Installation och konfiguration för Windows Fjärrhantering

För att WinRM-skript (Windows Remote Management) ska kunna köras, och för Winrm kommandoradsverktyget för att utföra dataåtgärder, måste WinRM både installeras och konfigureras.

Följande element är också beroende av WinRM-konfiguration:

• Kommandoradsverktyget för Windows Remote Shell, Winrs.
• Vidarebefordran av händelser.
• Windows PowerShell 2.0-fjärrkommunikation.

Installationsplats för WinRM

WinRM installeras automatiskt med alla versioner av Windows-operativsystemet som stöds för närvarande.

Konfiguration av WinRM och IPMI

Följande WinRM- och Intelligent Platform Management Interface (IPMI)WMI-provider komponenter installeras med operativsystemet:

• WinRM-tjänsten startar automatiskt på Windows Server 2008 och senare. I tidigare versioner av Windows (klient eller server) måste du starta tjänsten manuellt.
• Som standard konfigureras ingen WinRM-lyssnare. Även om WinRM-tjänsten körs kan WS-Management protokoll meddelanden som begär data inte tas emot eller skickas.
• ICF (Internet Connection Firewall) blockerar åtkomsten till portar.

Använd kommandot winrm för att hitta lyssnare och adresser genom att skriva följande kommando i en kommandotolk:

winrm enumerate winrm/config/listener

Om du vill kontrollera tillståndet för konfigurationsinställningarna skriver du följande kommando:

winrm get winrm/config

Snabb standardkonfiguration

Aktivera WS-Management-protokollet på den lokala datorn och konfigurera standardkonfigurationen för fjärrhantering med kommandot winrm quickconfig.

Kommandot winrm quickconfig (som kan förkortas till winrm qc) utför följande åtgärder:

• Startar WinRM-tjänsten och anger tjänstens starttyp till starta automatiskt.
• Konfigurerar en lyssnare för de portar som skickar och tar emot WS-Management protokoll meddelanden med http eller HTTPS på alla IP-adresser.
• Definierar ICF-undantag för WinRM-tjänsten och öppnar portarna för HTTP och HTTPS.

Obs

Kommandot winrm quickconfig skapar endast ett undantag i brandväggen för den aktuella användarprofilen. Om brandväggsprofilen ändras av någon anledning kör du winrm quickconfig för att aktivera brandväggsfelet för den nya profilen (annars kanske undantaget inte är aktiverat).

Om du vill hämta information om hur du anpassar en konfiguration skriver du följande kommando i en kommandotolk:

winrm help config

Så här konfigurerar du WinRM med standardinställningar

1. Kör det här kommandot i en kommandotolk som körs som administratörskonto för den lokala datorn:

   winrm quickconfig
   

   Om du inte kör som lokal datoradministratör väljer du antingen Kör som administratör från menyn Starta eller använder kommandot Runas i en kommandotolk.

2. När verktyget visar Gör dessa ändringar [y/n]?skriver du y.

   Om konfigurationen lyckas visas följande utdata.

   WinRM has been updated for remote management.
   
   WinRM service type changed to delayed auto start.
   WinRM service started.
   Created a WinRM listener on https://* to accept WS-Man requests to any IP on this machine.
   

3. Behåll standardinställningarna för klient- och serverkomponenter i WinRM eller anpassa dem. Du kan till exempel behöva lägga till vissa fjärrdatorer i listan för klientkonfiguration TrustedHosts.

   Konfigurera en lista över betrodda värdar när ömsesidig autentisering inte kan upprättas. Kerberos tillåter ömsesidig autentisering, men det kan inte användas i arbetsgrupper. endast domäner. Bästa praxis när du konfigurerar betrodda värdar för en arbetsgrupp är att göra listan så begränsad som möjligt.

4. Skapa en HTTPS-lyssnare genom att skriva följande kommando:

   winrm quickconfig -transport:https
   

   Not

   Öppna port 5986 för ATT HTTPS-transport ska fungera.

Standardinställningar för lyssnare och WS-Management protokoll

Om du vill hämta lyssnarkonfigurationen skriver du winrm enumerate winrm/config/listener i en kommandotolk. Lyssnare definieras av en transport (HTTP eller HTTPS) och en IPv4- eller IPv6-adress.

Kommandot winrm quickconfig skapar följande standardinställningar för en lyssnare. Du kan skapa fler än en lyssnare. Om du vill ha mer information skriver du winrm help config i en kommandotolk.

Adress

Anger adressen som lyssnaren skapas för.

Transport

Anger vilken transport som ska användas för att skicka och ta emot WS-Management protokollbegäranden och svar. Värdet måste vara antingen HTTP- eller HTTPS-. Standardvärdet är HTTP-.

Hamn

Anger den TCP-port som lyssnaren skapas för.

WinRM 2.0: Http-standardporten är 5985.

Värdnamn

Anger värdnamnet för den dator där WinRM-tjänsten körs. Värdet måste vara antingen ett fullständigt kvalificerat domännamn, en IPv4- eller IPv6-literalsträng eller ett jokertecken.

Aktiverat

Anger om lyssnaren är aktiverad eller inaktiverad. Standardvärdet är True.

URLPrefix

Anger ett URL-prefix som HTTP- eller HTTPS-begäranden ska accepteras på. Den här strängen innehåller endast tecknen a-z, A-Z, 9-0, understreck (_) och snedstreck (/). Strängen får inte börja eller sluta med ett snedstreck (/). Om datornamnet till exempel är SampleMachineanger WinRM-klienten https://SampleMachine/<URLPrefix> i måladressen. Standard-URL-prefixet är wsman.

Certifikattummeavtryck

Anger tumavtrycket för tjänstcertifikatet. Det här värdet representerar en sträng med tvåsiffriga hexadecimala värden som finns i fältet Tumavtryck i certifikatet. Den här strängen innehåller SHA-1-hashen för certifikatet. Certifikat används i klientcertifikatbaserad autentisering. Certifikat kan endast mappas till lokala användarkonton. De fungerar inte med domänkonton.

LyssnarPå

Anger de IPv4- och IPv6-adresser som lyssnaren använder. Till exempel 111.0.0.1, 111.222.333.444, ::1, 1000:2000:2c:3:c19:9ec8:a715:5e24, 3ffe:8311:ffff:f70f:0:5efe:111.222.333.444, fe80::5efe:111.222.333.444%8, fe80::c19:9ec8:a715:5e24%6.

Standardinställningar för protokoll

Många av konfigurationsinställningarna, till exempel MaxEnvelopeSizekb eller SoapTraceEnabled, avgör hur WinRM-klient- och serverkomponenterna interagerar med WS-Management-protokollet. I följande avsnitt beskrivs de tillgängliga konfigurationsinställningarna.

Maximal Kuvertstorlek kB

Anger maximalt antal SOAP-data (Simple Object Access Protocol) i kilobyte. Standardvärdet är 150 kilobyte.

Anmärkning

Beteendet stöds inte om MaxEnvelopeSizekb anges till ett värde som är större än 1039440.

MaxTimeoutms

Anger den maximala tidsgränsen i millisekunder som kan användas för andra begäranden än Pull begäranden. Standardvärdet är 60000.

MaxBatchItems

Anger det maximala antalet element som kan användas i ett Pull svar. Standardvärdet är 32000.

MaxProviderRequests

Anger det maximala antalet samtidiga begäranden som tillåts av tjänsten. Standardvärdet är 25.

WinRM 2.0: Den här inställningen är föråldrad och har satts till skrivskyddad.

Standardkonfigurationsinställningar för WinRM-klienten

Klientversionen av WinRM har följande standardkonfigurationsinställningar.

NetworkDelayms

Anger den extra tid i millisekunder som klientdatorn väntar för att anpassa sig till nätverksfördröjning. Standardvärdet är 5 000 millisekunder.

URLPrefix

Anger ett URL-prefix som HTTP- eller HTTPS-begäranden ska accepteras på. Standard-URL-prefixet är wsman.

TillåtOskrypterat

Gör att klientdatorn kan begära okrypterad trafik. Som standard kräver klientdatorn krypterad nätverkstrafik och den här inställningen är False.

Grundläggande

Tillåter att klientdatorn använder grundläggande autentisering. Grundläggande autentisering är ett schema där användarnamnet och lösenordet skickas i klartext till servern eller proxyn. Den här metoden är den minst säkra autentiseringsmetoden. Standardvärdet är True.

Sammandrag

Tillåter att klienten använder sammanfattad autentisering. Digestautentisering är ett utmaningssvarschema som använder en av servern specificerad datasträng för utmaningen. Endast klientdatorn kan initiera en begäran om sammanfattad autentisering.

Klientdatorn skickar en begäran till servern om att autentisera och tar emot en tokensträng från servern. Sedan skickar klientdatorn resursbegäran, inklusive användarnamnet och en kryptografisk hash för lösenordet i kombination med tokensträngen.

Sammanfattad autentisering stöds för HTTP och för HTTPS. WinRM Shell-klientskript och -program kan ange sammanfattad autentisering, men WinRM-tjänsten accepterar inte sammanfattad autentisering. Standardvärdet är True.

Not

Digest-autentisering via HTTP anses inte vara säker.

Intyg

Tillåter att klienten använder klientcertifikatbaserad autentisering. Certifikatbaserad autentisering är ett schema där servern autentiserar en klient som identifieras av ett X509-certifikat. Standardvärdet är True.

Kerberos

Tillåter att klienten använder Kerberos-autentisering. Kerberos-autentisering är ett schema där klienten och servern autentiseras ömsesidigt med hjälp av Kerberos-certifikat. Standardvärdet är True.

Förhandla

Tillåter att klienten använder Förhandla autentisering. Förhandla om autentisering är ett schema där klienten skickar en begäran till servern för att autentisera.

Servern avgör om Kerberos-protokollet eller NT LAN Manager (NTLM) ska användas. Kerberos-protokollet har valts för att autentisera ett domänkonto. NTLM har valts för lokala datorkonton. Användarnamnet måste anges i domän\user_name format för en domänanvändare. Användarnamnet måste anges i server_name\user_name format för en lokal användare på en serverdator. Standardvärdet är True.

CredSSP

Möjliggör att klienten använder autentisering genom Credential Security Support Provider (CredSSP). CredSSP gör det möjligt för ett program att delegera användarens autentiseringsuppgifter från klientdatorn till målservern. Standardvärdet är False.

Standardportar

Anger de portar som klienten använder för HTTP eller HTTPS.

WinRM 2.0: Http-standardporten är 5985 och https-standardporten är 5986.

Betrodda värdar

Anger listan över fjärrdatorer som är betrodda. Andra datorer i en arbetsgrupp eller datorer i en annan domän bör läggas till i den här listan.

Anmärkning

Datorerna i listan över betrodda värdar autentiseras inte. Klienten kan skicka information om autentiseringsuppgifter till dessa datorer.

Om en IPv6-adress har angetts för en betrodd värd måste adressen omges av hakparenteser enligt följande kommando för Winrm verktyg:

winrm set winrm/config/client '@{TrustedHosts ="[0:0:0:0:0:0:0:0]"}'

Om du vill ha mer information om hur du lägger till datorer i listan TrustedHosts skriver du winrm help config.

Standardkonfigurationsinställningar för WinRM-tjänsten

Tjänstversionen av WinRM har följande standardkonfigurationsinställningar.

RootSDDL

Anger säkerhetsbeskrivningen som styr fjärråtkomsten till lyssnaren. Standardvärdet är O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;ER)S:P(AU;FA;GA;;;WD)(AU;SA;GWGX;;;WD).

MaxConcurrentOperations

Maximalt antal samtidiga åtgärder. Standardvärdet är 100.

WinRM 2.0: Inställningen MaxConcurrentOperations är inaktuell och har ställts in som skrivskyddad. Den här inställningen har ersatts av MaxConcurrentOperationsPerUser.

Max samtidiga operationer per användare

Anger det maximala antalet samtidiga åtgärder som alla användare kan fjärröppna i samma system. Standardvärdet är 1500.

UppräkningTimeoutms

Anger tidsgränsen för inaktivitet i millisekunder mellan Pull meddelanden. Standardvärdet är 60000.

MaxConnections

Anger det maximala antalet aktiva begäranden som tjänsten kan bearbeta samtidigt. Standardvärdet är 300.

WinRM 2.0: Standardvärdet är 25.

MaxPacketÅterhämtningstidSekunder

Anger den maximala tiden i sekunder som WinRM-tjänsten tar för att hämta ett paket. Standardvärdet är 120 sekunder.

TillåtOskrypterat

Gör att klientdatorn kan begära okrypterad trafik. Standardvärdet är False.

Grundläggande

Tillåter att WinRM-tjänsten använder grundläggande autentisering. Standardvärdet är False.

Intyg

Gör att WinRM-tjänsten kan använda klientcertifikatbaserad autentisering. Standardvärdet är False.

Kerberos

Gör att WinRM-tjänsten kan använda Kerberos-autentisering. Standardvärdet är True.

Förhandla

Tillåter att WinRM-tjänsten använder Negotiate-autentisering. Standardvärdet är True.

CredSSP

Möjliggör att WinRM-tjänsten använder autentisering via Credential Security Support Provider (CredSSP). Standardvärdet är False.

CbtHardeningLevel

Anger principen för krav på kanalbindningstoken i autentiseringsbegäranden. Standardvärdet är Avslappnad.

Standardportar

Anger de portar som WinRM-tjänsten använder för HTTP eller HTTPS.

WinRM 2.0: Http-standardporten är 5985. Https-standardporten är 5986.

IPv4Filter och IPv6Filter

Anger de IPv4- eller IPv6-adresser som lyssnare kan använda. Standardvärdena är IPv4Filter = * och IPv6Filter = *.

• IPv4: En IPv4-literalsträng består av fyra prickade decimaltal, var och en i intervallet 0 till 255. Exempel: 192.168.0.0.
• IPv6: En IPv6-literalsträng omges av hakparenteser och innehåller hexadecimala tal som avgränsas med kolon. Exempel: [::1] eller [3ffe:ffff::6ECB:0101].

AktiveraKompatibilitetsHttpLyssnare

Anger om HTTP-lyssnaren för kompatibilitet är aktiverad. Om den här inställningen är Truelyssnar lyssnaren på port 80 utöver port 5985. Standardvärdet är False.

Aktivera Kompatibilitet Https-lyssnare

Anger om HTTPS-lyssnaren för kompatibilitet är aktiverad. Om den här inställningen är Truelyssnar lyssnaren på port 443 utöver port 5986. Standardvärdet är False.

Winrs standardkonfigurationsinställningar

Kommandot winrm quickconfig konfigurerar också Winrs standardinställningar.

AllowRemoteShellAccess

Aktiverar åtkomst till fjärrgränssnitt. Om du anger den här parametern till Falseavvisar servern nya fjärrgränssnittsanslutningar av servern. Standardvärdet är True.

IdleTimeout

Anger den maximala tid i millisekunder som fjärrgränssnittet förblir öppet när det inte finns någon användaraktivitet i fjärrgränssnittet. Fjärrgränssnittet tas bort efter den tiden.

WinRM 2.0: Standardvärdet är 180000. Minimivärdet är 60000. Att ange det här värdet lägre än 60000 har ingen effekt på tidsgränsbeteendet.

MaxConcurrentUsers

Anger det maximala antalet användare som samtidigt kan utföra fjärråtgärder på samma dator via ett fjärrgränssnitt. Om nya fjärrgränssnittsanslutningar överskrider gränsen avvisar datorn dem. Standardvärdet är 5.

MaxShellRunTime

Anger den maximala tid i millisekunder som fjärrkommandot eller skriptet tillåts köra. Standardvärdet är 288000000.

WinRM 2.0: Inställningen MaxShellRunTime är inställd på skrivskyddat läge. Att ändra värdet för MaxShellRunTime har ingen effekt på fjärrgränssnitten.

MaxProcessesPerShell

Anger det maximala antalet processer som en skalåtgärd tillåts starta. Värdet 0 möjliggör ett obegränsat antal processer. Standardvärdet är 15.

MaxMemoryPerShellMB

Anger den maximala mängden minne som allokeras per gränssnitt, inklusive gränssnittets underordnade processer. Standardvärdet är 150 MB.

MaxShellsPerUser

Anger det maximala antalet samtidiga gränssnitt som alla användare kan fjärröppna på samma dator. Om den här principinställningen är aktiverad kan användaren inte öppna nya fjärrgränssnitt om antalet överskrider den angivna gränsen. Om den här principinställningen är inaktiverad eller inte har konfigurerats anges gränsen till fem fjärrgränssnitt per användare som standard.

Konfigurera WinRM med grupppolicy

Använd gruppolicyredigeraren för att konfigurera Windows Remote Shell och WinRM för datorer i din organisation.

Så här konfigurerar du med gruppolicy:

1. Öppna ett kommandotolkfönster som administratör.
2. I kommandoraden skriver du gpedit.msc. Fönstret Redigeraren för grupprincipobjekt öppnas.
3. Leta reda på Windows Remote Management och Windows Remote Shell Grupprincipobjekt (GPO) under Datorkonfiguration\Administrativa mallar\Windows-komponenter.
4. På fliken Utökad väljer du en inställning för att se en beskrivning. Dubbelklicka på en inställning för att redigera den.

Windows-brandväggen och WinRM 2.0-portar

Från och med WinRM 2.0 är standardlyssningsportarna som konfigurerats av Winrm quickconfig port 5985 för HTTP-transport och port 5986 för HTTPS. WinRM-lyssnare kan konfigureras på valfri godtycklig port.

Om du uppgraderar en dator till WinRM 2.0 migreras de tidigare konfigurerade lyssnarna och får fortfarande trafik.

WinRM-installation och konfigurationsanteckningar

WinRM är inte beroende av någon annan tjänst förutom WinHttp. Om IIS-administratörstjänsten är installerad på samma dator kan du se meddelanden som anger att WinRM inte kan läsas in före IIS (Internet Information Services). WinRM är dock inte beroende av IIS. Dessa meddelanden uppstår eftersom inläsningsordningen säkerställer att IIS-tjänsten startar före HTTP-tjänsten. WinRM kräver att WinHTTP.dll är registrerad.

Om den ISA2004 brandväggsklienten är installerad på datorn kan det leda till att en Web Services for Management-klient (WS-Management) slutar svara. Undvik det här problemet genom att installera ISA2004 Firewall SP1.

Om två lyssnartjänster med olika IP-adresser konfigureras med samma portnummer och datornamn, lyssnar eller tar WinRM bara emot meddelanden på en adress. Den här metoden används eftersom URL-prefixen som används av WS-Management-protokollet är desamma.

Installationsanmärkningar för IPMI-drivrutin och leverantör

Drivrutinen kanske inte identifierar förekomsten av IPMI-drivrutiner som inte kommer från Microsoft. Om drivrutinen inte startar kan du behöva inaktivera den.

Om BMC-resurserna visas i systemets BIOS, identifierar ACPI (Plug and Play) BMC-maskinvaran och installerar automatiskt IPMI-drivrutinen. Plug and Play-stöd kanske inte finns i alla BMC:er. Om BMC identifieras av Plug and Play visas en okänd enhet i Enhetshanteraren innan maskinvaruhanteringskomponenten installeras. När drivrutinen installeras visas en ny komponent, Microsoft ACPI Generic IPMI-kompatibel enhet, i Enhetshanteraren.

Om systemet inte identifierar BMC automatiskt och installerar drivrutinen, men en BMC identifierades under installationsprocessen, skapar du BMC-enheten. Om du vill skapa enheten skriver du följande kommando i en kommandotolk:

Rundll32 ipmisetp.dll, AddTheDevice

När det här kommandot har körts skapas IPMI-enheten och den visas i Enhetshanteraren. Om du avinstallerar komponenten Maskinvaruhantering tas enheten bort.

För mer information, se introduktion till maskinvaruhantering.

IPMI-providern placerar maskinvaruklasserna i root\hardwarenamnområde för WMI. Mer information om maskinvaruklasserna finns i IPMI-provider. Mer information om WMI-namnområden finns i WMI-arkitektur.

Konfigurationsanteckningar för WMI-plugin-program

Från och med Windows 8 och Windows Server 2012 WMI-plugin-program ha egna säkerhetskonfigurationer. För att en normal användare eller energianvändare, inte en administratör, ska kunna använda WMI-plugin-programmet aktiverar du åtkomst för den användaren när lyssnaren har konfigurerats. Konfigurera användaren för fjärråtkomst till WMI- genom något av dessa steg.

• Kör lusrmgr.msc för att lägga till användaren i gruppen WinRMRemoteWMIUsers__ i fönstret Lokala användare och grupper.

• Använd kommandoradsverktyget Winrm för att konfigurera säkerhetsbeskrivningen för namnområde för WMI-plugin-programmet:

  winrm configSDDL http://schemas.microsoft.com/wbem/wsman/1/wmi/ WmiNamespace
  

När användargränssnittet visas lägger du till användaren.

När du har konfigurerat användaren för fjärråtkomst till WMI-måste du konfigurera WMI- så att användaren kan komma åt plugin-programmet. Om du vill tillåta åtkomst kör du wmimgmt.msc för att ändra WMI-säkerheten för -namnområdet som ska nås i fönstret WMI Control.

De flesta WMI-klasser för hantering finns i root\cimv2 namnrymd.