Instalação e configuração para gerenciamento remoto do Windows:
Para que os scripts do WinRM (Gerenciamento Remoto do Windows) sejam executados e a ferramenta de linha de comando execute operações de dados, ele deve ser instalado e configurado .
Os seguintes elementos também dependem da configuração do WinRM:
- A ferramenta de linha de comando do Shell Remoto do Windows, Winrs.
- Encaminhamento de eventos .
- Acesso remoto ao Windows PowerShell 2.0.
O local de instalação do WinRM
O WinRM é instalado automaticamente com todas as versões compatíveis atualmente com o sistema operacional Windows.
Configurações do WinRM e IPMI:
Esses componentes do provedor WMI IPMI (Interface de Gerenciamento de Plataforma Inteligente) e WinRM são instalados com o sistema operacional.
- O WinRM automaticamente inicia no Windows Server 2008 e posterior. Em versões anteriores do Windows (cliente ou servidor), é necessário iniciar o serviço manualmente.
- Por padrão, nenhum ouvinte WinRM é configurado . Mesmo que o WinRM esteja em execução, as mensagens do protocolo de gestão WS que solicitam dados, não podem ser recebidas ou enviadas .
- O firewall de conexão com a internet (ICF) bloqueia o acesso às portas.
Use o comando para localizar ouvintes e os endereços digitando o seguinte prompt de comando: winrm
.
winrm enumerate winrm/config/listener
Para checar as configurações, use o seguinte comando:
winrm get winrm/config
Configuração padrão rápida:
Habilite o protocolo WS-Management no computador local e defina a configuração padrão para gerenciamento remoto com o comando: winrm quickconfig
.
O comando winrm quickconfig
(que pode ser abreviado para winrm qc
) executa as seguintes operações:
- Inicia o serviço WinRM e define o tipo de inicialização do serviço como inicialização automática .
- Configura um escutador para as portas que enviam e recebem mensagens do protocolo WS-Management usando HTTP ou HTTPS em qualquer endereço IP .
- Define exceções ICF para o serviço WinRM e abre as portas para HTTP e HTTPS.
Observação:
O comando cria uma exceção de firewall apenas para o perfil de usuário atual winrm quickconfig
. Se o perfil do firewall for alterado por qualquer motivo, execute winrm quickconfig
para habilitar a exceção de firewall para o novo perfil (caso contrário, a mesma pode não estar habilitada).
Para recuperar informações sobre personalizar uma configuração, use o comando a seguir em um prompt de comando:
winrm help config
Para configurar o WinRM com configurações padrão:
Num prompt de comando em execução como a conta de administrador do computador local, execute este comando:
winrm quickconfig
Se você não estiver executando como administrador do computador local, selecione Executar como administrador no menu Iniciar, ou use o comando
Runas
em um prompt de comando.Quando a ferramenta exibir fazer essas alterações [s/n]?, digite y.
Se a configuração for bem-sucedida, então será exibido o seguinte resultado:
WinRM has been updated for remote management. WinRM service type changed to delayed auto start. WinRM service started. Created a WinRM listener on https://* to accept WS-Man requests to any IP on this machine.
Mantenha as configurações padrão para componentes de cliente e servidor do WinRM ou personalize-as. Por exemplo, talvez seja necessário adicionar determinados computadores remotos à lista de configuração do cliente
TrustedHosts
.Configure uma lista de hosts confiáveis quando não for possível a autenticação mútua. O Kerberos permite autenticação mútua, mas não pode ser usado em grupos de trabalho, somente domínios. Uma prática recomendada ao configurar hosts confiáveis para um grupo de trabalho é restringir a lista o máximo possível.
Use o seguinte comando para criar um ouvinte HTTPS:
winrm quickconfig -transport:https
Observação:
Abra a porta 5986 para funcionar o transporte HTTPS.
Configurações padrão do ouvinte e do protocolo de gestão WS
Para obter a configuração do ouvinte, digite em um prompt de comando winrm enumerate winrm/config/listener
. Os ouvintes são definidos por um transporte (HTTP ou HTTPS) e um endereço IPv4 ou IPv6.
O comando winrm quickconfig
cria para um ouvinte as seguintes configurações padrão. É possível criar mais de um ouvinte. Para mais informações, digite winrm help config
em um prompt de comando.
Endereço
Especifica o endereço onde este ouvinte está sendo criado.
Transporte
Especifica o transporte a ser usado para enviar e receber respostas e solicitações do protocolo de gestão do WS. O valor deve ser HTTP ou HTTPS. O padrão é HTTP.
Porta
Especifica a porta TCP onde este ouvinte é criado.
WinRM 2.0: 5985 é a porta HTTP padrão.
Nome do host
Especifica o nome do host do computador no qual o serviço WinRM está sendo executado. O valor deve ser um nome de domínio totalmente qualificado, uma cadeia de caracteres literal IPv4 ou IPv6 ou um caractere curinga.
Habilitado
Especifica se o ouvinte está habilitado ou desabilitado. O valor padrão é True.
URLPrefix
Especifica um prefixo de URL que aceita solicitações HTTP ou HTTPS. Essa cadeia de caracteres contém apenas os caracteres a-z, A-Z, 9-0, sublinhado (_) e barra (/). A cadeia de caracteres não deve começar ou terminar com uma barra (/). Por exemplo, se o nome do computador for SampleMachine, o cliente WinRM especificará https://SampleMachine/<URLPrefix>
no endereço de destino. O prefixo de URL padrão é wsman
.
Certificação por digital
Especifica a impressão digital do certificado de serviço. Esse valor representa uma cadeia de caracteres de valores hexadecimais de dois dígitos encontrados no campo Impressão digital do certificado. Esta cadeia de caracteres contém o hash SHA-1 do certificado. Certificados digitais são empregados na autenticação de clientes baseada em certificados. Os certificados digitais podem ser vinculados apenas a contas de usuário locais. Eles não funcionam com contas de domínio.
ListeningOn
Especifica os endereços IPv4 e IPv6 usados pelo ouvinte. Por exemplo, 111.0.0.1, 111.222.333.444, ::1, 1000:2000:2c:3:c19:9ec8:a715:5e24, 3ffe:8311:ffff:f70f:0:5efe:111.222.333.444, fe80::5efe:111.222.333.444%8, fe80::c19:9ec8:a715:5e24%6
.
Configurações padrão do protocolo
Muitas definições de configuração, como MaxEnvelopeSizekb ou SoapTraceEnabled, determinam como os componentes do cliente e do servidor do WinRM interagem com o protocolo de WS-Management. As seções a seguir descrevem as definições disponíveis de configuração.
Tamanho máximo de dados em kilobytes
Especifica, em kilobytes, o máximo de dados SOAP (Simple Object Access Protocol) O padrão é 150 quilobytes.
Observação
O comportamento não terá suporte se MaxEnvelopeSizekb estiver definido como um valor maior que 1039440.
Tempo máximo de expiração em milissegundos
Especifica o tempo máximo de expiração em milissegundos, que pode ser usado para qualquer solicitação exceto solicitações específicas Pull
. O padrão é 60000.
Número Máximo de Itens em Lote
Especifica o limite de elementos que podem ser usados numa resposta Pull
. O padrão é 32000.
Número máximo de solicitações do provedor
Especifica o limite de solicitações simultâneas permitido pelo serviço. O padrão é 25.
WinRM 2.0: essa configuração está obsoleta e está definida como somente leitura.
Definições de configuração padrão do cliente WinRM
A versão do cliente do WinRM tem as seguintes definições de configuração padrão.
Tempo de atraso de rede em milissegundos
Especifica o tempo extra, em milissegundos, que o computador cliente aguarda para acomodar o tempo de atraso de rede. O padrão é 5000 milissegundos.
URLPrefix
Especifica um prefixo de URL que aceita solicitações HTTP ou HTTPS. O prefixo de URL padrão é wsman.
Permitir tráfego não criptografado
Permite que o computador cliente requisite tráfego não criptografado. Por padrão, o computador cliente requer tráfego de rede criptografado e essa configuração é False.
Básica
Permite que o computador cliente use a autenticação básica. A autenticação básica é um esquema no qual o nome de usuário e a senha são enviados em texto não criptografado para o servidor ou proxy. Esse método de autenticação é o menos seguro. O padrão é verdadeiro.
Digest
Permite que o cliente use a autenticação Digest. Digest é um esquema de desafio/resposta de autenticação que utiliza uma cadeia de caracteres de dados do servidor especificado. Somente o computador cliente pode requerer uma autenticação Digest.
O computador cliente envia uma solicitação ao servidor para autenticar e recebe um token (valor único e seguro) do servidor. Em seguida, o computador cliente envia a requisição de recurso, incluindo o nome de usuário e um hash criptográfico da senha combinada com o token.
A autenticação Digest tem suporte para HTTP e HTTPS. Os scripts e aplicativos de cliente do Shell do WinRM podem especificar a autenticação Digest, mas o serviço WinRM não a aceita. O padrão é True
.
Observação:
A autenticação Digest por HTTP não é considerada segura.
Certificado
Permite que o cliente use autenticação baseada em certificado de cliente. A autenticação baseada em certificado é um esquema no qual o servidor autentica um cliente identificado por um certificado X509. O padrão é verdadeiro.
Kerberos
Permite que o cliente use a autenticação Kerberos. A autenticação Kerberos é um esquema no qual o cliente e o servidor autenticam mutuamente usando certificados Kerberos. O padrão é verdadeiro.
Negociar
Permite que o cliente use a autenticação negociar. Negociar a autenticação é um esquema no qual o cliente envia uma solicitação ao servidor para autenticar.
O servidor determina se deve ou não usar o protocolo Kerberos ou o NT LAN Manager (NTLM). O protocolo Kerberos é selecionado para autenticar uma conta de domínio. O NTLM é selecionado para contas de computador local. O nome de usuário deve ser especificado no formato domínio\user_name para um usuário de domínio. O nome de usuário deve ser especificado no formato server_name\user_name para um usuário local num servidor. O padrão é True
.
Fornecedor de suporte à segurança de credenciais
Permite que o cliente use o CredSSP (fornecedor de suporte à segurança de credenciais) para autenticação. O CredSSP permite que um aplicativo delegue as credenciais do usuário do computador cliente para o servidor de destino. O padrão é False
.
DefaultPorts
Especifica as portas que o cliente usa para HTTP ou HTTPS.
WinRM 2.0: a porta HTTP padrão é 5985 e a porta HTTPS padrão é 5986.
Hosts confiáveis
Especifica a lista de computadores remotos confiáveis. Outros computadores num grupo de trabalho ou num domínio diferente devem ser adicionados a essa lista.
Observação:
Os computadores na lista de hosts confiáveis não são autenticados. O cliente pode enviar credenciais para esses computadores.
Se um endereço IPv6 for especificado para um host confiável, deverá estar entre colchetes, como demonstrado, a seguir, pelo comando de utilitário Winrm
:
winrm set winrm/config/client '@{TrustedHosts ="[0:0:0:0:0:0:0:0]"}'
Para mais informações sobre como adicionar computadores à TrustedHosts
lista, digite winrm help config
.
Definições de configuração padrão do serviço WinRM
A versão de serviço do WinRM tem as seguintes definições de configuração padrão.
RootSDDL
Especifica o descritor de segurança que controla o acesso remoto ao ouvinte. O padrão é O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;ER)S:P(AU;FA;GA;;;WD)(AU;SA;GWGX;;;WD)
.
Máximo operações simultâneas:
O número máximo de operações simultâneas. O padrão é 100.
WinRM 2.0: A configuração MaxConcurrentOperations
está obsoleta e definida como somente leitura. Essa configuração foi substituída por MaxConcurrentOperationsPerUser
.
Máximo de operações simultâneas por usuário
Especifica o número máximo de operações simultâneas que qualquer usuário pode abrir remotamente no mesmo sistema. O padrão é 1500.
Tempo de espera para enumeração em milissegundos
Especifica o tempo limite de espera, em milissegundos, entre as mensagens Pull
. O padrão é 60000.
Máximo de conexões
Especifica o número máximo de requisições ativas simultânes que o serviço pode processar. O padrão é 300.
WinRM 2.0: o padrão é 25.
Tempo máximo de recuperação de pacote de dados em segundos
Especifica o tempo máximo em segundos que o serviço WinRM leva para recuperar um pacote de dados. O padrão é 120 segundos.
Permitir tráfego não criptografado.
Permite que o computador cliente requisite tráfego não criptografado. O padrão é False
.
Básico
Permite que o serviço WinRM use a autenticação básica. O padrão é False
.
Certificado
Permite que o serviço WinRM use a autenticação baseada em certificado do cliente. O padrão é False
.
Kerberos
Permite que o serviço WinRM use a autenticação Kerberos. O padrão é True
.
Negociar
Permite que o serviço WinRM use a autenticação Negotiate. O padrão é True
.
Fornecedor de suporte à segurança de credenciais
Permite que o serviço WinRM use o CredSSP (Fornecedor de suporte à segurança de credenciais) para autenticação. O padrão é False
.
CbtHardeningLevel
Define a política para requisitos de token de associação de canal em solicitações de autenticação. O padrão é Relaxed.
DefaultPorts
Especifica as portas que o serviço WinRM usa para HTTP ou HTTPS.
WinRM 2.0: 5985 é a porta HTTP padrão. A porta HTTPS padrão é 5986.
IPv4Filter e IPv6Filter.
Especifica os endereços IPv4 ou IPv6 que os ouvintes podem usar. Os padrões são IPv4Filter = *
e IPv6Filter = *
.
- IPv4: uma cadeia de caracteres literal IPv4 consiste em quatro números decimais pontilhados, cada um no intervalo de 0 a 255. Por exemplo: 192.168.0.0.
- IPv6: uma cadeia de caracteres literal IPv6 é colocada entre colchetes e contém números hexadecimais separados por dois-pontos. Por exemplo: [::1] ou [3ffe:ffff::6ECB:0101].
Habilitar ouvinte HTTP de compatibilidade
Especifica se o ouvinte HTTP de compatibilidade está ativado. Se essa configuração for True
, o ouvinte escutará na portas 80 e 5985. O padrão é False
.
EnableCompatibilityHttpsListener
Especifica se o ouvinte HTTPS de compatibilidade está habilitado. Se essa configuração for True
, o ouvinte escutará nas portas 443 e 5986. O padrão é False
.
Definições da configurações padrão do Winrs
O comando winrm quickconfig
também define as configurações padrão do Winrs.
ermitir Acesso Remoto ao Shell
Permite o acesso a shells remotos. Se você definir esse parâmetro como False
, o servidor rejeitará novas conexões de shell remoto pelo servidor. O padrão é True
.
Tempo de inatividade
Especifica o tempo máximo, em milissegundos, que o shell remoto permanece aberto quando não houver nenhuma atividade de usuário. O shell remoto é excluído após esse tempo.
WinRM 2.0: o padrão é 180000. O valor mínimo é 60000. Definir esse valor abaixo de 60000 não modifica o comportamento de tempo limite.
Máximo de usuários simultâneos
Especifica o número máximo de usuários que podem executar simultaneamente operações remotas no mesmo computador por meio de um shell remoto. Se novas conexões de shell remoto excederem o limite, o computador as rejeitará. O padrão é 5.
Tempo máximo de execução do Shell
Especifica o tempo máximo em milissegundos que o comando ou script remoto pode ser executado. O padrão é 28800000.
WinRM 2.0: a configuração MaxShellRunTime
é definida como somente leitura. Alterar o valor MaxShellRunTime
não tem efeito sobre os shells remotos.
Número máximo de processos por shell
Especifica o número máximo de processos que qualquer operação de shell pode iniciar. Um valor 0 permite um número ilimitado de processos. O padrão é 15.
Memória máxima por sessão de shell (MB)".
Especifica a quantidade máxima de memória alocada por shell, incluindo os processos filho do shell. O padrão é 150 MB.
Número máximo de shells por usuário
Especifica o número máximo de shells simultâneos que qualquer usuário pode abrir remotamente no mesmo computador. Se essa de configuração estiver habilitada, o usuário não poderá abrir novos shells remotos se a contagem exceder o limite especificado. Se essa configuração de política estiver desabilitada ou não estiver configurada, o limite padrão será definido como cinco shells remotos por usuário.
Configurar WinRM com uma Política de Grupo
Use o editor de Política de Grupo para configurar o Shell Remoto do Windows e o WinRM para computadores em sua empresa.
Para configurar com a Política de grupo:
- Abra uma janela de Prompt de comando como administrador.
- No prompt de comando, digite
gpedit.msc
. A janela Editor de Objeto de Política de Grupo será aberta. - Encontre Gerenciamento remoto do Windows e Windows Shell Remote Objetos de Política de Grupo (GPO) em Configurações do computador\Modelos Administrativos\Componentes do Windows.
- Na guia Extendido, selecione uma configuração para ver uma descrição. Clique duas vezes em uma configuração para editá-la.
Portas do Firewall do Windows e do WinRM 2.0
A partir do WinRM 2.0, as portas de ouvinte padrão configuradas Winrm quickconfig
são a porta 5985 para transporte HTTP e a porta 5986 para HTTPS. Os ouvintes do WinRM podem ser configurados em qualquer porta arbitrária.
Se você atualizar um computador para o WinRM 2.0, os ouvintes configurados anteriormente serão migrados e ainda receberão tráfego.
Notas de instalação e configuração do WinRM
O WinRM não depende de nenhum outro serviço, exceto WinHttp
. Se o Serviço de Administração do IIS estiver instalado no mesmo computador, poderá ver mensagens que indicam que o WinRM não pode ser carregado antes do IIS (Serviços de Informações da Internet). No entanto, o WinRM não depende realmente do IIS. Essas mensagens ocorrem porque a ordem de carregamento garante que o serviço IIS seja iniciado antes do serviço HTTP. O WinRM requer que WinHTTP.dll
esteja registrado.
Se o cliente de firewall ISA2004 estiver instalado no computador, este poderá fazer com que um cliente Web Services for Management (WS-Management) pare de responder. Para evitar esse problema, instale ISA2004 Firewall SP1.
Se dois serviços de escuta com endereços IP diferentes forem configurados com o mesmo número de porta e nome de computador, o WinRM escutará ou receberá mensagens em apenas um endereço. Isso ocorre porque os prefixos de URL usados pelo protocolo WS-Management são os mesmos.
Notas de instalação do driver e do provedor IPMI.
O driver pode não detectar a existência de drivers IPMI que não são da Microsoft. Se o driver não for iniciado, talvez seja necessário desativá-lo.
Se os recursos do controlador de gerenciamento da placa base (BMC) aparecerem no BIOS do sistema, o ACPI (Plug and Play) detectará o hardware do BMC e instalará automaticamente o driver IPMI. O suporte a Plug and Play pode não estar presente em todos os BMCs. Se o BMC for detectado por Plug and Play, um dispositivo desconhecido aparecerá no Gerenciador de dispositivos antes que o componente de gerenciamento de hardware seja instalado. Quando o driver é instalado, um novo componente, o dispositivo compatível com IPMI genérico ACPI da Microsoft, aparece no Gerenciador de Dispositivos.
Se o sistema não detectar automaticamente o BMC e instalar o driver, mas um BMC tiver sido detectado durante o processo de instalação, crie o dispositivo BMC. Para criar o dispositivo, digite o seguinte comando em um prompt de comando:
Rundll32 ipmisetp.dll, AddTheDevice
Depois que esse comando é executado, o dispositivo IPMI é criado e aparece no Gerenciador de dispositivos. Se você desinstalar o componente Gerenciamento de hardware, o dispositivo será removido.
Para obter mais informações, consulte Introdução ao gerenciamento de hardware.
O provedor IPMI coloca as classes de hardware no namespace root\hardware do WMI. Para obter mais informações sobre as classes de hardware, consulte Provedor IPMI. Para obter mais informações sobre namespaces WMI, consulte Arquitetura WMI.
Notas de configuração do plug-in WMI
A partir do Windows 8 e do Windows Server 2012, os plug-ins WMI têm suas próprias configurações de segurança. Para que um usuário normal ou avançado, não um administrador, possa usar o plug-in WMI, habilite o acesso para esse usuário após a configuração do ouvinte . Configure o usuário para acesso remoto ao WMI por meio de uma destas etapas.
Executar
lusrmgr.msc
para adicionar o usuário ao grupo WinRMRemoteWMIUsers__ na janela Usuários e Grupos Locais.Use a ferramenta de linha de comando Winrm para configurar o descritor de segurança para o espaço do nome do plug-in WMI:
winrm configSDDL http://schemas.microsoft.com/wbem/wsman/1/wmi/ WmiNamespace
Quando a interface do usuário for exibida, adicione o usuário.
Depois de configurar o usuário para acesso remoto ao WMI, você deve configurar o WMI para permitir que o usuário acesse o plug-in. Para permitir o acesso, execute wmimgmt.msc para modificar a segurança WMI para o espaço do nome a ser acessado na janela Controle de WMI.
A maioria das classes WMI para gerenciamento está no namespace root\cimv2.