Configurando o Windows Server para atualizações de driver de dispositivo do SO
O Lenovo XClarity Administrator usa a escuta do Serviço de Gerenciamento Remoto do Windows (WinRM) sobre HTTPS ou HTTP para executar comandos de atualização de driver de dispositivo em sistemas Windows de destino. O serviço WinRM deve ser configurado corretamente nos servidores de destino antes de tentar atualizar drivers de dispositivo do SO.
Antes de iniciar
As portas necessárias devem estar disponíveis. Para obter mais informações, consulte Disponibilidade de porta.
Para obter mais informações sobre como configurar o Windows Server antes de atualizar o driver de dispositivo do SO, consulte o XClarity Administrator: Preparação para atualizações de driver de dispositivo do SO (whitepaper).
Procedimento
Para configurar o Windows Server para oferecer suporte à atualização drivers de dispositivo do SO, conclua as seguintes etapas.
Para HTTPS
Assine e instale um certificado de servidor em cada um dos sistemas Windows de destino.
ImportanteO certificado deve conter as informações a seguir.No Assunto, certifique-se de que o componente de domínio seja definido (por exemplo, DC=labs, DC=com, DC=company).
No Nome do assunto alternativo, certifique-se de que o nome DNS e o endereço IP do host sejam definidos (por exemplo, o nome DNS = node1325C554A6F.labs.company.com e o endereço IP = 10.245.43.149).
Configure os comandos de gerenciamento remoto e os dados sobre uma conexão HTTPS executando um dos seguintes comandos de um prompt de comandos administrativo e, em seguida, confirme as alterações de configuração sugeridas.
winrm quickconfig -transport:https
winrm create winrm/config/Listener?Address=*+Transport=HTTPS
@{Hostname="host_name";CertificateThumbprint="certificate_thumbprint"}
Para configurar manualmente um ouvinte WinRM HTTPS de acordo com a documentação do WinRM, consulte a Como configurar WinRM para página da Web HTTPS.
Defina as configurações de autenticação, dependendo se você deseja usar contas de domínio ou contas de usuário locais do Windows para acessar servidores Windows de destino.
Contas de domínio
Se você deseja usar contas de domínio criadas e gerenciadas no domínio de rede, a autenticação Kerberos deve ser habilitada no WinRM. Ela é habilitada no WinRM por padrão. Se ela estiver desabilitada no momento, será possível habilitá-la executando o seguinte comando em um prompt de comando administrativo.winrm set winrm/config/service/Auth @{Kerberos="true"}
Além disso, você precisa adicionar as contas de domínio ao XClarity Administrator concluindo as etapas a seguir- Na barra de menus do XClarity Administrator, clique em . A página Atualizações do driver do Windows: aplicar é exibida.
- Clique em Gerenciar Contas de Domínio é exibida. . A caixa de diálogo
- Clique no ícone Criar () para adicionar um domínio para a conta de domínio. A caixa de diálogo Criar domínio é exibida.
- Especifique um nome de domínio e um ou mais nomes de hosts do centro de distribuição. Use o ícone Adicionar () para adicionar outro nome do host e use o ícone Remover () para remover um nome do host.
- Selecione o domínio a ser usado por padrão no campo Aplicar este domínio como seleção padrão acima da tabela.
- Clique em Salvar para salvar a configuração.
ImportanteOs servidores Windows gerenciados devem estar na rede de domínio antes de configurar contas de domínio.
Quando você adiciona credenciais armazenadas para uma conta de domínio no XClarity Administrator, use o formato USER@DOMAIN. O formato DOMAIN/USER não é suportado.
Contas de usuário local do Windows
Se você deseja usar contas de usuário que foram criadas nos servidores Windows de destino, a autenticação básica deve ser habilitada. Ela está desabilitada no WinRM por padrão. Se ela estiver desabilitada no momento, será possível habilitá-la executando o seguinte comando em um prompt de comando administrativo.winrm set winrm/config/service/Auth @{Basic="true"}
ImportanteO comando WinRM usaNegociar autenticação para configurar o subsistema WinRM. Não desabilite a opção Negociar autenticação. Para evitar um possível tempo limite e enviar erros de solicitação do WinRM na verificação de conformidade e executar atualizações de driver, aumente o valor padrão para o tempo limite de resposta do WinRM executando o comando a seguir de um prompt de comando administrativo. Um valor de 280000 é recomendado. Para obter mais informações, consulte o Site de Instalação e Configuração para Gerenciamento Remoto do Windows.
winrm set winrm/config @{MaxTimeoutms="280000"}
Abra a porta no firewall que é configurado para o ouvinte HTTPS do WinRM. A porta HTTPS padrão é 5986. Por exemplo
netsh advfirewall firewall add rule name="Windows Remote Management (HTTPS-In)" dir=in action=allow
protocol=TCP localport=5986Se você estiver usando ouvintes HTTPS, adiciona o certificado para o armazenamento confiável do XClarity Administrator concluindo as etapas a seguir. Adicionar o certificado ao armazenamento confiável permite que o XClarity Administrator confie nos ouvintes HTTPS do WinRM para que ele se conecte. Repita as etapas a seguir para todos os caminhos de certificação adicionais que precisam ser confiáveis para o serviço Gerenciamento Remoto do Windows.
Identifique e colete o certificado raiz da Autoridade de Certificação que é usada para assinar os certificados do servidor para os sistemas Windows de destino. Se você não tiver acesso ao Certificado raiz da CA, colete o certificado do servidor ou outro certificado no caminho de certificação.
Na barra de menus do XClarity Administrator, clique em para exibir a página Segurança.
Clique em Certificados confiáveis na seção Gerenciamento de Certificados.
Clique no ícone Criar () para exibir a caixa de diálogo Adicionar certificado.
Navegue até o arquivo de certificado coletado na etapa 1 ou copie/cole o conteúdo do arquivo de certificado na caixa de texto.
Clique em Criar.
- Depois que o ouvinte do WinRM estiver em execução em sistemas Windows de destino, o XClarity Administrator poderá se conectar a esses sistemas e executar as atualizações do driver de dispositivo.
Para HTTP
Configure os comandos de gerenciamento remoto e os dados sobre uma conexão HTTP executando o seguinte comando de um prompt de comandos administrativo e, em seguida, confirme as alterações de configuração sugeridas.
winrm quickconfig
Defina as configurações de autenticação, dependendo se você deseja usar contas de domínio ou contas de usuário locais do Windows para acessar servidores Windows de destino.
Contas de domínio
Se você deseja usar contas de domínio criadas e gerenciadas no domínio de rede, a autenticação Kerberos deve ser habilitada no WinRM. Ela é habilitada no WinRM por padrão. Se ela estiver desabilitada no momento, será possível habilitá-la executando o seguinte comando em um prompt de comando administrativo.winrm set winrm/config/service/Auth @{Kerberos="true"}
Além disso, você precisa adicionar as contas de domínio ao XClarity Administrator concluindo as etapas a seguir- Na barra de menus do XClarity Administrator, clique em . A página Atualizações do driver do Windows: aplicar é exibida.
- Clique em Gerenciar Contas de Domínio é exibida. . A caixa de diálogo
- Clique no ícone Criar () para adicionar um domínio para a conta de domínio. A caixa de diálogo Criar domínio é exibida.
- Especifique um nome de domínio e um ou mais nomes de hosts do centro de distribuição. Use o ícone Adicionar () para adicionar outro nome do host e use o ícone Remover () para remover um nome do host.
- Selecione o domínio a ser usado por padrão no campo Aplicar este domínio como seleção padrão acima da tabela.
- Clique em Salvar para salvar a configuração.
ImportanteOs servidores Windows gerenciados devem estar na rede de domínio antes de configurar contas de domínio.
Quando você adiciona credenciais armazenadas para uma conta de domínio no XClarity Administrator, use o formato USER@DOMAIN. O formato DOMAIN/USER não é suportado.
Contas de usuário local do Windows
Se você deseja usar contas de usuário que foram criadas nos servidores Windows de destino, a autenticação básica deve ser habilitada. Ela está desabilitada no WinRM por padrão. Se ela estiver desabilitada no momento, será possível habilitá-la executando o seguinte comando em um prompt de comando administrativo.winrm set winrm/config/service/Auth @{Basic="true"}
ImportanteO comando WinRM usaNegociar autenticação para configurar o subsistema WinRM. Não desabilite a opção Negociar autenticação. Aloque memória suficiente para os comandos de atualização no sistema executando o seguinte comando de um prompt de comandos administrativo.
winrm set winrm/config/winrs @{MaxMemoryPerShellMB="1024"}
Permita dados não criptografados executando o seguinte comando de um prompt de comandos administrativo.
winrm set winrm/config/service @{AllowUnencrypted="true"}
Abra a porta no firewall que é configurado para o ouvinte HTTP do WinRM. A porta HTTPS padrão é 5985. Por exemplo
netsh advfirewall firewall add rule name="Windows Remote Management (HTTP-In)" dir=in action=allow
protocol=TCP localport=5985
Depois que o ouvinte do WinRM estiver em execução em sistemas Windows de destino, o XClarity Administrator poderá se conectar a esses sistemas e executar as atualizações do driver de dispositivo.