приложение Indeed PAM. Приложение проверяет права пользователя, аутентифицирует его и ведет логирование сессии. Запуск приложений осуществляется в режиме RemoteApp.

Чтобы подготовить сервер к работе, включите службу WinRM, разверните роль RDS и настройте брандмауэр.

Перед тем как развернуть сервер с ролью RDS убедитесь, что:

  • к нему не применяются групповые политики, связанные с удаленным доступом;
  • на нем отсутствуют любые из компонентов роли RDS (RDCB, RDG, RDL, RDSH, RDVH, RDWA).

Развертывание роли Remote Desktop Services

  1. Откройте Server Manager (Диспетчер серверов) и в меню Manage (Управление) выберите Add Roles and Features (Добавить роли и компоненты).
  2. Выберите тип установки Remote Desktop Services Installation (Установка служб удаленных рабочих столов) и нажмите Next.
  3. Выберите тип развертывания Standard deployment (Стандартное развертывание) и нажмите Next.
  4. Выберите сценарий развертывания Session-based desktop deployment (Развертывание рабочих столов на основе сеансов) и нажмите Next.
  5. Пропустите шаг Role Services (Роли серверов) и нажмите Next.
  6. Выберите имя текущего сервера на шагах RD Connection Broker (Посредник подключений к удаленным рабочим столам), RD Web Access (Веб-доступ к удаленным рабочим столам),  RD Session Host (Узел сеансов удаленных рабочих столов) и нажмите Next.
  7. Включите опцию Restart the destination server automatically if required (Автоматически перезапускать конечный сервер, если это потребуется) и нажмите Deploy (Развернуть).
  8. После перезагрузки откройте Server Manager (Диспетчер серверов) и дождитесь завершения процесса.

Настройка правила брандмауэра

  1. Перейдите на вкладку Local server (Локальный сервер) и нажмите на значение параметра Windows Defender Firewall (Брандмауэр Microsoft Defender).
  2. Перейдите в окно Firewall & network protection (Брандмауэр и безопасность сети) и нажмите Advanced settings (Дополнительные параметры).
  3. Перейдите в окно Windows Defender Firewall with Advanced Security (Мониторинг брандмауэра Защитника Windows) и откройте вкладку Inbound Rules (Правила для входящих подключений).
  4. Нажмите New Rule (Создать правило) и задайте настройки:
    1. Выберите тип правила Port (Для порта) и нажмите Next.
    2. Укажите порт в поле Specific local ports (Определенные локальные порта):
      • 5985 — для подключений по протоколу HTTP
      • 5986 — для подключений по протоколу HTTPS
    3. Выберите Allow the connection (Разрешить подключение) и нажмите Next.
    4. Выберите все профили и нажмите Next.
    5. Введите название правила в поле Name (Имя) и нажмите Finish (Готово).