Управляем Windows Server (Core) с помощью веб-интерфейса Project Honolulu от Microsoft
Совсем недавно Microsoft выпустила WebUI для управления Windows Server. Мы поставили его и хотим поделиться впечатлениями.
В этой статье мы рассказали и показали:
- как развернуть Honolulu на Windows Server Core и сделать доступным управление серверным парком через браузер;
- как подключить другие серверы для управления (даже без AD) по виртуальной локальной сети облака (таким же образом можно подключить серверы в локальной сети вашего предприятия к центру управления в облаке, соединив ее по Site-To-Site VPN);
- какие возможности Honolulu доступны уже сейчас и актуальны при использовании в облаке.
Зачем Windows Server веб-интерфейс управления?
В облаке серверы должны работать максимально эффективно для снижения затрат на ИТ-инфраструктуру. Windows Server с графическим интерфейсом создавался еще во времена, когда от единственного сервера требовалось выполнение всех возможных операций, даже если эта функциональность не требовалась в настоящий момент.
Позже в Windows Server были добавлены роли, позволяющие устанавливать только требуемую функциональность. При этом устанавливался графический интерфейс и многочисленные службы, не требующиеся для решения бизнес-задачи. Это порождало накладные расходы вычислительных ресурсов и увеличивало поверхность атаки, делая сервер менее безопасным.
В целях дальнейшей оптимизации серверной ОС Microsoft добавила режим Server Core — минималистичную, эффективную и более безопасную редакцию Windows Server с режимом командной строки по-умолчанию. В этой ОС минимизированы накладные расходы на все, что не связано с выполнением вашей задачи.
Совсем недавно Microsoft представила Windows Server 1709 — ОС рекомендуемую для современных облачных приложений и сервисов. Эта ОС не содержит графического интерфейса, получает существенные обновления раз в полгода развиваясь непрерывно и поставляется только в виде Server Core и Nano Server.
Если вы ранее откладывали изучение и использование Server Core, пришло время. Традиционное управление Windows Server с помощью графического интерфейса Windows постепенно уходит в прошлое. Microsoft оставила ИТ-администраторов не только с Powershell, но и представила новое современное средство управления серверами с помощью веб-интерфейса — Project Honolulu. Следует заметить, что пока это не релиз, а техническое превью. К стабильности доступных возможностей вопросов за время использования не возникало, но очевидно, что в будущем возможностей будет гораздо больше.
Project Honolulu можно использовать не только с Windows Server Core, но и с серверами с графическим интерфейсом (2012, 2012R2, 2016), получив удобный способ управления ИТ-инфраструктурой на Windows.
Установка Project Honolulu на сервер
Project Honolulu можно установить не только на сервер, но и на компьютер IT–администратора с Windows 10. Однако удобнее установить средства управления прямо на сервер в облаке (даже если у вас там только одна виртуальная машина) и управлять серверами через удобный веб-интерфейс с любых устройств из любой точки мира (или откуда разрешают политики безопасности компании). При наличии подключения Site-To-Site VPN из вашего офиса можно работать по безопасному подключению даже не предоставляя доступ серверам из сети Интернет.
Где попробовать Honolulu?
Если вы хотите попробовать проделать все, что описано в статье дальше, настроить Project Honolulu в облаке и самостоятельно посмотреть на его возможности, нет проблем.
Заполните заявку на бесплатное тестирование, выберите платформу Azure Pack Infrastructure, в поле «Комментарий» укажите «С хабра, хочу протестировать Honolulu».
Для вас будет предсоздана бесплатно облачная инфраструктура на 2 недели, в которой вы сможете попробовать новый веб-интерфейс управления Honolulu, а заодно и протестировать высокодоступное облако Azure Pack Infrastructure от InfoboxCloud.
Создание сервера для установки Honolulu (и не только)
В панели управления portal.infoboxcloud.comсоздадим (если еще не созданы) сеть и сервер с Windows Server 2016 Core (на момент публикации Windows Server 1709 готовится к выходу и будет доступен с конца октября 2017 года).
Теперь нужно пробросить порт 3389 для доступа по RDP.
Подключитесь к серверу по RDP, используя выданный ip–адрес при настройке правила проброса.
Запустите
powershell
Установка Project Honolulu
Для использования с Windows Server 2012 и 2012 R2 предварительно нужно установить Windows Management Framework 5.
Скачайте Project Honolulu, выполнив команды:
Import-Module BitsTransfer
Start-BitsTransfer -Source http://download.microsoft.com/download/E/8/A/E8A26016-25A4-49EE-8200-E4BCBF292C4A/HonoluluTechnicalPreview1709-20016.msi -Destination .
Aктуальную ссылку на последнюю версию можно получить зарегистрировавшись тут, рекомендуется подставить ее в параметр -Source.
Запустите установку с самоподписанным сертификатом:
msiexec /i HonoluluTechnicalPreview1709-20016.msi /qn /L*v log.txt SME_PORT=6516 SSL_CERTIFICATE_OPTION=generate
, где HonoluluTechnicalPreview1709–20016.msi — имя загруженной версии Honolulu.
или с указанием THUMBPRINT сертификата, если он у вас есть и установлен:
msiexec /i HonoluluTechnicalPreview1709-20016.msi /qn /L*v log.txt SME_PORT=6516 SME_THUMBPRINT= SSL_CERTIFICATE_OPTION=installed
, где HonoluluTechnicalPreview1709–20016.msi — имя загруженной версии Honolulu.
Теперь в настройках сети в portal.infoboxcloud.ru пробросьте порт 6516 на сервер.
Можем заходить на сервер через веб-интерфейс:
https://ip–адрес-сервера:6516
, где ip–адрес-сервера — IP адрес сервера, к которому происходит подключение. Браузер может предупредить о том, что используется самоподписанный сертификат. Следует продолжить вход на страницу.
В качестве логина и пароля указываются данные для доступа к учетной записи на сервере (те же, с которыми подключаетесь по RDP).
Отлично, установка Honolunu выполнена.
Текущий сервер уже добавлен.
Необходимо нажать на «Credentials Needed» и указать данные администратора для этого сервера:
Сервер доступен для управления.
Подключение дополнительных серверов
Создайте еще сервер в панели управления Azure Pack Infrastructure и пробросьте доступ к нему по RDP в настройках сети.
Подключитесь к новому серверу.
На новом сервере
Запустите:
powershell
Выполните настройку удаленного подключения WinRM. Для этого введите
winrm quickconfig
затем нажмите «y» и Enter.
Разрешите доступ к WinRM в файрволле:
Для этого введите команду:
netsh advfirewall firewall add rule name="Open Port Remote Management (5985)" dir=in action=allow protocol=TCP localport=5985
netsh advfirewall firewall add rule name="Open Port Remote Management (5986)" dir=in action=allow protocol=TCP localport=5986На сервере где установлен Honolulu
В терминале введите команду для добавления управляемого сервера в Trusted Hosts используя его внутренний IP:
winrm s winrm/config/client '@{TrustedHosts="10.0.0.5,containers"}'
, где containers — имя управляемого сервера.
Если в будущем потребуется добавить еще серверы, их все нужно добавлять в Trusted Hosts, например:
winrm s winrm/config/client '@{TrustedHosts="10.0.0.5,containers,10.0.0.3,web"}'
Теперь в веб-интерфейсе Honolulu добавьте сервер:
Укажите внутренний IP (можно посмотреть в настройках сети в панели управления Azure Pack Infrastructure), логин и пароль и нажмите «Submit».
Готово. Сервером можно управлять из единой панели Honolulu.
В случае использования Active Directory в Trusted Hosts добавлять друг друга не требуется, как и постоянно вводить данные для доступа к серверам в Honolulu. Также при добавлении можно использовать имена из DNS. В этом случае они будут отображаться не по IP, а по названию сервера, что удобно.
Возможности Project Honolulu
Цель проекта — заменить GUI средства управления сервером (RSAT) и сделать доступ к управлению группам администраторов более удобным, из любой точки мира. Цель благородна, инфраструктуры заказчиков становятся более гетерогенны, а RSAT был зависим от платформы. Теперь не очень важно какая ОС у ИТ-администратора — управление с альтернативных ОС так же удобно, как и управление из Windows альтернативными платформами (с помощью Linux Subsystem for Windows).
Для управления конкретным сервером нажмите на него: 
Обзор сервера (Overview)
В этом разделе вы можете:
- в режиме онлайн получать информацию о загруженности сервера и сети,
- редактировать имя компьютера,
- вводить его в домен,
- управлять переменными окружения пользователя и системными
- включать и отключать доступ по RDP
Сертификаты (Certificates)
Возможность просмотра и загрузки сертификатов, позволяет своевременно узнать о необходимости обновления сертификатов.
Устройства (Devices)
Можно посмотреть детальную информацию о виртуальном оборудовании и используемых драйверах.
При необходимости можно отключать устройства.
События (Events)
Возможность просмотра и экспорта системных логов и логов приложений.
Позволяет своевременно заметить и починить проблему.
Файлы (Files)
Веб-интерфейс проводника. Позволяет скачивать, загружать файлы на сервер, переименовывать и менять их свойства.
Файрвол (Firewall)
Удобный веб-интерфейс для управления Файрволлом Windows Server.
Локальные пользователи и группы (Local Users & Groups)
Все очевидно — возможность добавлять и редактировать пользователей и группы, а также менять пароли.
Сеть (Network)
Возможность просмотра и изменения настроек сетевых адаптеров.
Процессы (Processes)
Статистика по запущенным процессам, потреблению ресурсов, возможность убить процесс и собрать дамп для анализа.
Реестр (Registry)
Полноценный редактор реестра с Web–интерфейсом для Windows с возможностью импорта и экспорта ветвей реестра.
Роли и возможности (Roles and Features)
Возможность просмотра установленных ролей и возможностей ОС, установка и настройка новых.
Отмечаем нужную для установки и нажимаем «Install».
Процесс установки привычен и понятен.
Сервисы (Services)
Возможность включить или выключить сервис Windows вручную и настроить правила автозапуска.
Хранилище (Storage)
Возможности разметки дисков, управление разделами и файловыми шарами.
Также присутствует раздел Storage Replica, требующий предварительной настройки SR Namespace.
Windows Update
Возможность просмотра и установки доступных обновлений сервера.
Заключение
Project Honolulu — работоспособное техническое превью. Конечно очень не хватает возможности настройки ролей и функций прямо из веб-интерфейса (а не только установки и удаления), не хватает встроенного в панель RDP, возможностей исполнять Powershell команды на серверах из этого же веб-интерфейса и отправки уведомлений на email и/или pushover.
Возможность удаленного управления откуда угодно через Powershell мы рассмотрим в одной из следующих статей.
Тем не менее уже сейчас Project Honolulu — мощное средство управления парком Windows Server в облаке и в локальной сети заказчика (а лучше — в единой гибридной сети), которое значительно упростит работу с Windows Server Core новичкам и подготовит их к новому и прекрасному миру «безголового» Windows Server.
Успехов.
