Windows Admin Center: удалённое администрирование серверов из браузера

Семёнов Евгений, директор АйТи Фреш. За 15+ лет я видел все волны инструментов администрирования Windows: ручной RDP, RSAT на админском ноутбуке, Server Manager, System Center, PowerShell-скрипты с нуля. Windows Admin Center — лучшее, что Microsoft сделала для среднего бизнеса за десять лет: бесплатно, в браузере, без плагинов. У нас на практике он стоит в каждой инфраструктуре от 5 серверов.

Что умеет WAC

WAC — веб-панель поверх WinRM и PowerShell. Через браузер можно делать примерно всё, что через MMC и Server Manager, плюс ряд вещей, которые раньше требовали платных продуктов SCOM/SCCM:

• Управление сервисами, ролями, фичами, планировщиком, реестром, событиями.
• Диспетчер устройств, дисков, сетей, обновлений, сертификатов.
• Полноценное управление Hyper-V и Failover Cluster.
• Мониторинг производительности, алерты, Dashboard.
• Работа с S2D, Storage Replica, Storage Migration Service.
• Подключение к Azure для гибридных сценариев.
• PowerShell-консоль в браузере и File Explorer для каждого узла.

Где разворачивать Gateway

Сам WAC — это Gateway-сервис, к которому подключается администратор через браузер. Варианты установки:

Для офиса 50+ ПК я всегда ставлю WAC на отдельную виртуалку Windows Server 2022 Standard. 2 vCPU, 4 ГБ RAM, 60 ГБ диск. Виртуалка живёт на S2D-кластере в дата-центре МТС на Dell Xeon Platinum 8280 — ресурса избыточно, но зато не мешается на продуктивных нодах.

Установка Gateway

# Скачиваем свежий MSI с aka.ms/WACDownload и ставим
msiexec /i WindowsAdminCenter.msi /qn /L*v wac-install.log `
  SME_PORT=443 SSL_CERTIFICATE_OPTION=generate

# Или в интерактивном режиме — двойной клик, мастер, SSL, сертификат от AD CS
# После установки — https://wac01.corp.example.ru:443

Я всегда задаю сертификат от внутреннего AD CS с указанием SAN на FQDN и короткое имя, чтобы браузер не ругался. Срок — 2 года, автовыпуск по шаблону Web Server.

Подключение узлов

На администрируемых узлах должен работать WinRM (по умолчанию в домене — включён). Если WinRM не слушает:

Enable-PSRemoting -Force
Set-Item WSMan:\localhost\Client\TrustedHosts "wac01.corp.example.ru" -Force
Restart-Service WinRM

В WAC → All Connections → Add → Server/PC/Cluster → вводим FQDN и логин. Для кластера указываем Cluster Name Object, а не имена узлов.

Расширения и интеграция с Azure

WAC расширяется через панель Extensions. Помимо штатных модулей есть сторонние: DataOn MUST для мониторинга S2D, Thomas Maurer VM Diagnostics, Dell OpenManage Integration, Veeam Agent for Microsoft Windows. Установка — пара кликов, перезагрузка не требуется.

Для гибридных сценариев через Azure Arc WAC показывает гостевых агентов и позволяет пулить Security Recommendations. Российским клиентам это редко актуально, но в белом списке возможностей держим.

Ролевой доступ и аудит

Я всегда разделяю Full и Read-only доступ. Полные права — только у 2–3 человек, остальные видят инфраструктуру, но не могут менять. Настраивается через Settings → Access → Gateway administrators/users. Аудит действий — в Event Viewer на Gateway в журнале Microsoft-ServerManagementExperience.

Мини-кейс: аудит инфраструктуры клиента

Ноябрь 2025. Пришёл новый клиент, производственная компания, 28 серверов разных поколений Windows Server 2012R2–2022 в нескольких подсетях, документации нет. Задача — за 3 рабочих дня собрать полную карту инфраструктуры и список проблем.

Поднял WAC на временной виртуалке, подключил все узлы через Import Connections из текстового файла (один FQDN на строку). За полдня WAC вытянул роли, фичи, версии Windows, историю обновлений, состояние дисков и RAID. Нашёл: 4 сервера с незакрытыми CVE-2021-34527, 2 машины без бэкапа, 1 сервер с почти полным системным диском, 3 неактивных Exchange-сервера. Отчёт был готов к концу второго дня, клиент получил карту и roadmap на квартал. Стоимость аудита — 72 000 руб.

Публикация WAC наружу: осторожно

Иногда хочется открыть WAC для удалённых админов. Я всегда против прямой публикации без дополнительных мер. Минимум:

• Выделенный домен/поддомен с коммерческим TLS-сертификатом.
• Reverse proxy (IIS ARR / nginx / HAProxy) с ограничением по IP.
• MFA: Azure AD / Keycloak / Google Authenticator через reverse-proxy-модули.
• Rate limit и fail2ban-аналог на прокси.
• Логи доступа в централизованный SIEM.

Чаще всего проще поднять RDS Gateway или VPN, а WAC оставить внутри периметра.

Бэкап и восстановление Gateway

WAC хранит подключения и настройки в %ProgramData%\Server Management Experience. Я всегда делаю снапшот виртуалки раз в неделю и экспорт подключений через Settings → Connections → Export. Восстановление — чистая установка WAC и импорт CSV с узлами.

Ловушки и типовые проблемы

• «The WinRM client cannot process the request» — SPN не зарегистрирован. Решение: setspn -A HTTP/wac01.corp.example.ru WAC-SRV$.
• Кнопка Install Updates не работает — нет доступа к MU-серверам. Проверяем WSUS-настройки узла.
• Hyper-V Manager в WAC не видит живые миграции — не включён Constrained Delegation для WAC-сервиса на учётке Gateway.
• WAC тормозит при 100+ узлах — переходите на отдельную виртуалку с 4 vCPU / 8 ГБ и SSD под базу.
• SSL-сертификат истёк и WAC перестал пускать — перевыпускаем и переустанавливаем через Update-WindowsAdminCenterCertificate.

FAQ — частые вопросы о WAC

Что такое Windows Admin Center?

Бесплатная веб-панель Microsoft для администрирования Windows Server, кластеров и рабочих станций.

На что ставить WAC Gateway?

Отдельная виртуалка или админский ПК с 2 vCPU и 4 ГБ RAM.

Какие порты открывать для WAC?

443 к Gateway, WinRM 5985/5986 от Gateway к узлам.

Можно ли использовать WAC без домена?

Да, с TrustedHosts WinRM и ручным вводом учёток. В домене удобнее.

Безопасен ли WAC снаружи?

Да, с TLS, ограничением по IP, MFA и SIEM. Без этих мер — лучше публиковать через RDS Gateway или VPN.