Поделиться через

Установка и настройка для удаленного управления Windows

  • Статья

Для выполнения сценариев удаленного управления Windows (WinRM) и для выполнения операций с данными средство командной строки Winrm должно быть установлено и настроено.

Следующие элементы также зависят от конфигурации WinRM:

Расположение установки WinRM

WinRM автоматически устанавливается со всеми поддерживаемыми в настоящее время версиями операционной системы Windows.

Настройка WinRM и IPMI

Следующие компоненты WinRM и поставщика WMI интерфейса Intelligent Platform Management Interface (IPMI) устанавливаются с операционной системой:

  • Служба WinRM запускается автоматически в Windows Server 2008 и более поздних версиях. В более ранних версиях Windows (клиент или сервер) необходимо вручную запустить службу.
  • По умолчанию прослушиватель WinRM не настроен. Даже если служба WinRM запущена, сообщения протокола WS-Management, запрашивающие данные, не могут быть получены или отправлены.
  • Брандмауэр подключения к Интернету (ICF) блокирует доступ к портам.

winrm Используйте команду для поиска прослушивателей и адресов, введя следующую команду в командной строке:

winrm enumerate winrm/config/listener

Чтобы проверить состояние параметров конфигурации, введите следующую команду:

winrm get winrm/config

Быстрая конфигурация по умолчанию

Включите протокол WS-Management на локальном компьютере и настройте конфигурацию по умолчанию для удаленного управления с помощью команды winrm quickconfig.

Команда winrm quickconfig (которая может быть сокращена для winrm qc) выполняет следующие операции:

  • Запускает службу WinRM и задает тип запуска службы для автоматического запуска.
  • Настраивает прослушиватель для портов, которые отправляют и получают сообщения протокола WS-Management с помощью HTTP или HTTPS на любом IP-адресе.
  • Определяет исключения ICF для службы WinRM и открывает порты для HTTP и HTTPS.

Примечание.

Команда winrm quickconfig создает исключение брандмауэра только для текущего профиля пользователя. Если профиль брандмауэра изменен по какой-либо причине, включите исключение брандмауэра для нового профиля, выполните команду winrm quickconfig (в противном случае исключение может быть не включено).

Чтобы получить сведения о настройке конфигурации, введите следующую команду в командной строке:

winrm help config

Настройка WinRM с параметрами по умолчанию

  1. В командной строке, работающей в качестве учетной записи администратора локального компьютера, выполните следующую команду:

    winrm quickconfig

    Если вы не работаете с администратором локального компьютера, выберите команду "Запуск от имени администратора " в меню "Пуск " или используйте Runas команду в командной строке.

  2. Когда утилита показывает Хотите внести эти изменения [y/n]?, введите y.

    Если конфигурация выполнена успешно, отображаются следующие выходные данные.

    WinRM has been updated for remote management.

WinRM service type changed to delayed auto start.
WinRM service started.
Created a WinRM listener on https://* to accept WS-Man requests to any IP on this machine.

  3. Сохраните параметры по умолчанию для компонентов клиента и сервера WinRM или настройте их. Например, может потребоваться добавить определенные удаленные компьютеры в список конфигурации TrustedHosts клиента.

    Настройте список доверенных узлов, если невозможно установить взаимную аутентификацию. Kerberos разрешает взаимную проверку подлинности, но ее нельзя использовать в рабочих группах; только домены. Рекомендуемая практика при настройке доверенных узлов для рабочей группы заключается в том, чтобы сделать список максимально ограниченным.

  4. Создайте прослушиватель HTTPS, введя следующую команду:

    winrm quickconfig -transport:https

    Примечание.

    Откройте порт 5986 для работы транспорта HTTPS.

Параметры по умолчанию прослушивателя и протокола WS-Management

Чтобы получить конфигурацию прослушивателя, введите winrm enumerate winrm/config/listener в командной строке. Прослушиватели определяются транспортом (HTTP или HTTPS) и IPv4 или IPv6-адресом.

Команда winrm quickconfig создает следующие параметры по умолчанию для прослушивателя. Вы можете создать несколько прослушивателей. Для получения дополнительной информации введите winrm help config в командной строке.

Адрес

Указывает адрес, для которого создается прослушиватель.

Транспорт

Указывает транспорт для отправки и получения запросов и ответов протокола WS-Management. Значение должно быть либо HTTP, либо HTTPS. Значение по умолчанию — HTTP.

Порт

Задает TCP-порт, для которого создается данный прослушиватель.

WinRM 2.0: http-порт по умолчанию — 5985.

Hostname (Имя узла)

Указывает имя узла компьютера, на котором запущена служба WinRM. Значение должно быть либо полным доменным именем, либо литеральной строкой IPv4 или IPv6, либо подстановочным символом.

Включен

Указывает, включен или отключен прослушиватель. Значение по умолчанию — true.

Префикс URL

Указывает префикс URL-адреса, по которому следует принимать HTTP-запросы или HTTPS. Эта строка содержит только символы a-z, A-Z, 9-0, подчеркивание (_) и косую черту (/). Строка не должна начинаться или заканчиваться слэшем (/). Например, если имя компьютера — SampleMachine, клиент WinRM будет указывать https://SampleMachine/<URLPrefix> в целевом адресе. Префикс URL-адреса по умолчанию — это wsman.

ОтпечатокСертификата

Указывает отпечаток сертификата службы. Это значение представляет строку двухзначных шестнадцатеричных значений, найденных в поле отпечатка сертификата. Эта строка содержит хэш SHA-1 сертификата. Сертификаты используются при проверке подлинности на основе сертификата клиента. Сертификаты можно сопоставить только с локальными учетными записями пользователей. Они не работают с учетными записями домена.

Прослушивание

Указывает адреса IPv4 и IPv6, которые использует прослушиватель. Например, 111.0.0.1, 111.222.333.444, ::1, 1000:2000:2c:3:c19:9ec8:a715:5e24, 3ffe:8311:ffff:f70f:0:5efe:111.222.333.444, fe80::5efe:111.222.333.444%8, fe80::c19:9ec8:a715:5e24%6.

Параметры протокола по умолчанию

Многие параметры конфигурации, такие как MaxEnvelopeSizekb или SoapTraceEnabled, определяют, как клиент WinRM и серверные компоненты взаимодействуют с протоколом WS-Management. В следующих разделах описываются доступные параметры конфигурации.

MaxEnvelopeSizekb

Задает максимальный объем данных протокола SOAP в килобайтах. Значение по умолчанию — 150 килобайт.

Примечание.

Поведение не поддерживается, если MaxEnvelopeSizekb имеет значение больше 1039440.

MaxTimeoutms

Указывает максимальное время ожидания в миллисекундах, которые можно использовать для любого запроса, отличного от Pull запросов. Значение по умолчанию — 60000.

MaxBatchItems

Указывает максимальное количество элементов, которые можно использовать в ответе Pull . Значение по умолчанию — 32000.

МаксимальноеКоличествоЗапросовПоставщика

Задает максимальное количество одновременных запросов, допускаемое службой. Значение по умолчанию — 25.

WinRM 2.0: этот параметр не рекомендуется и имеет значение только для чтения.

Параметры конфигурации клиента WinRM по умолчанию

Клиентская версия WinRM имеет следующие параметры конфигурации по умолчанию.

Задержка сети (мс)

Указывает дополнительное время в миллисекундах, которое клиентский компьютер ожидает, учитывая сетевую задержку. Значение по умолчанию — 5000 миллисекунда.

ПрефиксURL

Указывает префикс URL-адреса, по которому принимаются HTTP или HTTPS-запросы. Префикс URL-адреса по умолчанию — wsman.

Разрешитьнезашифрованные

Позволяет клиентскому компьютеру запрашивать передачу данных в незашифрованном виде. По умолчанию клиентский компьютер требует зашифрованного сетевого трафика, и этот параметр имеет значение False.

Базовая

Позволяет клиентскому компьютеру использовать обычную проверку подлинности. При использовании обычной проверки подлинности имя пользователя и пароль передаются серверу или прокси-серверу открытым текстом. Эта схема является наименее безопасным методом проверки подлинности. Значение по умолчанию равно True.

Дайджест

Позволяет клиенту использовать аутентификацию по дайджесту. Дайджест-аутентификация является схемой "запрос-ответ", которая использует строку данных, указанную сервером, в качестве запроса. Инициировать запрос дайджест-проверки подлинности может только клиентский компьютер.

Клиентский компьютер отправляет серверу запрос на проверку подлинности и получает токен от сервера. Затем клиентский компьютер отправляет запрос ресурса, включая имя пользователя и криптографический хэш пароля в сочетании со строкой токена.

Дайджест-проверка подлинности поддерживается для HTTP и для HTTPS. Клиентские скрипты и приложения WinRM Shell могут указывать проверку подлинности дайджеста, но служба WinRM не принимает проверку подлинности дайджеста. Значение по умолчанию — True.

Примечание.

Проверка подлинности дайджеста по протоколу HTTP не считается безопасной.

Сертификат

Позволяет клиенту использовать проверку подлинности на основе сертификата клиента. Проверка подлинности на основе сертификатов — это схема, в которой сервер проверяет подлинность клиента, определяемого сертификатом X509. Значение по умолчанию равно True.

Kerberos

Позволяет клиенту использовать проверку подлинности Kerberos. Проверка подлинности Kerberos подразумевает взаимную проверку подлинности клиента и сервера с использованием сертификатов Kerberos. Значение по умолчанию равно True.

Переговоры

Позволяет клиенту использовать проверку подлинности «Negotiate». При использовании схемы проверки подлинности Negotiate клиент отправляет серверу запрос на аутентификацию.

Сервер определяет, следует ли использовать протокол Kerberos или NT LAN Manager (NTLM). Протокол Kerberos выбран для проверки подлинности учетной записи домена. NTLM выбран для учетных записей локальных компьютеров. Имя пользователя должно быть указано в формате domain\user_name для пользователя домена. Имя пользователя должно быть указано в формате server_name\user_name для локального пользователя на серверном компьютере. Значение по умолчанию — True.

CredSSP

Позволяет клиенту использовать проверку подлинности поставщика поддержки безопасности учетных данных (CredSSP). CredSSP позволяет приложению делегировать учетные данные пользователя с клиентского компьютера на целевой сервер. Значение по умолчанию — False.

Порты по умолчанию

Указывает порты, используемые клиентом для HTTP или HTTPS.

WinRM 2.0: http-порт по умолчанию — 5985, а порт HTTPS по умолчанию — 5986.

Доверенные хосты

Указывает список удаленных компьютеров, доверенных. Другие компьютеры в рабочей группе или компьютерах в другом домене должны быть добавлены в этот список.

Примечание.

Компьютеры в списке доверенных хостов не аутентифицированы. Клиент может отправлять учетные данные на эти компьютеры.

Если для доверенного узла указан адрес IPv6, адрес должен быть заключен в квадратные скобки, как показано в следующей Winrm команде служебной программы:

winrm set winrm/config/client '@{TrustedHosts ="[0:0:0:0:0:0:0:0]"}'

Для получения дополнительной информации о том, как добавить компьютеры в список TrustedHosts, введите winrm help config.

Параметры конфигурации службы WinRM по умолчанию

Версия службы WinRM имеет следующие параметры конфигурации по умолчанию.

RootSDDL

Указывает дескриптор безопасности, который управляет удаленным доступом к прослушивателю. Значение по умолчанию — O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;ER)S:P(AU;FA;GA;;;WD)(AU;SA;GWGX;;;WD).

MaxConcurrentOperations

Максимальное количество параллельных операций. Значение по умолчанию равно 100.

WinRM 2.0: MaxConcurrentOperations параметр не рекомендуется и имеет значение только для чтения. Этот параметр был заменен MaxConcurrentOperationsPerUser.

Максимальное количество одновременно выполняемых операций на пользователя

Указывает максимальное количество параллельных операций, которые любой пользователь может удаленно открыть в одной системе. Значение по умолчанию — 1500.

ПеречислениеTimeoutms

Указывает время простоя в миллисекундах между сообщениями Pull. Значение по умолчанию — 60000.

MaxConnections

Указывает максимальное количество активных запросов, которые служба может обрабатывать одновременно. Значение по умолчанию — 300.

WinRM 2.0: значение по умолчанию — 25.

MaxPacketRetrievalTimeSeconds

Указывает максимальную продолжительность времени в секундах, которые служба WinRM принимает для получения пакета. Значение по умолчанию — 120 секунд.

Разрешить незашифрованное

Позволяет клиентскому компьютеру запрашивать передачу данных в незашифрованном виде. Значение по умолчанию — False.

Базовая

Позволяет службе WinRM использовать обычную проверку подлинности. Значение по умолчанию — False.

Сертификат

Позволяет службе WinRM использовать проверку подлинности на основе сертификатов клиента. Значение по умолчанию — False.

Kerberos

Позволяет службе WinRM использовать проверку подлинности Kerberos. Значение по умолчанию — True.

Переговоры

Позволяет службе WinRM использовать аутентификацию "Negotiate". Значение по умолчанию — True.

CredSSP

Позволяет службе WinRM использовать проверку подлинности поставщика поддержки безопасности учетных данных (CredSSP). Значение по умолчанию — False.

CbtHardeningLevel

Задает политику относительно требований к токенам привязки канала в запросах проверки подлинности. Значение по умолчанию — "Расслаблено".

ПортыПоУмолчанию

Указывает порты, используемые службой WinRM для HTTP или HTTPS.

WinRM 2.0: http-порт по умолчанию — 5985. Порт HTTPS по умолчанию — 5986.

IPv4Filter и IPv6Filter

Указывает адреса IPv4 или IPv6, которые могут использовать прослушиватели. Значения по умолчанию — это IPv4Filter = * и IPv6Filter = *.

  • IPv4: строка литерала IPv4 состоит из четырех десятичных чисел, разделенных точками, каждое из которых находится в диапазоне от 0 до 255. Например: 192.168.0.0.
  • IPv6: строка литерала IPv6 заключена в скобки и содержит шестнадцатеричные числа, разделенные двоеточиями. Например: [::1] или [3ffe:ffff::6ECB:0101].

EnableCompatibilityHttpListener

Указывает, включен ли прослушиватель HTTP совместимости. Если этот параметр задан True, прослушиватель прослушивает порт 80 в дополнение к порту 5985. Значение по умолчанию — False.

ВключитьСовместимыйПрослушивательHttps

Указывает, включен ли совместимый прослушиватель HTTPS. Если этот параметр задан True, прослушиватель прослушивает порт 443 в дополнение к порту 5986. Значение по умолчанию — False.

Параметры конфигурации Winrs по умолчанию

Команда winrm quickconfig также настраивает параметры Winrs по умолчанию.

Разрешить удаленный доступ к оболочке

Разрешает доступ к удаленным оболочкам. Если установить этот параметр в False, сервер отклоняет новые подключения удаленной оболочки. Значение по умолчанию — True.

IdleTimeout

Указывает максимальное время в миллисекундах, которое удаленная оболочка остается открытой, если в удаленной оболочке нет действий пользователя. Удаленная оболочка будет удалена после этого.

WinRM 2.0: значение по умолчанию — 180000. Минимальное значение — 60000. Установка этого значения ниже 60000 не влияет на поведение тайм-аута.

Максимальное число одновременных пользователей

Задает максимальное количество пользователей, могущих одновременно выполнять удаленные операции на одном и том же компьютере через удаленную оболочку. Если количество новых подключений к удаленной оболочке превышает лимит, компьютер их не принимает. Значение по умолчанию равно 5.

MaxShellRunTime

Указывает максимальное время в миллисекундах, которое разрешено выполнять удаленной команде или скрипту. Значение по умолчанию — 288000000.

WinRM 2.0: MaxShellRunTime для параметра задано значение только для чтения. Изменение значения для MaxShellRunTime не влияет на удаленные оболочки.

MaxProcessesPerShell

Задает максимальное количество процессов, которое разрешается запускать любой операцией оболочки. 0 означает неограниченное количество процессов. Значение по умолчанию — 15.

MaxMemoryPerShellMB

Указывает максимальный объем памяти, выделенный для каждой оболочки, включая дочерние процессы оболочки. Значение по умолчанию — 150 МБ.

MaxShellsPerUser

Указывает максимальное количество параллельных оболочк, которые любой пользователь может удаленно открыть на одном компьютере. Если этот параметр политики включен, пользователь не сможет открывать новые удаленные оболочки, если количество превышает указанное ограничение. Если этот параметр политики отключен или не настроен, по умолчанию устанавливается ограничение на пять удаленных оболочек для каждого пользователя.

Настройка WinRM с помощью групповой политики

Используйте редактор групповой политики для настройки Удаленной оболочки Windows и WinRM для компьютеров в организации.

Чтобы настроить групповую политику, выполните следующие действия.

  1. Откройте окно командной строки от имени администратора.
  2. В командной строке введите gpedit.msc. Откроется окно редактора объектов групповой политики.
  3. Найдите объекты групповой политики удаленного управления Windows и Windows Remote Shell в разделе "Конфигурация компьютера\Административные шаблоны\Компоненты Windows".
  4. На вкладке "Расширенный" выберите параметр, чтобы просмотреть описание. Дважды щелкните параметр, чтобы изменить его.

Порты брандмауэра Windows и WinRM 2.0

Начиная с WinRM 2.0, порты прослушивателя по умолчанию настраиваются на порты 5985 для транспорта HTTP и 5986 для HTTPS. Прослушиватели WinRM можно настроить на любом произвольном порту.

При обновлении компьютера до WinRM 2.0 ранее настроенные прослушиватели переносятся и по-прежнему получают трафик.

Заметки по установке и настройке WinRM

WinRM не зависит от любой другой службы, кроме WinHttp. Если служба администрирования IIS установлена на том же компьютере, могут появиться сообщения, указывающие, что WinRM не может быть загружен до службы IIS (IIS). Однако WinRM на самом деле не зависит от IIS. Эти сообщения возникают, так как порядок загрузки гарантирует, что служба IIS запускается перед http-службой. Для работы WinRM требуется, чтобы WinHTTP.dll было зарегистрировано.

Если на компьютере установлен клиент брандмауэра ISA2004, он может привести к тому, что клиент веб-служб для управления (WS-Management) перестанет отвечать. Чтобы избежать этой проблемы, установите ISA2004 брандмауэр с пакетом обновления 1 (SP1).

Если две службы прослушивателя с разными IP-адресами настроены с одинаковым номером порта и именем компьютера, то WinRM прослушивает или получает сообщения только на один адрес. Этот подход используется, так как префиксы URL-адресов, используемые протоколом WS-Management, одинаковы.

Заметки о установке драйвера IPMI и поставщика

Драйвер может не обнаружить наличие драйверов IPMI, которые не являются из Майкрософт. Если драйвер не удается запустить, может потребоваться отключить его.

Если ресурсы контроллера управления основной платы (BMC) отображаются в системе BIOS, то ACPI (самонастраивающийся) обнаруживает оборудование BMC и автоматически устанавливает драйвер IPMI. Поддержка "Подключи и работай" может не присутствовать во всех BMCs. Если BMC обнаруживается через Plug and Play, Неизвестное устройство отображается в Диспетчере устройств перед установкой компонента управления оборудованием. Когда драйвер установлен, в диспетчере устройств появится новый компонент, устройство, совместимое с Microsoft ACPI Generic IPMI.

Если ваша система не обнаруживает BMC и не устанавливает драйвер автоматически, но BMC был обнаружен во время настройки, настройте устройство BMC. Чтобы создать устройство, введите следующую команду в командной строке:

Rundll32 ipmisetp.dll, AddTheDevice

После выполнения этой команды устройство IPMI создается и отображается в диспетчер устройств. При удалении компонента управления оборудованием устройство удаляется.

Дополнительные сведения см. в разделе Введение в управление оборудованием.

Поставщик IPMI помещает классы оборудования в root\hardwareпространство имен WMI. Дополнительные сведения о классах оборудования см. в разделе "Поставщик IPMI". Дополнительные сведения о пространствах имен WMI см. в статье об архитектуре WMI.

Заметки о конфигурации подключаемого модуля WMI

Начиная с Windows 8 и Windows Server 2012 подключаемые модули WMI имеют собственные конфигурации безопасности. Чтобы обычный или продвинутый пользователь, не администратор, мог использовать подключаемый модуль WMI, предоставьте доступ этому пользователю после настройки прослушивателя. Настройте пользователя для удаленного доступа к WMI с помощью одного из этих действий.

  • Запустите lusrmgr.msc , чтобы добавить пользователя в группу WinRMRemoteWMIUsers__ в окне локальных пользователей и групп .

  • Используйте программу командной строки Winrm, чтобы настроить дескриптор безопасности для пространства имен подключаемого модуля WMI:

    winrm configSDDL http://schemas.microsoft.com/wbem/wsman/1/wmi/ WmiNamespace

Когда появится пользовательский интерфейс, добавьте пользователя.

После настройки пользователя для удаленного доступа к WMI необходимо настроить WMI, чтобы разрешить пользователю доступ к подключаемым модулям. Чтобы разрешить доступ, запустите wmimgmt.msc, чтобы изменить безопасность WMI для пространства имен, к которому нужен доступ в окне управления WMI.

Большинство классов WMI для управления находятся в пространстве имен root\cimv2 .