Avant d'ajouter une machine physique à un pool de postes de travail non gérés, vous devez vous connecter à la machine en tant qu'administrateur et effectuer des tâches de configuration.

Conditions préalables

  • Vérifiez que vous disposez des informations d'identification d'administrateur pour vous connecter à la machine. Si la machine est jointe à un domaine, obtenez les informations d'identification d'administrateur du domaine.
  • Familiarisez-vous avec la procédure de configuration de WinRM pour utiliser HTTP. Reportez-vous à la documentation des plug-ins vCenter.

Procédure

  1. Connectez-vous en tant qu'administrateur et configurez le service Gestion à distance de Windows pour qu'il démarre automatiquement.
    1. Accédez à l'applet Services.
    2. Cliquez avec le bouton droit sur le service Gestion à distance de Windows (Gestion WSM) et sélectionnez Propriétés.
    3. Sélectionnez le type de démarrage Automatique, cliquez sur Démarrer, puis cliquez sur OK après le démarrage du service.
  2. Démarrez PowerShell en tant qu'administrateur et utilisez les commandes suivantes pour configurer les stratégies d'exécution à distance.
    1. Utilisez la commande suivante pour vérifier que la stratégie est définie sur RemoteSigned. 
      Get-ExecutionPolicy
    2. Si la stratégie est définie sur Restricted, utilisez la commande suivante : 
      Set-ExecutionPolicy RemoteSigned

      Appuyez sur O lorsqu'un message vous y invite.

    3. Utilisez la commande suivante pour activer l'exécution à distance pour WinRM 
      Enable-PSRemoting

      Appuyez sur O lorsqu'un message vous y invite.

    4. Utilisez une commande pour ajouter des hôtes vRealize Orchestrator comme serveurs approuvés.
      Option Commande
      Ajouter toutes les machines comme hôtes approuvés. Set-Item wsman:\localhost\client\trustedhosts * ou

      set-item wsman:\localhost\Client\TrustedHosts -value *

      Ajouter toutes les machines du domaine comme hôtes approuvés. set-item wsman:\localhost\Client\TrustedHosts *.domain.com
      Ajouter une machine spécifique (utiliser le nom de domaine complet de la machine). set-item wsman:\localhost\Client\TrustedHosts -value hostname.domain.com
      Ajouter une machine spécifique à l'aide de l'adresse IP. set-item wsman:\localhost\Client\TrustedHosts -value xxx.xxx.xxx.xxx
      Appuyez sur O lorsqu'un message vous y invite.
      Note : Vous pouvez utiliser la commande suivante pour voir la liste des hôtes approuvés : 
      Get-item wsman:\localhost\Client\TrustedHosts
    5. Utilisez la commande suivante pour redémarrer le service WinRM :
      Restart-Service WinRM
  3. Sur une autre machine Windows, testez la connexion à la machine que vous venez de configurer en exécutant la commande suivante.
    Test-WsMan IP-or-DNS-of-machine
    Par exemple : Test-WsMan 12.34.56.78
    La sortie est semblable à l'exemple suivant : 
    wsmid           : http://schemas.dmtf.org/wbem/wsman/identity/1/wsmanidentity.xsd
ProtocolVersion : http://schemas.dmtf.org/wbem/wsman/1/wsman.xsd
ProductVendor   : Microsoft Corporation
ProductVersion  : OS: 0.0.0 SP: 0.0 Stack: 2.0

    Si vous utilisez la commande suivante, la sortie répertorie le contenu du lecteur C : 

    Invoke-Command -ComputerName IP-or-DNS-of-machine -ScriptBlock { Get-ChildItem C:\ } 
-credential domain\administrator
  4. Ouvrez une invite de commande et configurez la machine physique (hôte WinRM) pour activer la communication avec le plug-in PowerShell via le protocole HTTP.
    Si vous utilisez PowerShell 2.0, placez les commandes entre apostrophes, de la manière suivante : 
    winrm set winrm/config/service/auth '@{Basic="true"}'
winrm set winrm/config/service '@{AllowUnencrypted="true"}'

winrm set winrm/config/client/auth '@{Basic="true"}'
winrm set winrm/config/client '@{AllowUnencrypted="true"}'
    Si la machine hôte WinRM se trouve dans un domaine externe, vous devez également exécuter la commande suivante pour spécifier les hôtes approuvés : 
    winrm set winrm/config/client @{TrustedHosts="host1, host2, host3"}
    Vous pouvez utiliser la commande suivante pour vérifier les paramètres après avoir effectué des modifications : 
    winrm get winrm/config
  5. Pour les machines qui appartiennent à un domaine, activez et testez l'authentification Kerberos.
    1. Ouvrez une invite de commandes et utilisez les commandes suivantes pour activer l'authentification Kerberos : 
      winrm set winrm/config/service/auth '@{Kerberos=”true”}'
winrm set winrm/config/service '@{AllowUnencrypted="true"}'

winrm set winrm/config/client/auth '@{Kerberos=”true”}'
winrm set winrm/config/client '@{AllowUnencrypted="true"}'
    2. Utilisez la commande suivante pour tester l'authentification Kerberos : 
      winrm id -r:machine.domain.com -auth:Kerberos -u:administrator@domain.com -p:'password'
  6. Installez Horizon Agent sur la machine physique.

Que faire ensuite

Configurez l'authentification sur le serveur vRealize Orchestrator. Reportez-vous à la section Configurer vRealize Orchestrator pour utiliser l'authentification Kerberos avec des machines physiques.