Există momente când trebuie să executați o comandă pe server local (de exemplu, configurați inițiativa iSCSI). Conectați-vă la acest lucru prin intermediul Remote Desktop și executați cmd - este incomod, folosiți Telnet - nu este sigur, pune pe serverul daemon ssh - nu ... vrei ...
Cea mai ușoară modalitate de a configura WinRM este să utilizați modul Configurare rapidă tastând în CMD:
și răspuns pozitiv ("y") la întrebarea de a crea un obiect ascultător nou ascultând pe portul TCP 80 și utilizând protocolul HTTP pentru comunicațiile dintre client și server.
Și toate, serverul poate fi gestionat de la distanță folosind comanda:
În cazul în care clientul și serverul nu sunt membri ai aceluiași domeniu, va trebui să specificați numele de utilizator din care se va executa comanda și parola:
și, în același timp, după cum sfătuiește mesajul, adăugați serverul în lista de site-uri de încredere sau utilizați un protocol mai fiabil pentru comunicare (HTTPS).
Pentru a adăuga un nod la lista de încredere, rulați pe clientul de la care intenționați să vă conectați:
După configurare, puteți obține informații despre ascultătorii existenți folosind comanda:
Puteți șterge un ascultător existent după cum urmează:
Configurarea WinRM utilizând HTTPS
În unele cazuri, poate fi necesar să creați un canal de încredere pentru transferul sigur de comenzi între client și server. Puteți utiliza HTTPS pentru acest lucru.
Cu toate acestea, pentru a crea un ascultător cu suport HTTPS, veți avea nevoie de un certificat digital care poate fi solicitat de la un centru de certificare de încredere sau de a utiliza diferite utilitare pentru a crea certificate auto-semnate, de exemplu, Makecert, inclus în kitul de instrumente Windows. Puteți descărca Makecert separat de aici.
Pentru a crea un certificat auto-semnat, executați următoarea comandă:
<ИМЯ_СЕРВЕРА> corespunde cu numele pe care îl va utiliza clientul la conectarea la server;
<ФАЙЛ_СЕРТИФИКАТА> - calea către fișierul în care va fi salvat certificatul cu cheia publică.
Un certificat cu o cheie privată va fi creat și plasat în magazinul de certificate de computer local. Adăugați-l la certificatele de bază de încredere:
În cele din urmă, puteți începe să creați un ascultător HTTPS. Introduceți comanda:
<ИМЯ_УЗЛА> - numele specificat la accesarea serverului
<ХЭШ_СЕРТИФИКАТА> - Thumbprint, pe care l-ați învățat în pasul anterior (fără spații).
<ПОРТ> - portul la care se va conecta clientul (implicit TCP 443).
Dacă paravanul de protecție Windows este activat pe server, nu uitați să adăugați regula:
Dacă utilizați certificate autocolante, va trebui să le adăugați la certificatele rădăcină de încredere de pe client.
După ce ați finalizat toți pașii, veți obține în sfârșit posibilitatea de a executa comenzi de la distanță:
Rețineți că dacă utilizați un port non-standard, va trebui să specificați specific acest lucru. Pentru a nu face acest lucru de fiecare dată, puteți schimba portul standard utilizat de client atunci când vă conectați prin HTTPS, utilizând comanda:
concluzie
După cum puteți vedea, configurarea Windows Remote Management este destul de simplă în situații clasice (utilizând un singur domeniu și CA), însă cu o mică abatere de la acest șablon pot fi descoperite mai multe capcane. Vă puteți obișnui cu WinRM suficient de repede, mai ales dacă utilizați consola de multe ori pentru a configura sistemul.
Următoarele materiale au fost folosite la pregătirea articolului: