1. SSL 证书配置
WAC 必须使用 HTTPS,需要有效的 SSL 证书。
1.1 使用 AD 证书服务签发证书
PowerShell - 申请和配置证书
# 在 WAC01 上创建证书请求信息
$certInfo = @{
Subject = "CN=WAC01.iehang.cn"
DnsName = "WAC01.iehang.cn", "WAC01"
CertStoreLocation = "Cert:\LocalMachine\My"
}
# 从企业 CA 申请证书
Get-Certificate -Template WebServer" @certInfo
# 查看证书指纹
$cert = Get-ChildItem Cert:\LocalMachine\My" |
Where-Object { $_.Subject -match "WAC01" }
$cert.Thumbprint1.2 更新 WAC 证书
PowerShell - 更新 WAC SSL 证书
# 使用新证书重新配置 WAC
Start-Process msiexec.exe -Wait -ArgumentList "/i C:\Temp\WAC.msi /qn SME_PORT=443 SSL_CERTIFICATE_OPTION=installed SME_THUMBPRINT=$($cert.Thumbprint)"2. AD 认证集成
WAC 支持 AD 集成认证,用户使用域账号登录。
PowerShell - 配置 AD 认证
# 查看当前 WAC 配置
Get-ItemProperty "HKLM:\Software\Microsoft\ServerManagementGateway"
# WAC 默认使用 AD 认证
# 确保网关服务器已加入域
Get-WmiObject -Class Win32_ComputerSystem |
Select-Object Domain, PartOfDomain3. 用户访问控制
限制哪些用户/组可以访问 WAC 网关。
1
WAC 网关页面 → 设置(齿轮图标) → 访问
2
添加安全组:IEHANG\Domain Admins(管理员)
3
可添加只读组:IEHANG\GG-WAC-ReadOnly(仅查看)
PowerShell - 配置 WAC 访问权限
# 创建 WAC 管理员组
New-ADGroup -Name "GG-WAC-Admins" -GroupScope Global `
-Path "OU=Groups,OU=IT信息部,DC=iehang,DC=cn"
# 将 WAC01 上的本地 Administrators 组与域组关联
# WAC 访问权限基于网关服务器的本地 Administrators 组
# 将域组添加到本地 Administrators
Add-LocalGroupMember -Group Administrators" -Member "IEHANG\GG-WAC-Admins"4. WAC 高可用
生产环境可部署 WAC 网关集群实现高可用。
PowerShell - WAC 高可用部署
# 在故障转移集群上部署 WAC
# 1. 创建文件共享见证或磁盘见证
# 2. 在集群上安装 WAC(使用共享存储)
# 安装 WAC 到集群
Start-Process msiexec.exe -Wait -ArgumentList "/i C:\Temp\WAC.msi /qn /L*v C:\Temp\wac-ha.log SME_PORT=443 SSL_CERTIFICATE_OPTION=installed SME_THUMBPRINT=xxx HA_ROLE=ha"5. 常见问题
Q1:访问 WAC 提示证书不受信任
① 客户端需信任 WAC 的 SSL 证书 ② 自签名证书需手动导入到客户端"受信任的根证书颁发机构" ③ 生产环境建议使用 AD CS 企业 CA 或公共 CA 签发的证书
Q2:非管理员能否使用 WAC
可以。在 WAC 设置中配置 网关访问控制,添加只读用户组。被管理服务器上也需配置对应的 WinRM 权限和本地组权限。