文档首页 > > 用户指南> 主机管理> 配置主机的连通性> 添加Windows2016

添加Windows2016

分享
更新时间:2020/10/28 GMT+08:00

介绍Windows2016作为授信主机的配置方法,有如下两种:

自动化脚本配置

自动化脚本配置具体步骤如下:

  1. 添加授信前请检查是否已经配置安全组和防火墙,否则会出现授信失败的情况。
  2. 获取自动化配置脚本。

    1. 下载win2016自动化配置脚本
    2. 手动拷贝/下载脚本压缩文件“Windows2016ConfigureRemotingForAnsible.zip” 至windows主机某路径下,如:“C:\Users\Administrator\Downloads”
    3. 手动解压“Windows2016ConfigureRemotingForAnsible.zip”,得到“Windows2016ConfigureRemotingForAnsible.ps1”脚本。

  3. 配置主机。

    进入主机,打开powershell,进入“Windows2016ConfigureRemotingForAnsible.ps1”脚本所在目录,输入如下命令:

    .\Windows2016ConfigureRemotingForAnsible.ps1

    执行“Windows2016ConfigureRemotingForAnsible.ps1”脚本,如下图所示。

    图1 执行Windows2016ConfigureRemotingForAnsible.ps1脚本

    如果提示“无法加载文件,需要进行数字签名”,如下图所示。

    图2 执行报错

    该错误是因为主机powershell默认模式禁止执行脚本,需要在powershell中执行如下命令:

    set-executionpolicy unrestricted

    将策略更改为unrestricted,执行命令后提示是否确认更改,输入“Y”即可,如下图所示。

    图3 更改策略

  4. 查看配置。

    在powershell内执行如下命令:

    winrm e winrm/config/listener

    若出现HTTPS且Hostname不为空,则表示监听成功,即windows2016部署环境自动化配置成功,如下图所示。

    图4 校验监听

    如果监听命令的返回结果中,Hostname为空,则是因为您的主机无IIS服务和签名证书等信息,需要执行以下脚本。

     1
     2
     3
     4
     5
     6
     7
     8
     9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    #配置WinRM远端管理
    winrm enumerate winrm/config/listener
    winrm quickconfig
    winrm set winrm/config/service/auth '@{Basic="true"}'
    winrm set winrm/config/service/auth '@{CredSSP="true"}'
    winrm set winrm/config/service '@{AllowUnencrypted="true"}'
    
    #安装IIS服务
    Import-Module servermanager
    Add-windowsfeature Web-Server,Web-WebServer,Web-Common-Http,Web-Static-Content,Web-Default-Doc,Web-Dir-Browsing,Web-Http-Errors,Web-App-Dev,Web-ASP,Web-ISAPI-Ext,Web-Health,Web-Http-Logging,Web-Log-Libraries,Web-Request-Monitor,Web-Security,Web-Filtering,Web-Stat-Compression,Web-Mgmt-Tools
    
    #新建自签名证书
    New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My\ -DnsName 'windows-deploy-connect'
    
    #查看自签名证书
    ls Cert:\LocalMachine\My
    
    #通过新增的自签名证书添加安全连接
    $windows_test_key=(Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -match "windows-deploy-connect"}).Thumbprint
    
    cmd /c "winrm set winrm/config/Listener?Address=*+Transport=HTTPS @{Enabled=`"true`";Port=`"5986`";Hostname=`"windows-deploy-connect`";CertificateThumbprint=`"$windows_test_key`"}"
    

如遇到问题,请参考Windows主机授信失败指导

手动配置

手动配置具体步骤如下:

  1. 修改Powershell,将powershell策略更改为unrestricted。

    管理员用户打开Powershell,执行如下命令:

    set-executionpolicy unrestricted

    更改powershell策略,如下图所示。

    图5 更改powershell策略

    执行命令后提示是否确认更改,输入“Y”即可。

  2. 配置Windows远端管理(WinRM)。

    1. 在Powershell中依次输入如下五条命令:
      winrm enumerate winrm/config/listener
      winrm quickconfig
      winrm set winrm/config/service/auth '@{Basic="true"}'
      winrm set winrm/config/service/auth '@{CredSSP="true"}'
      winrm set winrm/config/service '@{AllowUnencrypted="true"}'
    2. 校验是否配置成功,命令如下:
      winrm get winrm/config/service/auth

      执行命令后如果“Basic”“Kerberos”“CredSSP”均为true则表示配置成功,如下图所示。

      图6 配置结果校验

  3. 安装证书。

    1. 打开服务器管理器,启动IIS。
    2. 单击添加角色和功能,如下图所示。
      图7 服务器管理器
    3. 单击“下一步”,在“安装类型”节点,选择第一个选项,如下图所示。
      图8 选择安装类型
    4. 单击“下一步”,在“服务器角色”节点,确认勾选“IIS Management Scripts and Tools”“Management Service”,如下图所示。
      图9 选择服务器角色
    5. 单击“下一步”,在“功能”节点,确认勾选.NET,如下图所示。
      图10 选择功能
    6. 单击下一步 > 安装,完成安装。

  4. 添加证书。

    1. 打开IIS管理器,双击“服务器证书”,如下图所示。
      图11 IIS管理器
    2. 进入“服务器证书”界面,单击“创建自签名证书”,如下图所示。
      图12 服务器证书
    3. 进入“创建自签名证书”界面,为证书指定好名称,单击“OK”,如下图所示。
      图13 创建自签名证书
    4. 在Powershell中查看证书,输入如下命令:
      ls Cert:\LocalMachine\My

      出现如下图所示两列数据即表示证书添加成功。

      图14 查看证书
    5. 通过证书监听HTTPS端口,配置安全连接。

      命令格式如下:

      winrm set winrm/config/Listener?Address=*+Transport=HTTPS @{Enabled="true";Port="自定义端口号,默认5986";Hostname="证书域名";CertificateThumbprint="证书key值"}

      • “Hostname”为上一步“Subject”列对应的值。
      • “CertificateThumbprint”为上一步“Thumbprint”列对应的值。

      如,在cmd中输入如下命令,如下图所示。

      winrm set winrm/config/Listener?Address=*+Transport=HTTPS @{Enabled=”true”;Port="5986";Hostname="XXXXXXXXXXXXX";CertificateThumbprint="12DE438EE83D6A8DEFD814BD6595C843C630FBC7"}
      图15 监听HTTPS端口
    6. 在Powershell中校验是否监听成功,输入如下命令:
      winrm e winrm/config/listener
      若出现HTTPS 则表示监听成功,即完成了所有配置,如下图所示。
      图16 校验监听

  5. 添加授信前请检查是否已经配置安全组和防火墙,否则会出现授信失败的情况。

如遇到问题,(参考)Windows主机授信失败指导

  

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!非常感谢您的反馈,我们会继续努力做到更好!
反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问