Введение
Exchange 2007 был первой версией Exchange, где архитектура управления была основана на Windows PowerShell (точнее на PowerShell 1.0). На самом деле оба компонента, консоль Exchange 2007 Management Console и оболочка управления (Shell), были построены на основе механизма PowerShell, который обеспечивал множество преимуществ. Хотя для этого потребовалось некоторое время, многие администраторы Exchange быстро научились использовать оболочку и оптимизировали эффективность работы организации благодаря этому.
Не удивительно, что архитектура управления в Exchange 2010 также построена на Windows PowerShell, однако это версия Windows PowerShell 2.0. PowerShell 2.0 включает множество усовершенствований, и, конечно, Exchange 2010 использует некоторые из них. Одним из улучшений является функция PowerShell Remoting, использующая WS-Management (так же известную, как WS-MAN или WinRM), которая представляет собой компонент Windows Server 2008 и Windows Vista, и имеет своей задачей управление серверами, устройствами и приложениями более простым способом по всей организации.
В этой статье я расскажу о том, что собой представляет удаленный PowerShell, и как эта новая функция позволяет управлять серверами Exchange 2010 в организации, а также в нескольких организациях Exchange 2010 с помощью консоли и оболочки управления (EMC и EMS) и с помощью Windows PowerShell 2.0 – все эти компоненты расположены на одном сервере управления.
Что такое Remote PowerShell?
Чтобы объяснить это, давайте вернемся к Exchange 2007. Хотя оболочка управления Exchange 2007 Management Shell (EMS) позволяла администраторам Exchange управлять всеми серверами Exchange 2007 в организации Exchange с единого сервера управления, на котором были установлены инструменты управления Exchange Management, команды выполнялись на хосте/в процессах самого сервера. Затем сервер управления создавал RPC подключения к серверам Exchange, с которыми производились манипуляции.
В Exchange 2010 архитектура управления основана на Remote PowerShell, включенном в Windows PowerShell 2.0. Компонент Remote PowerShell обеспечивает модель разрешений на основе RBAC, что позволяет предоставлять более многогранные разрешения (Exchange 2007 использовал ACL), стандартный протокол, который позволяет проще управлять серверами Exchange 2010 через брандмауэры, и эксплицитно разделяет «клиентскую» и «серверную» часть командной обработки. Вдобавок, он использует WS-MAN, который обеспечивает более тесную и стабильную интеграцию с операционной системой Windows.
Текущие публичные бета версии Exchange 2010 включают локальную и удаленную оболочку Exchange Management Shell, но это лишь потому, что все команды находятся в стадии перемещения на версию удаленной оболочки Exchange Management Shell. Поэтому к моменту выхода RTM, Exchange 2010 уже не будет включать локальную версию оболочки Exchange Management Shell.
Это означает, что не зависимо от того, используете ли вы локально установленные инструменты управления или специально выделенный сервер управления для администрирования Exchange 2010, вы все равно будете использовать удаленную версию Exchange Management Shell (рисунок 1). Как уже говорилось ранее, публичные бета версии продукта Exchange 2010 также включают локальную версию оболочки Exchange Management Shell, поэтому при необходимости (все еще есть команды, которые не работают должным образом на удаленной версии EMS) вы сможете использовать и ее.
Рисунок 1: Remote Exchange Management Shell
При запуске удаленной версии Exchange Management Shell, она подключается к локальному виртуальному каталогу PowerShell (рисунок 2), созданному мастером установки в IIS, когда инструменты управления Exchange 2010 устанавливаются на машину.
Рисунок 2: Виртуальный каталог PowerShell в IIS Manager
Когда удаленная EMS подключается к виртуальному каталогу PowerShell, любые необходимые команды импортируются с сеанса серверной стороны (также известного как пространство выполнения (runspace)) на сеанс клиентской стороны (рисунок 3) или, если говорить точнее, импортируются ссылки на эти команды. После импорта ссылок на команды, можно начинать процесс управления сервером Exchange 2010 также, как вы обычно это делаете с помощью EMS.
Рисунок 3: Создание сеанса PowerShell и импорт команд стороны сервера
Включение прав удаленного управления Exchange для пользователей
По умолчанию учетная запись Active Directory, которую вы использовали для установки Exchange 2010 в своем лесу, получит права удаленного управления с помощью PowerShell. Если вы хотите предоставить эти права другой учетной записи AD, вам нужно воспользоваться командой Set-User с параметром RemotePowerShellEnabled. Если я, например, хочу предоставить это право своей собственной учетной записи, я воспользуюсь следующей командой:
Set-User ‘Henrik Walther’ -RemotePowerShellEnabled $True
Рисунок 4: Предоставление права управления Remote PowerShell пользователю
Подключение к удаленному серверу Exchange 2010 Server с помощью Remote EMS
Если вы хотите подключиться к виртуальному каталогу PowerShell на другом сервере Exchange 2007 в организации или в другой организации Exchange, вам нужно использовать команды New-PSSession и Import-PSSession.
При создании нового сеанса Exchange Management Shell с удаленным сервером Exchange 2010, интересным является то, что любые команды, выполняемые вами в оболочке на локальном сервер Exchange 2010, на самом деле выполняются на сервере Exchange 2010, к которому вы подключились.
Давайте подключимся к удаленному серверу Exchange 2010 в одной организации Exchange.
Если сертификат, установленный на удаленном сервере Exchange 2010, к которому вы хотите подключиться, не является доверенным для локальной машины, в первую очередь нужно импортировать сертификат или создать переменную, которая пропускает ЦС сертификата, CN, и проверки отзыва сертификата. Для создания такой переменной введите:
$SkipCertificate = New-WSManSessionOption -SkipCACheck -SkipCNCheck -SkipRevocationCheck
Рисунок 5: Создание переменной для пропуска проверки сертификата
Теперь создаем новый сеанс remote EMS:
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://<E2K10Server>.domain.com/PowerShell/ -Authentication NegotiateWithImplicitCredential -SessionOption $SkipCertificate
Рисунок 6: Команда для создания нового сеанса PowerShell с имплицитными мандатами
Примечание:поскольку мы подключаемся к локальному серверу Exchange 2010 в лесу, мы используем имплицитные мандаты (аутентификацию Kerberos).
Когда сеанс remote EMS создан, давайте импортируем его в сеанс клиентской стороны:
Import-PSSession $Session
Рисунок 7: Создание нового сеанса remote EMS и импортирование команд стороны сервера
Явно указанные учетные данные
Если вы хотите подключиться к серверу Exchange 2010 в другой организации Exchange, вам нужно использовать явно указанные учетные данные, что означает, что вам нужно сначала создать переменную с помощью команды:
$UserCredential = Get-Credential
Рисунок 8: Создание переменной пользовательских учетных данных
После этого можно создавать сеанс remote EMS с помощью команды:
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://<Exchange 2010 server name>/PowerShell/ -Credential $UserCredential
Рисунок 9: Команда для создания нового сеанса remote EMS с явно указанными учетными данными
Продолжение следует…
Полезные ссылки
Отличный сайт про мое нынешнее увлечение – игра left 4 dead 2. Попробуйте и не пожалеете.
Хороший по всем параметрам интернет-магазин теплой детской одежды Emy-Teplo.ru. Быстро, дешево и качественно.