Pular para o conteúdo principal

Configurando o Windows Server para atualizações de driver de dispositivo do SO

O Lenovo XClarity Administrator usa a escuta do Serviço de Gerenciamento Remoto do Windows (WinRM) sobre HTTPS ou HTTP para executar comandos de atualização de driver de dispositivo em sistemas Windows de destino. O serviço WinRM deve ser configurado corretamente nos servidores de destino antes de tentar atualizar drivers de dispositivo do SO.

Antes de iniciar

As portas necessárias devem estar disponíveis. Para obter mais informações, consulte Disponibilidade de porta.

Para obter mais informações sobre como configurar o Windows Server antes de atualizar o driver de dispositivo do SO, consulte o XClarity Administrator: Preparação para atualizações de driver de dispositivo do SO (whitepaper).

Procedimento

Para configurar o Windows Server para oferecer suporte à atualização drivers de dispositivo do SO, conclua as seguintes etapas.

  • Para HTTPS

    1. Assine e instale um certificado de servidor em cada um dos sistemas Windows de destino.

      Importante
      O certificado deve conter as informações a seguir.
      • No Assunto, certifique-se de que o componente de domínio seja definido (por exemplo, DC=labs, DC=com, DC=company).

      • No Nome do assunto alternativo, certifique-se de que o nome DNS e o endereço IP do host sejam definidos (por exemplo, o nome DNS = node1325C554A6F.labs.company.com e o endereço IP = 10.245.43.149).

    2. Configure os comandos de gerenciamento remoto e os dados sobre uma conexão HTTPS executando um dos seguintes comandos de um prompt de comandos administrativo e, em seguida, confirme as alterações de configuração sugeridas.

      • winrm quickconfig -transport:https
      • winrm create winrm/config/Listener?Address=*+Transport=HTTPS 
        @{Hostname="host_name";CertificateThumbprint="certificate_thumbprint"}

      Para configurar manualmente um ouvinte WinRM HTTPS de acordo com a documentação do WinRM, consulte a Como configurar WinRM para página da Web HTTPS.

    3. Defina as configurações de autenticação, dependendo se você deseja usar contas de domínio ou contas de usuário locais do Windows para acessar servidores Windows de destino.

      • Contas de domínio

        Se você deseja usar contas de domínio criadas e gerenciadas no domínio de rede, a autenticação Kerberos deve ser habilitada no WinRM. Ela é habilitada no WinRM por padrão. Se ela estiver desabilitada no momento, será possível habilitá-la executando o seguinte comando em um prompt de comando administrativo.
        winrm set winrm/config/service/Auth @{Kerberos="true"}
        Além disso, você precisa adicionar as contas de domínio ao XClarity Administrator concluindo as etapas a seguir
        1. Na barra de menus do XClarity Administrator, clique em Fornecimento > Atualizações de drivers do Windows: Aplicar. A página Atualizações do driver do Windows: aplicar é exibida.
        2. Clique em Todas as Ações > Gerenciar Conta de Domínio. A caixa de diálogo Gerenciar Contas de Domínio é exibida.
        3. Clique no ícone Criar (Ícone de Criar) para adicionar um domínio para a conta de domínio. A caixa de diálogo Criar domínio é exibida.
        4. Especifique um nome de domínio e um ou mais nomes de hosts do centro de distribuição. Use o ícone Adicionar (Ícone de Adicionar) para adicionar outro nome do host e use o ícone Remover (Ícone de Remover) para remover um nome do host.
        5. Selecione o domínio a ser usado por padrão no campo Aplicar este domínio como seleção padrão acima da tabela.
        6. Clique em Salvar para salvar a configuração.
        Importante
        • Os servidores Windows gerenciados devem estar na rede de domínio antes de configurar contas de domínio.

        • Quando você adiciona credenciais armazenadas para uma conta de domínio no XClarity Administrator, use o formato USER@DOMAIN. O formato DOMAIN/USER não é suportado.

      • Contas de usuário local do Windows

        Se você deseja usar contas de usuário que foram criadas nos servidores Windows de destino, a autenticação básica deve ser habilitada. Ela está desabilitada no WinRM por padrão. Se ela estiver desabilitada no momento, será possível habilitá-la executando o seguinte comando em um prompt de comando administrativo.
        winrm set winrm/config/service/Auth @{Basic="true"}
      Importante
      O comando WinRM usa Negociar autenticação para configurar o subsistema WinRM. Não desabilite a opção Negociar autenticação.
    4. Para evitar um possível tempo limite e enviar erros de solicitação do WinRM na verificação de conformidade e executar atualizações de driver, aumente o valor padrão para o tempo limite de resposta do WinRM executando o comando a seguir de um prompt de comando administrativo. Um valor de 280000 é recomendado. Para obter mais informações, consulte o Site de Instalação e Configuração para Gerenciamento Remoto do Windows.

      winrm set winrm/config @{MaxTimeoutms="280000"}
    5. Abra a porta no firewall que é configurado para o ouvinte HTTPS do WinRM. A porta HTTPS padrão é 5986. Por exemplo

      netsh advfirewall firewall add rule name="Windows Remote Management (HTTPS-In)" dir=in action=allow 
      protocol=TCP localport=5986
    6. Se você estiver usando ouvintes HTTPS, adiciona o certificado para o armazenamento confiável do XClarity Administrator concluindo as etapas a seguir. Adicionar o certificado ao armazenamento confiável permite que o XClarity Administrator confie nos ouvintes HTTPS do WinRM para que ele se conecte. Repita as etapas a seguir para todos os caminhos de certificação adicionais que precisam ser confiáveis para o serviço Gerenciamento Remoto do Windows.

      1. Identifique e colete o certificado raiz da Autoridade de Certificação que é usada para assinar os certificados do servidor para os sistemas Windows de destino. Se você não tiver acesso ao Certificado raiz da CA, colete o certificado do servidor ou outro certificado no caminho de certificação.

      2. Na barra de menus do XClarity Administrator, clique em Administração > Segurança para exibir a página Segurança.

      3. Clique em Certificados confiáveis na seção Gerenciamento de Certificados.

      4. Clique no ícone Criar (Ícone de Criar) para exibir a caixa de diálogo Adicionar certificado.

      5. Navegue até o arquivo de certificado coletado na etapa 1 ou copie/cole o conteúdo do arquivo de certificado na caixa de texto.

      6. Clique em Criar.

    7. Depois que o ouvinte do WinRM estiver em execução em sistemas Windows de destino, o XClarity Administrator poderá se conectar a esses sistemas e executar as atualizações do driver de dispositivo.
  • Para HTTP

    1. Configure os comandos de gerenciamento remoto e os dados sobre uma conexão HTTP executando o seguinte comando de um prompt de comandos administrativo e, em seguida, confirme as alterações de configuração sugeridas.

      winrm quickconfig
    2. Defina as configurações de autenticação, dependendo se você deseja usar contas de domínio ou contas de usuário locais do Windows para acessar servidores Windows de destino.

      • Contas de domínio

        Se você deseja usar contas de domínio criadas e gerenciadas no domínio de rede, a autenticação Kerberos deve ser habilitada no WinRM. Ela é habilitada no WinRM por padrão. Se ela estiver desabilitada no momento, será possível habilitá-la executando o seguinte comando em um prompt de comando administrativo.
        winrm set winrm/config/service/Auth @{Kerberos="true"}
        Além disso, você precisa adicionar as contas de domínio ao XClarity Administrator concluindo as etapas a seguir
        1. Na barra de menus do XClarity Administrator, clique em Fornecimento > Atualizações de drivers do Windows: Aplicar. A página Atualizações do driver do Windows: aplicar é exibida.
        2. Clique em Todas as Ações > Gerenciar Conta de Domínio. A caixa de diálogo Gerenciar Contas de Domínio é exibida.
        3. Clique no ícone Criar (Ícone de Criar) para adicionar um domínio para a conta de domínio. A caixa de diálogo Criar domínio é exibida.
        4. Especifique um nome de domínio e um ou mais nomes de hosts do centro de distribuição. Use o ícone Adicionar (Ícone de Adicionar) para adicionar outro nome do host e use o ícone Remover (Ícone de Remover) para remover um nome do host.
        5. Selecione o domínio a ser usado por padrão no campo Aplicar este domínio como seleção padrão acima da tabela.
        6. Clique em Salvar para salvar a configuração.
        Importante
        • Os servidores Windows gerenciados devem estar na rede de domínio antes de configurar contas de domínio.

        • Quando você adiciona credenciais armazenadas para uma conta de domínio no XClarity Administrator, use o formato USER@DOMAIN. O formato DOMAIN/USER não é suportado.

      • Contas de usuário local do Windows

        Se você deseja usar contas de usuário que foram criadas nos servidores Windows de destino, a autenticação básica deve ser habilitada. Ela está desabilitada no WinRM por padrão. Se ela estiver desabilitada no momento, será possível habilitá-la executando o seguinte comando em um prompt de comando administrativo.
        winrm set winrm/config/service/Auth @{Basic="true"}
      Importante
      O comando WinRM usa Negociar autenticação para configurar o subsistema WinRM. Não desabilite a opção Negociar autenticação.
    3. Aloque memória suficiente para os comandos de atualização no sistema executando o seguinte comando de um prompt de comandos administrativo.

      winrm set winrm/config/winrs @{MaxMemoryPerShellMB="1024"}
    4. Permita dados não criptografados executando o seguinte comando de um prompt de comandos administrativo.

      winrm set winrm/config/service @{AllowUnencrypted="true"}
    5. Abra a porta no firewall que é configurado para o ouvinte HTTP do WinRM. A porta HTTPS padrão é 5985. Por exemplo

      netsh advfirewall firewall add rule name="Windows Remote Management (HTTP-In)" dir=in action=allow 
      protocol=TCP localport=5985

    Depois que o ouvinte do WinRM estiver em execução em sistemas Windows de destino, o XClarity Administrator poderá se conectar a esses sistemas e executar as atualizações do driver de dispositivo.