Автор статьи Ro8
Привет друзья! В данной статье мы выполним удаленное управление операционной системой Windows Server 200 R2 установленной в режиме Server Core используя Windows PowerShell 2.0.
У нас есть две машины, одна с предустановленной Windows Server 2008 R2 (Server Core), другая с Windows 7
Удаленное управление машиной с Windows Server 2008 R2 будем выполнять при помощи службы удаленного управления Windows (WinRM). Данная служба применяет протокол WS-Management для удаленного управления. WS-Management представляет собой стандартный протокол веб-служб для удаленного управления программным обеспечением и оборудованием. Служба WinRM прослушивает сеть на наличие запросов WS-Management и обрабатывает их.
Для запуска службы WinRM на машине с Windows Server 2008 R2 применим утилиту Core Configurator
Переходим по ссылке https://coreconfig.codeplex.comи скачиваем ее
Скачанный образ с утилитой Core Configurator
На компьютере с Windows 7 смонтируем скачанный образ в виртуальный привод (в нашем случае под буквой F). Также к компьютеру подключен флеш-накопитель
Содержимое смонтированного образа Core Configurator. Копируем все файлы со смонтированного образа на наш флеш-накопитель
Скопированные файлы утилиты Core Configurator на флеш-накопителе
Переходим на машину с Windows Server 2008 R2, подключаем к ней флеш-накопитель с файлами утилиты Core Configurator
Выполняем команды dir c:, dir d:, dir e: и так далее и определяем букву нашего флеш-накопителя. В нашем случае флеш-накопитель определился под буквой E:
На флеш-накопителе присутствует папка CoreConfig, в которую были скопированы файлы утилиты Core Configurator
Переходим на флеш-накопитель
Далее переходим в папку coreconfig введя команду cd coreconfig
Для просмотра содержимого папки coreconfig выполним команду dir /b. В данной папке присутствует файл Start_Coreconfig.wsf
Выполняем команду Start_Coreconfig.wsf
После выполнения команды Start_Coreconfig.wsf откроется главное окно утилиты Core Configurator
В главном окне выбираем Computer settings
Выбираем WinRM
Как видим, служба WinRM на машине с Windows Server 2008 R2 не запущена
Запускаем службу WinRM поставив переключатель в положение Enable WinRM и нажав кнопку Apply
Как видим, теперь служба WinRM запустилась
Проверим выполнение службы WinRM используя Windows PowerShell
Запускаем Windows PowerShell выполнив команду PowerShell
Проверить состояние службы WinRM можно выполнив команду get-service winrm
Как видим, служба WinRM выполняется
Переходим на машину с Windows 7 и запускаем на ней Windows PowerShell
Для подключения к удаленной машине с Windows Server 2008 R2 и выполнения на ней нужных нам действий выполняем команду:
invoke-command -computername Server01 -Credential exityrwedAdministrator -ScriptBlock {……..}
где Server01 — это имя машины, к которой производится подключение
exityrwed — домен в состав которого входит машина
Administrator — пользователь, от имени которого производится подключение
{……} — в данных скобках прописываем команду, которую хотим выполнить на удаленной машине
К примеру мы хотим получить список процессов на удаленной машине Windows Server 2008 R2
Для этого выполняем команду invoke-command -computername Server01 -Credential exityrwedAdministrator -ScriptBlock {get-process}
Указываем пароль пользователя и нажимаем ОК
Как видим, мы подключились к машине с Windows Server 2008 R2 (имя машины Server01) и нам отобразился список процессов на данной машине
Также можно создать сессию с удаленной машиной. Выполняется это командой Enter-PSSession Server01
где Server01 — это имя машины, с которой устанавливается соединение
Вводим команду Enter-PSSession Server01и выполняем ее
Как видим, мы подключились к удаленной машине Server01, и теперь можем выполнять на ней любые действия
К примеру перейдем в корень диска C: выполнив команду set-location / и посмотрим его содержимое, введя команду get-childitem
Или к примеру определим политику выполнения сценариев PowerShell на удаленной машине Server01 выполнив команду get-executionpolicy
(подробнее о политиках выполнения сценариев в статье «Сценарии в Windows PowerShell» ) http://remontcompa.ru/851-scenarii-v-windows-powershell-20.html
Для закрытия сессии с удаленной машиной вводим команду exit
Произведено закрытие сессии с удаленной машиной Server01
As you probably know by now, Windows Server 2008 Server Core installation provides a minimal environment for running specific server roles. This reduces the maintenance and management requirements, as well as the attack surface for those server roles. You can read more about Server Core on this site.
One of the challenges of using Server Core is the management aspect. Fortunately, most of the management pain has been solved by usage of local Command Prompt, PowerShell (new to R2 Server core), manually created scripts, 3rd-party graphical user interface tools, and recently in R2, a tool called SCONFIG. Read more about SCONFIG in my Manage Windows Server 2008 R2 Core with SCONFIG article.
Server Core is usually intended to be remotely managed. This makes your life easier, as you can manage remote servers and core installations on your Windows 7 workstation, in the comfort of your own office. To do that, you must first make sure that you initially configure the machine with a proper IP address, add it to a domain (if needed) and open the correct Firewall rules and ports. After doing that, you can relax and start using local GUI-based management tools to remotely manage the server, just like you would for any server.
So, how do you enable these rules? Read on.
The easiest method would be to use the built-in SCONFIG tool.
Log in to the core machine, and launch SCONFIG:
Assuming that the machine is properly joined to a domain, press 4 to enable remote management.
To allow remote management through Server Manager, press 3.
You’ll be notified when settings are completed.
You can also press 4 to view the firewall settings, however, this is not necessary.
Next, head on to your Windows 7 workstation where you’ve got RSAT installed, and run Server Manager. If you do NOT have Server Manager installed, you must enable it (only after installing RSAT) by using the Turn Windows Features On or Off in Control Panel. For more information on installing RSAT, please read Installing Remote Server Administration Tools (RSAT) for Windows 7.
Assuming that both Windows 7 and the remote server core are members of the same Active Directory domain, all you need to do is to right-click on the Server Manager item and select “Connect to Another Computer“.
In the Connect to Another Computer window, type the name or browse to the server you wish to connect to.
Note: I strongly suggest you also read my Fix “RPC Server is Unavailable” Error in Windows Server 2008 R2 Remote Disk Management article, as it contains some important information about the firewall rules that need to be enabled on the local computer.
Bingo.
Сегодня я хотел бы познакомить читателя с Windows Server Core 2008 R2.
Как показывают мои личные наблюдения, многие администраторы его боятся. Причина проста: в головах прочно засело Windows=GUI, а вот GUI-то в нем как раз и нет. Как следствие все воспринимают Server Core как «не такой» Windows. Он действительно не такой, но ничего страшного в нем нет. Более того, в нем есть свои плюсы и прелести. Из очевидных — экономия ресурсов. Из не очевидных — отсутствие возможности тыкать во все места дисциплинирует и заставляет разбираться в том что хочешь сделать.
Меньшая требовательность к ресурсам позволяет эффективнее распределять оные при виртуализации серверов.
Поясню:
Есть, положим, сервер (не важно физический или виртуальный). На нем Windows Server 2008R2, AD (не основной контроллер), WSUS. Чтобы это хоть как-то ворочалось минимум нужно 2GB памяти. Вместо него можно сделать две виртуалки с Server Core, на одной AD, на второй WSUS. При этом обе эти виртуалки будут жить с полугигом памяти и прекрасно себя чувствовать. При этом лишаемся мы только GUI, которым я, например, и так не пользуюсь практически, по крайней мере с консоли сервера.
Теперь расскажу с чего начинать и как делать:
Рассказывать и показывать процесс установки не вижу смысла. Там все просто и банально. Накосячить просто негде.
Первый успешный логин являет нашему взгляду вот такую радостную картину.
Первым делом запускаем sconfig.
Настраиваем сеть, вводим в домен, разрешаем RDP, в общем делаем все что нужно.
Отдельно хочу заметить, что в русской версии не работает разрешение удаленного управления MMC через sconfig. При попытке это сделать вы получите сообщение о невозможности перенастройки брандмауэра. Обходится просто:
netsh advfirewall set domainprofile firewallpolicy allowinbound,allowoutbound
Если паранойя не позволяет открыть все порты, то можно настраивать тонко.
Следующий этап: Установка PowerShell. Установки ролей и компонентов делается с помощью команды DISM. С ее помощью также можно посмотреть список доступных компонентов и ролей (DISM /online /Get-Features).
DISM /online /Enable-Feature /FeatureName:NetFx2-ServerCore /FeatureName:NetFx2-ServerCore-WOW64 /FeatureName:NetFx3-ServerCore /FeatureName:NetFx3-ServerCore-WOW64 /FeatureName:MicrosoftWindowsPowerShell /FeatureName:ServerManager-PSH-Cmdlets
Эта команда поставит нам .NET2, .NET3, сам PowerShell, и наборы управляющий командлетов.
Если есть желание, можно поставить файловый менеджер, например, FAR:
PS C:Dist>msiexec /package Far20.x64.msi
PS C:Dist> cd Env:
PS Env:> $cur = get-item -Path Path
PS Env:> $cur.Value+=";C:Program FilesFar2"
PS Env:> Set-Item -Path Path -Value $cur.Value
Теперь у нас есть платформа. Все дальнейшие настройки и аналитику можно уже получать с помощью MMC оснасток со своего ПК или другого сервера.
Далее собственно установка ролей, все делается до умопомрачения просто.
Сначала рассмотрим установку WSUS:
1-е: Включаем IIS.
DISM /Online /Enable-Feature /FeatureName:NetFx2-ServerCore /FeatureName:IIS-WebServer /FeatureName:IIS-WebServerRole /FeatureName:IIS-ASPNET /FeatureName:IIS-WindowsAuthentication /FeatureName:IIS-HttpCompressionDynamic /FeatureName:IIS-IIS6ManagementCompatibility /FeatureName:IIS-ISAPIFilter /FeatureName:IIS-ISAPIExtensions /FeatureName:IIS-NetFxExtensibility /FeatureName:IIS-Metabase
2-е: Ставим сам WSUS (http://www.microsoft.com/download/en/details.aspx?id=5216). И настраиваем как обычно, через визард. (если указать в качестве хранилища имеющийся SQL-сервер, то надо иметь ввиду, что имя базы WSUS не спрашивает а использует имя SUSDB, и если на этом сервере есть такая база, то WSUS ее просто грохнет).
3-е: Ставим из того-же дистрибутива на свой ПК оснастку управления. И в общем-то все. WSUS сервер готов.
Контроллер домена:
Тут все еще проще.
DISM /online /Enable-Feature /FeatureName: DNS-Server-Core-Role - ставим DNS.
dcpromo /replicaornewdomain:replica /replicadomaindnsname:domain.name /safemodeadminpassword:<AD_recovery_password> /autoconfigdns:yes
- ставим AD.
Ролью DNS и AD можно управлять оснастками со своего рабочего ПК точно так же как это обычно делается с консоли сервера. Вот, например, запущенный удаленно диспетчер сервера.
То есть весь процесс установки и настройки Server Core ничуть не сложнее, чем настройка обычного сервера. Однако информации по нему гораздо меньше и вообще он как-то не заслужено обделен вниманием.
P.S. Я сознательно обошел вопросы лицензирования и тот факт, что лицензии стоят дороже чем железо, так что прошу меня за это не пинать. Ситуации бывают всякие, и иногда использование Server Core вполне себе оправдано.
Устанавливая Server Core — сокращенную версию операционной системы Windows Server 2008, более компактную и менее уязвимую для атак, нельзя не заметить возвращения хорошо всем известной командной строки.
Устанавливая Server Core — сокращенную версию операционной системы Windows Server 2008, более компактную и менее уязвимую для атак, нельзя не заметить возвращения хорошо всем известной командной строки. Я имею в виду не оболочку PowerShell (доступную в Server 2008 R2), а старую cmd.exe. Но, смахивая пыль с руководства по DOS и воскрешая в памяти способы работы с командной строкой, необходимо позаботиться еще о нескольких важных вещах.
Во-первых, необходимо настроить компьютер Server Core: подключить его к домену и, может быть, изменить имена компьютеров, конфигурацию IP-адресов, настройки брандмауэра и Windows Update. Во-вторых, следует активизировать роли и компоненты, которые предстоит запускать с Server Core. Обратите внимание, что в состав Server Core не входит диспетчер сервера, поэтому придется использовать инструменты командной строки OCList и OCSetup. Наконец, нужно будет управлять компьютером Server Core.
Среди пяти представленных в статье методов управления Server Core — один локальный и четыре дистанционных. Лишь в одном из методов используется графическая консоль, поэтому приготовьтесь вернуться к командной строке.
1. Локальная командная строка
Самый простой способ управлять Server Core — из командной строки (cmd.exe). Администраторы, предпочитающие настраивать Server Core с помощью инструментов с графическим интерфейсом, могут загрузить программу Server Core Configurator из Web-узла www.codeplex.com/CoreConfig. Некоторые графические инструменты есть и в Server Core: Notepad, Taskmgr (диспетчер задач), Regedit (редактор реестра), timedate.cpl (настройка времени и даты) и intl.cpl (языки и региональные стандарты).
Дополнительные сведения о настройке Server Core, в том числе командах настройки, приведены в руководстве «Server Core Installation Option of Windows Server 2008 Step-By-Step Guide» компании Microsoft. Информацию об отдельных командах можно найти на справочной странице командной строки Microsoft TechNet. Наконец, видеоуроки об управлении Server Core через службы терминалов, RemoteApp, Windows Remote Shell и оснастки MMC перечислены во врезке «Видеоуроки по Server Core на ittv.net».
2. Службы терминалов
При использовании служб терминалов для управления Server Core фактически выполняется удаленное подключение с административными задачами, поэтому необходимо внести изменения в реестр, включив режим Remote Desktop for Administration. Чтобы сделать это на компьютере Server Core, введите в командной строке
Cscript c:windowssystem32scregedit.wsf/ar 0
После выполнения команды должно быть получено подтверждение, что реестр обновлен.
Если включен брандмауэр, необходимо открыть порт RDP и разрешить подключение. Порт RDP открывается командой
netsh firewall add portopening TCP 3389 RDP
После того как компьютер Server Core настроен, откройте RDP-соединение на другом компьютере. Быстрый способ это сделать — применить команду
mstsc.exe
в панели мгновенного поиска меню Start. Затем нужно ввести IP-адрес (или имя сервера, если настроена служба DNS) и учетные данные для регистрации. Откроется командная строка на удаленном рабочем столе с голубым фоном.
Преимущество подключения такого типа перед соединением RemoteApp (рассматривается ниже) заключается в том, что можно запускать другие приложения вне командной строки на удаленном рабочем столе. Завершив работу, введите команду
logoff
чтобы закрыть соединение.
3. Службы терминалов с RemoteApp
Использование RDP для подключения к целой системе может показаться избыточным, особенно если нужна лишь командная строка. Другой способ — задействовать новый компонент служб терминалов Server 2008, называемый RemoteApp. С его помощью можно организовать RDP-соединение, которое открывает только командную строку, но не весь рабочий стол. Прежде чем начать, следуйте приведенным ниже инструкциям, чтобы активизировать соединения служб терминалов.
Чтобы создать rdp-файл RemoteApp, нужно установить роль Terminal Services на сервере Server 2008, отличном от Server Core. Эту задачу можно выполнить с помощью диспетчера серверов.
После того как роль Terminal Services будет установлена, следует выбрать пункт TS RemoteApp Manager из раздела Administrative Tools, Terminal Services в меню Start. Откроется консоль RemoteApp Manager.
Затем выберите вариант подключения к другому компьютеру и укажите компьютер Server Core. В крайней справа области Actions нажмите кнопку Add RemoteApp Programs и найдите приложение cmd.exe (обычно оно находится в каталоге c$windowssystem32cmd.exe). Из списка Allow выберите Remote cmd.exe. Затем нажмите кнопку Create RDP package в области Actions.
После того как пакет будет создан, можно дважды щелкнуть на нем мышью, чтобы открыть только командную строку в сеансе служб терминалов. Кроме того, можно отправить файл cmd.rdp другим пользователям, нуждающимся в доступе к компьютеру Server Core в командной строке RemoteApp.
4. Оболочка Windows Remote Shell
Windows Remote Management (WinRM) — реализация протокола WS-Management (удобный для работы через брандмауэр протокол на основе SOAP), обеспечивающая взаимодействие между операционной системой и оборудованием различных поставщиков. Кроме того, с помощью WinRM можно подключиться к компьютеру Server Core и работать в командной строке, не создавая соединения служб терминалов. Одно из преимуществ WinRM заключается в использовании HTTP-порта 80 (или HTTPS-порта 443) для подключения. Обычно эти порты в брандмауэрах уже открыты, и организовать соединение просто. Идея метода заключается в том, чтобы создать слушателя WinRM на одной стороне (компьютер Server Core), а затем использовать инструмент WinRS для подключения к компьютеру.
Прежде чем начать, необходимо ввести компьютер Server Core в состав домена и зарегистрироваться в домене, по крайней мере один раз, с правами администратора компьютера Server Core. Обратите внимание, что для организации соединения необходимо использовать Server 2008, Windows 7, Windows Vista или Windows Server 2003 R2.
Перейдите к командной строке на компьютере Server Core, которым предстоит управлять, и введите
WinRM quickconfig
Затем в компьютере, с которого будет выполняться управление, введите нужную команду следующим образом
winrs -r:
Можно запустить любую команду (например, dir, ipconfig), но лучше всего ввести команду cmd.exe, которая полностью связывает командную строку администратора с компьютером Server Core. Затем все вводимые команды будут выполняться на компьютере Server Core, и не нужно повторно вводить команду winrs целиком.
5. Оснастки консоли MMC
Консоль управления MMC обеспечивает графический способ администрирования Server Core. Но прежде чем можно будет воспользоваться обычными консолями, необходимо выполнить некоторые действия из командной строки. Во-первых, следует настроить брандмауэр на компьютере Server Core, чтобы разрешить подключение оснасток MMC.
В командной строке введите
netsh advfirewall firewall set rule group=»remote administration» new enable=yes
Чтобы включить определенные оснастки, введите команду
netsh advfirewall firewall set rule group=»» new enable=yes
Предпочтительно разрешить все оснастки. Если же активизировать лишь необходимые оснастки, нужно знать имена групп правил, соответствующих оснасткам. Информация представлена в таблице. Чтобы использовать оснастки MMC для управления компьютером Server Core, необходимы административные права на этом компьютере.
Нужно учитывать, является ли управляемый компьютер Server Core членом домена. Если компьютер входит в состав домена, просто откройте консоль MMC, щелкните правой кнопкой мыши на дереве в левой панели, выбрав из контекстного меню Connect to another computer, и введите имя компьютера Server Core.
Если компьютер Server Core, которым нужно управлять, не принадлежит домену, необходимо воспользоваться административными учетными данными, чтобы создать соединение с компьютером Server Core из клиентского компьютера. Откройте командную строку на клиентском компьютере и введите
cmdkey/add:/user: /pass:
Затем можно управлять компьютером Server Core как любым другим компьютером в домене.
Разнообразные варианты управления
Освоив несколько подходов, администраторы могут применить знание командной строки, чтобы полностью реализовать преимущества Server Core. В Server 2008 R2 можно будет запускать и PowerShell, что, несомненно, расширит возможности управления Server Core как локально, так и дистанционно.
Дж. Питер Браззис (jpb@cliptraining.com) — инструктор, консультант и технический писатель в компании ClipTraining.com. Имеет сертификаты MCSE 2003/2000/NT, MCT и MCITP Enterprise Messaging
Как вы знаете Server Core в Windows Server 2008 не включает в себя традиционный полный графический интерфейс пользователя (GUI).
Как и в стандартной (полной) установке Windows Server 2008, брандмауэр Windows включен по умолчанию, и большинство сетевых портов сразу после установки блокируются. Однако, поскольку основной задачей севера является предоставление некой услуги (будь то некая служба, файл, или что-то другое, что должно быть доступно по сети), вам необходимо разрешить определенный сетевой трафик на брандмауэре.
Одной из причин для открытия входящего трафика на брандмауэре – необходимость дистанционного управления сервером. Как уже упоминалось в предыдущих статьях, вы можете управлять Server Core с помощью локальной командной строки, дистанционно с помощью обычной MMC оснастки, через WinRM и WinRS, и даже через удаленный рабочий стол (хотя вы все равно получите обычное окно командной строки …)
В большинстве случаев после начальной конфигурации сервера, у Вас возникнет необходимость управления ролями и функциями, установленными на сервере, и вероятно, вы захотите использовать MMC-оснастку Administration tools. Есть три сценария удаленного управления через MMC:
- Роль сервера — когда роль сервера установлена на Вашем сервере, соответствующие порты открываются автоматически, позволяя вам удаленно управлять им. Никаких дополнительных настроек не требуется. Установив необходимые оснастки из Remote Server Administration Tools (RSAT) на вашей полноценной рабочей станции(сервере), вы сможете удаленно управлять сервером с Server Core.
- Сервер член домена — после того как сервер включен в домен, брандмауэр использует преднастроенный доменный профиль, который разрешает удаленное управление. Опять же, никаких дополнительных настроек не требуется.
- Сервер в рабочей группе — это сценарий, в котором потребуется внести изменения в конфигурацию брандмауэра. Если вы просто хотите задействовать все функции удаленного управления, можно использовать следующую команду:
Netsh advfirewall firewall set rule group=“remote administration” new enable=yes
Эта команда разрешает использование большинства методик удаленного управления и разрешает доступ к большинству оснасток MMC. Однако есть оснастки, удаленный доступ к которым настраивается дополнительно:
Диспетчер устройств (Device Manager)
Чтобы разрешить подключаться к диспетчеру устройств, нужно включить параметр политики «Allow remote access to the PnP interface».
Управление дисками (Disk Management)
Для этого на Server Core нужно запустить службы виртуальных дисков (Virtual Disk Service -VDS)
IPSec Management
Вы должны сначала установить удаленное управление для IPSec. Это можно сделать с помощью скрипта scregedit.wsf (он лежит в папке system32):
Cscript scregedit.wsf /im 1
Таким образом, доступ к большинству MMC оснасток удаленного администрирования, включается одним правилом на брандмауэре — Remote Administration firewall rules. Однако зачастую бывает необходимость предоставить доступ только ограниченному числу MMC-оснасток.
В брандмауэре существуют правила не для всех оснасток, в таблице перечислены существующие правила:
Чтобы включить любую из этих групп, нужно набрать команду:
Netsh advfirewall firewall set rule group=“<rule group>” new enable=yes
Где <rule group> — имя из приведенной таблицы.
Вы также можете удаленно включить их из брандмауэра Windows, запущенного в режиме Advanced Security. Для просмотра всех правил, просто сделайте сортировку по столбцу “Enable”:
На компьютере, предназначенном для удаленного управления, в командной строке, которая открывается по умолчанию при входе члена группы Администраторы в систему Windows Server 2008 R2 в установке Server Core, введите следующую команду и нажмите клавишу ВВОД:
Dism.exe /Online /Enable-Feature /FeatureName:NetFx2-ServerCore /FeatureName:MicrosoftWindowsPowerShell /FeatureName:ServerManager-PSH-Cmdlets /FeatureName:BestPractices-PSH-Cmdlets
После завершения установки закройте все приложения и перезагрузите компьютер.
Чтобы убедиться, что Windows PowerShell и командлеты для Диспетчер серверов и анализатора соответствия рекомендациям установлены, попробуйте ввести команду oclist, которая возвращает список всех компонентов Windows, установленных на данном компьютере.
По завершении загрузки операционной системы, войдите в систему как минимум с правами члена локальной группы Администраторы.
В окне командной строки, которое откроется после входа в систему, введите следующую команду, чтобы открыть сеанс Windows PowerShell, и нажмите клавишу ВВОД:
powershell
В сеансе Windows PowerShell введите следующую команду и нажмите клавишу ВВОД:
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
Чтобы включить все необходимые исключения из правил брандмауэра, введите следующую команду и нажмите клавишу ВВОД:
Configure-SMRemoting.ps1 -force -enable
Подключение к удаленным компьютерам при помощи диспетчера сервера
Для управления удаленным сервером с помощью Диспетчер серверов, выполните следующие действия.
Подключение к другому компьютеру с помощью диспетчера сервера
Запустите программу Диспетчер серверов. Чтобы открыть компонент «Управление сервером», нажмите Пуск, Администрирование, а затем Управление сервером.
В древовидном представлении щелкните правой кнопкой мыши узел Диспетчер сервера и выберите команду Подключиться к другому компьютеру.
В диалоговом окне Подключение к другому компьютеру введите имя или IP-адрес другого компьютера, работающего под управлением Windows Server 2008 R2, в поле Другой компьютер или найдите другой сервер в сети при помощи обзора. Нажмите кнопку ОК.
В поле Другой компьютер можно указать NetBIOS-имя, полное доменное имя либо адрес IPv4 или IPv6. Если номер порта не указан, то используется номер порта по умолчанию. Далее приведены примеры форматов, которые можно указать в поле Другой компьютер.
In this post, I’ll walk you through the steps for getting WinRM 3.0 properly configured on Windows Server 2008 R2 to allow you to use Server Manager to manage the server and to permit remote PowerShell sessions.
Contents
- Prerequisites
- Install and configure WinRM 3.0
- Author
- Recent Posts
Jim Jones has been a SysAdmin for 15 years and is currently working as a Sr. Network Administrator in West Virginia, USA. Honored to be elected a vExpert and Veeam Vanguard, Jim can be found on Twitter @k00laidIT and at his personal site, koolaid.info.
At my workplace, we are in the process of replacing Windows Server 2003 R2 and some Windows Server 2008 R2 systems with 2012 R2 VMs. In my opinion, one of the key benefits of the Server 2012 R2/Windows 8.1 generation of operating systems is the inclusion of a centralized Server Manager application, which enables you to manage performance and events as well as manage roles and features of any number of servers in bulk.
As this is a Server 2012 technology, you’d think that this would apply only to 2012 and above, but with a little bit of work this can apply to your Server 2008 SP2 and Server 2008 R2 SP1 servers as well. The only caveat to this is that the installation of roles and features themselves is not possible for down-level servers but is only possible for Server 2012 and above.
Please note that the instructions here are for the full install only. If you are looking for an install for Server Core, some of these steps may differ for you.
Prerequisites
Server Manager before WinRM 3.0 configuration
If you have a Windows 8 or Server 2012 box handy, you may want to go ahead and launch Server Manager, go to Manage, and choose Add Servers. You can then search Active Directory and add as many of your servers as you’d like. If this process has not been done yet, you will most likely see a manageability status of “Online — Verify WinRM 3.0 service is installed, running and required firewall ports are open,” as shown in the image.
To start the process, let’s check for some prerequisites first. You have to be running Service Pack 2 on Server 2008 or Service Pack 1 on Server 2008 R2. You must also have the .NET 4.0 Framework installed. Finally, in the case of a Windows 2008 server, you may need to install the Windows Management Framework 2.0 prior to WMF 3.0. Here are a couple of one-liners you can run from PowerShell to extract that info:
Return the service pack version:
wmic OS Get ServicePackMajorVersion
Return the .NET 4 version information (if you get an error, that means it isn’t installed):
Get-ItemProperty "hklm:\SOFTWAREMicrosoftNET Framework SetupNDPv4Client"
Prerequisites Example Output PS C:Windowssystem32> wmic OS Get ServicePackMajorVersion ServicePackMajorVersion 1 PS C:Windowssystem32> Get-ItemProperty "HKLM:SOFTWAREMicrosoftNET Framework SetupNDPv4Client" PSPath : Microsoft.PowerShell.CoreRegistry::HKEY_LOCAL_MACHINESOFTWAREMicrosoftNET Framework SetupNDPv4Client PSParentPath : Microsoft.PowerShell.CoreRegistry::HKEY_LOCAL_MACHINESOFTWAREMicrosoftNET Framework SetupNDPv4 PSChildName : Client PSDrive : HKLM PSProvider : Microsoft.PowerShell.CoreRegistry Version : 4.5.50938 TargetVersion : 4.0.0 Install : 1 MSI : 1 Servicing : 0 Release : 378758 InstallPath : C:WindowsMicrosoft.NETFramework64v4.0.30319
Return the PowerShell component versions (we really care about the PSVersion property):
PS C:Windowssystem32> $PSVersionTable
Name Value
---- -----
CLRVersion 2.0.50727.5477
BuildVersion 6.1.7601.17514
PSVersion 2.0
WSManStackVersion 2.0
PSCompatibleVersions {1.0, 2.0}
SerializationVersion 1.1.0.1
PSRemotingProtocolVersion 2.1
As you can see, I’m good to go on all of these, so we can go ahead and proceed to configuring WinRM 3.0.
Install and configure WinRM 3.0
To get going with WinRM 3.0, we’ll need to install the Windows Management Framework 3.0, which is just a simple MSU install much like the RSAT tools. Once done, we can verify the installation by running the $PSVersionTable command again, showing the new version. This update requires a reboot to take effect.
There is also a hotfix, KB2682011, that enables the collection of performance information on these older servers. In each of the occasions where I’ve tried to install the hotfix, the installer responded that it is not applicable to my computer, which tells me it is most likely included in a rollup somewhere along the line. If you can’t get the performance data out of Server Manager, this may be something to try.
Finally, we’re going to have to open a PowerShell window, run as Administrator, to do the last couple of steps. Once you have your command prompt open, execute the following commands:
winrm qc Enable-PSRemoting –Force
PS C:Windowssystem32> winrm qc WinRM already is set up to receive requests on this machine. WinRM is not set up to allow remote access to this machine for management. The following changes must be made: Enable the WinRM firewall exception. Make these changes [y/n]? y WinRM has been updated for remote management. WinRM firewall exception enabled. PS C:Windowssystem32> Enable-PSRemoting -Force WinRM already is set up to receive requests on this computer. WinRM already is set up for remote management on this computer.
The first command starts and sets the startup of the WinRM service to automatic, configures the listener port, and defines the firewall exceptions for the listener port. The second configures the computer to receive any PowerShell commands sent to it via WinRM. Once done, and if you get the results shown, you should be able to right-click the server in your Server Manager, choose Refresh, and have full functionality. By default, the performance counters are not started. If you wish to use them, you simply need to right-click the server and choose Start Performance Counters.
Server Manager after WinRM 3.0 configuration
Все что мы видим после установки Windows Server 2008 в режиме Server Core — это пустой рабочий стол и командная строка. Для того чтобы управлять сервером, нам надо будет произвести некоторые первоначальные настройки — задать имя и IP-адрес, открыть нужные порты на файерволе и установить инструменты для удаленного управления. Настройку можно произвести двумя способами. Итак, способ первый:
Командная строка
В первую очередь настраиваем сеть. Последовательно вводим команду netsh, затем interface, затем ipv4 (после каждой команды жмем Ввод) и попадаем в строку управления сетевыми интерфейсами. Смотрим имеющиеся в наличии:
show interfaces
Выбираем нужный нам и задаем его сетевые настройки (name — индекс выбранного сетевого интерфейса, в нашем случае 21):
set address name=″21″ source=static address=192.168.0.50 mask=255.255.255.0 gateway=192.168.0.10
И адрес DNS-сервера (если сервер не один, то задаем index=1,2…):
add dnsserver name=″21″ address=192.168.0.10 index=1
Теперь дадим нашему серверу имя. Вводим команду hostname и узнаем текущее имя, сгенерированное при установке. Поскольку оно нас не устраивает, зададим нашему серверу новое имя CORE1 :
netdom renamecomputer WIN-FDP41E28535 /newname:CORE1
Проверяем получившиеся настройки: ipconfig /all
Затем обязательно перезагружаем сервер: shutdown -r -t 0
Теперь наш сервер виден в сети.
Идем дальше и выставляем дату и время на сервере. Хоть в ServerCore и нет графической оболочки, но некоторыми оснастками панели управления воспользоваться можно. Так, введя команду control timedate.cpl мы откроем оснастку ″Дата и время″, а командой control intl.cpl — ″Региональные настройки″.
Активируем сервер с помощью менеджера лицензий slmgr.vbs :
slmgr -ipk <ключ продукта>
slmgr -ato
И теперь самое время вводить наш сервер в домен:
netdom join CORE1 /domain:contoso.com /UserD:administrator@contoso.com /PasswordD:*
Еще раз перезагружаемся.
Теперь устанавливаем и настраиваем инструменты удаленного управления. В первую очередь открываем на файерволе порты, необходимые для удаленного управления помощью оснасток MMC:
netsh advfirewall firewall set rule group=″Удаленное администрирование″ new enable=yes
Примечание. Если у вас английская версия ОС, то вместо ″Удаленное администрирование″ вводим ″Remote administration″
Затем разрешаем подключение к удаленному рабочему столу:
cscript C:windowssystem32scregedit.wsf /ar 0
Для возможности подключения к серверу с клиентов ниже, чем Windows Vista/Windows Server 2008, отключаем высокий уровень безопасности, установленный по умолчанию:
cscript C:windowssystem32scregedit.wsf /cs 0
И проверяем результат:
cscript C:windowssystem32scregedit.wsf /ar /v
Еще один инструмен удаленного управления — Windows Remote Management (WinRM). Настроим его командой:
WinRM quickconfig
И теперь настроим удаленное управление сервером с помощью оснастки Server Manager. Для этого нам прийдется установить NetFramework и PowerShell:
DISM /Online /Enable-Feature /FeatureName:NetFx2-ServerCore
DISM /Online /Enable-Feature /FeatureName:MicrosoftWindowsPowerShell
Устанавливаем остальные недостающие компоненты:
DISM /Online /Enable-Feature /FeatureName:ServerManager-PSH-Cmdlets
DISM /Online /Enable-Feature /FeatureName:BestPractices-PSH-Cmdlets
Перезагружаемся и вводим команду powershell. Затем меняем политику выполнения скриптов в PowerShell (по умолчанию выполнение скриптов запрещено):
Set-EsecutionPolicy RemoteSigned
И разрешаем удаленное управление в PowerShell:
Configure-SMRemoting.ps1 -force -enable
На этом первоначальная настройка закончена.
А теперь для тех, кто не переносит командную строку, второй способ настройки:
Скрипт первоначальной конфигурации Sconfig
Просто вводим в командной строке команду sconfig и попадаем в окно настроек:
Выбрав пункт 1, можем изменить имя компьютера. Однако, можно не делать этого отдельно, при вводе в домен программа сама выдаст запрос на изменение имени.
Для настройки сети выбираем номер параметра 8. Здесь задаем IP-адрес, маску и шлюз по умолчанию, а также DNS сервера.
Выбрав пункт 7 мы включаем удаленный рабочий стол:
А пункт 4 позволяет нам настроить удаленное управление. Сначала устанавливаем открываем порты на файерволе (пункт 1), затем устанавливаем PowerShell (пункт 2). При этом все компоненты устанавливаются автоматически. После этого потребуется перезагрузка, а потом выбираем пункт 3 и разрешаем удаленное управление:
Вот и все. Теперь можно управлять сервером удаленно, с помощью любого из вышеперечисленных способов.