Windows Admin Center(以降、WACと略します。)のセットアップウィザードにおいて、管理対象への接続をWinRM over HTTPSへ指定する方法があります。
管理対象でWinRM over HTTPSを構成するには、管理対象に証明書のインストールした上で、
に沿って構成します。実際の構成は、上記に記載の通り、下記を実行します。
winrm quickconfig -transport:https
上記のとおり構成されていれば、HTTPS用のリスナーが増えています。
しかしこれだけでは不足してます。試したり調べた結果としては、下記が必要です。
- Windows Defender Firewallにて5986/tcpの開放が必要です。既定では、WinRM over HTTP用である5985のルールしかないです。
- 証明書のサブジェクト(おそらくSAN)も管理対象のホスト名、FQDNに沿っている必要があります。証明書にはFQDNだけ指定した場合、ホスト名で接続するとエラーになります。(後ほど画面を貼ります)
シンプルに確認したかったので、FQDNをサブジェクトとSANに指定した証明書がインストール済みのWindows Admin Center自体で確認しました。管理対象への接続をWinRM over HTTPSとする方法としては、
- 前述の通り、セットアップウィザードの途中で設定する
- セットアップ後にSet-WACWinRmOverHttpsを用いて有効化
WinRM over HTTPからWinRM over HTTPSへ切り替えることしかできず、設定変更は不可逆です。Set-WACWinRmOverHttpsは、-Enabledと有効するオプションのみで、逆がないのです。$falseなど試してみましたが、効きませんでした。
があります。
今回は、WACをアンインストールし、再インストール時にセットアップウィザードにてWinRM over HTTPSを指定しました。ここで、接続確認しても、管理対象にはつながりません。前述の通り、WinRM over HTTP用のWindows Defender Firewallルールしかないためです。
よってWinRM over HTTPS用の5986/tcpの開放ルールを作りました。
接続リストのFQDNを追加後、
接続すると、問題無くつながります。
補足ですが、管理対象への接続をWinRM over HTTPSと指定したWACは、WinRM over HTTPのみとなっている管理対象には接続できません。まず接続リストへの追加時に警告が出ます。
そもそも証明書も用意していないので、HTTPS用リスナーも未構成です。Windows Defender Firewallルールも無いため、結果的に接続もできません。
証明書は、FQDNで構成したと前に述べましたが、ホスト名で管理対象につなぐとエラーになります。
管理対象への接続をWinRM over HTTPと指定したWACは、WinRM over HTTPSを有効化した管理対象にも接続できます。これは、HTTPSリスナーではなく、HTTPリスナーを使用するためです。前述の通り、HTTPSリスナーとHTTPリスナーがある故です。
0 件のコメント:
コメントを投稿