Installation et configuration pour la gestion à distance Windows

Pour que les scripts de gestion à distance Windows (WinRM) s’exécutent et que l’outil en ligne de commande Winrm effectue des opérations de données, WinRM doit être installé et configuré.

Ces éléments dépendent également de la configuration de WinRM.

• Outil en ligne de commande Windows Remote Shell , Winrs.
• Transfert d’événements.
• Windows PowerShell communication à distance 2.0.

Emplacement d’installation de WinRM

WinRM est automatiquement installé avec toutes les versions actuellement prises en charge du système d’exploitation Windows.

Configuration de WinRM et IPMI

Ces composants de fournisseur WinRM et IPMI (Intelligent Platform Management Interface)WMI sont installés avec le système d’exploitation.

• Le service WinRM démarre automatiquement sur Windows Server 2008 et versions ultérieures. Sur les versions antérieures de Windows (client ou serveur), vous devez démarrer le service manuellement.
• Par défaut, aucun écouteur WinRM n’est configuré. Même si le service WinRM est en cours d’exécution, WS-Management messages de protocole qui demandent des données ne peuvent pas être reçus ou envoyés.
• Le pare-feu de connexion Internet (ICF) bloque l’accès aux ports.

Utilisez la winrm commande pour localiser les écouteurs et les adresses en tapant la commande suivante à l’invite de commandes.

winrm enumerate winrm/config/listener

Pour vérifier l’état des paramètres de configuration, tapez la commande suivante.

winrm get winrm/config

Configuration rapide par défaut

Activez le protocole WS-Management sur l’ordinateur local et configurez la configuration par défaut pour la gestion à distance avec la commande winrm quickconfig.

La winrm quickconfig commande (qui peut être abrégée en winrm qc) effectue les opérations suivantes :

• Démarre le service WinRM et définit le type de démarrage du service sur démarrage automatique.
• Configure un écouteur pour les ports qui envoient et reçoivent des messages de protocole WS-Management à l’aide de HTTP ou HTTPS sur n’importe quelle adresse IP.
• Définit les exceptions ICF pour le service WinRM et ouvre les ports pour HTTP et HTTPS.

Notes

La winrm quickconfig commande crée une exception de pare-feu uniquement pour le profil utilisateur actuel. Si le profil de pare-feu est modifié pour une raison quelconque, exécutez winrm quickconfig pour activer l’exception de pare-feu pour le nouveau profil (sinon, l’exception risque de ne pas être activée).

Pour récupérer des informations sur la personnalisation d’une configuration, tapez la commande suivante à l’invite de commandes.

winrm help config

Pour configurer WinRM avec les paramètres par défaut

1. À une invite de commandes exécutée en tant que compte administrateur de l’ordinateur local, exécutez cette commande :

   winrm quickconfig
   

   Si vous n’exécutez pas en tant qu’administrateur de l’ordinateur local, sélectionnez Exécuter en tant qu’administrateur dans le menu Démarrer ou utilisez la Runas commande à l’invite de commandes.

2. Lorsque l’outil affiche Effectuer ces modifications [y/n]?, tapez y.

   Si la configuration réussit, la sortie suivante s’affiche.

   WinRM has been updated for remote management.
   
   WinRM service type changed to delayed auto start.
   WinRM service started.
   Created a WinRM listener on https://* to accept WS-Man requests to any IP on this machine.
   

3. Conservez les paramètres par défaut pour les composants client et serveur de WinRM ou personnalisez-les. Par exemple, vous devrez peut-être ajouter certains ordinateurs distants à la liste de configuration TrustedHosts du client.

   Configurez une liste d’hôtes approuvés lorsque l’authentification mutuelle ne peut pas être établie. Kerberos autorise l’authentification mutuelle, mais il ne peut pas être utilisé dans les groupes de travail ; domaines uniquement. Une bonne pratique lors de la configuration d’hôtes approuvés pour un groupe de travail consiste à rendre la liste aussi restreinte que possible.

4. Créez un écouteur HTTPS en tapant la commande suivante :

   winrm quickconfig -transport:https
   

   Notes

   Ouvrez le port 5986 pour que le transport HTTPS fonctionne.

Paramètres par défaut de l’écouteur et du protocole WS-Management

Pour obtenir la configuration de l’écouteur, tapez winrm enumerate winrm/config/listener à une invite de commandes. Les écouteurs sont définis par un transport (HTTP ou HTTPS) et une adresse IPv4 ou IPv6.

La winrm quickconfig commande crée les paramètres par défaut suivants pour un écouteur. Vous pouvez créer plusieurs écouteurs. Pour plus d’informations, tapez winrm help config à l’invite de commandes.

Adresse

Spécifie l’adresse pour laquelle cet écouteur est créé.

Transport

Spécifie le transport à utiliser pour envoyer et recevoir les demandes et les réponses du protocole WS-Management. La valeur doit être HTTP ou HTTPS. La valeur par défaut est HTTP.

Port

Spécifie le port TCP pour lequel cet écouteur est créé.

WinRM 2.0 : le port HTTP par défaut est 5985.

Nom d’hôte

Spécifie le nom d’hôte de l’ordinateur sur lequel le service WinRM s’exécute. La valeur doit être : un nom de domaine complet ; chaîne littérale IPv4 ou IPv6 ; ou un caractère générique.

Activé

Spécifie si l'écouteur est activé ou désactivé. La valeur par défaut est True.

URLPrefix

Spécifie un préfixe d’URL sur lequel accepter les demandes HTTP ou HTTPS. Cette chaîne contient uniquement les caractères a-z, A-Z, 9-0, trait de soulignement (_) et barre oblique (/). La chaîne ne doit pas commencer par ou se terminer par une barre oblique (/). Par exemple, si le nom de l’ordinateur est SampleMachine, le client WinRM spécifie https://SampleMachine/<URLPrefix> dans l’adresse de destination. Le préfixe d’URL par défaut est wsman.

CertificateThumbprint

Spécifie l'empreinte numérique du certificat de service. Cette valeur représente une chaîne de valeurs hexadécimales à deux chiffres trouvées dans le champ Empreinte numérique du certificat. Cette chaîne contient le hachage SHA-1 du certificat. Les certificats sont utilisés dans l'authentification par certificat client. Les certificats ne peuvent être mappés qu’aux comptes d’utilisateur locaux. Ils ne fonctionnent pas avec les comptes de domaine.

ListeningOn

Spécifie les adresses IPv4 et IPv6 que l’écouteur utilise. Par exemple : 111.0.0.1, 111.222.333.444, ::1, 1000:2000:2c:3:c19:9ec8:a715:5e24, 3ffe:8311:ffff:f70f:0:5efe:111.222.333.444, fe80::5efe:111.222.333.444%8, fe80::c19:9ec8:a715:5e24%6.

Paramètres par défaut du protocole

La plupart des paramètres de configuration, tels que MaxEnvelopeSizekb ou SoapTraceEnabled, déterminent la façon dont les composants du client et du serveur WinRM interagissent avec le protocole WS-Management. Les sections suivantes décrivent les paramètres de configuration disponibles.

MaxEnvelopeSizekb

Spécifie le nombre maximal de données SOAP (Simple Object Access Protocol) en kilo-octets. La valeur par défaut est de 150 kilo-octets.

Notes

Le comportement n’est pas pris en charge si MaxEnvelopeSizekb a une valeur supérieure à 1039440.

MaxTimeoutms

Spécifie le délai d’expiration maximal en millisecondes qui peut être utilisé pour toute requête autre que les Pull requêtes. La valeur par défaut est 60000.

MaxBatchItems

Spécifie le nombre maximal d’éléments pouvant être utilisés dans une Pull réponse. La valeur par défaut est 32000.

MaxProviderRequests

Spécifie le nombre maximal de demandes simultanées autorisées par le service. La valeur par défaut est 25.

WinRM 2.0 : ce paramètre est déconseillé et est défini sur lecture seule.

Paramètres de configuration par défaut du client WinRM

La version cliente de WinRM a les paramètres de configuration par défaut suivants.

NetworkDelayms

Spécifie le temps supplémentaire, en millisecondes, pendant lequel l'ordinateur client attend pour prendre en compte pour la durée du délai réseau. La valeur par défaut est 5 000 millisecondes.

URLPrefix

Spécifie un préfixe d’URL sur lequel accepter les requêtes HTTP ou HTTPS. Le préfixe d’URL par défaut est wsman.

AllowUnencrypted

Permet à l'ordinateur client demander un trafic non chiffré. Par défaut, l’ordinateur client nécessite un trafic réseau chiffré et ce paramètre est False.

De base

Permet à l'ordinateur client d'utiliser l'authentification de base. L'authentification de base est un modèle dans lequel le nom d'utilisateur et le mot de passe sont envoyés en texte clair au serveur ou au proxy. Cette méthode est la méthode d'authentification la moins sécurisée. La valeur par défaut est True.

Digest

Permet à l'ordinateur client d'utiliser l'authentification Digest. L'authentification Digest est un modèle stimulation-réponse qui utilise une chaîne de données spécifiée par le serveur pour la stimulation. Seul l'ordinateur client peut initier une demande d'authentification Digest.

L’ordinateur client envoie une demande d’authentification au serveur et reçoit une chaîne de jeton du serveur. Ensuite, l’ordinateur client envoie la demande de ressource, y compris le nom d’utilisateur et un hachage de chiffrement du mot de passe combinés avec la chaîne de jeton.

L'authentification Digest est prise en charge pour HTTP et HTTPS. Les applications et les scripts clients WinRM Shell peuvent spécifier l’authentification Digest, mais le service WinRM n’accepte pas l’authentification Digest. Par défaut, il s’agit de True.

Notes

L’authentification Digest sur HTTP n’est pas considérée comme sécurisée.

Certificat

Permet au client d’utiliser l’authentification basée sur les certificats du client. L’authentification basée sur les certificats est un schéma dans lequel le serveur authentifie un client identifié par un certificat X509. La valeur par défaut est True.

Kerberos

Permet à l'ordinateur client d'utiliser l'authentification Kerberos. L'authentification Kerberos est un modèle dans lequel le client et le serveur s'authentifient mutuellement à l'aide de certificats Kerberos. La valeur par défaut est True.

Negotiate

Permet au client d’utiliser l’authentification Negotiate . L'authentification par négociation est un modèle dans lequel le client envoie une demande au serveur pour s'authentifier.

Le serveur détermine s’il faut utiliser le protocole Kerberos ou NT LAN Manager (NTLM). Le protocole Kerberos est sélectionné pour authentifier un compte de domaine. NTLM est sélectionné pour les comptes d’ordinateurs locaux. Le nom d’utilisateur doit être spécifié au format domain\user_name pour un utilisateur de domaine. Le nom d’utilisateur doit être spécifié au format server_name\user_name pour un utilisateur local sur un ordinateur serveur. Par défaut, il s’agit de True.

CredSSP

Permet au client d’utiliser l’authentification credSSP (Credential Security Support Provider). CredSSP permet à une application de déléguer les informations d’identification de l’utilisateur de l’ordinateur client au serveur cible. Par défaut, il s’agit de False.

DefaultPorts

Spécifie les ports que le client utilise pour HTTP ou HTTPS.

WinRM 2.0 : le port HTTP par défaut est 5985 et le port HTTPS par défaut est 5986.

TrustedHosts

Spécifie la liste des ordinateurs distants approuvés. D’autres ordinateurs d’un groupe de travail ou des ordinateurs d’un autre domaine doivent être ajoutés à cette liste.

Notes

Les ordinateurs figurant dans la liste des hôtes approuvés ne sont pas authentifiés. Le client peut envoyer des informations d’identification à ces ordinateurs.

Si une adresse IPv6 est spécifiée pour un hôte approuvé, l’adresse doit être placée entre crochets, comme le montre la commande utilitaire suivante Winrm :

winrm set winrm/config/client '@{TrustedHosts ="[0:0:0:0:0:0:0:0]"}'

Pour plus d’informations sur l’ajout d’ordinateurs à la TrustedHosts liste, tapez winrm help config.

Paramètres de configuration par défaut du service WinRM

La version de service de WinRM a les paramètres de configuration par défaut suivants.

RootSDDL

Spécifie le descripteur de sécurité qui contrôle l’accès à distance à l’écouteur. Par défaut, il s’agit de O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;ER)S:P(AU;FA;GA;;;WD)(AU;SA;GWGX;;;WD).

MaxConcurrentOperations

Nombre maximal d’opérations simultanées. La valeur par défaut est 100.

WinRM 2.0 : le MaxConcurrentOperations paramètre est déconseillé et est défini sur lecture seule. Ce paramètre a été remplacé par MaxConcurrentOperationsPerUser.

MaxConcurrentOperationsPerUser

Spécifie le nombre maximal d’opérations simultanées que tout utilisateur peut ouvrir à distance sur le même système. La valeur par défaut est 1500.

EnumerationTimeoutms

Spécifie le délai d’inactivité en millisecondes entre Pull les messages. La valeur par défaut est 60000.

MaxConnections

Spécifie le nombre maximal de demandes actives que le service peut traiter simultanément. La valeur par défaut est 300.

WinRM 2.0 : la valeur par défaut est 25.

MaxPacketRetrievalTimeSeconds

Spécifie la durée maximale en secondes nécessaire au service WinRM pour récupérer un paquet. La valeur par défaut est 120 secondes.

AllowUnencrypted

Permet à l'ordinateur client demander un trafic non chiffré. Par défaut, il s’agit de False.

De base

Permet au service WinRM d’utiliser l’authentification de base. Par défaut, il s’agit de False.

Certificat

Permet au service WinRM d’utiliser l’authentification par certificat client. Par défaut, il s’agit de False.

Kerberos

Permet au service WinRM d’utiliser l’authentification Kerberos. Par défaut, il s’agit de True.

Negotiate

Permet au service WinRM d’utiliser l’authentification Negotiate. Par défaut, il s’agit de True.

CredSSP

Permet au service WinRM d’utiliser l’authentification credSSP (Credential Security Support Provider). Par défaut, il s’agit de False.

CbtHardeningLevel

Définit la stratégie pour les spécifications requises des jetons de liaison de canal dans les demandes d'authentification. La valeur par défaut est Relaxed.

DefaultPorts

Spécifie les ports que le service WinRM utilise pour HTTP ou HTTPS.

WinRM 2.0 : le port HTTP par défaut est 5985. Le port HTTPS par défaut est 5986.

IPv4Filter et IPv6Filter

Spécifie les adresses IPv4 ou IPv6 que les écouteurs peuvent utiliser. Les valeurs par défaut sont IPv4Filter = * et IPv6Filter = *.

• IPv4 : une chaîne littérale IPv4 se compose de quatre nombres décimaux en pointillés, chacun dans la plage comprise entre 0 et 255. Par exemple : 192.168.0.0.
• IPv6 : une chaîne littérale IPv6 est placée entre crochets et contient des nombres hexadécimaux séparés par des points-virgules. Par exemple : [::1] ou [3ffe:ffff::6ECB:0101].

EnableCompatibilityHttpListener

Spécifie si l’écouteur HTTP de compatibilité est activé. Si ce paramètre est True, l’écouteur écoute sur le port 80 en plus du port 5985. Par défaut, il s’agit de False.

EnableCompatibilityHttpsListener

Spécifie si l’écouteur HTTPS de compatibilité est activé. Si ce paramètre est True, l’écouteur écoute sur le port 443 en plus du port 5986. Par défaut, il s’agit de False.

Paramètres de configuration par défaut de Winrs

La winrm quickconfig commande configure également les paramètres par défaut de Winrs.

AllowRemoteShellAccess

Permet d'accéder aux interpréteurs de commandes distants. Si vous définissez ce paramètre sur False, le serveur rejette les nouvelles connexions d’interpréteur de commandes distants par le serveur. Par défaut, il s’agit de True.

IdleTimeout

Spécifie la durée maximale en millisecondes pendant laquelle l’interpréteur de commandes distant reste ouvert quand il n’y a aucune activité utilisateur dans l’interpréteur de commandes distant. L’interpréteur de commandes distant est supprimé après ce délai.

WinRM 2.0 : la valeur par défaut est 180000. La valeur minimale est 60000. La définition de cette valeur inférieure à 60 000 n’a aucun effet sur le comportement du délai d’attente.

MaxConcurrentUsers

Spécifie le nombre maximal d'utilisateurs pouvant effectuer simultanément des opérations à distance sur le même ordinateur via un interpréteur de commandes distant. Si les nouvelles connexions d’interpréteur de commandes distants dépassent la limite, l’ordinateur les rejette. La valeur par défaut est 5.

MaxShellRunTime

Spécifie la durée maximale en millisecondes pendant laquelle la commande ou le script distant est autorisé à s’exécuter. La valeur par défaut est 28800000.

WinRM 2.0 : le MaxShellRunTime paramètre est défini sur lecture seule. La modification de la valeur de MaxShellRunTime n’a aucun effet sur les interpréteurs de commandes distants.

MaxProcessesPerShell

Spécifie le nombre maximal de processus qu'une opération d'interpréteur de commandes est autorisée à démarrer. Une valeur de 0 autorise un nombre illimité de processus. La valeur par défaut est 15.

MaxMemoryPerShellMB

Spécifie la quantité maximale de mémoire allouée par interpréteur de commandes, y compris les processus enfants de l’interpréteur de commandes. La valeur par défaut est 150 Mo.

MaxShellsPerUser

Indique le nombre maximal de shells simultanés qu'un utilisateur peut ouvrir à distance sur le même ordinateur. Si ce paramètre de stratégie est activé, l’utilisateur ne pourra pas ouvrir de nouveaux interpréteurs de commandes distants si le nombre dépasse la limite spécifiée. Si ce paramètre de stratégie est désactivé ou n’est pas configuré, la limite est définie sur cinq interpréteurs de commandes distants par utilisateur par défaut.

Configuration de WinRM avec stratégie de groupe

Utilisez l’éditeur stratégie de groupe pour configurer Windows Remote Shell et WinRM pour les ordinateurs de votre entreprise.

Pour configurer avec stratégie de groupe :

1. Ouvrez une fenêtre d’invite de commandes en tant qu’administrateur.
2. À l’invite de commandes, tapez gpedit.msc. La fenêtre Éditeur d’objet stratégie de groupe s’ouvre.
3. Recherchez les objets de stratégie de groupe Windows Remote Management et Windows Remote Shell sous Configuration ordinateur\Modèles d’administration\Composants Windows.
4. Sous l’onglet Étendu , sélectionnez un paramètre pour afficher une description. Double-cliquez sur un paramètre pour le modifier.

Pare-feu Windows et ports WinRM 2.0

À compter de WinRM 2.0, les ports d’écouteur par défaut configurés par Winrm quickconfig sont le port 5985 pour le transport HTTP et le port 5986 pour HTTPS. Les écouteurs WinRM peuvent être configurés sur n’importe quel port arbitraire.

Si vous mettez à niveau un ordinateur vers WinRM 2.0, les écouteurs configurés précédemment sont migrés et reçoivent toujours du trafic.

Notes sur l’installation et la configuration de WinRM

WinRM ne dépend d’aucun autre service à l’exception WinHttpde . Si le service Administration IIS est installé sur le même ordinateur, vous pouvez voir des messages indiquant que WinRM ne peut pas être chargé avant Internet Information Services (IIS). Toutefois, WinRM ne dépend pas réellement d’IIS. Ces messages se produisent parce que l’ordre de chargement garantit que le service IIS démarre avant le service HTTP. WinRM nécessite que WinHTTP.dll soit inscrit.

Si le client de pare-feu ISA2004 est installé sur l’ordinateur, un client Web Services for Management (WS-Management) peut cesser de répondre. Pour éviter ce problème, installez le pare-feu ISA2004 SP1.

Si deux services d’écouteur avec des adresses IP différentes sont configurés avec le même numéro de port et le même nom d’ordinateur, WinRM écoute ou reçoit des messages sur une seule adresse. Cette approche est due au fait que les préfixes d’URL utilisés par le protocole WS-Management sont les mêmes.

Notes sur l’installation du pilote IPMI et du fournisseur

Le pilote peut ne pas détecter l’existence de pilotes IPMI qui ne proviennent pas de Microsoft. Si le pilote ne parvient pas à démarrer, vous devrez peut-être le désactiver.

Si les ressources du contrôleur de gestion de la carte de base (BMC) apparaissent dans le BIOS système, ACPI (Plug-and-Play) détecte le matériel BMC et installe automatiquement le pilote IPMI. Plug-and-Play prise en charge peut ne pas être présente dans toutes les CMC. Si le contrôleur BMC est détecté par Plug-and-Play, un appareil inconnu apparaît dans Gestionnaire de périphériques avant l’installation du composant Gestion du matériel. Une fois le pilote installé, un nouveau composant, l’appareil compatible IPMI générique ACPI, s’affiche dans Gestionnaire de périphériques.

Si votre système ne détecte pas automatiquement le contrôleur BMC et installe le pilote, mais qu’un contrôleur BMC a été détecté pendant le processus d’installation, créez le périphérique BMC. Pour créer l’appareil, tapez la commande suivante à l’invite de commandes :

Rundll32 ipmisetp.dll, AddTheDevice

Une fois cette commande exécutée, l’appareil IPMI est créé et apparaît dans Gestionnaire de périphériques. Si vous désinstallez le composant Gestion du matériel, l’appareil est supprimé.

Pour plus d’informations, consultez Présentation de la gestion du matériel.

Le fournisseur IPMI place les classes de matériel dans l’espace de nomsroot\hardware de WMI. Pour plus d’informations sur les classes de matériel, consultez Fournisseur IPMI. Pour plus d’informations sur les espaces de noms WMI, consultez Architecture WMI.

Notes de configuration du plug-in WMI

Depuis Windows 8 et Windows Server 2012, les plug-ins WMI ont leurs propres configurations de sécurité. Pour qu’un utilisateur normal ou autonome, et non un administrateur, puisse utiliser le plug-in WMI, activez l’accès pour cet utilisateur une fois l’écouteur configuré. Configurez l’utilisateur pour l’accès à distance à WMI en effectuant l’une de ces étapes.

• Exécutez lusrmgr.msc pour ajouter l’utilisateur au groupe WinRMRemoteWMIUsers__ dans la fenêtre Utilisateurs et groupes locaux .

• Utilisez l’outil en ligne de commande Winrm pour configurer le descripteur de sécurité pour l’espace de noms du plug-in WMI :

  winrm configSDDL http://schemas.microsoft.com/wbem/wsman/1/wmi/ WmiNamespace
  

Lorsque l’interface utilisateur s’affiche, ajoutez l’utilisateur.

Après avoir configuré l’utilisateur pour l’accès à distance à WMI, vous devez configurer WMI pour permettre à l’utilisateur d’accéder au plug-in. Pour autoriser l’accès, exécutez wmimgmt.msc pour modifier la sécurité WMI de l’espace de noms accessible dans la fenêtre contrôle WMI .

La plupart des classes WMI pour la gestion se trouvent dans l’espace de noms root\cimv2 .