Удаленное управление терминалом

Можно выключать и перезагружать терминалы с другого компьютера. Это может пригодиться, например, после внесения изменений в конфигурационные файлы, если эти изменения нужно применить немедленно. Такая строка в конфигурационном файле разрешит управлять терминалом с любого компьютера:

managed = on

А такая строка разрешит управление только с компьютеров с адресами 192.168.10.15, 192.168.10.16 и из подсети 192.168.1.0/24:

managed = 192.168.10.15, 192.168.10.16, 192.168.1.0/24

Управляются терминалы командой rsh.exe, входящей в дистрибутив Windows Server. Чтобы немедленно перезагрузить терминал 192.168.10.50, надо запускать так:

rsh.exe 192.168.10.50 reboot

Если вы изменили конфигурацинный файл и хотите, чтобы терминал его прочитал, терминал нужно перезагрузить. Можно указать терминалу перезагрузиться при первой возможности, т.е. когда пользователь сам завершит текущую сессию:

rsh.exe 192.168.10.50 update

Чтобы выключить терминал, надо запускать так:

rsh.exe 192.168.10.50 shutdown

Вместо rsh в Linux и прочих *nix можно использовать echo и nc:

echo -en "0\0\0\0reboot\0" | nc 192.168.1.50 514

Для диагностики и управления на каждом терминале работает микро-веб-сервер. Если вы знаете IP терминала, то вы можете зайти на него браузером и посмотреть настройки, используемый конфигурационный файл, лог и другую информацию о терминале. По умолчанию доступ для просмотра разрешен всем. Вы можете разрешить доступ только с определенных IP:

httpd = 192.168.1.1, 192.168.1.2, 192.168.2.0/24

Или вообще отключить http-сервер на терминале:

httpd = off

В самом начале загрузки http-сервер всегда запускается доступный для всех. Если из-за ошибки терминал не сможет прочитать конфигурацию, загрузка остановится с сообщением об ошибке и http-сервер останется работать, чтобы удаленно диагностировать ошибку.

Терминал может отправлять все сообщения лога на syslog сервер по UDP на 514 порт:

syslog = 192.168.1.1

Или другой порт:

syslog = 192.168.1.1:9099

По умолчанию терминалы во время загрузки рассылают широковещательные сообщения, в которых указана версия WTware, IP, МАК, имя хоста и IP DHCP сервера, который сообщал адреса для загрузки. Если конфигуратор wtware запущен в той же сети, он принимает широковещательные сообщения и добавляет или обновляет информацию о терминале.

Если конфигуратор wtware находится за маршрутизатором и широковещательный пакет до него не доходит, можно указать терминалу отправлять дополнительное сообщение на IP машины с конфигуратором:

discover = 192.168.1.1

Можно подключиться к терминалу по протоколу VNC, чтобы увидеть экран терминала и помочь пользователю. Это стало особенно важно после того, как Microsoft убрали удаленное управление в Windows 2012 Server.

Такая строка в конфигурационном файле разрешит подключение по VNC к терминалу с любого компьютера:

vnc = on

А такая строка разрешит управление только с компьютеров с адресами 192.168.10.15, 192.168.10.16 и из подсети 192.168.1.0/24:

vnc = 192.168.10.15, 192.168.10.16, 192.168.1.0/24

Всплывающее внизу справа окошко не передается по VNC. Локальный Google Chrome не передается по VNC.

Если у терминала используется два монитора, то для просмотра второго монитора при подключении по VNC надо указать порт 5901.

Если терминал находится за медленным каналом, можно написать в конфиге:

vnc=4to1

С такой настройкой терминал уменьшит экран в четыре раза. За счет уменьшения картинки скорость отображения заметно увеличится.

По умолчанию пользователь ничего не знает о VNC-подключении.

Можно запросить у пользователя разрешение. C такой строкой:

vnc=allow after timeout

терминал выдаст окно с запросом о разрешении подключения по VNC. Если в течение 30 секунд пользователь не ответит, соединение по VNC будет установлено.

Другая строка:

vnc=reject after timeout

выдаст такой же запрос, но если пользователь не ответит, то соединение установлено не будет.

Пароль для подключения к встроенному в терминал VNC серверу:

vnc_password = 12345

Пароль длиной от 1 до 8 символов. Допустимы латинские буквы и цифры.

Пароль, записанный в конфигурационном файле, сможет увидеть каждый - скачав с TFTP конфигурационный файл или скачав лог терминала. Немного безопаснее хранить в конфиге хэш пароля. Для серьезного взлома это не станет проблемой, но хотя бы потребует некоторого времени от заинтересованной стороны. Для генерации хэша пароля надо воспользоваться графическим конфигуратором. Пример:

vnc_password=hex:a0987527920893f174515708320c7fe3