4
Ansible für Windows-Netzwerke
Hallo,
wir haben einige "Basic" Powershell Skripte für die Konfiguration neuer Notebooks.
Wie es in diesem Video geschildert wird, ist es anscheinend möglich Ansible auch im Windows-Kontext einzusetzen, was natürlich das komplette Workflow wesentlich effizienter machen würde:
(https://www.youtube.com/watch?v=ZI20Y10OKd0)
Hat jemand Praxiserfahrungen mit diesem Workflow?
In AWS ist es inzwischen möglich Ansible Tower (AWX) zu hosten:
(https://aws.amazon.com/marketplace/pp/prodview-csuubwvckv24c#pdp-pricing ..)
Hier wäre meine Frage, wie so ein Cloud-Ansible-Workflow in der Praxis funktionieren kann.
Ansible braucht ja WINRM Zugriff, was normalerweise immer deaktiviert ist.
Wird für diesen Use Case VPN / SSH aufgebaut?
Arbeitet jemand unter Euch mit dem beschriebenen Ansible-Workflow?
Vielen Dank für Eure Meinungen.
LG
I.
wir haben einige "Basic" Powershell Skripte für die Konfiguration neuer Notebooks.
Wie es in diesem Video geschildert wird, ist es anscheinend möglich Ansible auch im Windows-Kontext einzusetzen, was natürlich das komplette Workflow wesentlich effizienter machen würde:
(https://www.youtube.com/watch?v=ZI20Y10OKd0)
Hat jemand Praxiserfahrungen mit diesem Workflow?
In AWS ist es inzwischen möglich Ansible Tower (AWX) zu hosten:
(https://aws.amazon.com/marketplace/pp/prodview-csuubwvckv24c#pdp-pricing ..)
Hier wäre meine Frage, wie so ein Cloud-Ansible-Workflow in der Praxis funktionieren kann.
Ansible braucht ja WINRM Zugriff, was normalerweise immer deaktiviert ist.
Wird für diesen Use Case VPN / SSH aufgebaut?
Arbeitet jemand unter Euch mit dem beschriebenen Ansible-Workflow?
Vielen Dank für Eure Meinungen.
LG
I.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1257166992
Url: https://administrator.de/contentid/1257166992
Printed on: April 25, 2024 at 07:04 o'clock
4 Comments
Latest comment
Hallo,
Kurzfassung: wir verwenden kein Ansible auf Windows.
Um Ansible zu nutzen, müsste man den Zugriff von außen erlauben. Das wollen wir nicht.
Der Ausweg wäre ansible-pull auf dem Windows-Host. Leider gibt es das nicht für Windows.
Alternativ habe ich begonnen, mir Powershell DSC anzusehen: https://docs.microsoft.com/de-de/powershell/scripting/dsc/overview/overv ...
klingt interessant, wirkt aber zunächst etwas sperrig.
Grüße
lcer
Kurzfassung: wir verwenden kein Ansible auf Windows.
Um Ansible zu nutzen, müsste man den Zugriff von außen erlauben. Das wollen wir nicht.
Der Ausweg wäre ansible-pull auf dem Windows-Host. Leider gibt es das nicht für Windows.
Alternativ habe ich begonnen, mir Powershell DSC anzusehen: https://docs.microsoft.com/de-de/powershell/scripting/dsc/overview/overv ...
klingt interessant, wirkt aber zunächst etwas sperrig.
Grüße
lcer
@icer00
Gruß,
Dani
Um Ansible zu nutzen, müsste man den Zugriff von außen erlauben. Das wollen wir nicht.
Was meinst du mit Zugriff von außen?Gruß,
Dani
Hallo,
Wir haben eine Windows-Domäne und einige Linux-Server. Die Linuxserver sind nicht in der Domäne. Für deren Wartung bzw. Konfiguration nutzen wir Ansible. Um auch die Windows-Kisten über Ansible zu administrieren, benötigt man einen Winrm-Zugriff. https://docs.ansible.com/ansible/latest/user_guide/windows.html SSH ist momentan nur experimentell möglich.
WinRM setzt eine Authentifizierung voraus. Die ist bei uns auf Kerberos festgelegt, NTLM1,2 ist verboten. Also Benutzer/Password fällt raus. Ob Ansible mit Kerberus-Authentifizierung funktioniert, weiss ich nicht. Habe ich auch nicht gesucht, da ich nicht vorhabe, die Linux-Kiste zum Domänenmitglied zu machen (Sicherheitsbedenken wegen zu wenig Know-How im Windows-Linux-Mischbetrieb
). Unsere Sicherheitsrichtlinie besagt: Keine Domänen-Credentials auf nicht-Domänen-Rechnern.
Man muss bei all dem bedenken, das der Ansible-Rechner (fast) genau so gefährlich werden kann, wie ein kompromitierter Domänencontroller.
Grüße
lcer
Zitat von @Dani:
@icer00
nein, eigentlich den Zugriff vom Ansible-Host auf den Windows-Rechner. OK, Langfassung:@icer00
Um Ansible zu nutzen, müsste man den Zugriff von außen erlauben. Das wollen wir nicht.
Was meinst du mit Zugriff von außen?Wir haben eine Windows-Domäne und einige Linux-Server. Die Linuxserver sind nicht in der Domäne. Für deren Wartung bzw. Konfiguration nutzen wir Ansible. Um auch die Windows-Kisten über Ansible zu administrieren, benötigt man einen Winrm-Zugriff. https://docs.ansible.com/ansible/latest/user_guide/windows.html SSH ist momentan nur experimentell möglich.
WinRM setzt eine Authentifizierung voraus. Die ist bei uns auf Kerberos festgelegt, NTLM1,2 ist verboten. Also Benutzer/Password fällt raus. Ob Ansible mit Kerberus-Authentifizierung funktioniert, weiss ich nicht. Habe ich auch nicht gesucht, da ich nicht vorhabe, die Linux-Kiste zum Domänenmitglied zu machen (Sicherheitsbedenken wegen zu wenig Know-How im Windows-Linux-Mischbetrieb
). Unsere Sicherheitsrichtlinie besagt: Keine Domänen-Credentials auf nicht-Domänen-Rechnern.Man muss bei all dem bedenken, das der Ansible-Rechner (fast) genau so gefährlich werden kann, wie ein kompromitierter Domänencontroller.
Grüße
lcer
Moin,
Gruß,
Dani
WinRM setzt eine Authentifizierung voraus. Die ist bei uns auf Kerberos festgelegt, NTLM1,2 ist verboten. Also Benutzer/Password fällt raus. Ob Ansible mit Kerberus-Authentifizierung funktioniert, weiss ich nicht.
Quick und Dirty ein simples Beispiel.Gruß,
Dani
