Exportar (0) Imprimir
Expandir todo
Expandir Minimizar

Windows Server 2012 – Configuración de Windows PowerShell Web Access


Jair Gomez Arias, Ingeniero de infraestructura Microsoft Y Microsoft Community Specialist de la ciudad de Barranquilla Colombia, con conocimiento y experiencia en Administración de Centros de datos en Plataforma Microsoft.

Septiembre 2012

Blog


Muy bien, en el anterior articulo conocimos las dos formas con las cuales podemos instalar Windows PowerShell Web Access en Windows Server 2012, pero con esto no tenemos el servicio de acceso vía Web a PowerShell para la administración remota, por lo cual debemos configurar el servicio.

Quedamos en que cuando terminamos el asistente de instalación de la característica, este nos da una recomendación de que miremos un archivo de ayuda para la configuración el cual se encuentra en: C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt


JJ670182.401E391886BF51D2BA7D6CA48C8E037D(es-es,MSDN.10).png

Este archivo contiene los 3 pasos para la configuración recomendada.


JJ670182.0684EFACE3AD229BF54AD5CAA6927207(es-es,MSDN.10).png

Lo siguiente es abrir una consola de PowerShell como administrador.

JJ670182.E83A3495DF9AEA5C87EE1C0210B05077(es-es,MSDN.10).png

Estando en PowerShell realizaremos los siguientes 3 pasos:

1) Import-Module PowerShellWebAccess

Con este Importamos el modulo correspondiente a la característica para su posterior configuración y puesta en marcha.

2) Install-PswaWebApplication -Usetestcertificate

Install-PswaWebApplication es el cmdlet para la instalación de WPWA, como Windows PowerShell Web Access trabaja vía estándares Web los mas seguro es que use un certificado para su autenticación, podemos agregar –Usetestcertificate para la instalación de ese certificado SSL autofirmado en un entorno de pruebas, esto para un entorno productivo no es nada seguro, por lo cual debemos utilizar siempre un certificado SSl valido firmado por un CA sea propia o comprada a una entidad prestadora de certificados ej.: VeriSing.

Si no tenemos ese certificado comprado y realizamos la configuración con uno de pruebas, los administradores podemos cambiar este Certificado Test por uno que este firmado en cualquier momento desde el Administrador de IIS.

En el Warning que veremos en la imagen en el paso 2 nos informa de lo anterior, y que ese certificado solo será valido por un periodo de 90 días, también se crea un sitio Web en IIS llamado pswa.

3) Add-PswaAuthorizationRule ***

Una vez instalado Windows PowerShell Web Access y configurada la puerta de enlace el siguiente paso es definir que usuarios podrán abrir la pagina de inicio de sesión en el explorador y tener acceso a la consola Web de PowerShell, hasta que el administrador no les conceda acceso los usuarios por ningún motivo pueden realizar la autenticación, para este proceso no existe ninguna GUI para autorizar los usuarios debemos realizarlo por una serie de cmdlets.

Los administradores pueden definir entre 0 y n reglas de autenticación para Windows PowerShell Web Access. La seguridad predeterminada es restrictiva más que permisiva; si no se define ninguna regla de autenticación, ningún usuario tendrá acceso a ningún sitio.

En el entorno de pruebas que tengo utilice Add-PswaAuthorizationRule *** con esto le estamos dando ordenes al servicio de que nos cree una regla de autorización a todos (***) los usuarios en el dominio para que tengan acceso a la consola Web.


JJ670182.401FD8111CB38692CA0A20DA27EC22DE(es-es,MSDN.10).png

Nota de Seguridad (TechNet)

Un usuario solo necesita que una regla sea verdadera para obtener el acceso. Si a un usuario se le concede acceso a un equipo con acceso de lenguaje completo o acceso únicamente a los cmdlets de administración remota de Windows PowerShell, desde la consola basada en web, el usuario puede iniciar sesión (o saltar) en otros equipos conectados al primer equipo de destino. El modo más seguro de configurar Windows PowerShell Web Access consiste en permitir a los usuarios acceder únicamente a configuraciones de sesión restringidas (también denominadas extremos o espacios de ejecución) que les permitan llevar a cabo tareas específicas que, por lo general, deben realizar de forma remota.

Para una personalización de los usuarios tenemos los siguientes cmdlets y parámetros:

Add-PswaAuthorizationRule

Agrega una nueva regla de autorización al conjunto de reglas de autorización de Windows PowerShell Web Access.

Parámetros:

  • ComputerGroupName
  • ComputerName
  • ConfigurationName
  • RuleName
  • UserGroupName
  • UserName
  • Remove-PswaAuthorizationRule

    Quita una regla de autorización especificada de Windows PowerShell Web Access.

    Parámetros:

  • Id
  • RuleName
  • Get-PswaAuthorizationRule

    Devuelve un conjunto de reglas de autorización de Windows PowerShell Web Access. Cuando se usa sin parámetros, el cmdlet devuelve todas las reglas.

    Parámetros:

  • Id
  • RuleName
  • Test-PswaAuthorizationRule

    Evalúa las reglas de autorización para determinar si una solicitud de acceso de usuario, equipo o configuración de sesión específica tiene autorización. De manera predeterminada, si no se agrega ningún parámetro, el cmdlet evalúa todas las reglas de autorización. Mediante la adición de parámetros, los administradores pueden especificar que se pruebe una regla de autorización o un subconjunto de reglas.

    Parámetros:

  • ComputerName
  • ConfigurationName
  • RuleName
  • UserName
  • Un ejemplo de todo lo anterior seria.

    Add-PswaAuthorizationRule –UserName <domain\user | computer\user> -ComputerName <nombre_equipo> -ConfigurationName <nombre_configuración_sesión>

    En mi entorno tengo todo listo para ver como funciona el servicio, entonces nos vamos a Internet Explorer, recordemos que podemos acceder por diferentes navegadores y dispositivos soportados.


    JJ670182.88B95BEAFE16BD639C64244242B5D505(es-es,MSDN.10).png

    La URL es: https://<nombre servidor>/pswa Como estoy utilizando el Certificado Test veremos el error de que este sitio Web no es seguro, si queremos realizar un entorno de pruebas mas completo podemos crear un CA local en nuestro Dominio.

    JJ670182.71B69F4299308C161AA8A5A04E8E0245(es-es,MSDN.10).png

    Agregamos al sitio como seguro.


    JJ670182.1B10EA9207F95312FEEBD622E3B3D34D(es-es,MSDN.10).png

    Esta es la pagina de Login de Windows PowerShell Web Access en las cuales nos pide nuestras credenciales de Dominio con la previa regla de autorización para el ingreso, necesitamos el User Name, Password, Connection type, Computer Name al cual nos conectaremos y administraremos remotamente desde PowerShell.


    JJ670182.F9E6FF34236FEF799C61FE2D6E09CD52(es-es,MSDN.10).png

    Vemos la consola de comandos la cual al lado derecho veremos el servidor al cual estamos conectados y el botón para cerrar sesión, en el lado izquierdo el botón Submit con el cual lanzaremos los comandos escrito en la consola o el botón Cancelar y un Historial de los comandos.


    JJ670182.5F33FE5B7A8B592EFF71014794339263(es-es,MSDN.10).png

    Para ver una prueba del servicio:


    JJ670182.4AA2513F987997948754988CCF85A5D5(es-es,MSDN.10).png

    Con esto tenemos ya listo nuestro entorno de pruebas para Windows PowerShell Web Access, en cuanto a producción solo debemos tener nuestro certificado firmado, el cual podemos remplazar en cualquier momento.

    También es bueno saber algo sobre la seguridad para lo cual les comparto lo mencionado en el sitio de Technet Library respecto a la característica y poder tener mucha mas documentación, la idea de todos estos artículos es conocer las cosas nuevas incorporadas en Windows Server 2012 e investigar mas sobre ellas.

    Seguridad

    El modelo de seguridad de Windows PowerShell Web Access tiene cuatro niveles entre un usuario final de la consola basada en web y un equipo de destino. Los administradores de Windows PowerShell Web Access pueden agregar niveles de seguridad mediante configuración adicional en la consola del Administrador de IIS. Para obtener más información acerca de la protección de sitios web en la consola del Administrador de IIS, vea el tema sobre cómo configurar la seguridad de Servidor web (IIS 7). Para obtener más información acerca de los procedimientos recomendados de IIS y la prevención de ataques por denegación de servicio, vea el tema sobre los procedimientos recomendados para prevenir ataques por denegación de servicio (DoS). Los administradores también pueden comprar e instalar software de autenticación de venta minorista adicional.

    Con esto es todo espero puedan tener esta posibilidad de administración remota si en sus empresas puedan necesitarlo algún día y tener en este articulo una forma rápida de ver su instalación, configuración y prueba.

Mostrar:
© 2015 Microsoft