一、Ansible与Windows自动化部署的背景与挑战

Ansible作为开源自动化工具，凭借其无代理架构和YAML语法优势，在Linux环境中已得到广泛应用。然而在Windows领域，其部署方式需突破两大技术壁垒：其一，Windows系统默认不安装Python环境，而Ansible依赖Python执行模块；其二，Windows与Linux在权限管理、网络协议（如WinRM替代SSH）等方面存在根本差异。这些特性要求运维人员在部署前完成特定的环境适配。

微软官方从Windows Server 2016开始强化对PowerShell Remoting的支持，并通过WinRM协议为Ansible提供远程管理通道。这一技术演进使得Ansible能够通过winrm连接插件实现Windows主机的自动化操作，标志着Windows自动化进入标准化阶段。当前Ansible核心模块库中，已有超过80个专为Windows设计的模块，覆盖文件管理、服务控制、软件安装等核心场景。

二、Windows环境下的Ansible部署前准备

1. 基础环境要求

• 主机配置：目标Windows节点需运行Windows Server 2008 R2及以上版本，或Windows 7 SP1及以上客户端版本。内存建议不低于4GB，磁盘空间预留10GB以上用于模块缓存。
• 网络架构：确保控制机与目标节点处于同一子网，或通过VPN建立可信连接。WinRM默认使用TCP 5985（HTTP）和5986（HTTPS）端口，需在防火墙中放行。

2. WinRM服务配置

通过PowerShell执行以下命令启用并配置WinRM：

# 启用WinRM服务
Enable-PSRemoting -Force
# 配置基本认证（生产环境建议改用证书认证）
winrm set winrm/config/service/Auth @{Basic="true"}
# 允许非加密连接（测试环境使用，生产环境需配置HTTPS）
winrm set winrm/config/service @{AllowUnencrypted="true"}
# 扩大内存分配以支持复杂操作
winrm set winrm/config @{MaxMemoryPerShellMB="1024"}

3. Python环境部署

推荐采用两种方式之一：

• 方法一：在控制机上安装pywinrm库（pip install pywinrm），并通过Ansible的winrm连接插件通信。
• 方法二：在Windows节点安装Python 3.8+版本，并配置PATH环境变量。此方式可支持更复杂的本地脚本执行。

4. 节点清单配置

在/etc/ansible/hosts文件中定义Windows节点组：

[windows_servers]
win-server01 ansible_host=192.168.1.100
win-server02 ansible_host=192.168.1.101
[windows_servers:vars]
ansible_user=administrator
ansible_password=SecurePass123
ansible_connection=winrm
ansible_winrm_scheme=http
ansible_winrm_port=5985

三、Windows专用模块的深度应用

1. 文件系统操作

使用win_file模块管理文件和目录：

- name: 创建日志目录
  win_file:
    path: C:\Logs
    state: directory
- name: 部署配置文件
  win_copy:
    src: files/app_config.xml
    dest: C:\App\config.xml
    remote_src: no

2. 软件包管理

通过win_chocolatey模块集成Chocolatey包管理器：

- name: 安装7-Zip
  win_chocolatey:
    name: 7zip
    state: present
- name: 卸载旧版Java
  win_chocolatey:
    name: jre8
    state: absent

3. 服务控制

使用win_service模块管理Windows服务：

- name: 启动IIS服务
  win_service:
    name: W3SVC
    state: started
    start_mode: auto
- name: 检查服务状态
  win_service:
    name: MSSQLSERVER
    register: service_status
  debug:
    var: service_status.state

4. 注册表操作

通过win_regedit模块修改注册表项：

- name: 配置自动登录
  win_regedit:
    path: HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    name: AutoAdminLogon
    data: 1
    type: string

四、Playbook编写最佳实践

1. 变量管理策略

采用分层变量管理：

# group_vars/windows_servers.yml
win_admin_group: "DOMAIN\\Admins"
iis_sites:
  - name: "Default Web Site"
    port: 80
    path: "C:\inetpub\wwwroot"

2. 错误处理机制

使用block和rescue实现异常捕获：

- name: 部署Web应用
  block:
    - win_copy:
        src: webapp.zip
        dest: C:\Temp\
    - win_unzip:
        src: C:\Temp\webapp.zip
        dest: C:\App\
        delete_after_extract: yes
  rescue:
    - win_file:
        path: C:\App\
        state: absent
    - fail:
        msg: "部署失败，已清理残留文件"

3. 幂等性保障

通过creates参数确保任务仅在必要时执行：

- name: 安装.NET Framework
  win_feature:
    name: NET-Framework-Core
    state: present
    include_sub_features: yes
    include_management_tools: yes
  register: dotnet_result
  until: dotnet_result is succeeded
  retries: 3
  delay: 60

五、常见问题解决方案

1. WinRM连接失败

• 现象：UNREACHABLE! => {"changed": false, "msg": "ssl: HTTPSConnectionPool..."}
• 解决：
  1. 检查证书配置：winrm get winrm/config/client/auth
  2. 临时禁用证书验证（测试环境）：

     [default]
     ansible_winrm_transport = basic
     ansible_winrm_server_cert_validation = ignore

2. 权限不足错误

• 现象：FAILED! => {"changed": false, "msg": "Access is denied."}
• 解决：
  1. 确认使用的账户在Remote Management Users组中
  2. 检查UAC设置：reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

3. 执行超时问题

• 现象：TASK [Wait for service] ********************************************************** fatal: [win-server01]: FAILED! => {"changed": false, "elapsed": 300, "msg": "Timeout when waiting for ..."}
• 解决：
  1. 调整全局超时设置：

     [defaults]
     timeout = 600

  2. 在任务级覆盖：

     - name: 长时间运行的任务
       win_command: "C:\Scripts\heavy_task.ps1"
       async: 3600
       poll: 0

六、进阶优化技巧

1. 使用WinRM Kerberos认证

在ansible.cfg中配置：

[defaults]
remote_tmp = C:\Users\ansible\tmp
gather_timeout = 30
[winrm connection]
transport = kerberos

2. 日志集中管理

配置日志收集Playbook：

- name: 收集系统日志
  win_logrotate:
    path: C:\Windows\System32\winevt\Logs
    age: 7d
    size: 100MB
    compress: yes
  register: log_result
- name: 上传日志到分析服务器
  win_copy:
    src: "{{ item.path }}"
    dest: "\\\\logserver\logs\"
    remote_src: yes
  loop: "{{ log_result.files }}"

3. 混合环境编排

结合add_host模块动态管理节点：

- name: 发现AD计算机
  win_shell: |
    Get-ADComputer -Filter * | Select -ExpandProperty Name
  register: ad_computers
- name: 添加到Ansible清单
  add_host:
    name: "{{ item }}"
    groups: dynamically_added
  loop: "{{ ad_computers.stdout_lines }}"

通过系统化的环境准备、模块应用和Playbook设计，Ansible能够在Windows环境中实现与Linux同等水平的自动化能力。运维团队应重点关注WinRM配置、权限管理和模块选择这三个关键点，同时结合企业实际需求构建分层防御体系。建议从文件管理和服务控制等基础场景切入，逐步扩展到注册表操作和混合编排等高级领域，最终形成完整的Windows自动化运维体系。