Compartilhar via


Instalação e configuração para gerenciamento remoto do Windows:

Para que os scripts do WinRM (Gerenciamento Remoto do Windows) sejam executados e a ferramenta de linha de comando execute operações de dados, ele deve ser instalado e configurado .

Os seguintes elementos também dependem da configuração do WinRM:

O local de instalação do WinRM

O WinRM é instalado automaticamente com todas as versões compatíveis atualmente com o sistema operacional Windows.

Configurações do WinRM e IPMI:

Esses componentes do provedor WMI IPMI (Interface de Gerenciamento de Plataforma Inteligente) e WinRM são instalados com o sistema operacional.

  • O WinRM automaticamente inicia no Windows Server 2008 e posterior. Em versões anteriores do Windows (cliente ou servidor), é necessário iniciar o serviço manualmente.
  • Por padrão, nenhum ouvinte WinRM é configurado . Mesmo que o WinRM esteja em execução, as mensagens do protocolo de gestão WS que solicitam dados, não podem ser recebidas ou enviadas .
  • O firewall de conexão com a internet (ICF) bloqueia o acesso às portas.

Use o comando para localizar ouvintes e os endereços digitando o seguinte prompt de comando: winrm.

winrm enumerate winrm/config/listener

Para checar as configurações, use o seguinte comando:

winrm get winrm/config

Configuração padrão rápida:

Habilite o protocolo WS-Management no computador local e defina a configuração padrão para gerenciamento remoto com o comando: winrm quickconfig.

O comando winrm quickconfig (que pode ser abreviado para winrm qc) executa as seguintes operações:

  • Inicia o serviço WinRM e define o tipo de inicialização do serviço como inicialização automática .
  • Configura um escutador para as portas que enviam e recebem mensagens do protocolo WS-Management usando HTTP ou HTTPS em qualquer endereço IP .
  • Define exceções ICF para o serviço WinRM e abre as portas para HTTP e HTTPS.

Observação:

O comando cria uma exceção de firewall apenas para o perfil de usuário atual winrm quickconfig. Se o perfil do firewall for alterado por qualquer motivo, execute winrm quickconfig para habilitar a exceção de firewall para o novo perfil (caso contrário, a mesma pode não estar habilitada).

Para recuperar informações sobre personalizar uma configuração, use o comando a seguir em um prompt de comando:

winrm help config

Para configurar o WinRM com configurações padrão:

  1. Num prompt de comando em execução como a conta de administrador do computador local, execute este comando:

    winrm quickconfig
    

    Se você não estiver executando como administrador do computador local, selecione Executar como administrador no menu Iniciar, ou use o comando Runas em um prompt de comando.

  2. Quando a ferramenta exibir fazer essas alterações [s/n]?, digite y.

    Se a configuração for bem-sucedida, então será exibido o seguinte resultado:

    WinRM has been updated for remote management.
    
    WinRM service type changed to delayed auto start.
    WinRM service started.
    Created a WinRM listener on https://* to accept WS-Man requests to any IP on this machine.
    
  3. Mantenha as configurações padrão para componentes de cliente e servidor do WinRM ou personalize-as. Por exemplo, talvez seja necessário adicionar determinados computadores remotos à lista de configuração do cliente TrustedHosts.

    Configure uma lista de hosts confiáveis quando não for possível a autenticação mútua. O Kerberos permite autenticação mútua, mas não pode ser usado em grupos de trabalho, somente domínios. Uma prática recomendada ao configurar hosts confiáveis para um grupo de trabalho é restringir a lista o máximo possível.

  4. Use o seguinte comando para criar um ouvinte HTTPS:

    winrm quickconfig -transport:https
    

    Observação:

    Abra a porta 5986 para funcionar o transporte HTTPS.

Configurações padrão do ouvinte e do protocolo de gestão WS

Para obter a configuração do ouvinte, digite em um prompt de comando winrm enumerate winrm/config/listener. Os ouvintes são definidos por um transporte (HTTP ou HTTPS) e um endereço IPv4 ou IPv6.

O comando winrm quickconfig cria para um ouvinte as seguintes configurações padrão. É possível criar mais de um ouvinte. Para mais informações, digite winrm help config em um prompt de comando.

Endereço

Especifica o endereço onde este ouvinte está sendo criado.

Transporte

Especifica o transporte a ser usado para enviar e receber respostas e solicitações do protocolo de gestão do WS. O valor deve ser HTTP ou HTTPS. O padrão é HTTP.

Porta

Especifica a porta TCP onde este ouvinte é criado.

WinRM 2.0: 5985 é a porta HTTP padrão.

Nome do host

Especifica o nome do host do computador no qual o serviço WinRM está sendo executado. O valor deve ser um nome de domínio totalmente qualificado, uma cadeia de caracteres literal IPv4 ou IPv6 ou um caractere curinga.

Habilitado

Especifica se o ouvinte está habilitado ou desabilitado. O valor padrão é True.

URLPrefix

Especifica um prefixo de URL que aceita solicitações HTTP ou HTTPS. Essa cadeia de caracteres contém apenas os caracteres a-z, A-Z, 9-0, sublinhado (_) e barra (/). A cadeia de caracteres não deve começar ou terminar com uma barra (/). Por exemplo, se o nome do computador for SampleMachine, o cliente WinRM especificará https://SampleMachine/<URLPrefix> no endereço de destino. O prefixo de URL padrão é wsman.

Certificação por digital

Especifica a impressão digital do certificado de serviço. Esse valor representa uma cadeia de caracteres de valores hexadecimais de dois dígitos encontrados no campo Impressão digital do certificado. Esta cadeia de caracteres contém o hash SHA-1 do certificado. Certificados digitais são empregados na autenticação de clientes baseada em certificados. Os certificados digitais podem ser vinculados apenas a contas de usuário locais. Eles não funcionam com contas de domínio.

ListeningOn

Especifica os endereços IPv4 e IPv6 usados pelo ouvinte. Por exemplo, 111.0.0.1, 111.222.333.444, ::1, 1000:2000:2c:3:c19:9ec8:a715:5e24, 3ffe:8311:ffff:f70f:0:5efe:111.222.333.444, fe80::5efe:111.222.333.444%8, fe80::c19:9ec8:a715:5e24%6.

Configurações padrão do protocolo

Muitas definições de configuração, como MaxEnvelopeSizekb ou SoapTraceEnabled, determinam como os componentes do cliente e do servidor do WinRM interagem com o protocolo de WS-Management. As seções a seguir descrevem as definições disponíveis de configuração.

Tamanho máximo de dados em kilobytes

Especifica, em kilobytes, o máximo de dados SOAP (Simple Object Access Protocol) O padrão é 150 quilobytes.

Observação

O comportamento não terá suporte se MaxEnvelopeSizekb estiver definido como um valor maior que 1039440.

Tempo máximo de expiração em milissegundos

Especifica o tempo máximo de expiração em milissegundos, que pode ser usado para qualquer solicitação exceto solicitações específicas Pull. O padrão é 60000.

Número Máximo de Itens em Lote

Especifica o limite de elementos que podem ser usados numa resposta Pull. O padrão é 32000.

Número máximo de solicitações do provedor

Especifica o limite de solicitações simultâneas permitido pelo serviço. O padrão é 25.

WinRM 2.0: essa configuração está obsoleta e está definida como somente leitura.

Definições de configuração padrão do cliente WinRM

A versão do cliente do WinRM tem as seguintes definições de configuração padrão.

Tempo de atraso de rede em milissegundos

Especifica o tempo extra, em milissegundos, que o computador cliente aguarda para acomodar o tempo de atraso de rede. O padrão é 5000 milissegundos.

URLPrefix

Especifica um prefixo de URL que aceita solicitações HTTP ou HTTPS. O prefixo de URL padrão é wsman.

Permitir tráfego não criptografado

Permite que o computador cliente requisite tráfego não criptografado. Por padrão, o computador cliente requer tráfego de rede criptografado e essa configuração é False.

Básica

Permite que o computador cliente use a autenticação básica. A autenticação básica é um esquema no qual o nome de usuário e a senha são enviados em texto não criptografado para o servidor ou proxy. Esse método de autenticação é o menos seguro. O padrão é verdadeiro.

Digest

Permite que o cliente use a autenticação Digest. Digest é um esquema de desafio/resposta de autenticação que utiliza uma cadeia de caracteres de dados do servidor especificado. Somente o computador cliente pode requerer uma autenticação Digest.

O computador cliente envia uma solicitação ao servidor para autenticar e recebe um token (valor único e seguro) do servidor. Em seguida, o computador cliente envia a requisição de recurso, incluindo o nome de usuário e um hash criptográfico da senha combinada com o token.

A autenticação Digest tem suporte para HTTP e HTTPS. Os scripts e aplicativos de cliente do Shell do WinRM podem especificar a autenticação Digest, mas o serviço WinRM não a aceita. O padrão é True.

Observação:

A autenticação Digest por HTTP não é considerada segura.

Certificado

Permite que o cliente use autenticação baseada em certificado de cliente. A autenticação baseada em certificado é um esquema no qual o servidor autentica um cliente identificado por um certificado X509. O padrão é verdadeiro.

Kerberos

Permite que o cliente use a autenticação Kerberos. A autenticação Kerberos é um esquema no qual o cliente e o servidor autenticam mutuamente usando certificados Kerberos. O padrão é verdadeiro.

Negociar

Permite que o cliente use a autenticação negociar. Negociar a autenticação é um esquema no qual o cliente envia uma solicitação ao servidor para autenticar.

O servidor determina se deve ou não usar o protocolo Kerberos ou o NT LAN Manager (NTLM). O protocolo Kerberos é selecionado para autenticar uma conta de domínio. O NTLM é selecionado para contas de computador local. O nome de usuário deve ser especificado no formato domínio\user_name para um usuário de domínio. O nome de usuário deve ser especificado no formato server_name\user_name para um usuário local num servidor. O padrão é True.

Fornecedor de suporte à segurança de credenciais

Permite que o cliente use o CredSSP (fornecedor de suporte à segurança de credenciais) para autenticação. O CredSSP permite que um aplicativo delegue as credenciais do usuário do computador cliente para o servidor de destino. O padrão é False.

DefaultPorts

Especifica as portas que o cliente usa para HTTP ou HTTPS.

WinRM 2.0: a porta HTTP padrão é 5985 e a porta HTTPS padrão é 5986.

Hosts confiáveis

Especifica a lista de computadores remotos confiáveis. Outros computadores num grupo de trabalho ou num domínio diferente devem ser adicionados a essa lista.

Observação:

Os computadores na lista de hosts confiáveis não são autenticados. O cliente pode enviar credenciais para esses computadores.

Se um endereço IPv6 for especificado para um host confiável, deverá estar entre colchetes, como demonstrado, a seguir, pelo comando de utilitário Winrm:

winrm set winrm/config/client '@{TrustedHosts ="[0:0:0:0:0:0:0:0]"}'

Para mais informações sobre como adicionar computadores à TrustedHosts lista, digite winrm help config.

Definições de configuração padrão do serviço WinRM

A versão de serviço do WinRM tem as seguintes definições de configuração padrão.

RootSDDL

Especifica o descritor de segurança que controla o acesso remoto ao ouvinte. O padrão é O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;ER)S:P(AU;FA;GA;;;WD)(AU;SA;GWGX;;;WD).

Máximo operações simultâneas:

O número máximo de operações simultâneas. O padrão é 100.

WinRM 2.0: A configuração MaxConcurrentOperations está obsoleta e definida como somente leitura. Essa configuração foi substituída por MaxConcurrentOperationsPerUser.

Máximo de operações simultâneas por usuário

Especifica o número máximo de operações simultâneas que qualquer usuário pode abrir remotamente no mesmo sistema. O padrão é 1500.

Tempo de espera para enumeração em milissegundos

Especifica o tempo limite de espera, em milissegundos, entre as mensagens Pull. O padrão é 60000.

Máximo de conexões

Especifica o número máximo de requisições ativas simultânes que o serviço pode processar. O padrão é 300.

WinRM 2.0: o padrão é 25.

Tempo máximo de recuperação de pacote de dados em segundos

Especifica o tempo máximo em segundos que o serviço WinRM leva para recuperar um pacote de dados. O padrão é 120 segundos.

Permitir tráfego não criptografado.

Permite que o computador cliente requisite tráfego não criptografado. O padrão é False.

Básico

Permite que o serviço WinRM use a autenticação básica. O padrão é False.

Certificado

Permite que o serviço WinRM use a autenticação baseada em certificado do cliente. O padrão é False.

Kerberos

Permite que o serviço WinRM use a autenticação Kerberos. O padrão é True.

Negociar

Permite que o serviço WinRM use a autenticação Negotiate. O padrão é True.

Fornecedor de suporte à segurança de credenciais

Permite que o serviço WinRM use o CredSSP (Fornecedor de suporte à segurança de credenciais) para autenticação. O padrão é False.

CbtHardeningLevel

Define a política para requisitos de token de associação de canal em solicitações de autenticação. O padrão é Relaxed.

DefaultPorts

Especifica as portas que o serviço WinRM usa para HTTP ou HTTPS.

WinRM 2.0: 5985 é a porta HTTP padrão. A porta HTTPS padrão é 5986.

IPv4Filter e IPv6Filter.

Especifica os endereços IPv4 ou IPv6 que os ouvintes podem usar. Os padrões são IPv4Filter = * e IPv6Filter = *.

  • IPv4: uma cadeia de caracteres literal IPv4 consiste em quatro números decimais pontilhados, cada um no intervalo de 0 a 255. Por exemplo: 192.168.0.0.
  • IPv6: uma cadeia de caracteres literal IPv6 é colocada entre colchetes e contém números hexadecimais separados por dois-pontos. Por exemplo: [::1] ou [3ffe:ffff::6ECB:0101].

Habilitar ouvinte HTTP de compatibilidade

Especifica se o ouvinte HTTP de compatibilidade está ativado. Se essa configuração for True, o ouvinte escutará na portas 80 e 5985. O padrão é False.

EnableCompatibilityHttpsListener

Especifica se o ouvinte HTTPS de compatibilidade está habilitado. Se essa configuração for True, o ouvinte escutará nas portas 443 e 5986. O padrão é False.

Definições da configurações padrão do Winrs

O comando winrm quickconfig também define as configurações padrão do Winrs.

ermitir Acesso Remoto ao Shell

Permite o acesso a shells remotos. Se você definir esse parâmetro como False, o servidor rejeitará novas conexões de shell remoto pelo servidor. O padrão é True.

Tempo de inatividade

Especifica o tempo máximo, em milissegundos, que o shell remoto permanece aberto quando não houver nenhuma atividade de usuário. O shell remoto é excluído após esse tempo.

WinRM 2.0: o padrão é 180000. O valor mínimo é 60000. Definir esse valor abaixo de 60000 não modifica o comportamento de tempo limite.

Máximo de usuários simultâneos

Especifica o número máximo de usuários que podem executar simultaneamente operações remotas no mesmo computador por meio de um shell remoto. Se novas conexões de shell remoto excederem o limite, o computador as rejeitará. O padrão é 5.

Tempo máximo de execução do Shell

Especifica o tempo máximo em milissegundos que o comando ou script remoto pode ser executado. O padrão é 28800000.

WinRM 2.0: a configuração MaxShellRunTime é definida como somente leitura. Alterar o valor MaxShellRunTime não tem efeito sobre os shells remotos.

Número máximo de processos por shell

Especifica o número máximo de processos que qualquer operação de shell pode iniciar. Um valor 0 permite um número ilimitado de processos. O padrão é 15.

Memória máxima por sessão de shell (MB)".

Especifica a quantidade máxima de memória alocada por shell, incluindo os processos filho do shell. O padrão é 150 MB.

Número máximo de shells por usuário

Especifica o número máximo de shells simultâneos que qualquer usuário pode abrir remotamente no mesmo computador. Se essa de configuração estiver habilitada, o usuário não poderá abrir novos shells remotos se a contagem exceder o limite especificado. Se essa configuração de política estiver desabilitada ou não estiver configurada, o limite padrão será definido como cinco shells remotos por usuário.

Configurar WinRM com uma Política de Grupo

Use o editor de Política de Grupo para configurar o Shell Remoto do Windows e o WinRM para computadores em sua empresa.

Para configurar com a Política de grupo:

  1. Abra uma janela de Prompt de comando como administrador.
  2. No prompt de comando, digite gpedit.msc. A janela Editor de Objeto de Política de Grupo será aberta.
  3. Encontre Gerenciamento remoto do Windows e Windows Shell Remote Objetos de Política de Grupo (GPO) em Configurações do computador\Modelos Administrativos\Componentes do Windows.
  4. Na guia Extendido, selecione uma configuração para ver uma descrição. Clique duas vezes em uma configuração para editá-la.

Portas do Firewall do Windows e do WinRM 2.0

A partir do WinRM 2.0, as portas de ouvinte padrão configuradas Winrm quickconfig são a porta 5985 para transporte HTTP e a porta 5986 para HTTPS. Os ouvintes do WinRM podem ser configurados em qualquer porta arbitrária.

Se você atualizar um computador para o WinRM 2.0, os ouvintes configurados anteriormente serão migrados e ainda receberão tráfego.

Notas de instalação e configuração do WinRM

O WinRM não depende de nenhum outro serviço, exceto WinHttp. Se o Serviço de Administração do IIS estiver instalado no mesmo computador, poderá ver mensagens que indicam que o WinRM não pode ser carregado antes do IIS (Serviços de Informações da Internet). No entanto, o WinRM não depende realmente do IIS. Essas mensagens ocorrem porque a ordem de carregamento garante que o serviço IIS seja iniciado antes do serviço HTTP. O WinRM requer que WinHTTP.dll esteja registrado.

Se o cliente de firewall ISA2004 estiver instalado no computador, este poderá fazer com que um cliente Web Services for Management (WS-Management) pare de responder. Para evitar esse problema, instale ISA2004 Firewall SP1.

Se dois serviços de escuta com endereços IP diferentes forem configurados com o mesmo número de porta e nome de computador, o WinRM escutará ou receberá mensagens em apenas um endereço. Isso ocorre porque os prefixos de URL usados pelo protocolo WS-Management são os mesmos.

Notas de instalação do driver e do provedor IPMI.

O driver pode não detectar a existência de drivers IPMI que não são da Microsoft. Se o driver não for iniciado, talvez seja necessário desativá-lo.

Se os recursos do controlador de gerenciamento da placa base (BMC) aparecerem no BIOS do sistema, o ACPI (Plug and Play) detectará o hardware do BMC e instalará automaticamente o driver IPMI. O suporte a Plug and Play pode não estar presente em todos os BMCs. Se o BMC for detectado por Plug and Play, um dispositivo desconhecido aparecerá no Gerenciador de dispositivos antes que o componente de gerenciamento de hardware seja instalado. Quando o driver é instalado, um novo componente, o dispositivo compatível com IPMI genérico ACPI da Microsoft, aparece no Gerenciador de Dispositivos.

Se o sistema não detectar automaticamente o BMC e instalar o driver, mas um BMC tiver sido detectado durante o processo de instalação, crie o dispositivo BMC. Para criar o dispositivo, digite o seguinte comando em um prompt de comando:

Rundll32 ipmisetp.dll, AddTheDevice

Depois que esse comando é executado, o dispositivo IPMI é criado e aparece no Gerenciador de dispositivos. Se você desinstalar o componente Gerenciamento de hardware, o dispositivo será removido.

Para obter mais informações, consulte Introdução ao gerenciamento de hardware.

O provedor IPMI coloca as classes de hardware no namespace root\hardware do WMI. Para obter mais informações sobre as classes de hardware, consulte Provedor IPMI. Para obter mais informações sobre namespaces WMI, consulte Arquitetura WMI.

Notas de configuração do plug-in WMI

A partir do Windows 8 e do Windows Server 2012, os plug-ins WMI têm suas próprias configurações de segurança. Para que um usuário normal ou avançado, não um administrador, possa usar o plug-in WMI, habilite o acesso para esse usuário após a configuração do ouvinte . Configure o usuário para acesso remoto ao WMI por meio de uma destas etapas.

  • Executar lusrmgr.msc para adicionar o usuário ao grupo WinRMRemoteWMIUsers__ na janela Usuários e Grupos Locais.

  • Use a ferramenta de linha de comando Winrm para configurar o descritor de segurança para o espaço do nome do plug-in WMI:

    winrm configSDDL http://schemas.microsoft.com/wbem/wsman/1/wmi/ WmiNamespace
    

Quando a interface do usuário for exibida, adicione o usuário.

Depois de configurar o usuário para acesso remoto ao WMI, você deve configurar o WMI para permitir que o usuário acesse o plug-in. Para permitir o acesso, execute wmimgmt.msc para modificar a segurança WMI para o espaço do nome a ser acessado na janela Controle de WMI.

A maioria das classes WMI para gerenciamento está no namespace root\cimv2.