MongoDB 4.4.0 移除了 2012 R2 的支持,不得不去升级了云主机系统

0x00.前言

Windows Server 2019 中的新增功能Windows Admin Center

whats-new-19
whats-new-19

0x01.WinRM

不着急安装WAC(本文下同,均为Windows Admin Center的缩写),先来开启Windows Remote Management即远程管理服务,真正的命令行出现了!

服务端

首先查询监听器,应该为空

1
2
[lab.yuangezhizao.cn]: PS C:\Users\yuangezhizao\Documents> winrm enumerate winrm/config/listener
[lab.yuangezhizao.cn]: PS C:\Users\yuangezhizao\Documents>

快速配置,这里本人已经配置过了,所以与你们的输出是不一样的

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
[lab.yuangezhizao.cn]: PS C:\Users\yuangezhizao\Documents> winrm quickconfig
已在此计算机上运行 WinRM 服务。
WinRM 没有设置成为了管理此计算机而允许对其进行远程访问。
必须进行以下更改:

在 HTTP://* 上创建 WinRM 侦听程序接受 WS-Man 对此机器上任意 IP 的请求。

winrm :
    + CategoryInfo          : NotSpecified: (:String) [], RemoteException
    + FullyQualifiedErrorId : NativeCommandError

错误编号: 62 0x3E
输入超出了文件尾
执行这些更改吗[y/n]?
[lab.yuangezhizao.cn]: PS C:\Users\yuangezhizao\Documents>

再次查询监听器,此时应该会有默认5985HTTP存在,这里为了安全性考虑只配置了HTTPS故删除了HTTP

1
2
3
4
5
6
7
8
9
10
11
12
[lab.yuangezhizao.cn]: PS C:\Users\yuangezhizao\Documents> winrm e winrm/config/listener
Listener
    Address = *
    Transport = HTTPS
    Port = 5986
    Hostname
    Enabled = true
    URLPrefix = wsman
    CertificateThumbprint = 6b1365d34016df28578f52a7eb6be956ef631da6
    ListeningOn = 10.0.2.2, 127.0.0.1, ::1, fe80::8c87:5082:5569:3e03%11

[lab.yuangezhizao.cn]: PS C:\Users\yuangezhizao\Documents>

添加认证方式:BasicCredSSP

1
2
3
4
5
6
7
8
9
10
[lab.yuangezhizao.cn]: PS C:\Users\yuangezhizao\Documents> winrm set winrm/config/service/auth '@{Basic="true"}'
[lab.yuangezhizao.cn]: PS C:\Users\yuangezhizao\Documents> winrm set winrm/config/service/auth '@{CredSSP="true"}'
[lab.yuangezhizao.cn]: PS C:\Users\yuangezhizao\Documents> winrm get winrm/config/service/auth
Auth
    Basic = true
    Kerberos = true
    Negotiate = true
    Certificate = false
    CredSSP = true
    CbtHardeningLevel = Relaxed

如果没有证书的话,winrm set winrm/config/service '@{AllowUnencrypted="true"}'
腾讯云的SSL证书含有IIS类型的,因此可以导入到服务器证书之中,类型是个人
【❗】确认移除所有的监听器(请谨慎执行)

1
2
3
Get-childitem WSMan:\Localhost\listener\
Remove-Item -Path WSMan:\Localhost\listener\listener* -Recurse
Get-childitem WSMan:\Localhost\listener\

添加HTTPS监听器,提前复制好证书指纹的那一串

指纹
指纹
1
New-Item -Path WSMan:\LocalHost\Listener -Transport HTTPS -Address * -Force -CertificateThumbPrint <证书指纹>

客户端

1
2
3
4
5
6
7
8
9
10
11
12
13
14
Microsoft Windows [版本 10.0.17763.1369]
(c) 2018 Microsoft Corporation。保留所有权利。

C:\Users\yuangezhizao>powershell
Windows PowerShell
版权所有 (C) Microsoft Corporation。保留所有权利。

PS C:\Users\yuangezhizao> $cred=get-Credential

位于命令管道位置 1 的 cmdlet Get-Credential
请为以下参数提供值:
Credential
PS C:\Users\yuangezhizao> Enter-PSSession -computername lab.yuangezhizao.cn  -Credential $cred -UseSSL
[lab.yuangezhizao.cn]: PS C:\Users\yuangezhizao\Documents>
输入凭证
输入凭证
成功登录
成功登录

0x02.WAC

官方中文文档其实已经足够详细了,首先去下载msi安装包

下载
下载

安装完成之后就可以访问6516端口的服务了,首次访问是用的AD认证,毕竟微软爸爸,而且Chrome清除站点数据并不能清理掉认证信息,然后就去云主机删除了那个用户……
但是自己的账户莫名登录不上,日志查看器中可以看到堆栈详细信息……不知道该怎么调查这个现象的原因

登录不能
登录不能

0x3.引用

走进winrm —powershell远程连接的4个安全级别,详解
Windows Server 2019开启Winrm服务