添加 Windows2016、2019

介绍Windows2016作为授信主机的配置方法，有如下两种：

用户指南 1 主机管理

● 自动化脚本配置

“Windows2016ConfigureRemotingForAnsible.zip” 至windows主机某路径 下，如：“C:\Users\Administrator\Downloads”。

3. 手动解压“Windows2016ConfigureRemotingForAnsible.zip”，得到

“Windows2016ConfigureRemotingForAnsible.ps1”脚本。

图1-6 执行 Windows2016ConfigureRemotingForAnsible.ps1 脚本

如果提示“无法加载文件，需要进行数字签名”，如下图所示。

图1-7 执行报错

该错误是因为主机powershell默认模式禁止执行脚本，需要在powershell中执行如下 命令：

set-executionpolicy unrestricted

将策略更改为unrestricted，执行命令后提示是否确认更改，输入“Y”即可，如下图 所示。

图1-8 更改策略

用户指南 1 主机管理

步骤4 查看配置。

在powershell内执行如下命令：

winrm e winrm/config/listener

若出现HTTPS且Hostname不为空，则表示监听成功，即windows2016部署环境自动

winrm enumerate winrm/config/listener winrm quickconfig

winrm set winrm/config/service/auth '@{Basic="true"}' winrm set winrm/config/service/auth '@{CredSSP="true"}' winrm set winrm/config/service '@{AllowUnencrypted="true"}'

#安装IIS服务

Import-Module servermanager

Add-windowsfeature Web-Server,Web-WebServer,Web-Common-Http,Web-Static-Content,Web-Default- Doc,Web-Dir-Browsing,Web-Http-Errors,Web-App-Dev,Web-ASP,Web-ISAPI-Ext,Web-Health,Web-Http- Logging,Web-Log-Libraries,Web-Request-Monitor,Web-Security,Web-Filtering,Web-Stat-Compression,Web-Mgmt-Tools

#新建自签名证书

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My\ -DnsName 'windows-deploy-connect'

#查看自签名证书 ls Cert:\LocalMachine\My

#通过新增的自签名证书添加安全连接

$windows_test_key=(Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -match

"windows-deploy-connect"}).Thumbprint

cmd /c "winrm set winrm/config/Listener?Address=*+Transport=HTTPS

@{Enabled=`"true`";Port=`"5986`";Hostname=`"windows-deploy-connect`";CertificateThumbprint=`"$windows_test_key`"}"

----结束

如遇到问题，请参考Windows主机授信失败指导 。

用户指南 1 主机管理

手动配置

手动配置具体步骤如下：

步骤1 修改Powershell，将powershell策略更改为unrestricted。

管理员用户打开Powershell，执行如下命令：

set-executionpolicy unrestricted

更改powershell策略，如下图所示。

图1-10 更改 powershell 策略

执行命令后提示是否确认更改，输入“Y”即可。

步骤2 配置Windows远端管理（WinRM）。

1. 在Powershell中依次输入如下五条命令：

winrm enumerate winrm/config/listener winrm quickconfig

winrm set winrm/config/service/auth '@{Basic="true"}' winrm set winrm/config/service/auth '@{CredSSP="true"}' winrm set winrm/config/service '@{AllowUnencrypted="true"}'

2. 校验是否配置成功，命令如下：

winrm get winrm/config/service/auth

执行命令后如果“Basic”、“Kerberos”、“CredSSP”均为true则表示配置成

图1-12 服务器管理器

3. 单击“下一步”，在“安装类型”节点，选择第一个选项，如下图所示。

图1-13 选择安装类型

4. 单击“下一步”，在“服务器角色”节点，确认勾选“IIS Management Scripts and Tools”和“Management Service”，如下图所示。

用户指南 1 主机管理

图1-14 选择服务器角色

5. 单击“下一步”，在“功能”节点，确认勾选.NET，如下图所示。

图1-15 选择功能

6. 单击“下一步 > 安装”，完成安装。

步骤4 添加证书。

1. 打开IIS管理器，双击“服务器证书”，如下图所示。

用户指南 1 主机管理

图1-16 IIS 管理器

2. 进入“服务器证书”界面，单击“创建自签名证书”，如下图所示。

图1-17 服务器证书

3. 进入“创建自签名证书”界面，为证书指定好名称，单击“OK”，如下图所示。

用户指南 1 主机管理

图1-18 创建自签名证书

4. 在Powershell中查看证书，输入如下命令:

ls Cert:\LocalMachine\My

出现如下图所示两列数据即表示证书添加成功。

图1-19 查看证书

5. 通过证书监听HTTPS端口，配置安全连接。

命令格式如下：

winrm set winrm/config/Listener?Address=*+Transport=HTTPS

@{Enabled="true";Port="自定义端口号，默认5986";Hostname="证书域名

";CertificateThumbprint="证书key值"}

说明

– “Hostname”为上一步“Subject”列对应的值。

– “CertificateThumbprint”为上一步“Thumbprint”列对应的值。

如，在cmd中输入如下命令，如下图所示。

用户指南 1 主机管理

winrm set winrm/config/Listener?Address=*+Transport=HTTPS

@{Enabled=”true”;Port="5986";Hostname="XXXXXXXXXXXXX";CertificateThumbprint="12DE438EE83 D6A8DEFD814BD6595C843C630FBC7"}

图1-20 监听 HTTPS 端口

6. 在Powershell中校验是否监听成功，输入如下命令：

winrm e winrm/config/listener

若出现HTTPS 则表示监听成功，即完成了所有配置，如下图所示。

图1-21 校验监听

步骤5 添加授信前请检查是否已经配置安全组和防火墙，否则会出现授信失败的情况。

----结束

如遇到问题，（参考）Windows主机授信失败指导 。