Configuration de Windows Server pour les mises à jour de pilote de périphérique SE

Procédure

Pour configurer Windows Server pour la prise en charge de la mise à jour des pilotes de périphérique SE, procédez comme suit.

• Pour HTTPS

  1. Connectez-vous et installez un certificat de serveur sur chacun des systèmes Windows cibles.

     Important

     Le certificat doit contenir les informations suivantes.

     • Dans l’objet, vérifiez que le composant de domaine est défini (par exemple, DC=labs, DC=com, DC=company).

     • Dans l'autre nom de sujet, vérifiez que le nom DNS et l’hôte et l’adresse IP sont définis (par exemple, DNS Name=node1325C554A6F.labs.company.com et IP Address=10.245.43.149).

  2. Configurez les commandes et les données de gestion à distance via une connexion HTTPS en exécutant l'une des commandes suivantes à partir d’une invite de commande d’administration et confirmez les modifications de configuration suggérées.

     • winrm quickconfig -transport:https
       

     • winrm create winrm/config/Listener?Address=*+Transport=HTTPS 
       @{Hostname="host_name";CertificateThumbprint="certificate_thumbprint"}
       

     Pour configurer manuellement un récepteur HTTPS WinRM en fonction de la documentation de WinRM, voir Comment configurer la page Web de HTTPS WinRM.

  3. Configurez les paramètres d’authentification, en fonction de vos besoins : si vous souhaitez utiliser des comptes de domaine ou des comptes utilisateur locaux Windows pour accéder aux serveurs Windows cibles.

     • Comptes de domaine

       Si vous souhaitez utiliser des comptes de domaine qui sont créés et gérés dans le domaine réseau, l’authentification Kerberos doit être activée dans WinRM. Par défaut, elle est activée dans WinRM. Si elle est actuellement désactivée, vous pouvez l’activer à l’aide de la commande suivante, à partir d’une invite de commande administrative.

       winrm set winrm/config/service/Auth @{Kerberos="true"}
       

       Vous devez également procéder comme suit pour ajouter les comptes de domaine à XClarity Administrator

       1. Dans la barre de menus de XClarity Administrator, cliquez sur Distribution > Mises à jour de pilote Windows : Appliquer. La page Mises à jour de pilote Windows : Appliquer s'affiche.
       2. Cliquez sur Toutes les actions > Gérer le compte de domaine. La boîte de dialogue Gérer les comptes de domaine s’affiche.
       3. Cliquez sur l'icône Créer (). Pour ajouter un domaine au compte de domaine. La boîte de dialogue Créer un domaine s'affiche.
       4. Indiquez un nom de domaine et un ou plusieurs noms d’hôtes du centre de distribution clé. Utilisez l’icône () Ajouter pour ajouter un autre nom d’hôte et utiliser l'icône () Retirer pour le retirer.
       5. Sélectionnez le domaine à utiliser par défaut dans le champ Appliquer ce domaine en tant que sélection par défaut au-dessus du tableau.
       6. Cliquez sur Enregistrer pour enregistrer la configuration.
       Important

       • Les serveurs Windows gérés doivent se trouver dans le réseau du domaine afin de procéder à la configuration des comptes de domaine.

       • Lorsque vous ajoutez des données d’identification stockées pour un compte de domaine XClarity Administrator, utilisez le format USER@DOMAIN. Le format DOMAIN/USER n'est pas pris en charge.

     • Comptes utilisateur locaux Windows

       Activez l’authentification de base si vous souhaitez utiliser les comptes utilisateur qui ont été créés sur les serveurs Windows cibles. Par défaut, elle est désactivée dans WinRM. Si elle est actuellement désactivée, vous pouvez l’activer à l’aide de la commande suivante, à partir d’une invite de commande administrative.

       winrm set winrm/config/service/Auth @{Basic="true"}
       

     Important

     La commande WinRM utilise l’authentification de négociation afin de configurer le sous-système WinRM. Ne désactivez pas l’authentification de négociation.

  4. Pour éviter un possible dépassement de délai d'attente et l'envoi d'erreurs de requêtes WinRM dans le cadre de la vérification de la conformité et de la mise en œuvre des mises à jour de pilote, augmentez la valeur par défaut du délai de réponse de WinRM en exécutant la commande suivante à partir d'une invite de commande avec droits d'administration. Une valeur de 280000 est recommandée. Pour plus d'informations, voir le document Guide d'installation et de configuration pour la page Web Windows Remote Management.

     winrm set winrm/config @{MaxTimeoutms="280000"}
     

  5. Ouvrez le port dans le pare-feu que vous avez configuré pour le programme d’écoute HTTPS WinRM. Le port HTTPS par défaut est 5986. Par exemple

     netsh advfirewall firewall add rule name="Windows Remote Management (HTTPS-In)" dir=in action=allow 
     protocol=TCP localport=5986
     

  6. Si vous utilisez des programmes d'écoute HTTPS, ajoutez le certificat du fichier de clés certifiées XClarity Administrator en procédant comme suit. L'ajout du certificat au fichier de clés certifiées permet à XClarity Administrator de faire confiance aux programmes d'écoute HTTPS WinRM auxquels il se connecte. Répétez les étapes suivantes pour les chemins de certification supplémentaires qui doivent être sécurisés pour le service Windows Remote Management.

     1. Identifiez et collectez le certificat racine d'Autorité de certification que vous avez utilisé pour la connexion aux certificats de serveur pour les systèmes Windows cibles. Si vous n’avez accès au certificat racine CA, collectez le certificat du serveur lui-même ou un autre certificat dans le chemin de certification.

     2. Dans la barre de menu de XClarity Administrator, cliquez sur Administration > Sécurité pour afficher la page Sécurité.

     3. Cliquez sur Certificats sécurisés sous la section Gestion des certificats.

     4. Cliquez sur l'icône Créer () pour afficher la boîte de dialogue Ajouter un certificat.

     5. Recherchez le fichier de certificat que vous avez collecté à l’étape 1, ou copiez/collez le contenu du fichier de certificat dans la zone de texte.

     6. Cliquez sur Créer.

  7. Une fois le programme d'écoute WinRM en cours d’exécution sur les systèmes cibles Windows, XClarity Administrator peut se connecter à ces systèmes et effectuer les mises à jour de pilote de périphérique.

• Pour HTTP

  1. Configurez les commandes et les données de gestion à distance via une connexion HTTP en exécutant la commande suivante à partir d’une invite de commande d’administration et confirmez les modifications de configuration suggérées.

     winrm quickconfig
     

  2. Configurez les paramètres d’authentification, en fonction de vos besoins : si vous souhaitez utiliser des comptes de domaine ou des comptes utilisateur locaux Windows pour accéder aux serveurs Windows cibles.

     • Comptes de domaine

       Si vous souhaitez utiliser des comptes de domaine qui sont créés et gérés dans le domaine réseau, l’authentification Kerberos doit être activée dans WinRM. Par défaut, elle est activée dans WinRM. Si elle est actuellement désactivée, vous pouvez l’activer à l’aide de la commande suivante, à partir d’une invite de commande administrative.

       winrm set winrm/config/service/Auth @{Kerberos="true"}
       

       Vous devez également procéder comme suit pour ajouter les comptes de domaine à XClarity Administrator

       1. Dans la barre de menus de XClarity Administrator, cliquez sur Distribution > Mises à jour de pilote Windows : Appliquer. La page Mises à jour de pilote Windows : Appliquer s'affiche.
       2. Cliquez sur Toutes les actions > Gérer le compte de domaine. La boîte de dialogue Gérer les comptes de domaine s’affiche.
       3. Cliquez sur l'icône Créer (). Pour ajouter un domaine au compte de domaine. La boîte de dialogue Créer un domaine s'affiche.
       4. Indiquez un nom de domaine et un ou plusieurs noms d’hôtes du centre de distribution clé. Utilisez l’icône () Ajouter pour ajouter un autre nom d’hôte et utiliser l'icône () Retirer pour le retirer.
       5. Sélectionnez le domaine à utiliser par défaut dans le champ Appliquer ce domaine en tant que sélection par défaut au-dessus du tableau.
       6. Cliquez sur Enregistrer pour enregistrer la configuration.
       Important

       • Les serveurs Windows gérés doivent se trouver dans le réseau du domaine afin de procéder à la configuration des comptes de domaine.

       • Lorsque vous ajoutez des données d’identification stockées pour un compte de domaine XClarity Administrator, utilisez le format USER@DOMAIN. Le format DOMAIN/USER n'est pas pris en charge.

     • Comptes utilisateur locaux Windows

       Activez l’authentification de base si vous souhaitez utiliser les comptes utilisateur qui ont été créés sur les serveurs Windows cibles. Par défaut, elle est désactivée dans WinRM. Si elle est actuellement désactivée, vous pouvez l’activer à l’aide de la commande suivante, à partir d’une invite de commande administrative.

       winrm set winrm/config/service/Auth @{Basic="true"}
       

     Important

     La commande WinRM utilise l’authentification de négociation afin de configurer le sous-système WinRM. Ne désactivez pas l’authentification de négociation.

  3. Allouez suffisamment de mémoire pour les commandes de mise à jour sur le système en exécutant la commande suivante à partir d’une invite de commande d’administration.

     winrm set winrm/config/winrs @{MaxMemoryPerShellMB="1024"}
     

  4. Autorisez les données non chiffrées en exécutant la commande suivante à partir d’une invite de commande d’administration.

     winrm set winrm/config/service @{AllowUnencrypted="true"}
     

  5. Ouvrez le port dans le pare-feu que vous avez configuré pour le programme d’écoute HTTP WinRM. Le port HTTPS par défaut est 5985. Par exemple

     netsh advfirewall firewall add rule name="Windows Remote Management (HTTP-In)" dir=in action=allow 
     protocol=TCP localport=5985
     

  Une fois le programme d'écoute WinRM en cours d’exécution sur les systèmes cibles Windows, XClarity Administrator peut se connecter à ces systèmes et effectuer les mises à jour de pilote de périphérique.