Windows Remote Management: Difference between revisions
Created page with 'Kimmo Lillipuu' |
No edit summary |
||
(One intermediate revision by the same user not shown) | |||
Line 1: | Line 1: | ||
= Sissejuhatus = | |||
Üks paljudest väljakutsetest, millega Microsofti administraatorid tihti vastakuti seisavad on see, kuidas juhtida eemalolevaid süsteeme turvalisel viisil. Windows Remote Management (WinRM), mida võiks eesti keelde tõlkida ehk kui Windowsi kaugjuhtimine, on Microsofti poolne teostus internetiteenuse (Web Service (WS)) juhtimise protokollist (WS-Management Protocol). WinRM võeti esimest korda kasutusele Windows Serveri 2003 versioonis ning parendati Windows Vista juures. Tegemist on lihtsa objektile ligipääsu protokolli põhise (Simple Object Access Protocol (SOAP)-based), tulemüüri sõbraliku protokolliga, mis võimaldab kasutada riistvara ja operatsioonisüsteeme erinevate kasutajate arvutitest, et tagada koostöö ja infovahetus ka kaugteel. | |||
= Kasutamine = | |||
WinRM kui WS-Management protokolli täpsustus pakub tavapärast võimalust erinevatele süsteemidele ligipääsuks ja informatsiooni vahetamiseks üle IT-infrastruktuuri. WinRM näol on tegemist ühega Windowsi riistvara juhtimiseks pakutava lisaga, mis korraldab serveri riistvara nii kohapeal kui kaugjuhtimise teel. See sisaldab endas teenust, mis viib ellu WS-Management protokolli, riistvara diagnostikat, kontrolli läbi BMC (Baseboard Management Controllers) ja programme, mis võimaldavad kasutada rakendusi suhtlemaks kaugteel läbi WS-Management protokolli. Kõige olulisem ilmselt sealjuures on, et WinRM-i teenus võimaldab täide viia kaugjuhtimise teel tulevaid käske eemalviibivast arvutist otse käskudega kohapealses serveris kasutades selleks kas WinRM-i või võimalusi läbi Windows PowerShelli-i. | |||
Palju kasutavad WinRM võimalust tänapäeva ettevõtted, kus töötajate põhitöö käib arvuti kaasabil ning on liikuv erinevate tööpaikade ja internetiühenduste vahel kliendi juures, kontoris ja ka kodus. Sellisteks töökohtadeks on näiteks advokaadi-, audiitor-, raamatupidamisbürood ja muud arvutiga töötamisega tihedalt seotud ametikohad. Seal kasutatakse enamasti sülearvuteid ning tööandja serverile, sh töö e-kirjadele ja muudele serveri võimalustele, ligipääsuks nii kodus kui ka näiteks kliendi juures on WinRM võimalus väga oluline. See võimaldab internetiühenduse abil ning spetsiaalseid ligipääsu võtmeid teades pääseda kõigele sellele ligi ka kaugteel ja läbi erirakenduse ka isegi teisest arvutist kui tavapärane tööarvuti. | |||
= Vajalik riistvara = | |||
WinRM-i rakenduse kasutamiseks on mitmeid erinevaid lahendusi. Näiteks kasutamaks WinRM-i info saamiseks kohapealsetest ja eemalasuvatest arvutitest, millel on olemas Baseboard Management Controller (BMC), on vaja järgmist riistvara: WinRM scripting objects, WinRM command-line tool või Windows Remote Shell command line tool WinRS. Kui aga arvuti töötab mõnel Windowsi-põhisel operatsioonisüsteemi versioonil, mis sisaldab endas juba WinRM, siis annab vajaliku administreerimisinfo Windows Management Instrumentation (WMI). | |||
Vajalikku riistvara ja süsteemiandmeid on võimalik hankida WS-Management protokolli rakendamisega ka Windowsist erinevate operatsioonisüsteemide korral. Sellisel juhul loob WinRM ühenduse eemalviibiva arvutiga läbi SOAP-based WS-Management protokolli selle asemel, et luua ühendus läbi DCOM nagu WMI. WM-Management protokolli tagasisaadetud andmed formuleeritakse XML kujul ja mitte objektidena. See laiendab WinRM kasutamise võimalust ning teeb selle kasutamise mugavaks kõikides vajalikes kohtades, kus alati ei ole võimalik kasutada Windowsi operatsioonisüsteemi. | |||
= Installeerimine ja konfigureerimine = | |||
WinRM-i nagu teistegi rakenduste kasutamiseks on oluline installeerimine. Kui WinRM-i ei ole arvutisse installeeritud ja konfigureeritud, siis WinRM ei toimi ja WinRM-i käskude riistvara ei saa teha vajalikke tegevusi. Samuti sõltuvad WinRM-i konfiguratsioonist teised WinRM-i lisad. Enamasti küll käivitub WinRM-i teenus automaatselt koos Windowsi installeerimisega, kuid näiteks Windows Vista puhul tuleb teenus manuaalselt käivitada. Lisaks tuleb silmas pidada, et isegi kui WinRM on osa operatsioonisüsteemist ehk käivitatud automaatselt, siis sellele vaatamata peab andmete saamiseks kaugjuhtimise teel eemalviibivatest arvutitest kasutama WinRM listener lisa ning selle konfigureerima. Seda kunagi vaikimisi tehtud ei ole ning ilma selleta ei saa vastu võtta ega saata WS-Management protokolli andmeid soovivaid teateid isegi kui WinRM-i teenus ise operatsioonisüsteemis toimib. | |||
= Turvalisuse tagamine = | |||
Lisaks on WinRM-i kasutamiseks kindlasti vaja konfigureerida ka eemalviibiv arvuti enne kui mingeid kaugjuhtimise ülesandeid täidetakse. See on oluline turvalisuse tagamiseks. Sihtmärgiks oleva arvuti konfigureerimiseks tuleb kasutada käsklust: | |||
WinRM quickconfg | |||
Kui arvutile see käsklus anda juhtuvad järgmised tegevused: | |||
* WinRM-i rakendus alustab tööd, | |||
* WinRM-i rakenduse alustamise tüüp seatakse hilinenud automaatsele käivitumisele, | |||
* Kasutajatele antakse kaugjuhitavad administreerimise õigused läbi spetsiaalse lisa - Local Account Token Filter Policy, | |||
* WinRM-i listener aadressil http://* konfigureeritakse vastu võtma WS-Man käske, | |||
* seatakse WinRM tulemüüri erand. | |||
Juhtimaks eemalviibivat arvutit aga mitte-AD (Active Directory) DS (Directory Service) keskkonnas nõuab kohapealse arvuti konfigureerimist, et oleks võimalik usaldada eemalviibivat arvutit. | |||
Sellisel juhul konfigureerimiseks saab kasutada järgmist käsku: | |||
winrm set winrm/config/client @{TrustedHosts=”remote computer’s IP address or name”} | |||
See ei ole aga vajalik, kui kasutada HyperText Protocol Secure (HTTPS) või Kerberos-i eemalviibiva arvuti identiteedi audentsuse tõestamiseks. Domeenide keskkonnas aga saab WinRM-I konfigureerida läbi järgmiste menüüde: | |||
Computer Configuration\Administrative Templates\Windows Components\Windows Remote Management node of Group Polices | |||
WinRS-i saab kasutada käskude täideviimiseks serverist eemalasuvast arvutist ja internetivõrgust ehk eemal kohapealsest internetivõrgust ning selleks vajab WinRM eemalviibiva arvuti täielikku domeeninime. Näiteks kontrollimaks eemaloleva IPv4 konfiguratsiooni saab kasutada järgmist käskluse tüüpi: | |||
winrs -r:computer_name command | |||
Lisaks saab eemalolevat informatsiooni järgi kontrollida kasutades spetsiaalset kasutajakontot nagu näiteks kuvades infot eemalviibivas arvutis salasõna küsimiseks. Selle tegevuse läbiviimiseks kasutatakse järgmist tüüpi käsklust: | |||
winrs -r:computer_name -u:user_name net accounts | |||
Seejärel tuleb sisestada salasõna kui ei täpsustata administraatori salasõna võimalust. | |||
= Kokkuvõte = | |||
On arvatud, et ühel heal kaugjuhtimise lahendusel on mitmeid erinevaid kriteeriume. Esiteks peaks lahendus olema funktsionaalne ehk kasutatav mitmetes erinevates keskkondades ja viisidel. Lisaks peab kaugjuhtimine olema kindlasti turvaline ning sealjuures ei pea lahendus üksnes pakkuma kasutaja tuvastamist, vaid peab kindlustama ka saadetavate andmete konfidentsiaalsuse ja puutumatuse. Kas WinRM vastab kõikidele neile kriteeriumitele ning on muus mõttes kasutajasõbralik abiline jääb ilmselt iga Windowsi kasutaja otsustada. Arvestades aga, et WinRM peamiseks eesmärgiks on teha seadmete ja andmete juhtimine mitmeosalistes keerulistes süsteemides kasutajate jaoks oluliselt lihtsamaks, siis selle eesmärgi täitmisele on rakendus kindlasti lähedal. | |||
= Kasutatud kirjandus = | |||
* http://msdn.microsoft.com/en-us/library/windows/desktop/aa384426(v=vs.85).aspx | |||
* http://www.windows7library.com/blog/management/windows-remote-management-service/ | |||
* http://www.symantec.com/connect/articles/remote-desktop-management-solution-microsoft | |||
* http://blogs.technet.com/b/jonjor/archive/2009/01/09/winrm-windows-remote-management-troubleshooting.aspx | |||
= Autor = | |||
Kimmo Lillipuu | Kimmo Lillipuu | ||
D21 |
Latest revision as of 19:29, 10 October 2011
Sissejuhatus
Üks paljudest väljakutsetest, millega Microsofti administraatorid tihti vastakuti seisavad on see, kuidas juhtida eemalolevaid süsteeme turvalisel viisil. Windows Remote Management (WinRM), mida võiks eesti keelde tõlkida ehk kui Windowsi kaugjuhtimine, on Microsofti poolne teostus internetiteenuse (Web Service (WS)) juhtimise protokollist (WS-Management Protocol). WinRM võeti esimest korda kasutusele Windows Serveri 2003 versioonis ning parendati Windows Vista juures. Tegemist on lihtsa objektile ligipääsu protokolli põhise (Simple Object Access Protocol (SOAP)-based), tulemüüri sõbraliku protokolliga, mis võimaldab kasutada riistvara ja operatsioonisüsteeme erinevate kasutajate arvutitest, et tagada koostöö ja infovahetus ka kaugteel.
Kasutamine
WinRM kui WS-Management protokolli täpsustus pakub tavapärast võimalust erinevatele süsteemidele ligipääsuks ja informatsiooni vahetamiseks üle IT-infrastruktuuri. WinRM näol on tegemist ühega Windowsi riistvara juhtimiseks pakutava lisaga, mis korraldab serveri riistvara nii kohapeal kui kaugjuhtimise teel. See sisaldab endas teenust, mis viib ellu WS-Management protokolli, riistvara diagnostikat, kontrolli läbi BMC (Baseboard Management Controllers) ja programme, mis võimaldavad kasutada rakendusi suhtlemaks kaugteel läbi WS-Management protokolli. Kõige olulisem ilmselt sealjuures on, et WinRM-i teenus võimaldab täide viia kaugjuhtimise teel tulevaid käske eemalviibivast arvutist otse käskudega kohapealses serveris kasutades selleks kas WinRM-i või võimalusi läbi Windows PowerShelli-i.
Palju kasutavad WinRM võimalust tänapäeva ettevõtted, kus töötajate põhitöö käib arvuti kaasabil ning on liikuv erinevate tööpaikade ja internetiühenduste vahel kliendi juures, kontoris ja ka kodus. Sellisteks töökohtadeks on näiteks advokaadi-, audiitor-, raamatupidamisbürood ja muud arvutiga töötamisega tihedalt seotud ametikohad. Seal kasutatakse enamasti sülearvuteid ning tööandja serverile, sh töö e-kirjadele ja muudele serveri võimalustele, ligipääsuks nii kodus kui ka näiteks kliendi juures on WinRM võimalus väga oluline. See võimaldab internetiühenduse abil ning spetsiaalseid ligipääsu võtmeid teades pääseda kõigele sellele ligi ka kaugteel ja läbi erirakenduse ka isegi teisest arvutist kui tavapärane tööarvuti.
Vajalik riistvara
WinRM-i rakenduse kasutamiseks on mitmeid erinevaid lahendusi. Näiteks kasutamaks WinRM-i info saamiseks kohapealsetest ja eemalasuvatest arvutitest, millel on olemas Baseboard Management Controller (BMC), on vaja järgmist riistvara: WinRM scripting objects, WinRM command-line tool või Windows Remote Shell command line tool WinRS. Kui aga arvuti töötab mõnel Windowsi-põhisel operatsioonisüsteemi versioonil, mis sisaldab endas juba WinRM, siis annab vajaliku administreerimisinfo Windows Management Instrumentation (WMI).
Vajalikku riistvara ja süsteemiandmeid on võimalik hankida WS-Management protokolli rakendamisega ka Windowsist erinevate operatsioonisüsteemide korral. Sellisel juhul loob WinRM ühenduse eemalviibiva arvutiga läbi SOAP-based WS-Management protokolli selle asemel, et luua ühendus läbi DCOM nagu WMI. WM-Management protokolli tagasisaadetud andmed formuleeritakse XML kujul ja mitte objektidena. See laiendab WinRM kasutamise võimalust ning teeb selle kasutamise mugavaks kõikides vajalikes kohtades, kus alati ei ole võimalik kasutada Windowsi operatsioonisüsteemi.
Installeerimine ja konfigureerimine
WinRM-i nagu teistegi rakenduste kasutamiseks on oluline installeerimine. Kui WinRM-i ei ole arvutisse installeeritud ja konfigureeritud, siis WinRM ei toimi ja WinRM-i käskude riistvara ei saa teha vajalikke tegevusi. Samuti sõltuvad WinRM-i konfiguratsioonist teised WinRM-i lisad. Enamasti küll käivitub WinRM-i teenus automaatselt koos Windowsi installeerimisega, kuid näiteks Windows Vista puhul tuleb teenus manuaalselt käivitada. Lisaks tuleb silmas pidada, et isegi kui WinRM on osa operatsioonisüsteemist ehk käivitatud automaatselt, siis sellele vaatamata peab andmete saamiseks kaugjuhtimise teel eemalviibivatest arvutitest kasutama WinRM listener lisa ning selle konfigureerima. Seda kunagi vaikimisi tehtud ei ole ning ilma selleta ei saa vastu võtta ega saata WS-Management protokolli andmeid soovivaid teateid isegi kui WinRM-i teenus ise operatsioonisüsteemis toimib.
Turvalisuse tagamine
Lisaks on WinRM-i kasutamiseks kindlasti vaja konfigureerida ka eemalviibiv arvuti enne kui mingeid kaugjuhtimise ülesandeid täidetakse. See on oluline turvalisuse tagamiseks. Sihtmärgiks oleva arvuti konfigureerimiseks tuleb kasutada käsklust:
WinRM quickconfg
Kui arvutile see käsklus anda juhtuvad järgmised tegevused:
- WinRM-i rakendus alustab tööd,
- WinRM-i rakenduse alustamise tüüp seatakse hilinenud automaatsele käivitumisele,
- Kasutajatele antakse kaugjuhitavad administreerimise õigused läbi spetsiaalse lisa - Local Account Token Filter Policy,
- WinRM-i listener aadressil http://* konfigureeritakse vastu võtma WS-Man käske,
- seatakse WinRM tulemüüri erand.
Juhtimaks eemalviibivat arvutit aga mitte-AD (Active Directory) DS (Directory Service) keskkonnas nõuab kohapealse arvuti konfigureerimist, et oleks võimalik usaldada eemalviibivat arvutit.
Sellisel juhul konfigureerimiseks saab kasutada järgmist käsku:
winrm set winrm/config/client @{TrustedHosts=”remote computer’s IP address or name”}
See ei ole aga vajalik, kui kasutada HyperText Protocol Secure (HTTPS) või Kerberos-i eemalviibiva arvuti identiteedi audentsuse tõestamiseks. Domeenide keskkonnas aga saab WinRM-I konfigureerida läbi järgmiste menüüde:
Computer Configuration\Administrative Templates\Windows Components\Windows Remote Management node of Group Polices
WinRS-i saab kasutada käskude täideviimiseks serverist eemalasuvast arvutist ja internetivõrgust ehk eemal kohapealsest internetivõrgust ning selleks vajab WinRM eemalviibiva arvuti täielikku domeeninime. Näiteks kontrollimaks eemaloleva IPv4 konfiguratsiooni saab kasutada järgmist käskluse tüüpi:
winrs -r:computer_name command
Lisaks saab eemalolevat informatsiooni järgi kontrollida kasutades spetsiaalset kasutajakontot nagu näiteks kuvades infot eemalviibivas arvutis salasõna küsimiseks. Selle tegevuse läbiviimiseks kasutatakse järgmist tüüpi käsklust:
winrs -r:computer_name -u:user_name net accounts
Seejärel tuleb sisestada salasõna kui ei täpsustata administraatori salasõna võimalust.
Kokkuvõte
On arvatud, et ühel heal kaugjuhtimise lahendusel on mitmeid erinevaid kriteeriume. Esiteks peaks lahendus olema funktsionaalne ehk kasutatav mitmetes erinevates keskkondades ja viisidel. Lisaks peab kaugjuhtimine olema kindlasti turvaline ning sealjuures ei pea lahendus üksnes pakkuma kasutaja tuvastamist, vaid peab kindlustama ka saadetavate andmete konfidentsiaalsuse ja puutumatuse. Kas WinRM vastab kõikidele neile kriteeriumitele ning on muus mõttes kasutajasõbralik abiline jääb ilmselt iga Windowsi kasutaja otsustada. Arvestades aga, et WinRM peamiseks eesmärgiks on teha seadmete ja andmete juhtimine mitmeosalistes keerulistes süsteemides kasutajate jaoks oluliselt lihtsamaks, siis selle eesmärgi täitmisele on rakendus kindlasti lähedal.
Kasutatud kirjandus
- http://msdn.microsoft.com/en-us/library/windows/desktop/aa384426(v=vs.85).aspx
- http://www.windows7library.com/blog/management/windows-remote-management-service/
- http://www.symantec.com/connect/articles/remote-desktop-management-solution-microsoft
- http://blogs.technet.com/b/jonjor/archive/2009/01/09/winrm-windows-remote-management-troubleshooting.aspx
Autor
Kimmo Lillipuu D21