Web Service management | [email protected] | Agenda Iniziativa WS-Management WS-Management in R2 Oltre R2: estensione di WS-Management | [email protected] | Sfide della gestione cross platform Infrastruttura IT eterogenea Hardware, device di rete, sistemi operativi, applicazioni. Tool specifici di ogni venditore per la gestione delle piattaforme hardware Configurazioni di sistema incompatibili tra loro, soluzioni diverse di avviso e diagnostica di problemi Mancanza di consapevolezza nel sistema operativo dello stato dell’hardware Mancanza di un unico modello di sicurezza Diversi metodi di autenticazione, configurazioni coomplesse per i firewall. Total Cost of Ownership alto | [email protected] | Gestione integrata dei server Server di backend Server di front end (Windows) (Windows) Staff IT Server degli advertisement (Unix) | Server delle immagini (Unix) [email protected] | Server di boot (Store delle immagini OS) Strategia di soluzione Creare un protocollo di gestione standard e scalabile Lavorare strettamente con i fornitori OEM chiave per rendere assicurare il supporto al protocollo nel loro hardware Lavorare strattamente con i produttori chiave di OS per assicurare il supporto al protocollo nello stack software Lavorare strettamente con i produttori chiave di sistemi di gestione Sottomettere il protocollo al processo di standardizzazione in modalità libera da royalty | [email protected] | Iniziativa WS-Management firmware AMT Prodotti Windows di prossima disponibilità Wiseman – la soluzione di Sun per Java | [email protected] | Roadmap di implementazione di Microsoft Windows Server 2003 R2 Supporto “In band” per la gestione dell’hardware via IPMI Supporto base dei profili CIM hardware per definire la semantica operativa Il management pack per Osupporta la gestione dell’hardware Al rilascio di Windows Vista/WinFx Monad includerà un provider per WS-management Windows Communication Foundation (aka Indigo) supporta un’interoperbilità di base con WS-Management Windows Server Longhorn Profili hardware CIM addizionali Supporto per operazioni “Out of band” via WS-management Windows Remote Shell costruita su WS-Management per supportare gli script e comandi esistenti | [email protected] | WS-Management Windows Server R2 Windows Remote Management (WinRM) Implementazione standard di WS-Management Uso di protocolli “firewall friendly” (SOAP su HTTP o HTTPS) Sucurezza integrata di Windows (Kerberos) Interfaccia di scripting Sistema operativo consapevole dell’hardware OS Accesso ai servizi basati su IPMI in modalità “In band” Eventi hardware inviati a Event log Accesso a WMI Instrumentation Gli oggetti WMI diventano Web Services | [email protected] | WS-Management Uso via script Get acquisizione di un parametro di configurazione o della la lettura di un sensore) Put scrittura di un parametro di configurazione Invoke riavvio del sistema, spegnimento di un servizio… Enumerate dati di log, adattatori di rete, … Create di un nuovo processo, di file share, … Delete di un processo, di file share, … | [email protected] | Esempio d’uso di WinRM Enumerate Windows services Winrm Enumerate wmi/root/cimv2/Win32_Service –machine:srv.corp.com Azione Classe CIM Prefisso WMI Namespace WMI | [email protected] | Server remoto Gestione dell’hardware Supporto per service processor basati su IPMI Accesso “in band” a: Velocità delle ventole Processori Tensione Sicurezza fisica (intrusione nello chassis) Memoria Errori hardware o raggiungimento di soglie definite Scrittura degli eventi hardware in Event log Schema CIM standard per IPMI Riporta due eventi di sistema operativo al service processor: Bug Check Windows Shutdown Code | [email protected] | Perché ci serve una Remote Shell? Gestione dei server headless Avvio di server Windows Core (Base Server Foundation) Molte attività necessitano di tool da linea di comando Non c’e’ tecnologia per l’esecuzione automatizzata e remota di attività di amministrazione Supporto per gli script esistenti da remoto La mancanza di una shell remota con il supporto degli script è visto come uno dei principali svantaggi di Windows per l’aspetto gestione Supporto per la remotizzazione di Msh (Monad) Console Msh remote saranno costruite con la stessa infrastruttura | [email protected] | Esperienza ammnistrativa Sintassi posizionale winrs [-/<switch>[:<valore>]] <comando remoto> Switch -h[ost] – URL che specifica l’end point -enc[rypt] – abilita/disabilità la criptazione. On per default. -u[sername], -p[assword] – credenziali di connessione (non solo AD) -dir – directory di avvio della shell -env – specifica una variabile di ambiente per la shell remota -t[imeout] – durata massima della sessione di winrs Variabili d’ambiente WINRS_ARGS – specifica gli argomenti usati più frequentemente Esempio: winrs -h:myserver –env:{PATH=%%PATH%%;c:\temp} –t:600 –dir:c:\folder mycommand | [email protected] | Gestione di IIS C:\>winrs –h:https://192.168.1.107 –u:Administrator –p:p@ssw0rd iisftp /create c:\inetpub\ftpadmin "Administration" /b 22 Microsoft (R) Windows Script Host Version 5.6 Copyright (C) Microsoft Corporation 1996-2001. All rights reserved. Connecting to Server Site Name Metabase Path IP Port Root IsoMode Status server ...Done. = CORPWEB = Administration = MSFTPSVC/308503929 = ALL UNASSIGNED = 22 = c:\inetpub\ftpadmin = None = STARTED C:\> | [email protected] | Gestione di Core Server C:\>SET WINRS_ARGS=–h:https://192.168.1.107 –u:Administrator – p:p@ssw0rd –dir:”c:\windows\system32\sfscripts” Enable TS access C:\> winrs cscript SFRegEdit.vbs /ar 0 Microsoft (R) Windows Script Host Version 5.6 Copyright (C) Microsoft Corporation 1996-2001. All rights reserved. Registry has been updated Join the domain C:/> C:/>winrs netdom join SASHAN-TEST /domain:TESTDC /user:TESTDC\SashaN Type the password associated with the domain user: Welcome to domain TESTDC Join the domain user tp local Admin group The command completed successfully C:/>winrs net localgroup Administrators /user:TESTDC\sashan The command completed successfully C:/> | [email protected] | Configurazione del firewall C:\>winrs –h:SASHAN-TEST netsh Netsh>firewall Netsh firewall>add portopening protocol = UDP port = 500 name = IKE mode = ENABLE scope = CUSTOM addresses = LocalSubnet Ok. Netsh firewall>. Netsh>bye C:/> | [email protected] | Operazioni con Windows Remote Shell Create/Delete Creazione e cancellazione di shell remote Command Sottomette un comando alla shell remota Signal Invia codici di controllo al comando eseguito remotamente Send/Receive Invia/riceve stream di dati a/dal comando remoto | [email protected] | Architettura di WinRS Utente B Utente C Utente A bar >winrs http.sys $ foobar >winrs foo Winrs.exe WSman Svc Msh.exe Client API Shell Mgr WS-Man client stack Cmd Plugin WS-Man WinHttp Utente A cmd.exe Componenti di sistema Utente B cmd.exe Utente C rmsh.exe foobar.msh WS-management foo.exe Confine macchina Nuovi componenti Msh Plugin bar.exe Sicurezza ACL per accessi remoti ACL Controllano gli accessi da remoto per tutte le operazioni supportate da WS-management Abilitazione disabilitazione degli accessi via remote shell Impostazione binaria che separatamente controlla l’accesso da remoto Mitigazione degli attacchi DOS basati su autenticazione La cancellazione della shell chiude tutti i processi lanciati da questa Quote configurabili via : MaxShellRunTime IdleTimeout MaxProcessesPerShell MaxMemoryPerShell MaxShellsPerUser | [email protected] | Feature availability Versione Installazione Accesso da remoto Longhorn Server Inclusa, installata per default Disabilitato per default* Longhorn Server Core Inclusa, installata per default Disabilitato per default* Vista Pro e Premium Inclusa, installata per default Disabilitato per default* Vista Home e starter Non inclusa n/a Longhorn WinPE Non inclusa n/a * Può essere abilitata durante il setup unattended | [email protected] | Risorse Annuci relativi a WS-Management http://www.microsoft.com/presspass/press/2005/sep0 5/09-15WSManagementSpecsPR.mspx Specifiche del protocollo http://msdn.microsoft.com/library/default.asp?url=/lib rary/en-us/dnglobspec/html/wsmgmtspecindex.asp | [email protected] | © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.