WinRM:Windowsリモート管理
EC2でwindowsを扱う。
AMIは名前で検索して日付が最新のものを使う。
Windows_Server-2012-R2_RTM-Japanese-64Bit-Base
amazon AMIで用意されていることの一覧 イメージの変更点
WinRMは構成済み。構成済みのファイアウォールではローカルサブネットからの受信のみが許可されている。インスタンスのファイアウォールでは制限をせずに、セキュリティグループで許可するIPアドレスを指定することにする。
- ファイアウォールの規則>Windowsリモート管理(HTTP受信)パブリックプロファイル>スコープ>リモートIPアドレス を任意のIPアドレスに変更する
- セキュリティグループにインバウンドルールTCP5985を追加する
ちなみに、LocalAccountTokenFilterPolicy(リモートUAC)は1(無効)に設定されている。ドメイン環境でなくてもリモートから管理者権限で操作ができる。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
アカウント名とパスワードでリモートにログインすることになるので、送信側のTrustedHostに送信先を登録する必要がある。ホスト名でもIPアドレスでも*(ワイルドカード)でも可。
winrm set winrm/config/client @{TrustedHosts="Server0"}
既にある値に追記するならpowershellで
Set-Item wsman:\localhost\Client\TrustedHosts Server0 -Concatenate -Force
これから
- WinRM HTTPSトランスポートの構成と
-useSSL
- DSCとWebPIを使って最新AMIからWebサーバーを用意する手順
- Route53へのパブリックIPの登録の自動化
- Route53のプライベートホストゾーンを使ってサーバー間を固定の名前で接続する