WinRM /WsManagement sans Powershell

WinRM est l’implémentation WS-Management de Microsoft.

Fonctionnant sur SOAP, cette technologie permet l’administration de machine à distance. WinRM est en version 2 pour le moment, fonctionne sur les derniers OS de Microsoft, fonctionne sur du Windows 2003 mais possède une limitation, il faut le SP2. C’est une sévère limitation si vous souhaitez utiliser Powershell v2 qui nécessite WinRM 2.0.

Il est classique dans l’écosystème d’un SI que des serveurs Windows ne soit pas dans les derniers services pack… Heureusement, Microsoft fournit depuis peu WS-Management 1.1 spécifiquement pour cet OS et pour Windows XP.
Il y a toutefois une limitation concernant Powershell. En effet, l’avantage de WinRM ne réside pas tant dans WS-Management que dans PowerShell qui vient directement s’interfacer à lui.
PowerShell 2 couplé à WinRM 2 permet l’administration de machine distante dans le nouveau langage de shell extensible de Microsoft.

Outils
L’installation de WinRM fournit 2 outils :
– winrm pour la configuration, le traitement de tâche WS-Management y compris à distance
– winrs, un client sur winrm

Astuces d’installation

L’installation de WinRM 2 et PowerShell 2 est très aisé sur des postes configurés classiquement, de simples clics et tout y est. Idem pour WS-Management 1.1.
Toutefois, un problème de taille peut subvenir lors de l’installation. En effet, WS-Management/WinRM impose l’activation du Firewall Windows sur les machines. C’est en soi une très bonne idée, mais en même temps un très gros problème pour les machines qui ne l’active pas ; reposant sur d’autres mécanismes.

Sur une machine où le firewall est activé, il suffit de lancer la commande 1 du tableau ci-dessous. Pour information, sur une machine Windows 2008 où WinRM est installé, cela se passera sans encombre. Dans le cas de figure où il n’y a pas de firewall, il faut exécuter les commandes de la ligne 2 du tableau ci-dessous (à l’exeption de la dernière).
Information cruciale, entre WinRM 1.1 (à comprendre WS-Management 1.1) et WinRM 2.0, il y a eu des changements de ports.
Dans la première version, tout s’effectuait sur le sports standard HTTP et HTTPS, à savoir 80 et 443. Dans la seconde version, les nouveaux ports sont 5985 et 5986. Dans une communication WinRM 2 vers WinRM 1.1 (ou dans l’autre sens), il faut penser à préciser les ports

Voici donc quelques commandes à connaître :

1 winrm quickconfig Permet la configuration de WinRM en ligne de commande. Démarre le service et créé les listeners associés. Démarre le firewall windows nécessaire au fonctionnement de WinrM
2 sc config « Windows Remote Management » start=auto
net start WinRM
winrm create winrm/config/listener?Address=*+Transport=HTTP
netsh firewall add portopening TCP 80 « Windows Remote Management »
Les commandes suivantes reproduisent plus ou moins à l’identique le fonctionnement de WinRM quickconfig (en pratique winrm quickconfig ouvre le port TCP 80 et 443, je ne l’ai pas détaillé ici) .
Si la commande WinRM quickconfig ne fonctionne pas, il y a de grandes chance que le Firewall Windows ne soit pas démarré.
On pourrait lancer ce dernier mais avec le risque suivant. Nous accédons aux machines distantes via RDP (mstsc).
Le démarrage du firewall pourrait couper la connection. Les commandes suivantes indiquent précisément ce que fait winrm quickconfig.Vous remarquerez la dernière ligne de nos commandes.
Avec winrm quickconfig, si elle plante, c’est comme si les autres n’avaient pas été exécutées.
Faite une à une en ligne de commande(à l’exception de la dernière si vous n’activer pas le firewall) , vous pouvez reproduire le comportement de winrm quickconfig ^^
3 winrs -r: http://machine76:80 -u:OtherDomain\JEAN-FRANCOIS -p:password ipconfig Lance la commande ipconfig sur la machine machine76. Dans notre exemple l’appel à lieu sur le port 80 car ladite machine est installé avec WinRM 1.1 (WS-Management 1.1).
Le port est ici précisé car le client winrs a été lancé à partir de la machine machine313 équipée de WinRM2.0. Sur une machine cliente WinRM 1.1, aucune précision n’aurait été nécessaire.
4 winrm set winrm/config/client @ {TrustedHosts= »machine313, foo,bar »} Ajoute les machines machine313 , foo et bar dans la liste des TrustedHosts (pas besoin d’authentification. Pratique pour de la communication inter domaine)
5 winrs -r: http://machine76:80 -u:OtherDomain\JEAN-FRANCOIS -p:password iisweb /start MONSITE Démarre le site web MONSITE sur la machine machine76 (Pour arrêter le site web, mettre /stop à la place de /start)
6 winrm enumerate winrm/config/listener Enumère les listeners sur WinRM. Cette commande permet de vérifier l’accessibilité à distance de la machine sur laquelle on l’exécute.
7 Winrm get wmicimv2/Win32_Service?Name=spooler Cette commande permet de vérifier que WinRm fonctionne en local. On demande l’état du spooler d’impression
8 winrm get winrm/config Cette commande permet de savoir la configuration de WinRM sur la machine sur laquelle il est lancé
9 winrs -r: http://machine313:5985 -u:Domain\user -p:password ipconfig Lance la commande ipconfig sur la machine machine313. Dans notre exemple l’appel à lieu sur le port 5985 car ladite machine est installé avec WinRM 2.
Le port est ici précisé car le client winrs a été lancé à partir de la machine machine76 équipé de WinRM1.1. Sur une machine cliente WinRM 2.0, aucune précision n’aurait été nécessaire.

En cas de problème
– Essayer de configurer le TrusteHosts sur les 2 machines devant communiquer

Laisser un commentaire