Il servizio di Remote Assistance è un ottima soluzione a costo zero per fornire il supporto IT remoto agli utenti della rete restando comodamente seduti davanti al proprio computer.
Il servizio è presente in Windows già da tempo ma con l’avvento di Windows Server 2008 R2 / Windows 7 qualcosa è cambiato nella configurazione creando un po’ di confusione.
Per la configurazione di Remote Assistance in un ambiente di Active Directory, ci si avvale delle GPO che permettono di processare i client di rete in modo efficiente.
Procedura
Come prima cosa bisogna definire quali account/group devono avere i diritti sui client per fornire il servizio di help desk. Creare un nuovo Security Group in Active Directory.
Assegnare al gruppo creato gli account che hanno l’incarico di fornire il supporto di Remote Assistance.
Abilitare remote assistance
Operando in un ambiente di rete Active Directory, per configurare i client ci si affida alle GPO. Aprire la console Group Policy Management e creare una nuova GPO.
Specificare il nome della Policy e cliccare su OK.
Editare la nuova GPO per procedere con la configurazione dei parametri. Dal Group Policy Management, selezionare Computer Configuration –> Policies –> Administrative Templates –> System –> Remote Assistance.
Editare la prima opzione Allow only Vista or later connection. Abilitare o meno questo parametro a seconda dei client presenti nella rete. Click su Next Setting.
Impostare Turn on session logging come Enabled. Click su Next Setting.
Impostare Turn on bandwidth optimization come Enabled selezionando il valore Full optimization nel campo Optimize settings for reduced bandwidth. Click su Next Setting.
Customize Warning Messages visualizza dei messaggi custom sovrascrivendo quelli di default. Click su Next Setting.
Impostare Solicited Remote Assistance come Disabled. Click su Next Setting.
Impostare Offer Remote Assistance come Enabled. Selezionare nel campo Permit remote control of this computer il valore Allow helpers to remotely control the computer. Cliccare sul bottone Show per indicare gli account da abilitati.
Specificare nel formato DOMAIN\Group il gruppo precedentemente creato e cliccare su OK.
Cliccare su Apply per salvare le impostazioni.
Configurazione del firewall
Mentre per Windows 7 in un ambiente basato su Active Directory l’opzione Remote Assistance exception è abilitata di default, in Windows XP è necessario configurare alcuni parametri del firewall per il corretto funzionamento.
Dal Group Policy Management, selezionare Computer Configuration –> Policies –> Administrative Templates –> Network –> Network Connections –> Windows Firewall –> Domain Profile.
Editare l’opzione Define Inbound port exceptions impostandola come Enabled. Impostare il campo Define port exceptions cliccando sul bottone Show.
Inserire come Value la stringa:
135:TCP:*:enabled:RemoteAssistance
Editare l’opzione Define Inbound program exceptions impostandola come Enabled. Impostare il campo Define program exceptions cliccando sul bottone Show.
Inserire come Value le stringhe:
%WINDIR%\PCHealth\HelpCtr\Binaries\Helpsvc.exe:*:enabled:HelpSupport %WINDIR%\PCHealth\HelpCtr\Binaries\Helpctr.exe:*:enabled:HelpCenter %WINDIR%\System32\Sessmgr.exe:*:enabled:SessionManager
Testare remote assistance
Una volta configurata la GPO e processata dai client di rete, testare se la procedura appena effettuata funziona come dovrebbe. Dalla command line digitare i seguenti comandi:
WINDOWS 7
%windir%\system32\msra.exe /offerRA
WINDOWS XP
hcp://CN=Microsoft%20Corporation,L=Redmond,S=Washington,C=US/Remote%20Assistance/Escalation/Unsolicited/unsolicitedrcui.htm
Si apre la finestra Windows Remote Assistance. Digitare l’indirizzo IP o il computer name e cliccare su Next.
Il sistema effettua la connessione con il client specificato.
L’utente che ha richiesta assistenza vede comparire nel proprio Desktop la finestra di avviso con il nome dell’helpdesker che sta effettuando la connessione. Cliccando su Si viene data da parte dell’utente l’autorizzazione ad accedere al proprio computer.
Viene stabilita la connessione con il client ma in modalità di solo visualizzazione. Per poter operare sul client bisogna effettuare una richiesta di controllo all’utente tramite il bottone Request control.
L’utente deve cliccare sul bottone Si per dare il controllo del proprio computer all’helpdesker.
Lo stato della connessione della finestra Assistenza remota diventa Connesso/In controllo. Il supporto IT può ora operare sul client fornendo l’assistenza richiesta.
Tramite GPO è quindi possibile configurare il servizio di Remote Assistance in modo veloce e funzionale facilitando il supporto IT nel fornire l’assistenza agli utenti della rete.
Troubleshooting
Può verificarsi che la connessione con il client non venga stabilita e il sistema visualizza una finestra di warning.
Per capire il motivo del problema, la consultazione dell’Event Viewer può dare delle indicazioni significative. Dal client con il quale è stata tentata la connessione, accedere all’Event Viewer. Si presenta una segnalazione di errore relativa a Remote Assistance.
Facendo doppio click sull’errore, viene visualizzata dal sistema la descrizione della possibile causa del problema che si è verificato. Un esempio può essere il seguente:
Origine: Remote Assistance
ID Evento: 5251
Descrizione: L'account HelpAssistant è disabilitato o mancante oppure non è stato possibile verificare la password.
Questo problema si verifica in genere se viene cambiato il SID del computer utilizzando prodotti come newSID, GhostWalker, etc. Come suggerito nella Descrizione, la soluzione al problema si ottiene avviando Windows in safe mode e lanciando da console il comando:
sessmgr.exe -service
Poichè questa operazione potrebbe richiedere tempo per l'esecuzione in safe mode, è possibile lanciare il comando tramite GPO o tramite script.
GPO
Dal client cliccare su Start –> Run e digitare il comando gpedit.msc. Aggiungere i parametri nella sezione Computer Configuration –> Policies –> Windows Settings –> Scripts –> Startup.
Dalla finestra Startup Properties, cliccare sul bottone Add ed impostare i campi della finestra Add a Script con i seguenti valori:
Script Name: sessmgr.exe Script Parameters: -service
Script
Creare un file batch contenente le seguenti istruzioni:
net stop rdsessmgr %systemroot%\system32\sessmgr.exe -service net start rdsessmgr
Lo script viene eseguito cliccando sul file .bat creato.
Dopo aver eseguito il comando tramite GPO o script, effettuare il reboot del client e provare ad effettuare nuovamente una connessione in Remote Assistance. Il problema relativo all’errore 5251 dovrebbe essersi risolto.
