PowerShell Remoting-セットアップとリモート管理

ここでは最小限の理論、主に実用的な部分。 WinRMの構成方法、ネットワークアダプタープロファイルの変更方法、フィルタリングを使用してTrustedHostsに追加するためのスクリプト、信頼できるホストが必要な理由について説明し、座ってすぐにリモートマシンを管理できるように表面的なリモート接続を検討します。

リモートコントロールを構成する最も簡単な方法は、管理者権限でPowerShellでEnable-PSRemotingを有効にすることです。 次のことが起こります。

• WinRMサービスが開始されます（再起動すると、再起動します）
• WinRMサービスが状態になる-起動時の自動開始
• すべてのローカルIPアドレスのポート5985でHTTPトラフィック用のWinRMリスナーが作成されます
• WinRMリスナー用のファイアウォールルールが作成されます。 注意、ネットワークカードのいずれかに「パブリック」ネットワークタイプがある場合、この項目はエラーで終了します。 そのようなカードのポートを開くのは良くありません。 構成中にこのようなエラーが発生した場合は、 Set-NetConnectionProfileコマンドレットを使用してこのネットワークカードのプロファイルを変更し、Enable-PSRemotingを再度実行します。 パブリックネットワークプロファイルのネットワークカードが必要な場合は、 -SkipNetworkProfileCheckパラメーターを指定してEnable-PSRemotingを実行しますこの場合、ファイアウォールルールはローカルネットワークからのみ作成されます。

その後、制御が行われるマシンからリモートマシンへの接続を許可する必要があります。 これは、リモートコントロールセッションまたはDNSをリモートマシンに置き換えてハッキングするリスクを軽減し、強制的に許可していないマシンでスクリプトが実行されるのを防ぐために、セキュリティ上の理由で行われました。

接続できる場所を確認するには、次を使用します。

get-item wsman:\localhost\Client\TrustedHosts 

すべてに接続する許可のため

 set-item wsman:localhost\client\trustedhosts -value * 

*を指定してすべてへのアクセスを開くと、WinRMは検証なしですべてのマシンに接続します。 ローカルネットワークからのハッキングの可能性があることに注意してください。 接続する必要のあるホストアドレスを指定すると、WinRMは他のすべてのアドレスまたは名前を拒否します。 制御下のマシンがドメイン内にある場合、このドメイン内のすべてのマシンを信頼します。 ドメインまたは別のドメインにない場合は、TrustedHostsで接続するマシンのアドレスまたは名前を指定する必要があります。 接続先のマシンに自分自身を追加する必要はありません。

コマンドはヘルプに示されていますが、スクリプトに少し作り直しました

 ###################################################################################### #  NewHost   TrustedHost        #          # .\Add-TrustedHost.ps1 192.168.2.1 ###################################################################################### param ( $NewHost = '192.168.2.89' ) Write-Host "adding host: $NewHost" $prev = (get-item WSMan:\localhost\Client\TrustedHosts).value if ( ($prev.Contains( $NewHost )) -eq $false) { if ( $prev -eq '' ) { set-item WSMan:\localhost\Client\TrustedHosts -Value "$NewHost" } else { set-item WSMan:\localhost\Client\TrustedHosts -Value "$prev, $NewHost" } } Write-Host '' Write-Host 'Now TrustedHosts contains:' (get-item WSMan:\localhost\Client\TrustedHosts).value 

そのようなレコードがあるかどうかを確認し、ない場合はリストに追加します。 アドレスまたは名前を指定して、コマンドラインから呼び出すことができます。

名前または住所に違いがあります。 TrustedHostsにアドレスのみがある場合、名前でセッションを開くことはできません。逆も同様です。名前を指定すると、アドレスにフックしません。 これを覚えておいてください。


多くの場合、チームへのリンクがあります

 WinRM quickconfig 

Enable-PSRemotingとは異なります

---

リモート接続
1. 1対1セッション
チームで開く

 Enter-PSSession -ComputerName Test 

リモートマシンでシェルを取得します。 localhostを指定して、自分に接続できます。 代替債権者は-Credentialパラメーターで指定され、出口はExit-PSSessionコマンドレットで実行されます

制限は次のとおりです。

• 2回目のジャンプはできません-1セッションのみ、セッション内でさらに接続することはできません
• グラフィカルインターフェイスを持つコマンドは使用できません。 これを行うと、シェルがハングし、Ctrl + Cを押してサグします
• nslookup、netshなど、独自のgoを持つコマンドは実行できません。
• リモートマシンの起動ポリシーでスクリプトの実行が許可されている場合、スクリプトを実行できます。
• インタラクティブセッションにしがみついていない場合は、ネットワークドライブにしがみついているかのように「ネットワークログオン」としてログインします。 したがって、ログオンスクリプトは開始されず、リモートマシン上のホームフォルダーを取得できない場合があります（ログオンスクリプトでフォルダーをマップしない別の理由）
• ユーザーがリモートマシンにログインしていても、そのユーザーと対話することはできません。 彼にウィンドウを見せたり、何かを印刷したりすることはできません。

この方法は、単純な操作、ログイン、サーバーのプル、シャットダウンに最適です。 ミサゴに変数を保持する必要がある場合、長時間の操作（数時間または数日）が必要であり、より多くの管理オプションが必要です。その後、より高度な手法を使用する必要があります。

コメント
ネットワークを介して送信されたオブジェクトはクリップされ、生存しなくなります。 メソッドを削除しても、プロパティは残ります。 車の中に物を引き込んだり、手品にしたり、押し戻したりすることはできません。 さらに書き込みが必要な場合は、個別に追加します。

2. 1対多セッション

 Invoke-Command 

次のように実行するものを決定します。

 $sb = {         } 

Test1とTest2をリモートマシンに転送します

 Invoke-Command -ComputerName Test1, Test2 -ScriptBlock $sb 

一度に32台の車を投げることができます。 代替クレジットの場合は、-Credentialパラメーターを使用します

-ScriptBlockパラメーターの代わりにスクリプト全体を転送するには、-FilePathを記述します。リモートマシンはファイルにアクセスする必要はありません。スペアパーツを解析し、HTTPを介して送信し、その側から実行します。

反対側には新しいskopがあるので、スクリプトはコンソールから値を受け取らず、スクリプト変数はその側で空になる可能性があることに注意してください。 したがって、すぐに完全に既製の命令とスクリプトをパラメーターとともに送信します。

Invoke-Commandを完全に使用するには、文字列をスクリプトブロックに変換できる必要があります。 たとえば、あるリストに依存するコマンドがある場合、文字列を生成し、それをScriptBlockに変換して、リモートコンピューターに送信する必要があります。

 $sb = [Scriptblock]::Create( $SomeString ) 

kuda78
この記事は非常に重要な点を見落としていました-リモートマシン上のスクリプトにパラメーターを渡すこと。

$ deployRemote = {
param（
[文字列] $ targetEnvName、
[文字列] $ targetUsername）
$グローバル：ErrorActionPreference = "Stop"
＃...
}

Invoke-Command -Session $ session -ScriptBlock $ deployRemote -ArgumentList（$ targetEnvName、$ targetUsername）

はい、本当に逃しました。 レビューをパラメーターと説明で混乱させないように、意図的に行いました。 ありがとう -ArgumentListパラメーターは、スクリプトブロックとスクリプトの両方で機能します

3.セッション
これは、常にメモリにハングしているposikのコピーがその側から作成され、コマンドがそこに送信されるときです。 その結果、さまざまなスクリプトまたはさまざまなユーザーにくっついて、再接続し、実行のために長期実行を引き換えることができます。 たとえば、1つのタスクを部分的に解決する一連のスクリプトがあり、それぞれが順番に1つのリモートセッションに接続し、前のコマンドの結果を確認し、1つのロードされたモジュール、共有変数、セッションが強制的に終了するまでの一般的な環境を持ちます。

セッションはNew-PSSessionコマンドレットを使用して作成され、結果は変数に入れることができます

 $DC01 = New-PSSession -ComputerName DC01 $Controllers = New-PSSession DC01, DC02, DC03 

Invoke-Commandと同じ接続パラメーターを使用できます

使用方法：
1対1の場合

 Enter-PSSession -Session $DC01 

1対多の場合

 Invoke-Command -Sessions $Controllers -ScriptBlock {get-eventlog -logname security -newest 50} 

Get-PSSessionを使用して開いているセッションを確認し、Remove-PSSessionを閉じます
すべてのセッションを閉じる

 Get-PSSession | Remove-PSSession 

Connect-PSSessionを使用してセッションに接続し、Disconnect-PSSessionを介して切断できます。

Invoke-Commandはすぐに切断されたセッションを作成し、実行および切断のためにコマンドを送信します。後で接続して結果を読み込むことができます。 これは、-Disconnectedパラメーターを使用して行われます。 Recieve-PSSessionコマンドレットを使用して結果を取得します。

セッションには多くの設定があり、コマンド、モジュールなどのトリミングされたセットでセッションを作成することさえ可能です。 呼び出されたカスタムエンドポイント