小叙:

    生产环境需要做监控,但监控服务器又要与业务服务器分开,在不增加物理机的情况下想到了用虚拟机做,正好有一台服务器和业务粘合度不是很高,因此在这台机器上装了台虚拟机,装虚拟机的过程不在此阐述

    这里说下为什么采用这种方式:

    1.我曾向负责技术主管的同事提出过增加一台物理机专门用于运维,使用虚拟化的方式可以部署多台虚拟机满足运维需求,同时也可满足业务扩充,但负责人不大认同虚拟化,认为虚拟化不可靠,可物理机又无法及时到位

    2.这里也有我的原因,就是迟迟未将架构规划方案写出

    3.为了临时满足监控需求,只好这样做了

    您可能会问了,为何不直接部署到这台物理机上:

    1.我认为运维业务和生产业务,还是要相对独立些比较好

    2.曾直接部署过cacti,但监控效果不是太理想,这可能和我不熟悉cacti有关

    因此装了台linux虚拟机用于监控,一切准备好之后发现,不能每次都登陆到物理机上去管理监控机,监控机又没有公网IP,怎么去管理呢,因此想到了可是使用***连接到内网,然后在通过本机进行管理

正文:

    ***选择在open***和windows ***的选择上小纠结了下,open***可能安全性相对高些,但配置相对复杂,而windows ***配置不好可能导致安全风险提升,但配置相对简单。想到不要将事情复杂化以及尽快将事情做完原则,决定直接使用windows ***服务

一. 安装***服务

1.服务器管理-->角色-->添加角色

wKiom1X6gkahxEm_AAF7EFHhv_k352.jpg

2.选择服务器角色-->“网络策略和访问服务”-->“路由和远程访问服务”-->安装

“网络策略服务器”可根据自身需求进行安装,当然安装后需要进行配置***连接才不会报错。本处未使用

wKiom1X6iFGyd34wAAJzxmqRbqc673.jpg

wKioL1X6ipnjFbnqAAJy9gGcMOc866.jpg

wKiom1X6iG7SGYMHAAHsDoEQ4uU733.jpg

wKioL1X6irXCSLnXAAGk4Lc04pM661.jpg

二. 配置

安装成功后,“路由和远程访问”是处于停止状态,需要先对其进行配置,配置后会变成启动状态

wKioL1X6i8fT1eGRAAIAx3uU-uM355.jpg

  1. 右键单击“路由和远程访问“-->"配置并启用路由和访问"-->”自定义配置“-->”***访问“-->"启动服务"

    因是单网卡服务器,因此选择的是自定义配置里的***访问

    注:如果配置的时候不选择”NAT“那×××后就不能通过×××链路去访问公网(客户端有实现方式),当然,如果有单独NAT服务另当别论

    wKiom1X6i0vhIpKHAAIFAnXaD8A573.jpg

wKiom1X6i3ywK5_3AAEEPef9XhI134.jpg

wKiom1X6i5Oz9bK7AAH3DVsFrNE401.jpg

wKioL1X6jd7w5bJ-AAEh7CQUBM4383.jpg

wKiom1X6i7iRcm_HAAFLNBoCW_Y649.jpg

wKioL1X6jgrQI3mhAAFUDXg05sE929.jpg

wKioL1X6jhmhPlVVAAFjiXCfazo962.jpg

2. 配置IP地址

右键”路由和远程访问“-->"属性"-->"IPv4"标签-->选择"静态地址池"(如有DHCP服务,可选DHCP)-->”添加“-->输入lanIP地址段”确认“


注:lanIP地址至少需要2个,一个做为***网关,一个作为分配给客户端的IP。并可在“常规”和“IPv6”标签内禁用ipv6协议

至此,win ×××服务端配置就结束了,下篇会说下客户端的配置,当然,我用的是ubuntu,所以客户端是针对ubuntu而言,但思路windows的同样试用

wKioL1X7jDuhBK8YAAJJ9Kj5_rA414.jpg

wKiom1X7ihaCcxCYAAGZ6UVysgg148.jpg

wKiom1X7iiuzY3bDAAHHVvxyH3I898.jpg


三.***用户创建

这里我们使用的***用户是windows的系统用户,因此需要在用户管理里面创建用于***拨号的用户以及用户组

注:创建独立用户组是为了方便管理***用户

  1. 用户创建

    ”配置“-->"本地用户和组"-->右键单机-->"新用户"

    安装要求填写好具有可读性的用户、全名、描述,密码要符合安全策略对密码的要求

wKiom1X7r9vzDaKTAAG_-xfbVZc362.jpg

wKioL1X7siXzZ48-AAEd6Zsz-kg928.jpg

2.创建用户组

    “配置”-->“本地用户和组”-->“组”-->单机右键-->"新建组"

按照要求填写组名描述,并将刚刚创建的用户增加到此组


wKiom1X7sACSuHrHAADft03KjsY983.jpg

wKioL1X7skmhkF75AAGSgk4_E7Y117.jpg

4.删除组

    在刚刚创建的用户上右键单机“属性”-->选中“Users”组-->删除

wKioL1X7sl7CpsEpAAEE9RSq0Aw261.jpg

wKiom1X7sDTTNHmmAADc-9dYEgs419.jpg

5.设置允许拨号

切换到“拨入”标签--“允许访问”

此处可在“远程桌面服务配置文件”标签内禁用此用户的远程桌面链接

wKioL1X7snrzwGQJAAG75-TX55I663.jpg

6.设置拒绝通过网络访问主机

在允许窗口或cmd文本窗口执行gpedit.msc修改系统安全策略,禁止***用户组远程访问

图示标错,千万不要加到“拒绝从网络访问这台计算机里”,加到这里***是连接不上的

正确的应该加到“拒绝通过远程桌面服务登陆”

wKiom1X708rDtFTQAARApd5taGA255.jpg

wKiom1X7synD8N1oAARLnQs3giA085.jpg