1.2 配置主机的连通性
1.2.3 添加 Windows2012
1.2.3 添加 Windows2012
2. 手动拷贝/下载脚本压缩文件
“Windows2012ConfigureRemotingForAnsible.zip”至windows主机某路径下,
如:“C:\Users\Administrator\Downloads”。
3. 手动解压“Windows2012ConfigureRemotingForAnsible.zip”,得到
“Windows2012ConfigureRemotingForAnsible.ps1”脚本。
图1-22 执行 Windows2012ConfigureRemotingForAnsible.ps1 脚本
如果提示“无法加载文件,需要进行数字签名”,如下图所示。
图1-23 执行报错
该错误是因为主机powershell默认模式禁止执行脚本,需要在powershell中执行如下 命令:
set-executionpolicy unrestricted
将策略更改为unrestricted,执行命令后提示是否确认更改,输入“Y”即可,如下图 所示。
图1-24 更改策略
步骤4 查看配置。
在powershell内执行如下命令:
winrm e winrm/config/listener
若出现HTTPS且Hostname不为空,则表示监听成功,即windows2012部署环境自动 化配置成功,如下图所示。
用户指南 1 主机管理
图1-25 校验监听
须知
如果监听命令的返回结果中,Hostname为空,则是因为您的主机无IIS服务和签名证书 等信息,需要执行以下脚本。
#配置WinRM远端管理
winrm enumerate winrm/config/listener winrm quickconfig
winrm set winrm/config/service/auth '@{Basic="true"}' winrm set winrm/config/service/auth '@{CredSSP="true"}' winrm set winrm/config/service '@{AllowUnencrypted="true"}'
#安装IIS服务
Import-Module servermanager
Add-windowsfeature Web-Server,Web-WebServer,Web-Common-Http,Web-Static-Content,Web-Default- Doc,Web-Dir-Browsing,Web-Http-Errors,Web-App-Dev,Web-ASP,Web-ISAPI-Ext,Web-Health,Web-Http- Logging,Web-Log-Libraries,Web-Request-Monitor,Web-Security,Web-Filtering,Web-Stat-Compression,Web-Mgmt-Tools
#新建自签名证书
New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My\ -DnsName 'windows-deploy-connect'
#查看自签名证书 ls Cert:\LocalMachine\My
#通过新增的自签名证书添加安全连接
$windows_test_key=(Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -match
"windows-deploy-connect"}).Thumbprint
cmd /c "winrm set winrm/config/Listener?Address=*+Transport=HTTPS
@{Enabled=`"true`";Port=`"5986`";Hostname=`"windows-deploy-connect`";CertificateThumbprint=`"$windows_test_key`"}"
----结束
如遇到问题,请(参考)Windows主机授信失败指导 。
手动配置
手动配置具体步骤如下:
步骤1 修改Powershell,将powershell策略更改为unrestricted。
管理员用户打开Powershell,执行如下命令:
用户指南 1 主机管理
set-executionpolicy unrestricted
更改powershell策略,如下图所示。
图1-26 更改 powershell 策略
执行命令后提示是否确认更改,输入“Y”即可。
步骤2 配置Windows远端管理(WinRM)。
1. 在Powershell中依次输入如下五条命令:
winrm enumerate winrm/config/listener winrm quickconfig
winrm set winrm/config/service/auth '@{Basic="true"}' winrm set winrm/config/service/auth '@{CredSSP="true"}' winrm set winrm/config/service '@{AllowUnencrypted="true"}'
2. 校验是否配置成功,命令如下:
winrm get winrm/config/service/auth
执行命令后如果“Basic”、“Kerberos”、“CredSSP”均为true则表示配置成 功,如下图所示。
图1-27 配置结果校验
步骤3 安装证书。
1. 打开Server Manager,启动IIS。
2. 单击“Add roles and features”,如下图所示。
用户指南 1 主机管理
图1-28 Server Manager
3. 然后单击“Next”,进入“Installation Type”节点时,选择第一个选项,如下图 所示。
图1-29 Select installation type
4. 继续单击“Next”,进入“Server Roles”节点时,确认勾选“IIS Management Scripts and Tools”和“Management Service”,如下图所示。
用户指南 1 主机管理
图1-30 Select server roles
5. 单击“Next”,进入“Features”节点,确认勾选.NET,如下图所示。
图1-31 Select features
6. 单击“Next>Install”,完成安装。
步骤4 添加证书。
1. 打开IIS Manager,双击“Server Certificates”,如下图所示。
用户指南 1 主机管理
图1-32 IIS Manager
2. 进入“Server Certificates”界面,单击“Create Self-Signed Certificate”,如下 图所示。
图1-33 Server Certificates
3. 进入“Specify Friendly Name”界面,自定义输入自验证证书名字,单击
“OK”,如下图所示。
图1-34 Specify Friendly Name
4. 在Powershell中查看证书,输入如下命令:
ls Cert:\LocalMachine\My
用户指南 1 主机管理
出现如下图所示两列数据即表示证书添加成功。
图1-35 查看证书
5. 通过证书监听HTTPS端口,配置安全连接。
命令格式如下:
winrm create winrm/config/Listener?Address=*+Transport=HTTPS
@{Port="自定义端口号,默认5986";Hostname="证书域名
";CertificateThumbprint="证书key值"}
说明
– “Hostname”为上一步“Subject”列对应的值。
– “CertificateThumbprint”为上一步“Thumbprint”列对应的值,每两个字母以空格 分开。
如,在cmd中输入如下命令,如下图所示。
winrm create winrm/config/Listener?Address=*+Transport=HTTPS
@{Port="5986";Hostname="XXXXXXXXXXXXXXXX";CertificateThumbprint="DF D7 02 1D F6 AB E2 78 C2 0D 87 4C FC 15 5F 16 D3 33 24 2A"}
须知
请务必在cmd中执行该命令,且“Thumbprint”列对应的值,每两个字母必须以 空格分开,否则会授信失败。一旦未以空格分开,请务必删除签名重新添加。
图1-36 监听 HTTPS 端口
6. 在Powershell中校验是否监听成功,输入如下命令:
winrm e winrm/config/listener
若出现HTTPS则表示监听成功,即完成了所有配置,如下图所示。
用户指南 1 主机管理
图1-37 校验监听
步骤5 添加授信前请检查是否已经配置安全组和防火墙,否则会出现授信失败的情况。
----结束
如遇到问题,请(参考)Windows主机授信失败指导 。