远程管理未加入中央身份验证系统和/或 Active Directory 的数百台 Windows 2008 R2 服务器的最佳方法是什么?
Linux 生态系统中有一些工具可以实现集中配置管理,例如 Puppet、Chef 或 Ansible。如何在 Windows 生态系统中实现类似的功能?
我对管理任务感兴趣,例如更改防火墙规则、更新防病毒软件或修改每台服务器上的文件。
答案1
最好的方法可能是使用 Active Directory 和组策略,但您已声明在您的环境中这不是选项。不幸的是,面向API的管理模式使得以 Puppet 或 Chef 等工具为代表的 Unix 方式的配置管理在 Windows 生态系统中变得非常困难。你不会找到类似的方法。
您可以做的是结合一些技术:
使用系统中心配置管理器或 Windows多学科治疗部署已知状态的基础映像。基础映像应包含尽可能大的配置集,这些配置集应包含整个机群。如果您发现机群中存在显著差异,以至于基础映像或多或少变得无用,因为它包含的配置更改太小,请考虑为不同类别的服务器(IIS 服务器、应用程序服务器等)配置单独的任务序列,使您更接近“100% 配置”状态。这样做的目的是在尽可能多的服务器上以最少的映像和/或任务序列来获得最接近“100% 配置”的状态。
使用本地组策略模板、PowerShell、PowerShell 的所需状态配置(如果您可以升级 Windows 管理框架)或 SCCM 的配置项配置每台服务器上的其余设置。您很可能希望使用这三者的某种组合。
简而言之,您可能需要投资 SCCM。它将处理多个 Active Directory 林、域、DMZ 或远程客户端以及工作组计算机。SCCM 不是一个小主题,学习难度也不低,但借助它、基础映像和 PowerShell 的 DSC,您应该能够实现您的目标。
答案2
您正在寻找微软系统中心套件,特别是配置管理。