Windows Admin Center: одна консоль на 20 серверов вместо 20 MMC-окон
Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15 лет администрирования Windows-инфраструктуры я прошёл все стадии эволюции Microsoft-консолей — от MMC снаппинов до PowerShell-скриптов и наконец до Windows Admin Center. Последние три года WAC стал у меня основным инструментом для ежедневных задач на всех клиентах с Windows Server 2019/2022. Один веб-интерфейс на всю AD-ферму, Hyper-V, DHCP, DNS, Storage Spaces. Бесплатно. В статье — как развернуть WAC, какие расширения поставить и каких грабель избежать.
Что такое Windows Admin Center
WAC — это веб-консоль Microsoft, заменяющая (или дополняющая) классический набор ммc-snap-ins. Работает через WinRM, HTTPS, не требует агентов на управляемых серверах. Ставится на шлюз (Gateway), к которому подключаются админы через браузер. Shell в WAC умеет запускать PowerShell на целевом сервере, проводить миграции, настраивать кластеры, мониторить метрики.
Чем хорош:
- Один интерфейс на десятки серверов. Не нужно RDP на каждый.
- Модульная архитектура — расширения от Microsoft, Dell, HPE, Lenovo.
- Бесплатный, без ограничения на количество управляемых машин.
- Работает с Windows Server 2016/2019/2022/2025 и Windows 10/11.
- Интегрирован с Azure Arc для гибридных сценариев.
Чем плох:
- Не все функции старых MMC перенесены — например, тонкая настройка GPO всё ещё в gpmc.msc.
- Иногда тормозит на Internet Explorer / старых Edge.
- Требует правильной настройки WinRM и CredSSP для некоторых операций.
Варианты развёртывания
| Режим | Где ставить | Сценарий |
|---|---|---|
| Desktop | Windows 10/11 Pro на рабочей станции админа | Один админ, тестирование |
| Gateway на Windows Server | Отдельный сервер/VM в домене | Несколько админов, продуктив |
| Server Core (Managed) | Минимальная установка WS 2022 | Максимальная безопасность |
| Azure Edition | Azure Stack HCI | Гибридные и облачные кластеры |
Для офиса с 10–50 серверами я всегда ставлю Gateway-режим на отдельную VM Windows Server 2022 Standard. 2 vCPU, 4 ГБ RAM, 80 ГБ диск — достаточно.
Установка WAC Gateway
Скачиваем MSI с aka.ms/WACDownload, запускаем в админ-режиме:
# PowerShell: silent install
msiexec /i WindowsAdminCenter.msi /qn /L*v C:\WAC-Install.log `
SME_PORT=443 `
SSL_CERTIFICATE_OPTION=generate
# Проверяем статус службы
Get-Service ServerManagementGateway
# ServerManagementGateway RunningПосле установки WAC слушает порт 443 с самоподписанным сертификатом. В продуктиве я всегда заменяю его на сертификат от корпоративного CA (см. AD CS).
# Подмена сертификата
$cert = Get-ChildItem -Path cert:\LocalMachine\My | Where-Object { $_.Subject -like "*wac.corp.local*" }
$thumbprint = $cert.Thumbprint
# В реестре WAC меняем thumbprint
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\ServerManagementGateway" `
-Name "SslCertificateSha1Thumbprint" -Value $thumbprint
Restart-Service ServerManagementGatewayПодключение серверов
Открываем https://wac.corp.local в браузере. В главном меню — Add → Windows Server либо Failover Cluster, Hyper-Converged, Windows PC. Вбиваем FQDN или IP сервера, при необходимости учётку.
Важное условие — на целевом сервере должен быть открыт WinRM (5985/tcp) и разрешён CredSSP, если нужна делегация учёток для сложных операций:
# На управляемом сервере
Enable-PSRemoting -Force
Set-Item WSMan:\localhost\Client\TrustedHosts -Value "wac.corp.local" -Force
Enable-WSManCredSSP -Role Server -Force
# На WAC Gateway
Enable-WSManCredSSP -Role Client -DelegateComputer "*.corp.local" -ForceКлючевые инструменты в WAC
После подключения сервера открывается дашборд с CPU/RAM/Disk/Network. Слева — список инструментов. Я чаще всего использую:
- Overview — реальные метрики и общий статус.
- Certificates — просмотр и управление сертификатами, миграция со старых SHA1.
- Devices — железо, драйверы, версии BIOS.
- Events — журналы событий с фильтрами и поиском.
- Files & file sharing — проводник по серверу, SMB-шары.
- Firewall — управление Windows Defender Firewall.
- Installed apps — список программ, удаление.
- Local users & groups — учётки, членство в группах.
- Networks — интерфейсы, маршруты.
- PowerShell — консоль прямо в браузере.
- Processes / Services — управление процессами и службами.
- Registry — реестр в веб-интерфейсе.
- Remote Desktop — RDP прямо из браузера.
- Roles & features — установка/удаление ролей.
- Scheduled tasks — планировщик.
- Storage — диски, тома, Storage Spaces.
- Updates — Windows Update, поиск и установка.
Управление Active Directory
Для управления AD нужно поставить расширение Active Directory (Settings → Extensions). Оно даёт:
- Просмотр OU-структуры.
- Создание, редактирование, удаление пользователей.
- Смена паролей и разблокировка учёток.
- Управление группами и членством.
- Поиск по всему каталогу.
Для простых задач — быстрее, чем открывать dsa.msc. Для сложных (GPO, trusts, replication) — всё равно нужна классическая консоль.
Управление Hyper-V кластером
WAC особенно хорош для Hyper-V: можно управлять кластером, мигрировать VM, смотреть производительность в реальном времени. Подключаете Failover Cluster → видите список нод и всех VM. Одним кликом перемещаете VM между нодами, меняете ресурсы, делаете snapshot.
# Для Hyper-V кластера дополнительно на каждой ноде
Install-WindowsFeature Hyper-V, Hyper-V-PowerShell, Failover-Clustering
Install-WindowsFeature -IncludeManagementTools Data-Center-BridgingЭкран кластера показывает CSV-тома, сетевые настройки, VM Balancer, Storage Quality of Service — всё в одном окне.
Управление Windows Updates
Встроенный инструмент Updates показывает доступные обновления на всех подключённых серверах. Выбираете несколько серверов галочками, запускаете «Install Updates» — WAC ставит обновления параллельно. Плюс управление перезагрузками.
У нас на практике этот модуль закрыл потребность в WSUS для офисов до 30 серверов — проще раз в месяц зайти в WAC и обновить всё скопом.
Реальный кейс: WAC вместо 12 RDP-окон
В апреле 2025 года к нам обратилась логистическая компания — офис на 90 РМ, 12 Windows Server 2019 (2 DC, 3 файловых, 2 SQL, 2 терминальных, 1 почтовый, 1 WSUS, 1 Backup). Три админа, каждый держал по 12 RDP-сессий, путались.
Развернули WAC на отдельной VM Dell Xeon Platinum 8280, 4 vCPU, 8 ГБ RAM. Подключили все 12 серверов, установили расширения AD, Hyper-V, DNS. Выдали админам сертификаты для входа по смарт-карте. Настроили роль-бейс доступ — младший админ видит только терминальные серверы, старший — всё.
Через месяц замер: среднее время на решение типовой заявки (разблокировать учётку, посмотреть свободное место на диске, запустить службу) упало с 4 минут до 55 секунд. Админы благодарят, клиентская поддержка рада. Стоимость внедрения — 28 000 руб. за настройку и обучение, лицензии не нужны.
Безопасность: настройка доступа
WAC имеет собственную роль-базу: Gateway Administrators (полный доступ ко всему) и Gateway Users (только назначенные ресурсы). Настраивается в Settings → Access.
У нас на практике:
- Старшие админы — Gateway Administrators.
- Младшие — Gateway Users + доступ к конкретным серверам.
- Директор — только read-only доступ к Overview дашбордам.
- Логирование всех операций — в Event Log WAC + передача в Wazuh SIEM.
Для доменных сред рекомендую Azure AD / AD-based auth с smart-card или MFA. Simple-режим с паролями оставляем только для изолированных стендов.
Типичные ошибки при работе с WAC
- WAC на рабочей станции админа. Если админ уходит домой, остальные теряют доступ. Выносите на отдельную VM.
- Самоподписанный сертификат на продуктиве. Браузеры ругаются, коллеги игнорят предупреждения. Делайте сертификат от корпоративного CA.
- WinRM выключен на target. Без WinRM WAC бесполезен. Включайте через GPO на все серверы.
- CredSSP без ограничений. Делегирование на все компьютеры — security issue. Ограничивайте конкретными FQDN.
- Забывают обновлять WAC. Microsoft выпускает обновления раз в 2-3 месяца с баг-фиксами. Обновляйте свой Gateway.
Внедрим Windows Admin Center в вашей инфраструктуре
Развёртывание WAC Gateway на отдельной VM, настройка сертификатов от корпоративного CA, подключение всех Windows Server и рабочих станций, установка расширений, ролевая модель доступа, интеграция с AD. За 1 рабочий день для офиса до 50 серверов.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы
- Что такое Windows Admin Center?
- Бесплатная веб-консоль Microsoft для управления Windows Server 2016/2019/2022/2025 и клиентскими машинами. Ставится на отдельную машину, открывается в браузере, позволяет управлять десятками серверов.
- Заменяет ли WAC классические консоли MMC?
- В большинстве сценариев — да. Покрывает AD, Hyper-V, Storage Spaces Direct, DHCP, DNS, Certificate Manager, Updates. Остаются специфичные консоли (Exchange, SCCM) где MMC незаменим.
- Нужна ли лицензия на WAC?
- Нет, WAC полностью бесплатный. Управляемые серверы должны иметь действующие лицензии Windows Server, но сам WAC не требует отдельных покупок.
- Можно ли управлять Windows 10/11 через WAC?
- Да, через тот же интерфейс. Подключается как Windows PC, позволяет смотреть процессы, службы, события, устанавливать обновления.
- Куда ставить WAC Gateway?
- На отдельную Windows Server VM (рекомендуется). В домене — отдельная машина Windows Server 2022 Server Core с только ролью WAC для минимальной атакуемой поверхности.