Related Posts Plugin for WordPress, Blogger...

網管人雜誌

本文刊載於 網管人雜誌第 127 期 - 2016 年 8 月 1 日出刊,NetAdmin 網管人雜誌 為一本介紹 Trend Learning 趨勢觀念、Solution Learning 解決方案、Technology Learning 技術應用的雜誌,下列筆記為本站投稿網管人雜誌獲得刊登的文章,網管人雜誌於每月份 1 日出刊您可於各大書店中看到它或透過下列圖示連結至博客來網路書店訂閱它。


文章目錄

前言
文字模式遠端管理 Nano Server
          伺服器管理員
          Windows PowerShell
          Windows PowerShell CIM
          Windows Remote Management
RSMT 管理工具運作架構
安裝及部署 RSMT 管理工具
          建立 Server Management Tools Service
          部署 RSMT Gateway 主機
          連接地端 Nano Server
          管理地端 Nano Server
結語



前言

預計在今年 9 月份發表,微軟最新雲端作業系統 Windows Server 2016(一開始的開發代號為 Windows Server vNext),其中最重要的雲端基礎架構之一就是 Nano Server。事實上,在去年 Ignite 2015 年度技術大會時,便一同與 Windows Server 2016 TP2(第 2 版技術預覽版本),同步發表針對雲端應用最佳化的極精簡伺服器版本 Nano Server。

在 Windows Server 2016 TP2、TP3 技術預覽版本時,倘若需要針對 Nano Server 進行管理作業的話,通常只能採用「遠端管理」的方式,因為 Nano Server 並沒有本機 Console 介面可進行管理作業。

但是,當微軟聽取大量 IT 管理人員針對 Nano Server 的測試結果及建議後,從 Windows Server 2016 TP4 版本開始,便新增 Nano Server Recovery Console 特色功能,也就是說 Nano Server 安裝完畢並開機後,至少有簡單的 Console 管理介面,至少讓 Nano Server 的基礎組態設定作業變得簡單。現在,管理人員可以登入 Console 後進行 Nano Server 的電腦名稱、工作群組或網域、作業系統版本、主機日期及時間、主機時區、IP 位址、預設閘道……等系統及網路組態設定。

圖 1、Nano Server Recovery Console 管理畫面



文字模式遠端管理 Nano Server

當管理人員安裝好 Nano Server 之後,雖然可以透過 Nano Server Recovery Console,以互動的方式進行基本組態設定及管理作業。但是在後續管理及維運事務上,則必須採用遠端管理的方式來管理企業或組織當中的 Nano Server,舉例來說,當 Nano Server 需要新增或移除伺服器角色或功能時,那麼只能透過遠端管理的方式進行,因為本機的 Nano Server Recovery Console 並不支援新增移除伺服器角色及功能。

目前,Nano Server 支援的遠端管理方式包括,伺服器管理員(Server Manager)、Windows PowerShell、WMI(Windows Management Instrumentation)、Windows Remote Management…… 等方式進行遠端管理作業。


伺服器管理員

當管理人員安裝及設定好 Nano Server 網路組態之後,便可以在 Windows Server 2016 完整伺服器主機中,開啟「伺服器管理員(Server Manager)」並依序點選「All Servers> Add Servers> Active Directory」後,鍵入 Nano Server 電腦名稱以便將 Nano Server 加入至管理清單當中。

倘若,Nano Server 並沒有加入 Windows AD 網域環境的話,那麼請在伺服器管理員介面中依序點選「All Servers> Add Servers> DNS」後,鍵入 Nano Server 電腦名稱將 Nano Server 加入至管理清單內。

此時,管理人員可能會發現無法取得該台 Nano Server 的 IP 位址,並且運作狀態顯示為「Online - Access denied」,這是因為工作群組或未加入網域環境的 Nano Server 主機,在身分驗證方式的部分並非採用 Kerberos 所導致。

請在伺服器管理員介面中點選該台 Nano Server 後,按下滑鼠右鍵選擇「Manage As」項目,然後於彈出的 Windows Security 視窗中鍵入 Nano Server 的管理者帳號及密碼,通過身分驗證程序後便會順利顯示該台 Nano Server 的 IP 位址,同時運作狀態也將轉變為「Online – Performance counters not started」。

圖 2、透過伺服器管理員遠端管理 Nano Server


Windows PowerShell

當管理人員希望採用 Windows PowerShell 的方式遠端管理 Nano Server 之前,必須要先執行「Set-Item」指令,將遠端的 Nano Server 的 IP 位址或電腦名稱,加入到管理主機當中的「Trusted Hosts」信任清單內。
Set-Item WSMan:\localhost\Client\TrustedHosts "<Nano Server 的電腦名稱或 IP 位址>"

順利將遠端的 Nano Server 主機,加入至管理主機的信任清單當中後便可以使用「Enter-PSSession」指令,連接至遠端的 Nano Server 進行 PowerShell 遠端管理作業。
Enter-PSSession -ComputerName "<Nano Server 的電腦名稱或 IP 位址>" -Credential電腦名稱\Administrator

倘若,管理人員將 Nano Server 運作在 Hyper-V 虛擬化平台當中,那麼便可以直接透過內建的 PowerShell Direct 功能,直接採用 PowerShell 管理 Nano Server VM 虛擬主機。
Enter-PSSession -VMName "<VM 虛擬主機名稱>" -Credential 電腦名稱\Administrator


Windows PowerShell CIM

管理人員也可以透過 Windows PowerShell 啟動 CIM Session,採用 WinRM(Windows Remote Management)的方式執行 WMI 指令,達到遠端管理 Nano Server 的目的。
$ip = "<電腦名稱或 IP 位址>"
$cim = New-CimSession –Credential電腦名稱\Administrator –ComputerName $ip
Get-CimInstance –CimSession $cim –ClassName Win32_ComputerSystem | Format-List *  


Windows Remote Management

當然管理人員也可以採用 WinRM 的方式,直接在遠端 Nano Server 上執行相關的管理動作。同樣的,在採用 WinRM 進行遠端管理作業之前,必須先將遠端 Nano Server 加入至本機 Trusted Hosts 的信任主機清單中才行,請執行下列指令 :
winrm quickconfig
winrm set winrm/config/client @{TrustedHosts="Nano Server 的電腦名稱或 IP 位址"}
chcp 65001

接著,便能在遠端的 Nano Server 上執行相關管理指令,下列範例指令將會在遠端 Nano Server 上執行「ipconfig」指令,列出遠端 Nano Server 主機的網路組態資訊。
winrs –r:<Nano Server 的電腦名稱或 IP 位址> -u:Administrator -p:<管理者密碼> ipconfig

雖然,管理人員可以透過 WMI、PowerShell、PowerShell DSC(Desired State Configuration)、WinRM…… 等方式,針對 Nano Server 主機進行遠端管理作業。

但是,管理人員應該已經發現這些遠端管理機制或方式,都只能採用「指令(Command)」的方式進行,並沒有簡單的方式例如 GUI 圖形化介面,能夠方便管理人員進行 Nano Server 的遠端管理作業。接下來,將要介紹用來遠端管理 Nano Server 的利器,它是採用 HTML 5 技術撰寫而成的 GUI 圖形化介面管理工具,稱為 RSMT(Remote Server Management Tools)。

請注意!! 本文所介紹的 RSMT 遠端伺服器管理工具,與過去管理人員所熟知的 RSAT(Remote Server Administration Tools)遠端伺服器管理工具並不相同。



RSMT 管理工具運作架構

事實上,在 Ignite 2015 年度技術大會上,Powershell 發明人 Jeffrey Snover 便在大會上同步釋出一個管理工具,可以透過它來管理「無周邊伺服器(Headless Server)」,例如,Windows Server 2016 Server Core 以及 Nano Server,此管理工具是採用 HTML 5 Web-Based 的 GUI 圖形化管理工具,稱為 RSMT(Remote Server Management Tools)

RSMT 遠端伺服器管理工具,可以針對 Server Core 及 Nano Server 提供下列管理機制 :
  • 檢視及調整系統組態設定。
  • 檢視運作效能、執行程序、系統服務。
  • 支援 Server Core 及 Nano Server 進行主機裝置管理作業。
  • 檢視事件檢視器(Event Log)。
  • 檢視伺服器角色及功能。
  • 支援 PowerShell Console 視窗,以便進行遠端管理及自動化作業。


RSMT 管理工具在 2016 年 2 月時推出「公共預覽(Public Preview)」版本,並且 Server Management Tools Service 是運作在 Microsoft Azure 公有雲環境中。倘若,企業或組織想要採用 RSMT 管理工具,來管控內部運作的 Server Core 或 Nano Server 主機時,只要在內部建立 1 台 Server Management Tools Gateway 主機,便可以透過這台 Gateway 主機,與 Azure 公有雲及內部伺服器溝通並進行管理作業。

值得注意的是,這台 Server Management Tools Gateway 主機,必須要能同時接觸到公共網際網路,以及內部運作的 Nano Server 才行。同時,在一般情況下,通常會將 Gateway 主機與內部 Nano Server 處於同一網段。

圖 3、RSMT 管理工具運作架構示意圖 

Server Management Tools Gateway 主機,可以安裝在 Windows Server 2012 R2 或 Windows Server 2016 TP 作業系統中。值得注意的是,當安裝在 Windows Server 2012 R2 作業系統時,則必須要額外安裝 WMF 5.0(Windows Management Framework),屆時才能順利透過 PowerShell 管理 Windows Server 2016 TP 及 Nano Server。倘若,Gateway 主機安裝在 Windows Server 2016 TP 作業系統時,則無須額外安裝其它元件。

此外,建議管理人員應該採用全新的 Windows Server 2012 R2 作業系統,來擔任 Server Management Tools Gateway 主機。倘若,現有環境無法再新增一台全新主機擔任 RSMT Gateway 角色的話,則應該避免採用 Exchange Server、Skype Server、Lync Server、System Center 2012 R2 Service Management Automation 伺服器擔任 RSMT Gateway 角色,因為 WMF 5.0 元件無法安裝在這些伺服器應用程式的系統上。

下列為 WMF 5.0 所包含的更新功能項目 :
  • Windows PowerShell。
  • JEA(Just Enough Administration)。
  • Windows PowerShell DSC(Desired State Configuration)。
  • Windows PowerShell ISE 整合式指令碼環境。
  • Windows PowerShell Web 服務(Management Odata IIS 擴充功能)。
  • Windows遠端管理(WinRM)。
  • WMI(Windowsd Management Instrumentation)。



安裝及部署 RSMT 管理工具

在 RSMT 的運作架構中,除了企業及組織內部必須要建立一台 Server Management Tools Gateway 主機,擔任 Azure 公有雲環境及內部運作環境的介接任務角色外,因為 Server Management Tools Service 是運作在 Microsoft Azure 公有雲環境當中,因此企業或組織必須要擁有一份 Azure 訂閱才行。


建立 Server Management Tools Service

請登入 Azure Portal 入口網站,依序點選「Marketplace > 管理 > 更多 > Server management tools(預覽)」項目,閱讀完此服務的說明後即可按下「建立」鈕,準備建立 Server Management Tools Service。

圖 4、準備建立 Server Management Tools Service

接著,將會出現建立伺服器管理工具連線視窗,請依序填入 RSMT 管理工具所需的相關資料,舉例來說,在「電腦名稱」欄位的部分,請填入屆時需要管理的 Nano Server 電腦名稱即可(此實作環境即命名為 NanoServer)。此外,目前因為 RSMT 管理工具還在預覽階段,因此在資料中心的部分目前僅支援「北歐、西歐、美國中部、美國東部」而已,相關資訊確認無誤後按下建立鈕便開始部署 RSMT 伺服器管理工具。

圖 5、部署 Server Management Tools Service

至此,RSMT 伺服器管理工具連線已經部署完畢,此時你可以在管理介面中看到,RSMT 伺服器管理工具連線尚未偵測到 Gateway 主機,所以顯示「未偵測到閘道」的藍色資訊列訊息。同時,在程式集設定區塊中,可以看到閘道的欄位顯示為「rsmt-gateway(狀態錯誤)」。

圖 6、RSMT 伺服器管理工具連線部署完畢

請點選「未偵測到閘道。按一下這裡以設定伺服器管理工具閘道」項目,此時將會自動帶出閘道組態設定視窗。首先,請選擇 RSMT Gateway 的更新方式,預設情況下將會採用「自動」的更新方式,建議管理人員採用自動更新方式,因為目前 RSMT 管理工具還在公共預覽階段,因為採用自動更新方式較為適宜。

接著,請按下「產生套件連結」鈕,此時便會自動產生 RSMT Gateway 主機所需要的安裝程式連結。然後,請切換至內部 RSMT Gateway 主機,下載及安裝 RSMT Gateway Service 執行檔。

圖 7、產生 RSMT Gateway 主機所需要的安裝程式連結


部署 RSMT Gateway 主機

順利下載 RSMT Gateway 主機所需要的安裝程式後,解開壓縮檔案你可以發現有「GatewayService.msi」安裝執行檔,以及「profile.json」組態設定檔。請將這 2 個檔案複製到 RSMT Gateway 主機,此實作環境採用 Windows Server 2016 TP5(Build Number 14300),擔任 RSMT Gateway 的角色並執行安裝作業。

圖 8、切換至 RSMT Gateway 主機安裝執行程式

安裝完畢後,開啟 RSMT Gateway 主機的系統服務,將會發現多出一項「Server Management Tools Gateway」服務,並且狀態為啟動中。
此時,查看 RSMT Gateway 主機的對外連線情況,將能發現 1 條與「*.store.core.windows.net」的 IP 位址,並且採用 HTTPs(TCP Port 443)通訊的連線資訊。因此,請確保 RSMT Gateway 主機對外連線的防火牆規則已經開啟。

圖 9、安裝後多出 Server Management Tools Gateway 系統服務

完成 RSMT Gateway 主機的部署作業後,請切換回 Azure Portal 入口網站並重新整理管理介面。此時,在程式集設定區塊中,可以看到閘道的欄位資訊從先前的「rsmt-gateway(狀態錯誤)」轉換為「rsmt-gateway(確定)」,表示 RSMT Gateway 主機已經與 Azure 公有雲環境正式介接完成。

同時,資訊也從先前的「未偵測到閘道」藍色資訊列,同步轉換成「按一下上方的管理命令以輸入系統管理認證」橘色資訊列訊息,表示已經可以準備管控企業或組織內部的 Nano Server 主機。

圖 10、RSMT Gateway 主機成功與 Azure Portal 建立連結

點選「rsmt-gateway(確定)」連結後,便可以看到目前 RSMT Gateway 主機,與 Azure 雲端環境連結成功。同時,在 Azure Portal 管理介面中,可以看到 RSMT Gateway 主機的運作狀態及相關資訊。

圖 11、在 Azure Portal 管理介面中查看 RSMT Gateway 主機運作資訊


連接地端 Nano Server

在 RSMT 管理介面按下管理身分圖示後,將會出現提示管理人員鍵入欲進行管理的 Nano Server 主機的管理者帳號及密碼,然後按下確定鈕即可。由於此次實作環境中,因為 Nano Server 主機並未加入 Windows AD 網域環境,因此身份驗證的方式不同於 Kerberos,必須要先採用 WinRM 指令設定 TrustedHosts 信任主機的連線方式,否則鍵入 Nano Server 主機管理者帳號及密碼後,將會得到下列錯誤畫面及訊息。

圖 12、Nano Server 未加入網域,必須在 RSMT Gateway 主機設定 TrustedHosts

由於此實作環境中 Nano Server 未加入網域環境,因此並沒有 DNS 名稱解析伺服器可以幫助我們進行名稱解析的動作。此外,對於工作群組或非網域成員主機的遠端連線管理作業,必須將遠端電腦(Nano Server)加入至來源端電腦(RSMT Gateway)的信任主機清單上才行。

請切換到 RSMT Gateway 主機,並且修改「C:\Windows\System32\drivers\etc\hosts」檔案內容,加入此實作的 NanoServer 名稱及 IP 位址(192.168.163.20)。 然後,以 ping 指令確認是否能正確解析 Nano Server 主機的 IP 位址,確認能夠 ping 到及正確解析 Nano Server 主機的 IP 位址後,接著執行「winrm set winrm/config/client @{TrustedHosts="NanoServer"}」指令,將 Nano Server 主機加入至 RSMT Gateway 主機的信任主機清單當中。

圖 13、切換至 RSMT Gateway 主機建立 TrustedHosts 信任主機清單

此外,對於工作群組或非網域成員主機的遠端連線管理作業,因為 RSMT Gateway 主機的管理者帳號密碼,與 Nano Server 主機的管理者帳號密碼並不相同,因此對於非 Administrators 群組成員的系統管理員帳戶有 UAC 使用者帳戶控制的限制。

因此,請在 Nano Server 主機上執行「REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1」指令,以便可以正確採用本機管理者帳號及密碼進行管理登入的動作。

最後,倘若 RSMT Gateway 主機與 Nano Server 主機處於「不同 IP 網段」時,請於 Nano Server 主機上執行「NETSH advfirewall firewall add rule name="WinRM 5985" protocol=TCP dir=in localport=5985 action=allow」指令,開啟 WinRM 遠端管理的防火牆規則。

圖 14、未加入網域環境的 Nano Server 主機,必須進行的額外設定

完成 RSMT Gateway 主機的遠端管理機制,以及 Nano Server 主機的額外設定作業後,便可以切換回 Azure Portal 入口網站管理頁面,按下「管理身分」圖示後鍵入 Nano Server 主機的管理者帳號及密碼。此時,便可以從 Azure Portal 管理頁面中,看到順利連接到地端的 Nano Server 主機,除了 CPU 及記憶體效能資訊外,按下「所有設定」連結還能看到其它相關的管理項目。
此時,在 RSMT Gateway 主機端查看網路連線情況,便可以看到連線至 Nano Server 主機的連線資訊(TCP Port 5985)。當然,在 Nano Server 主機上,也可以看到由 RSMT Gateway 主機端,連線至本機 TCP Port 5985 的連線資訊。

圖 15、RSMT 管理工具成功與地端 Nano Server 主機連接

管理地端 Nano Server

當地端的 Nano Server 主機順利與 Azure 雲端環境連接後,管理人員便可以很簡單的透過 Azure Portal 管理介面,針對地端的 Nano Server 主機進行管理作業。

首先,可以針對納管的 Nano Server 主機四大硬體資源使用率(CPU、Memory、Network、Storage)進行監控。但是,在儲存資源的部分,預設情況下並不會啟用儲存資源的監控機制,請按下「啟用磁碟衡量標準」後,在磁碟讀取和寫入視窗中依序按下「啟用 / 停用 > 是」之後,便同樣能夠很容易的監控 Nano Server 主機的儲存資源使用率。

現在,管理人員可以很容易的透過 RSMT 遠端伺服器管理工具,在 Azure 雲端環境監控地端 Nano Server 主機,在 CPU、Memory、Network、Storage 四大硬體資源方面的使用率。

圖 16、查看 Nano Server 四大硬體資源使用率

當管理人員需要針對 Nano Server 主機進行其它管理作業時,請按下「所有設定」連結,在設定視窗中可以看到一共分為支援與疑難排解、管理、工具、資源管理……等管理需求。舉例來說,目前實作環境中 Nano Server 主機並未加入 Windows AD 網域環境,倘若日後將此台 Nano Server 加入 Windows AD 網域環境後,便可以切換至「管理 > 電腦識別」項目後,鍵入此台 Nano Server 主機的連線管理資訊後,按下儲存鈕即可。

圖 17、調整 Nano Server 主機的遠端連線管理資訊

事實上,在 RSMT 管理介面上的每項管理項目都非常直覺,基本上與地端採用的「電腦管理」方式差異不大,舉例來說,點選「工具 > 處理程序」後便能立即看到 Nano Server 主機上的執行程序,這與 Windows Server 2016 GUI 運作環境中,開啟工作管理員的操作體驗是一致的,甚至管理人員也可以點選某個執行程序後,終止該處理程序。

圖 18、遠端管理 Nano Server 主機的執行程序

此外,當管理人員想要針對地端的 Nano Server 主機,執行 PowerShell 進行管理作業時,在 RSMT 管理介面中也可以輕鬆達成,請點選「工具 > PowerShell」項目,即可看到 PowerShell Console 視窗,並且能夠以 PowerShell 遠端管理地端的 Nano Server 主機。

圖 19、在 RSMT 管理介面中以 PowerShell 管理地端 Nano Server 主機

最後,倘若相關設定皆正確無誤,但是 RSMT 管理介面突然無法管理地端的 Nano Server 主機時(如圖 20 所示),請先檢查 RSMT Gateway 主機網路連線狀態,確認是否與 Nano Server 有 TCP Port 5985 的連線,若沒有的話可以嘗試把 RSMT Gateway 主機上「Server Management Tools Gateway」系統服務重新啟動,便應該能夠解決這個突然無法連線的問題。

圖 20、重新啟動 RSMT Gateway 主機服務,以便解決突然無法連線的問題



結語

透過本文的說明及實作演練,相信讀者已經了解在新一代 Windows Server 2016 雲端作業系統中,如何為企業或組織打造精簡快速且雲端效能最佳化的 Nano Server 主機。同時,對於後續的維運管理作業中,倘若管理人員不習慣採用文字介面遠端管理 Nano Server 主機時,便可以採用本文所介紹的 RSMT 遠端伺服器管理工具,輕鬆達成 Nano Server 主機的硬體資源監控及管理的目的。
文章標籤: ,