Ansible für Windows-Netzwerke

Hallo,

wir haben einige "Basic" Powershell Skripte für die Konfiguration neuer Notebooks.
Wie es in diesem Video geschildert wird, ist es anscheinend möglich Ansible auch im Windows-Kontext einzusetzen, was natürlich das komplette Workflow wesentlich effizienter machen würde:
(https://www.youtube.com/watch?v=ZI20Y10OKd0)

Hat jemand Praxiserfahrungen mit diesem Workflow?

In AWS ist es inzwischen möglich Ansible Tower (AWX) zu hosten:
(https://aws.amazon.com/marketplace/pp/prodview-csuubwvckv24c#pdp-pricing ..)

Hier wäre meine Frage, wie so ein Cloud-Ansible-Workflow in der Praxis funktionieren kann.
Ansible braucht ja WINRM Zugriff, was normalerweise immer deaktiviert ist.
Wird für diesen Use Case VPN / SSH aufgebaut?

Arbeitet jemand unter Euch mit dem beschriebenen Ansible-Workflow?

Vielen Dank für Eure Meinungen.

LG

I.

Content-Key: 1257166992

Url: https://administrator.de/contentid/1257166992

Ausgedruckt am: 25.09.2021 um 13:09 Uhr

Mitglied: lcer00
lcer00 14.09.2021 aktualisiert um 14:00:34 Uhr
Goto Top
Hallo,

Kurzfassung: wir verwenden kein Ansible auf Windows.

Um Ansible zu nutzen, müsste man den Zugriff von außen erlauben. Das wollen wir nicht.

Der Ausweg wäre ansible-pull auf dem Windows-Host. Leider gibt es das nicht für Windows.

Alternativ habe ich begonnen, mir Powershell DSC anzusehen: https://docs.microsoft.com/de-de/powershell/scripting/dsc/overview/overv ...

klingt interessant, wirkt aber zunächst etwas sperrig.

Grüße

lcer
Mitglied: Dani
Dani 14.09.2021 um 23:57:08 Uhr
Goto Top

Um Ansible zu nutzen, müsste man den Zugriff von außen erlauben. Das wollen wir nicht.
Was meinst du mit Zugriff von außen?


Gruß,
Dani
Mitglied: lcer00
lcer00 15.09.2021 um 08:24:17 Uhr
Goto Top
Hallo,
Zitat von @Dani:


Um Ansible zu nutzen, müsste man den Zugriff von außen erlauben. Das wollen wir nicht.
Was meinst du mit Zugriff von außen?
nein, eigentlich den Zugriff vom Ansible-Host auf den Windows-Rechner. OK, Langfassung:

Wir haben eine Windows-Domäne und einige Linux-Server. Die Linuxserver sind nicht in der Domäne. Für deren Wartung bzw. Konfiguration nutzen wir Ansible. Um auch die Windows-Kisten über Ansible zu administrieren, benötigt man einen Winrm-Zugriff. https://docs.ansible.com/ansible/latest/user_guide/windows.html SSH ist momentan nur experimentell möglich.

WinRM setzt eine Authentifizierung voraus. Die ist bei uns auf Kerberos festgelegt, NTLM1,2 ist verboten. Also Benutzer/Password fällt raus. Ob Ansible mit Kerberus-Authentifizierung funktioniert, weiss ich nicht. Habe ich auch nicht gesucht, da ich nicht vorhabe, die Linux-Kiste zum Domänenmitglied zu machen (Sicherheitsbedenken wegen zu wenig Know-How im Windows-Linux-Mischbetrieb :) face-smile ). Unsere Sicherheitsrichtlinie besagt: Keine Domänen-Credentials auf nicht-Domänen-Rechnern.
Man muss bei all dem bedenken, das der Ansible-Rechner (fast) genau so gefährlich werden kann, wie ein kompromitierter Domänencontroller.

Grüße

lcer
Mitglied: Dani
Dani 19.09.2021 um 15:44:27 Uhr
Goto Top
Moin,
WinRM setzt eine Authentifizierung voraus. Die ist bei uns auf Kerberos festgelegt, NTLM1,2 ist verboten. Also Benutzer/Password fällt raus. Ob Ansible mit Kerberus-Authentifizierung funktioniert, weiss ich nicht.
Quick und Dirty ein simples Beispiel.

Gruß,
Dani
Heiß diskutierte Beiträge
general
DSL-Modems am F-Buchse statt N-Buchse - warum?Windows10GegnerVor 22 StundenAllgemeinDSL, VDSL19 Kommentare

Hallo zusammen, es sind jetzt hier die Fernmeldetechniker gefragt. Normalerweise wird ja ein DSL-Modem mit der F-Buchse einer TAE-NFN-Dose verbunden. Was ist der genau Grund ...

general
Außergewöhnliche hohe Spamaktivitäten und Angriffe per E-Mail gelöst beidermachtvongreyscullVor 1 TagAllgemeinE-Mail5 Kommentare

Tach Kollegen, liegt das an den bevorstehenden Wahlen? Ich beobachte seit Tagen auf unserer Firewall, dass wir massiven Spamwellen ausgesetzt sind. Bisher kommt zum Glück ...

question
Einrichtung Unify Security Gateway gelöst markaurelVor 18 StundenFrageLAN, WAN, Wireless9 Kommentare

Hallo zusammen und bitte um eure Hilfe! Wie der Titel schon sagt Folgende Situation: Ich hab ein Netzwerk in folgenden IP-Bereich: 192.168.10.x. Als Gateway dient ...

question
Backup-Server, welcher sich selber sichertludakuVor 1 TagFrageBackup6 Kommentare

Moin Zusammen Stellen wir uns kurz folgendes Konstrukt vor: 1x Hypervisor mit 3 VMs: - DC & Fileserver - Webserver - Acronis Backup-Server Ist es ...

question
Sysprep nachträglich virtualisierenalf008Vor 1 TagFrageVmware6 Kommentare

Hallo, ich habe diverse physikalische Server virtualisiert und später sollten diese in eine neue Domäne aufgenommen werden. Leider habe ich beim Virtualisieren erst später (zu ...

question
Wlanprobleme nach Providerwechsel gelöst amsti70Vor 1 TagFrageRouter & Routing8 Kommentare

Hallo alle zusammen! Ich bin neu auf dieser Seite und komme gleich mit einem Problem. Habe jetzt von A1 auf Drei Festnetz gewechselt. Mein System ...

question
Exchange Autodiscover ExternredhorseVor 1 TagFrageExchange Server5 Kommentare

Guten Morgen, bei Heise wird aktuell über eine Problematik berichtet, bei der es bei einem nicht nach Microsoft-Vorgaben konfiguriertem Autodiscover zu einem Sicherheitsproblem kommt: Konkret ...

question
Microsoft 365 und Authenticator gelöst pc-schubserVor 1 TagFrageMicrosoft Office10 Kommentare

Hallo zusammen, für einen kleinen Firmenkunden, den ich auch als Admin betreue, habe ich vor einiger Zeit Microsoft 365 Business Standard CSP Lizenzen verkauft. Jetzt ...