- Remove From My Forums
-
Вопрос
-
Добрый день, коллеги!
Пытаюсь настроить работу WAC (2009) WinRM for HTTPS, провел подготовительные работы на удаленном ПК согласно
статье. Но при попытке подключиться выходит следующая ошибка и не могу понять почему:
Connecting to remote server srv01.contoso.local failed with the following error message : The server certificate on the destination computer (srv1.contoso.local:5986) has the following errors: The SSL certificate could not be checked for revocation. The server used to check for revocation might be unreachable. For more information, see the about_Remote_Troubleshooting Help topic.
Проверил CRL доступны, в Enterprise PKI тоже все ОК, в чем проблема не могу понять, есть у кого соображения по этому поводу?
Даже сам на себя через WAC не получается зайти :-(, когда-то пробовал данный функционал все без проблем работало, может глюк новой версии?
Ответы
-
Действительно как только я настроил OCSP и выпустил новый сертификат все заработало.
-
Помечено в качестве ответа
30 декабря 2020 г. 13:10
-
Помечено в качестве ответа
I’ve installed WAC on Windows Server 2019 and have read what little documentation there is and I have yet to get it to connect to anything. At first I thought it was a firewall thing, but I’ve turned off the entire firewall for this particular endpoint and it makes it to the authentication stage, but doesn’t authenticate and displays the following error:
Text
The client cannot connect to the destination specified in the request. Verify that the service on the destination is running and is accepting requests. Consult the logs and documentation for the WS-Management service running on the destination, most commonly IIS or WinRM. If the destination is the WinRM service, run the following command on the destination to analyze and configure the WinRM service: "winrm quickconfig".
Nothing in the documentation about that and I’m using my domain admin account to attempt to connect (actually back to the server it’s installed on does the same). I’ve run the «winrm quickconfig» and that simply says that the service is already running and that everything «should» be fine.
| title | description | ms.topic | author | ms.author | ms.date |
|---|---|---|---|---|---|
|
Windows Admin Center common troubleshooting steps |
Windows Admin Center common troubleshooting steps |
article |
jwwool |
jeffrew |
01/15/2021 |
Troubleshoot Windows Admin Center
Applies to: Windows Admin Center, Windows Admin Center Preview, Azure Stack HCI, versions 21H2 and 20H2
This article describes how to diagnose and resolve issues in Windows Admin Center. If you’re having an issue with a specific tool, check to see if you’re experiencing a known issue.
Installer fails with message: The Module ‘Microsoft.PowerShell.LocalAccounts’ could not be loaded.
This failure can happen if your default PowerShell module path has been modified or removed. To resolve the issue, make sure that %SystemRoot%system32WindowsPowerShellv1.0Modules is the first item in your PSModulePath environment variable. You can achieve this with the following line of PowerShell:
[Environment]::SetEnvironmentVariable("PSModulePath","%SystemRoot%system32WindowsPowerShellv1.0Modules;" + ([Environment]::GetEnvironmentVariable("PSModulePath","User")),"User")
I get a This site/page can’t be reached error in my web browser
If you’ve installed Windows Admin Center as an App on Windows 10
- Check to make sure Windows Admin Center is running. Look for the Windows Admin Center icon
in the System tray or Windows Admin Center Desktop / SmeDesktop.exe in Task Manager. If not, launch Windows Admin Center from the Start menu.
in the System tray or Windows Admin Center Desktop / SmeDesktop.exe in Task Manager. If not, launch Windows Admin Center from the Start menu.[!NOTE]
After rebooting, you must launch Windows Admin Center from the Start menu.
-
Check the Windows version.
-
Make sure you’re using either Microsoft Edge or Google Chrome as your web browser.
-
Did you select the correct certificate on first launch?
- Try opening your browser in a private session — if that works, you’ll need to clear your cache.
-
Did you recently upgrade Windows 10 to a new build or version?
- This may have cleared your trusted hosts settings. Follow these instructions to update your trusted hosts settings.
If you’ve installed Windows Admin Center as a Gateway on Windows Server
-
Check the Windows version of the client and server.
-
Make sure you are using either Microsoft Edge or Google Chrome as your web browser.
-
On the server, open Task Manager > Services and make sure ServerManagementGateway / Windows Admin Center is running.
-
Test the network connection to the Gateway (replace <values> with the information from your deployment)
Test-NetConnection -Port <port> -ComputerName <gateway> -InformationLevel Detailed
If you have installed Windows Admin Center in an Azure Windows Server VM
- Check the Windows version.
- Did you add an inbound port rule for HTTPS?
- Learn more about installing Windows Admin Center in an Azure VM.
Check the Windows version
To check the Windows version:
-
Open the run dialog (Windows Key + R) and launch
winver. -
Check the version in the About Windows window.
-
If you’re using Windows 10 version 1703 or earlier, Windows Admin Center isn’t supported on your version of Microsoft Edge. Either upgrade to a recent version of Windows 10 or use Google Chrome.
-
If you’re using an insider preview version of Windows 10 or Server with a build version between 17134 and 17637, Windows had a bug that caused Windows Admin Center to fail. Use a current supported version of Windows to fix this issue.
-
Make sure the Windows Remote Management (WinRM) service is running on both the gateway machine and managed node
-
Open the run dialog with WindowsKey + R.
-
Type
services.mscand press Enter. -
In the window that opens, look for Windows Remote Management (WinRM), make sure it is running and set to automatically start.
If you’re getting WinRM error messages while managing servers in Windows Admin Center
WinRM doesn’t allow credential delegation by default. To allow delegation, the computer needs to have Credential Security Support Provider (CredSSP) enabled temporarily.
If you’re receiving WinRM error messages, try using the verification steps in the Manual troubleshooting section of Troubleshoot CredSSP to resolve them.
Did you upgrade your server from 2016 to 2019?
This may have cleared your trusted hosts settings. Follow these instructions to update your trusted hosts settings.
I get the message: «Can’t connect securely to this page. This might be because the site uses outdated or unsafe TLS security settings.»
Your machine is restricted to HTTP/2 connections. Windows Admin Center uses integrated Windows authentication, which is not supported in HTTP/2. Add the following two registry values under the HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHttpParameters key on the machine running the browser to remove the HTTP/2 restriction:
EnableHttp2Cleartext=dword:00000000 EnableHttp2Tls=dword:00000000
I’m having trouble with the Remote Desktop, Events, and PowerShell tools.
These three tools require the web socket protocol, which is commonly blocked by proxy servers and firewalls. If you’re using Google Chrome, there’s a known issue with web sockets and NTLM authentication.
I can connect to some servers, but not others
-
Log on to the gateway machine locally and try to
Enter-PSSession <machine name>in PowerShell, replacing <machine name> with the name of the Machine you’re trying to manage in Windows Admin Center. -
If your environment uses a workgroup instead of a domain, see using Windows Admin Center in a workgroup.
-
Using local administrator accounts: If you’re using a local user account that isn’t the built-in administrator account, you need to enable the policy on the target machine by running the following command in PowerShell or at a command prompt as Administrator on the target machine:
REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1
I get this message: «You are not authorized to view this page. If you recently updated Windows Admin Center, you may need to restart your browser, and then refresh the page.»
Make sure to select the Windows Admin Center Client certificate when prompted on the first launch, and not any other certificate. If you select any other certificate, you’ll get this error message. To resolve this error, restart your browser and refresh the page, and select the Windows Admin Center Client certificate. If you continue to get the same error, try clearing the browser cache or switching to another browser. If none of these troubleshooting steps resolve the issue, you may need to uninstall and reinstall Windows Admin Center, and then restart it.
Using Windows Admin Center in a workgroup
What account are you using?
Make sure the credentials you’re using are a member of the target server’s local administrators group. In some cases, WinRM also requires membership in the Remote Management Users group. If you’re using a local user account that is not the built-in administrator account, you will need to enable the policy on the target machine by running the following command in PowerShell or at a Command Prompt as Administrator on the target machine:
REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1
Are you connecting to a workgroup machine on a different subnet?
To connect to a workgroup machine that isn’t on the same subnet as the gateway, make sure the firewall port for WinRM (TCP 5985) allows inbound traffic on the target machine. You can run the following command in PowerShell or at a Command Prompt as Administrator on the target machine to create this firewall rule:
-
Windows Server
Set-NetFirewallRule -Name WINRM-HTTP-In-TCP-PUBLIC -RemoteAddress Any
-
Windows 10
Set-NetFirewallRule -Name WINRM-HTTP-In-TCP -RemoteAddress Any
Configure TrustedHosts
When installing Windows Admin Center, you’re given the option to let Windows Admin Center manage the gateway’s TrustedHosts setting. This is required in a workgroup environment, or when using local administrator credentials in a domain. If you choose to forego this setting, you must configure TrustedHosts manually.
To modify TrustedHosts using PowerShell commands:
-
Open an Administrator PowerShell session.
-
View your current TrustedHosts setting:
Get-Item WSMan:localhostClientTrustedHosts[!WARNING]
If the current setting of your TrustedHosts is not empty, the commands below will overwrite your setting. We recommend that you save the current setting to a text file with the following command so you can restore it if needed:Get-Item WSMan:localhostClientTrustedHosts | Out-File C:OldTrustedHosts.txt -
Set TrustedHosts to the NetBIOS, IP, or FQDN of the machines you
intend to manage:Set-Item WSMan:localhostClientTrustedHosts -Value '192.168.1.1,server01.contoso.com,server02'
[!TIP]
For an easy way to set all TrustedHosts at once, you can use a wildcard.Set-Item WSMan:localhostClientTrustedHosts -Value '*'
-
When you are done testing, you can issue the following command from an elevated PowerShell session to clear your TrustedHosts setting:
Clear-Item WSMan:localhostClientTrustedHosts -
If you had previously exported your settings, open the file, copy the values, and use this command:
Set-Item WSMan:localhostClientTrustedHosts -Value '<paste values from text file>'
I previously had Windows Admin Center installed, and now nothing else can use the same TCP/IP port
Manually run these two commands in an elevated command prompt:
netsh http delete sslcert ipport=0.0.0.0:443 netsh http delete urlacl url=https://+:443/
Azure features don’t work properly in Microsoft Edge
Microsoft Edge has known issues related to security zones that affect Azure login in Windows Admin Center.
If you are having trouble using Azure features when using Microsoft Edge, perform these steps to add the required URLs:
-
Search for Internet Options in the Windows Start menu.
-
Go to the Security tab.
-
Under the Trusted sites option, click on the Sites button and add the following URLs in the dialog box that opens:
- Your gateway URL
https://login.microsoftonline.comhttps://login.live.com
-
Click Close and then click OK.
-
Update the Pop-up Blocker settings in Microsoft Edge:
-
Browse to edge://settings/content/popups?search=pop-up.
-
Under the Allow section, add the following URLs:
- Your gateway URL
https://login.microsoftonline.comhttps://login.live.com
-
Have an issue with an Azure-related feature?
Send us an email at wacFeedbackAzure@microsoft.com with the following information:
- General issue information from the questions listed below.
- Describe your issue and the steps you took to reproduce the issue.
- Did you previously register your gateway to Azure using the New-AadApp.ps1 downloadable script and then upgrade to version 1807? Or did you register your gateway to Azure using the UI from gateway Settings > Azure?
- Is your Azure account associated with multiple directories/tenants? If yes, when registering the Azure AD application to Windows Admin Center, was the directory you used your default directory in Azure?
- Does your Azure account have access to multiple subscriptions?
- Does the subscription you were using have billing attached?
- Were you logged in to multiple Azure accounts when you encountered the issue?
- Does your Azure account require multi-factor authentication?
- Is the machine you’re trying to manage an Azure VM?
- Is Windows Admin Center installed on an Azure VM?
Collect HAR files
An HTTP Archive Format (HAR) file is a log of a web browser’s interaction with a site. This information is crucial for troubleshooting and debugging.
To collect a HAR file in Microsoft Edge or Google Chrome, follow these steps:
-
Press F12 to open Developer Tools window, and then click the Network tab.
-
Select the Clear icon to clean up network log.
-
Click to select the Preserve Log check box.
-
Reproduce the issue.
-
After reproducing the issue, click on Export HAR.
-
Specify where to save the log and click Save.
[!WARNING]
Before sharing your HAR files with Microsoft, ensure that you remove or obfuscate any sensitive information, like passwords.
Provide feedback on issues
Go to Event Viewer > Application and Services > Microsoft-ServerManagementExperience and look for any errors or warnings.
File a bug on GitHub that describes your issue.
Include any errors or warning you find in the event log, and the following information:
- Platform where Windows Admin Center is installed (Windows 10 or Windows Server):
- If installed on Server, what is the Windows version of the machine running the browser to access Windows Admin Center:
- Are you using the self-signed certificate created by the installer?
- If you’re using your own certificate, does the subject name match the machine?
- If you’re using your own certificate, does it specify an alternate subject name?
- Did you install with the default port setting?
- If not, which port did you specify?
- Is the machine where Windows Admin Center is installed joined to a domain?
- Windows version where Windows Admin Center is installed:
- Is the machine that you’re trying to manage joined to a domain?
- Windows version of the machine that you’re trying to manage:
- What browser are you using?
- If you’re using Google Chrome, what is the version? (Help > About Google Chrome)
После небольшого поиска в Google это шаги из расширенного сеанса PowerShell
Управляющий ПК
Set-Item wsman:localhostclienttrustedhosts -Value pc1,pc2
где pc1, pc2 — имена удаленных ПК
Управляемый ПК
Enable-PSRemoting -force
winrm quickconfig
Если повезет, это все, что вам нужно сделать.
Общественная / Частная Сеть
Если вы получили эту ошибку
Исключение брандмауэра WinRM не будет работать, так как один из типов сетевых подключений на этом компьютере установлен в Public. Измените тип сетевого подключения на Доменный или Частный и повторите попытку.
Затем найдите название сети-нарушителя
Get-NetConnectionProfile
и установите его как частный (если это имеет смысл с точки зрения безопасности)
Set-NetConnectionProfile -name "Unidentified network" -NetworkCategory Private
Содержание
- Windows admin center не подключается к серверу
- Что такое Windows Admin Center?
- Преимущества Windows Admin Center (WAC)
- Ограничения и типы развертывания
- Ну и варианты развертывания WAC, их четыре:
- Как установить Windows Admin Center
- Какие браузеры поддерживает Windows Admin Center (WAC)
- Обзор управления сервером в Windows Admin Center
- Windows admin center не подключается к серверу
- Вопрос
- Ответы
- Все ответы
- Управляем Windows Server из Windows Admin Center
- Нюансы
- Упрощаем работу
- Повышаем безопасность
- Выводы
Windows admin center не подключается к серверу
Добрый день! Уважаемые читатели и гости крупного IT блога Pyatilistnik.org. В прошлый раз я вам подробно описал процесс установки Windows Server 2019 Standard. После установки, я обратил ваше внимание, что компания Microsoft в момент открытия оснастки диспетчер серверов, вывело окно, в котором вам как администратору, рекомендовалось познакомиться с новым кроссплатформенным инструментом управления серверами WAC. В сегодняшней статье я хочу рассказать, как установить Windows Admin Center, мы разберем его настройку и возможности, а так же механизм работы.
Что такое Windows Admin Center?
Если вы давно работаете с программными продуктами компании Microsoft, то вы наверняка привыкли, что большинство из них лишено возможности удобного управления с любого устройства. Взять к примеру компанию VMware с ее продуктом vCenter, который управляет инфраструктурой виртуализации, она выгодно отличается от VMM, тем что кроссплатформенная, не важно с какого устройства и с какой версией операционной системы вы открываете консоль управления, вы всегда увидите один и тот же интерфейс и сможете выполнить любые доступные действия, прямо из браузера, который есть везде.
У компании Microsoft, всегда был удобный инструмент в виде оснастки «Диспетчер серверов», который она развивала, начиная с Windows Server 2003 и привела на мой взгляд к удобному виду в Windows Server 2012 R2, но всегда ей не хватало того, чтобы администратор мог ее запустить с любого устройства, например с Android, понятно что можно было установить клиента RDP, подключиться к серверу и сделать действия, но черт побери, это же не удобно, и за это Microsoft критиковали.
Преимущества Windows Admin Center (WAC)
Ограничения и типы развертывания
К сожалению существует ряд ограничений, который вам не позволит разворачивать WAC на любых платформах.Вы можете управлять вот такими операционными системами:
В случае старых систем, вам необходимо установить на них Windows Management Framework (WMF) версии 5.1 и старше. Данный пакет внесет в данные ОС необходимые функции PowerShell.
Ну и варианты развертывания WAC, их четыре:
Как установить Windows Admin Center
Давайте начнем с вами инсталлировать WAC. Делать я это буду в Windows Server 2019, но никто вам не мешает, это выполнить и в Windows 10. Откройте диспетчер серверов, в нем у вас выскочит дополнительное окно «Попробуйте управлять серверами с Windows Admin Center» и будет ссылка на его скачивание.
Скачанный файл WindowsAdminCenter1809 будет весить в районе 63 мб, запускаем его. У вас откроется мастер установки Windows Admin Center. На первом шаге вам необходимо принять лицензионное соглашение и нажать далее.
Следующее окно покажет вам варианты применения и установки, я вам их описывал выше, тут нажимаем просто «далее»
Предоставляем доступ к изменению доверенных узлов данного компьютера и далее.
Следующим этапом установки Windows Admin Center будет выбор порта на котором будет работать данный инструмент управления, выбранный вами порт будет открыт в брандмауэре. Так же советую вам поставить галку перенаправления трафика с http на https, чтобы трафик был защищен, и если у вас планируется централизованное управление серверным парком, и за пределами вашей локальной сети, то советую вам купить себе публичный сертификат, например, от Comodo на три года за 1800 рублей.
Ну и собственно установить.
Все то же самое можно выполнить и из командной строки или скрипта:
В момент установки будет сгенерирован самоподписный сертификат сервера
Если нужно использовать свой сертификат, то команда будет вот такой:
Какие браузеры поддерживает Windows Admin Center (WAC)
Если вы попытаетесь открыть адрес https://имя сервера (или localhost) в Internet Explorer, то у вас будет вот такая кракозябра, по крайней мере в русской версии и ссылка на на статью, какие браузеры подходят для управления.
Не заморачивайтесь и ставьте Google Chrome, не зря он по статистике 2018 года самый популярный. Открываем https/localhost/ или https/fqdn-имя/ в браузере. У вас появится окно «Добро пожаловать», где вы можете ознакомиться с данным инструментом.
Вот так вот выглядит интерфейс Windows Admin Center. Тут у вас будет:
Теперь перед тем, как я буду показывать функционал Windows Admin Center, я покажу как добавлять еще сервера. Нажимаем соответствующую кнопку. Справа всплывет дополнительная панель, в которой вы можете добавить один сервер или импортировать список в txt файле.
Указываете DNS-имя сервера, если он нормально определиться, то вам предложат указать какие учетные данные нужно использовать для него. тут можно выбрать:
В правом углу есть кнопка оповещения, где будут выводится уведомления WAC.
Вот пример, что я не смог подключиться к удаленному рабочему столу.
Давайте посмотрим параметры Windows Admin Center, щелкаем по шестеренке. Первым экраном у вас будет выбор языка и региона
Пункт «Предложения», позволит вам включить или отключить службы для Azure:
Пункт дополнительно, позволит вам указать какие минимальные по важности уведомления нужно выводить в консоль браузера.
На вкладке расширения вы можете посмотреть какие у вас модули установлены и какие еще можно установить, на вкладке веб-канал, можно добавлять адреса репозиториев.
Вкладка Azure, позволит вам зарегистрировать ваш шлюз WAC в облаке Microsoft, где вы сможете:
ну и вкладка «Доступ», тут вы можете предоставлять права группам.17:06 18.12.2018
Обзор управления сервером в Windows Admin Center
Переходим в корень WAC и щелкаем по нужному вам серверу.
У вас начнется подключение к нужному серверу через службу winrm. Первым, что вы увидите, это будет обзорный экран с большим количеством информации по производительности. Вы увидите данные в реальном времени по сетевой нагрузке, CPU и использованию оперативной памяти.
В верхней панели вы увидите кнопки:
Указываем учетные данные позволяющие вам ввести сервер в домен предприятия.
Как видим, все успешно отработало.
Далее переходим на вкладку «Брандмауэр», тут вы увидите состояние ваших профилей безопасности, а так же вкладки входящие и исходящие правила. Тут вы можете создавать, отключать, включать и удалять новые правила, очень удобно особенно для серверов в режиме работы Server Core.
Переходим на вкладку «Локальные пользователи и группы», по сути это аналог оснастки lusrmgr.msc. В данном пункте, вы можете:
Давайте подробнее пробежимся по пунктам, создадим нового пользователя sem. Нажимаем соответствующую кнопку, у вас откроется с правой стороны окно, где нужно заполнить поля.
Пользователь sem готов успешно создан, сделаем его администратором, благо в Windows Admin Center это легко сделать, выбираем его и нажимаем «Управление членством». В боковой панели поставьте галки в какие группы нужно включать учетную запись. В моем примере, это Администраторы. Вот так вот выглядит смена пароля пользователя
На вкладке «Группы», вы так же можете изменять в них членство.
Вкладка «Назначенные задания», позволит вам посмотреть, создать, запускать и останавливать задачи в планировщике Windows
Далее в Windows Admin Center переходим на вкладку «Обновления», тут можно их найти, установить или запланировать установку.
Очень классно выполнена вкладка «Процессы», по сути это продвинутый диспетчер задач. Тут вы увидите все ваши процессы, по каждому из них вы увидите подробнейшую информацию, можно одним кликом создать дамп приложения.
Далее идем в Windows Admin Center на вкладку реестр. Тут вы буквально в несколько кликов, можете просмотреть нужные вам ветки реестра с кличами, отредактировать их.
Вот пример добавления ключа реестра Windows, мне кажется не менее удобно, чем подключаться к сетевому реестру, вот честно для Windows Nano или Server Core, это просто малина для админа.
Переходим на вкладку «Репликация хранилища». Технология репликация хранилища (Storage Replica) позволяет вам защититься от катаклизмов природного происхождения, например наводнении или землетрясении, создав на двух удаленно находящихся цодах хранилища, реплицируемые в реальном времени. Данная технология появилась в предшественнике Windows Server 2016. В версии 2019 появилась ограниченная поддержка редакции Windows Server Standard. Сейчас и небольшие компании могут делать автоматическую копию (реплику) хранилища в виртуальные машины Azure, если в инфраструктуре компании нет второго удаленного датацентра.
Следующим пунктом будет «Роли и компоненты», тут вам Windows Admin Center позволит посмотреть список установленных ролей, а так же даст возможность установить или удалить роль, например, «Доменные службы Active Directory»
Средней удобности вкладка «Сертификаты», но зато у нее 100% улучшенная удобность в восприятии информации, мне лично понравилась такая подача. Видно общую статистику про просроченным сертификатам.
Так же доступны вести для компьютера и пользователя.
Вкладка сеть в инструменте Windows Admin Center позволяет посмотреть не только, количество сетевых интерфейсов, но и добавить адаптер Azure. Выбрав любой сетевой адаптер вы получите исчерпывающую информацию, о нем:
Перейдя в параметры сетевого интерфейса, вы легко сможете изменить адрес и другие настройки.
Зайдя в параметры любой службы, вы увидите ее подробнейшее описание, статус, можете поменять тип запуска, от имени которой будет запускаться сервис и поведение при восстановлении.
Вкладка события, содержит в себе журналы и логи Windows.
Вкладка «Создать резервную копию», так же нужна для интеграции с сервисом Azure, чтобы туда лить бэкапы. Установленные приложения, покажет вам список всех программ и утилит инсталлированных в системе, тут можно их удалить при желании.
Вот так вот выглядит диспетчер устройств в Windows Admin Center, все функционально, можно отключать устройства, обновлять драйвера.
Windows Admin Center имеет и встроенный файловый менеджер, позволяющий манипулировать файлами и папками.
Вот так выглядит управление дисками и томами, тут же вы можете создавать сетевые шары.
Источник
Windows admin center не подключается к серверу
Вопрос
Добрый день, коллеги!
Пытаюсь настроить работу WAC ( 2009 ) WinRM for HTTPS, провел подготовительные работы на удаленном ПК согласно статье. Но при попытке подключиться выходит следующая ошибка и не могу понять почему:
Проверил CRL доступны, в Enterprise PKI тоже все ОК, в чем проблема не могу понять, есть у кого соображения по этому поводу?
Даже сам на себя через WAC не получается зайти :-(, когда-то пробовал данный функционал все без проблем работало, может глюк новой версии?
Ответы
Все ответы
В конце статьи есть информация «More Infromation» про сертификат, посмотрите инструкцию и проверьте:
By default WinRM HTTPS uses port 443. On Windows 7 and higher the default port is 5986.
To confirm WinRM is listening on HTTPS type the following:
To confirm a computer certificate has been installed use the Certificates MMC add-in or type the following:
If you get the following error message:
To be used for SSL, a certificate must have a CN matching the hostname, be appropriate for Server Authentication, and not be expired, revoked, or self-signed.
Open the certificates MMC add-in and confirm the following attributes are correct:
If you have more than one local computer account server certificate installed, confirm the Certificate Thumbprint displayed by Winrm enumerate winrm/config/listener is the same Thumbprint on the Details tab of the certificate.
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.
Источник
Управляем Windows Server из Windows Admin Center
В данной статье мы продолжаем рассказывать про работу с Windows Server Core 2019. В прошлых постах мы рассказали как готовим клиентские виртуальные машины на примере нашего нового тарифа VDS Ultralight с Server Core за 99 рублей. Затем показали как работать с Windows Server 2019 Core и как установить на него GUI. Сегодня мы поговорим про управление с помощью Windows Admin Center.
Головной болью было, наверное, по соображениям безопасности, разделять роли серверов. Заводить несколько машин, чтобы физически разделить контроллер домена и файловый сервер.
Благо нам на помощь пришла виртуализация, и теперь изолированно друг от друга могут работать несколько служб, которые из соображений безопасности не могут работать на том же сервере. Виртуализация принесла массу удобства, развертывание виртуальных машин из одного шаблона экономит время специалистам, и физически, все в одной коробке с мощным железом.
Машин все меньше, а серверов все больше, даже у меня, для «просто посмотреть» образовалось два контроллера домена, файловый сервер, сервер под Java приложения и еще пачка веб серверов, поэтому давайте поговорим о том, как можно эффективно управлять серверами на Windows, не отрывая левой руки от кофе.
— С помощью Powershell!
Конечно да, но… нет. Продукт позиционируется как удобный инструмент управления гигантской инфраструктурой. Понятно, что это не совсем так, для таких случаев есть Powershell ISE и скрипты, поэтому хотелось бы рассмотреть действительно полезные юзкейсы. Если у вас есть свой опыт, которым вы вы хотели поделиться, мы можем добавить его в эту статью.
Windows Admin Center лучше подходит для управления стоковыми компонентами. На текущий момент только RSAT может управлять установленными ролями.
Используя WAC, можно улучшить безопасность вашей инфраструктуры, если будете использовать его как шлюз.
Сводная таблица того, он умеет и не умеет:
| WAC | RSAT | |
|---|---|---|
| Управление компонентами | Да | Да |
| Редактор реестра | Да | Нет |
| Управление сетью | Да | Да |
| Просмотр событий | Да | Да |
| Общие папки | Да | Да |
| Управление дисками | Да | Только для серверов с GUI |
| Планировщик заданий | Да | Да |
| Управление устройствами | Да | Только для серверов с GUI |
| Управление файлами | Да | Нет |
| Управление пользователями | Да | Да |
| Управление группами | Да | Да |
| Управление сертификатами | Да | Да |
| Обновления | Да | Нет |
| Удаление программ | Да | Нет |
| Системный монитор | Да | Да |
| WAC | RSAT | |
|---|---|---|
| Advanced Thread Protection | ПРЕВЬЮ | Нет |
| Windows Defender | ПРЕВЬЮ | Да |
| Контейнеры | ПРЕВЬЮ | Да |
| AD Administrativ Center | ПРЕВЬЮ | Да |
| AD Domain and Trusts | Нет | Да |
| AD sites and services | Нет | Да |
| DHCP | ПРЕВЬЮ | Да |
| DNS | ПРЕВЬЮ | Да |
| Диспетчер DFS | Нет | Да |
| Диспетчер GPO | Нет | Да |
| Диспетчер IIS | Нет | Да |
Превью — установка бета версий компонентов для WAC, не входит в состав сборки. Перечислять все не нужно, потому что буквально все компоненты управляются только с помощью RSAT.
Нюансы
Powershell в Windows Admin Center не имеет своей среды сценариев аналогичной Powershell ISE.
Windows Admin Center не поддерживает Powershell ниже 5.0, на старых машинах обязательно нужно ставить новый Powershell, если хотите использовать его.
Главным минусом Windows Admin Center в микро инстансах является потребление оперативной памяти сервера. Он создает четыре сессии по 50-60 мегабайт каждая, и каждая эта сессия остается даже после закрытия Windows Admin Center.
Та же самая проблема и с Powershell через Enter-PSSession, он так же создает новую сессию, и если просто закрыть окно терминала, сессия весом и 70 мегабайт так и останется на удалённом сервере, если её не закрыть её перед выходом с помощью Exit-PSSession или Remove-Pssession.
При использовании Windows Admin Center с этим придется мириться, он отнимет около 170 мегабайт ОЗУ, RSAT таким не страдает.
Упрощаем работу
Максимальное удобство управления достигается если ваша рабочая станция, на которой установлен WAC находится в домене. Он берет учетные данные пользователя, который зашел в систему, подключение к серверам осуществляется по одному щелчку мыши.
Импортировать список серверов можно с помощью txt файла, перечислив имена серверов переносом строки, как и в RSAT.
Что тоже радует, ранее, чтобы интегрировать в AD виртуальную машину на Server Core, приходилось делать это через sconfig, а это значит нужен прямой доступ к его экрану. В случае с хостингами приходилось делать все это через VNC. Теперь, при переходе на главную страницу можно нажать «Изменить идентификатор компьютера» и ввести в домен.
Кстати, чтобы ввести в домен Windows Server 2019, больше не требуется делать Sysprep, потому что Sysprep тоже нужно было завершать через VNC.
Чтобы изменить сетевые настройки теперь нужно сделать два клика. Подключаешься к серверу и меняешь.
Это выходит так же быстро, как и через WinRM, только одной рукой.
Повышаем безопасность
На текущий момент есть четыре типа развертывания. Локальный, в качестве шлюза, установка на один из продакшн серверов и в составе кластера.
*Картинка с сайта майкрософт
Установка в качестве шлюза, на отдельный сервер, наиболее безопасный и рекомендуемый вариант. Это аналог схемы с VPN, когда доступ к управлению имеется только с определенного IP адреса или участка сети.
Согласитесь, гораздо удобнее держать на одной вкладке видосы и мемасы, а на другой Windows Admin Center, нежели целиком терять подключение к ютубу из-за входа в защищенную сеть.
Как же обезопасить все свои N серверов? С помощью следующего скрипта:
Этот скрипт изменит стандартные правила брандмауэра таким образом, что вы сможете использовать RDP и WinRM только с определенного IP адреса, понадобится для организации безопасного доступа к инфраструктуре.
Powershell в Windows Admin Center не имеет своей среды сценариев аналогичной Powershell ISE, можно только вызывать готовые скрипты.
Кстати, вот так выглядит RDP на Windows Server Core.
Выводы
На текущий момент Windows Admin Center не способен заменить RSAT, однако в нём уже присутствуют функции, которых нет у RSAT. Добавляются старые оснастки, которые не так удобны для управления через браузер.
Странным является приоритет разработки, наиболее активно добавляются функции интегрированные с Azure, хостингом от Майкрософт, вместо реально полезных функций.
К сожалению, пока что, управлять всеми функциями Windows Server с удобствами можно только подключившись к нему по RDP.
Не смотря на все минусы, у Windows Admin Center есть свой SDK, с помощью которого можно писать свои собственные модули и управлять своим собственным ПО через него, что однажды сделает его лучше RSAT.
Источник