.png "Windows Server 2012 - Nowy interfejs serwer menadżera - Local Server"){kind=icon}
.png "Windows Server 2012")
.png "Windows Server 2012 - Zarządzanie serwerami"){kind=icon}
Windows Server 2012 - Podstawy zdalnego zarządzania .png "Udostępnij na: Facebook")
Autor: Dawid Dudek
Opublikowano: 2012-12-05
Windows Server 2012 jest systemem zdolnym do zarządzania wieloma serwerami. Jednak, aby było to możliwe, potrzebna jest uruchomiona usługa Windows Remote Management (WinRM), będąca implementacją protokołu Web Service Manager (WS-Man). Ten protokół, oparty na standardzie Simple Object Access Protocol (SOAP), jest przyjazny firewallom oraz współpracuje ze sprzętem oraz z systemami operacyjnymi różnych dostawców. WS-Man leży u podstaw zdalnego zarządzania, czy to przez Server Managera, czy PowerShella.
Terminologia
Terminologia, związana ze zdalnym zarządzaniem, przysparza czasem problemów, dlatego warto tę kwestię uporządkować:
- WS-MAN to protokół sieciowy, używany przez usługi zdalne. Można znaleźć jego implementacje na innych platformach niż Windows, choć nie jest on tak rozpowszechniony. WS-Man to rodzina innego znanego protokołu – HTTP,
- Windows Remote Managamnet (WinRM) jest usługą firmy Microsoft, która implementuje protokół WS-MAN. Zapewnia ona komunikację i uwierzytelnianie połączeń. WinRM przeznaczony jest do świadczenia usług komunikacyjnych dla dowolnej liczby aplikacji. W momencie odbioru przez WinRM, usługa wie, do której aplikacji ruch jest docelowo skierowany. Zajmuje się ona przyjmowaniem i odsyłaniem żądanych odpowiedzi czy wyników,
- Remoting służy do zarządzania WinRM w PowerShellu.
Jedną z nowych funkcji w PowerShellu, wersji 3.0, znajduje się obszerny zestaw poleceń cmdlet-ów CIM (Common Information Model), które z czasem zastąpią WMI cmdlet, choć obecnie współgrają i mają wiele nakładających się funkcji. Oba zestawy cmdlet-ów wykorzystują to samo repozytorium danych WMI, a podstawową różnicą miedzy nimi jest sposób komunikacji. WMI cmdlet wykorzystują zdalne wywoływanie procedur (RPC), natomiast CIM cmdlet używają WinRM.
WS-Man nie tylko dla PowerShella
WS-Man to protokół, który leży u podstaw zdalnego zarządzania. Był już dostępny w systemach: Windows XP, Windows Vista, Windows 7, Windows Server 2003, 2008, 2008R2. Wielu administratorów ignorowało jego istnienie, albo z niego korzystało, albo nie. Wraz z pojawieniem się Windows Server 2012 ten problem zanikł. Protokół ten opiera się na standardowych usługach internetowych HTTP, HTTPS. Specyfikacja protokołu WS-Man stanowi wspólną drogę dostępu do informacji o systemach w całej infrastrukturze IT. Do zarządzania lokalnymi i zdalnymi komputerami, opartymi na systemach Windows, używa się WinRM. Jeżeli w infrastrukturze pracują komputery oparte na innych systemach, cała komunikacja odbywa się przy pomocy protokołu Web Service Manager. Wtedy WinRM ustanawia sesje z komputerem zdalnym za pomocą SOAP WS-Manager Protocol. Dane zwrócone do WS-Man przesyłane są w formacie XML, a nie obiektowo.
Wiedza kontra praktyka
Po zapoznaniu się z podstawową terminologią nadszedł czas na przedstawienie omawianego zagadania w praktyce:
- punkt końcowy (Endpoint) jest szczególnym elementem w konfiguracji WinRM. Jest to aplikacja, która może obierać ruch wraz z grupą ustawień. Określają one, sposób jego zachowania. Dzięki temu, aplikacja, na przykład PowerShell, posiada konfigurację wielu punktów końcowych. Każdy taki punkt może być utworzony w innym celu i może mieć różne zabezpieczenia, ustawienia sieci i konfiguracje,
- słuchacz (Listener) jest to inny element konfiguracyjny WinRM i reprezentuje możliwość akceptowania połączenia przychodzącego. Słuchacz jest tak skonfigurowany, że numer portu TCP zostanie przekierowany na jeden lub wiele adresów. Słuchacz jest również skonfigurowany do korzystania z protokołu HTTP i HTTPS.
Uwierzytelnianie, firewall, czyli bezpieczeństwo
Istnieją dwa poziomy uwierzytelniania w WinRM: poziom komputera i użytkownika. Uwierzytelnianie na poziomie użytkownika obejmuje delegowanie swoich poświadczeń logowania do danej maszyny, z którą zostało nawiązane połączenie. Zdalne urządzenie może podejmować zadania zgodnie z określonymi przez użytkownika poświadczeniami. Zdalna maszyna nie może domyślnie delegować swojego poświadczania innej maszynie, gdyż może to spowodować problem zwany „second hop” (drugi skok, czyli logowanie się z jednego zdalnego komputera do kolejnej zdalnej maszyny).
Zdalne zarządzanie obsługuje również uwierzytelnianie komputera. Po podłączeniu do komputera zdalnego, komputer ten musi zaufać maszynie podłączającej się. Zaufanie to generowane jest na podstawie wspólnego członkostwa w domenie, choć może zostać skonfigurowane również na zasadzie zaufania w grupie roboczej.
Warto podkreślić, że usługi zdalne pracują na jednym porcie: 5985 dla HTTP lub 5986 dla HTTPS w ustawieniu domyślnym. Zmiana tej konfiguracji jest możliwa, niemniej jednak ułatwia to konfigurację wyjątków zapory, które zezwalają na zdalny ruch wejściowy. Niektóre organizacje, które mają bardzo restrykcyjne zasady dotyczące bezpieczeństwa sieci, mogą mieć obawy przed uruchomieniem usług zdalnych. Jeżeli nie zostaną one uruchomione, wówczas efekt będzie równoznaczny z brakiem podpięcia do sieci Ethernet. Teraz jest to podstawowa i obowiązkowa technologia w systemie Windows. Bez niej nie można korzystać z wielu narzędzi administracyjnych w Windows Server 2012, a niektóre funkcje po prostu nie działają.
Podsumowanie
Zdalny dostęp jest przede wszystkim bezpieczny i przyjazny. Obecnie, wychodzi naprzeciw oczekiwaniom zarówno użytkowników, jak i administratorów. Domyślne uwierzytelnianie przy użyciu Kerberosa, wykorzystywanie pojedynczego, konfigurowalnego portu (zamiast tysięcy, wymaganych przy starszych protokołach, na przykład RPC) powoduje, że WinRM oraz zdalny dostęp umożliwiają kontrolowanie, kto z nich korzysta.