Перейти к основному содержимому

Настройка Windows Server для обновлений драйверов устройств ОС

Для выполнения команд обновления драйверов устройств в целевых системах Windows решение Lenovo XClarity Administrator использует службу удаленного управления Windows (WinRM), осуществляющую прослушивание по протоколу HTTPS или HTTP. Прежде чем пытаться обновить драйверы устройств ОС, необходимо правильно настроить службу WinRM на целевых серверах.

Перед началом работы

Должны быть доступны необходимые порты. Дополнительные сведения см. в разделе Доступность портов.

Дополнительные сведения о настройке Windows Server перед обновлением драйвера устройства ОС см. в разделе XClarity Administrator: подготовка обновлений драйверов устройств ОС (информационный документ).

Процедура

Чтобы настроить Windows Server для поддержки обновлений драйверов устройств ОС, выполните следующие действия.

  • Для HTTPS

    1. Подпишите и установите в каждой целевой системе Windows сертификат сервера.

      Важное замечание
      Сертификат должен содержать следующую информацию.

      • В разделе «Субъект» убедитесь, что задан «Компонент домена» (например, DC=labs, DC=com, DC=company).

      • В разделе «Альтернативное имя субъекта» убедитесь, что заданы «Имя DNS» и «IP-адрес хоста» (например, DNS Name=node1325C554A6F.labs.company.com и IP Address=10.245.43.149).

    2. Настройте удаленное управление и передачу данных по HTTPS-соединению, выполнив в командной строке администрирования одну из указанных ниже команд, и подтвердите предлагаемые изменения конфигурации.

      • winrm quickconfig -transport:https
      • winrm create winrm/config/Listener?Address=*+Transport=HTTPS 
        @{Hostname="host_name";CertificateThumbprint="certificate_thumbprint"}

      Чтобы вручную настроить прослушиватель HTTPS WinRM в соответствии с документацией WinRM, см. раздел Веб-страница настройки WinRM для HTTPS.

    3. Настройте параметры аутентификации в зависимости от того, что требуется использовать для доступа к целевым серверам Windows — учетные записи домена или локальные учетные записи пользователей Windows.

      • Учетные записи домена

        Если требуется использовать учетные записи домена, созданные и управляемые в сетевом домене, необходимо включить в WinRM аутентификацию Kerberos. Она включена в WinRM по умолчанию. Если в данный момент она отключена, ее можно включить, выполнив в командной строке администратора следующую команду.
        winrm set winrm/config/service/Auth @{Kerberos="true"}
        Кроме того, учетные записи домена необходимо добавить в XClarity Administrator, выполнив следующие действия
        1. В строке меню XClarity Administrator выберите Подготовка > Обновления драйверов Windows: применить. Откроется страница Обновления драйверов Windows: применить.
        2. Выберите Все действия > Управление доменной учетной записью. Появится диалоговое окно «Управление доменными учетными записями».
        3. Нажмите значок Создать (Значок «Создать»), чтобы добавить область для доменной учетной записи. Отобразится диалоговое окно Создать область.
        4. Укажите имя области и одно или несколько имен хостов центров распределения ключей. С помощью значка Добавить (Значок «Добавить») можно добавить еще одно имя хоста, а с помощью значка Удалить (Значок «Удалить») — удалить его.
        5. Выберите область для использования по умолчанию в поле Применить эту область как выбор по умолчанию над таблицей.
        6. Нажмите кнопку Сохранить, чтобы сохранить конфигурацию.
        Важное замечание

        • Перед настройкой учетных записей домена управляемые серверы Windows должны находиться в доменной сети.

        • При добавлении сохраненных учетных данных для учетной записи домена в XClarity Administrator используйте формат USER@DOMAIN. Формат DOMAIN/USER не поддерживается.

      • Локальные учетные записи пользователей Windows

        Если требуется использовать учетные записи пользователей, созданные на целевых серверах Windows, необходимо включить базовую аутентификацию. По умолчанию в WinRM она отключена. Если в данный момент она отключена, ее можно включить, выполнив в командной строке администратора следующую команду.
        winrm set winrm/config/service/Auth @{Basic="true"}
      Важное замечание
      Для настройки подсистемы WinRM команда WinRM использует аутентификацию с согласованием. Не выключайте аутентификацию с согласованием.

    4. Чтобы избежать возможного тайм-аута и отправки ошибок запроса WinRM при проверке соответствия и выполнении обновлений драйверов, увеличьте значение по умолчанию для тайм-аута ответа WinRM, выполнив следующую команду из административной командной строки. Рекомендуется использовать значение 280 000. Дополнительные сведения см. в разделе Установка и настройка веб-страницы службы удаленного управления Windows.

      winrm set winrm/config @{MaxTimeoutms="280000"}

    5. Откройте порт в брандмауэре, настроенный для прослушивателя HTTPS WinRM. HTTPS-порт по умолчанию — 5986. Например:

      netsh advfirewall firewall add rule name="Windows Remote Management (HTTPS-In)" dir=in action=allow 
      protocol=TCP localport=5986

    6. При использовании прослушивателей HTTPS добавьте в доверенное хранилище XClarity Administrator сертификат, выполнив указанные ниже действия. Добавление сертификата в доверенное хранилище позволяет решению XClarity Administrator доверять прослушивателям HTTPS WinRM, к которым оно подключается. Повторите указанные ниже действия для всех дополнительных путей сертификации, которым должна доверять служба удаленного управления Windows.

      1. Определите и получите корневой сертификат центра сертификации, которым подписывались сертификаты сервера для целевых систем Windows. При отсутствии доступа к корневому сертификату ЦС получите сертификат сервера или другой сертификат в пути сертификации.

      2. В строке меню XClarity Administrator выберите Администрирование > Безопасность, чтобы открыть страницу Безопасность.

      3. В разделе «Управление сертификатами» нажмите Доверенные сертификаты.

      4. Нажмите значок Создать (Значок «Создать»), чтобы открыть диалоговое окно Добавить сертификат.

      5. Найдите файл сертификата, полученный на шаге 1, или скопируйте и вставьте содержимое файла сертификата в текстовое поле.

      6. Нажмите Создать.

    7. После запуска прослушивателя WinRM в целевых системах Windows решение XClarity Administrator может подключаться к этим системам и выполнять обновления драйверов устройств.

  • Для HTTP

    1. Настройте команды удаленного управления и данные, передаваемые по HTTP-соединению, выполнив в командной строке администрирования указанную ниже команду, и подтвердите предлагаемые изменения конфигурации.

      winrm quickconfig

    2. Настройте параметры аутентификации в зависимости от того, что требуется использовать для доступа к целевым серверам Windows — учетные записи домена или локальные учетные записи пользователей Windows.

      • Учетные записи домена

        Если требуется использовать учетные записи домена, созданные и управляемые в сетевом домене, необходимо включить в WinRM аутентификацию Kerberos. Она включена в WinRM по умолчанию. Если в данный момент она отключена, ее можно включить, выполнив в командной строке администратора следующую команду.
        winrm set winrm/config/service/Auth @{Kerberos="true"}
        Кроме того, учетные записи домена необходимо добавить в XClarity Administrator, выполнив следующие действия
        1. В строке меню XClarity Administrator выберите Подготовка > Обновления драйверов Windows: применить. Откроется страница Обновления драйверов Windows: применить.
        2. Выберите Все действия > Управление доменной учетной записью. Появится диалоговое окно «Управление доменными учетными записями».
        3. Нажмите значок Создать (Значок «Создать»), чтобы добавить область для доменной учетной записи. Отобразится диалоговое окно Создать область.
        4. Укажите имя области и одно или несколько имен хостов центров распределения ключей. С помощью значка Добавить (Значок «Добавить») можно добавить еще одно имя хоста, а с помощью значка Удалить (Значок «Удалить») — удалить его.
        5. Выберите область для использования по умолчанию в поле Применить эту область как выбор по умолчанию над таблицей.
        6. Нажмите кнопку Сохранить, чтобы сохранить конфигурацию.
        Важное замечание

        • Перед настройкой учетных записей домена управляемые серверы Windows должны находиться в доменной сети.

        • При добавлении сохраненных учетных данных для учетной записи домена в XClarity Administrator используйте формат USER@DOMAIN. Формат DOMAIN/USER не поддерживается.

      • Локальные учетные записи пользователей Windows

        Если требуется использовать учетные записи пользователей, созданные на целевых серверах Windows, необходимо включить базовую аутентификацию. По умолчанию в WinRM она отключена. Если в данный момент она отключена, ее можно включить, выполнив в командной строке администратора следующую команду.
        winrm set winrm/config/service/Auth @{Basic="true"}
      Важное замечание
      Для настройки подсистемы WinRM команда WinRM использует аутентификацию с согласованием. Не выключайте аутентификацию с согласованием.

    3. Выделите достаточно памяти для команд обновления в системе, выполнив следующую команду из командной строки администрирования.

      winrm set winrm/config/winrs @{MaxMemoryPerShellMB="1024"}

    4. Разрешите незашифрованные данные, выполнив следующую команду из командной строки администрирования.

      winrm set winrm/config/service @{AllowUnencrypted="true"}

    5. Откройте порт в брандмауэре, настроенный для прослушивателя HTTP WinRM. HTTPS-порт по умолчанию — 5985. Например:

      netsh advfirewall firewall add rule name="Windows Remote Management (HTTP-In)" dir=in action=allow 
      protocol=TCP localport=5985

    После запуска прослушивателя WinRM в целевых системах Windows решение XClarity Administrator может подключаться к этим системам и выполнять обновления драйверов устройств.