Installazione e configurazione per Gestione remota Windows
Per l'esecuzione degli script di Gestione remota Windows (WinRM) e per lo strumento da riga di comando Winrm per eseguire operazioni di dati, WinRM deve essere installato e configurato.
Questi elementi dipendono anche dalla configurazione di WinRM.
- Strumento da riga di comando di Windows Remote Shell , Winrs.
- Inoltro eventi.
- Windows PowerShell 2.0 comunicazione remota.
Percorso di installazione di WinRM
WinRM viene installato automaticamente con tutte le versioni attualmente supportate del sistema operativo Windows.
Configurazione di WinRM e IPMI
Questi componenti del provider WMI e WinRM e Intelligent Platform Management Interface (IPMI)WMI vengono installati con il sistema operativo.
- Il servizio WinRM viene avviato automaticamente in Windows Server 2008 e versioni successive. Nelle versioni precedenti di Windows (client o server), è necessario avviare manualmente il servizio.
- Per impostazione predefinita, non è configurato alcun listener WinRM. Anche se il servizio WinRM è in esecuzione, WS-Management messaggi di protocollo che richiedono dati non possono essere ricevuti o inviati.
- Internet Connection Firewall (ICF) blocca l'accesso alle porte.
Usare il winrm comando per individuare i listener e gli indirizzi digitando il comando seguente al prompt dei comandi.
winrm enumerate winrm/config/listener
Per controllare lo stato delle impostazioni di configurazione, digitare il comando seguente.
winrm get winrm/config
Configurazione predefinita rapida
Abilitare il protocollo WS-Management nel computer locale e configurare la configurazione predefinita per la gestione remota con il comando winrm quickconfig.
Il winrm quickconfig comando (che può essere abbreviato in winrm qc) esegue queste operazioni:
- Avvia il servizio WinRM e imposta il tipo di avvio automatico del servizio.
- Configura un listener per le porte che inviano e ricevono messaggi di protocollo WS-Management usando HTTP o HTTPS in qualsiasi indirizzo IP.
- Definisce le eccezioni ICF per il servizio WinRM e apre le porte per HTTP e HTTPS.
Nota
Il winrm quickconfig comando crea un'eccezione del firewall solo per il profilo utente corrente. Se il profilo del firewall viene modificato per qualsiasi motivo, eseguire winrm quickconfig per abilitare l'eccezione del firewall per il nuovo profilo (altrimenti l'eccezione potrebbe non essere abilitata).
Per recuperare informazioni sulla personalizzazione di una configurazione, digitare il comando seguente al prompt dei comandi.
winrm help config
Per configurare WinRM con le impostazioni predefinite
Al prompt dei comandi in esecuzione come account amministratore computer locale, eseguire questo comando:
winrm quickconfigSe l'amministratore del computer locale non è in esecuzione, selezionare Esegui come amministratore dal menu Start oppure usare il
Runascomando al prompt dei comandi.Quando lo strumento visualizza Apportare queste modifiche [y/n]?, digitare y.
Se la configurazione ha esito positivo, viene visualizzato l'output seguente.
WinRM has been updated for remote management. WinRM service type changed to delayed auto start. WinRM service started. Created a WinRM listener on https://* to accept WS-Man requests to any IP on this machine.Mantenere le impostazioni predefinite per i componenti client e server di WinRM o personalizzarle. Ad esempio, potrebbe essere necessario aggiungere determinati computer remoti all'elenco di configurazione
TrustedHostsclient.Configurare un elenco host attendibile quando non è possibile stabilire l'autenticazione reciproca. Kerberos consente l'autenticazione reciproca, ma non può essere usata nei gruppi di lavoro; solo domini. Una procedura consigliata quando si configurano host attendibili per un gruppo di lavoro consiste nel rendere l'elenco il più limitato possibile.
Creare un listener HTTPS digitando il comando seguente:
winrm quickconfig -transport:httpsNota
Aprire la porta 5986 per il funzionamento del trasporto HTTPS.
Impostazioni predefinite del listener e del protocollo WS-Management
Per ottenere la configurazione del listener, digitare winrm enumerate winrm/config/listener al prompt dei comandi. I listener sono definiti da un trasporto (HTTP o HTTPS) e da un indirizzo IPv4 o IPv6.
Il winrm quickconfig comando crea le impostazioni predefinite seguenti per un listener. È possibile creare più listener. Per altre informazioni, digitare winrm help config al prompt dei comandi.
Indirizzo
Specifica l'indirizzo per cui viene creato questo listener.
Trasporto
Specifica il trasporto da usare per inviare e ricevere richieste e risposte del protocollo WS-Management. Il valore deve essere HTTP o HTTPS. Il valore predefinito è HTTP.
Porta
Specifica la porta TPC per cui viene creato il listener.
WinRM 2.0: la porta HTTP predefinita è 5985.
nomehost
Specifica il nome host del computer in cui è in esecuzione il servizio WinRM. Il valore deve essere: un nome di dominio completo; stringa letterale IPv4 o IPv6; o un carattere jolly.
Attivato
Specifica se il listener è abilitato o disabilitato. Il valore predefinito è True.
URLPrefix
Specifica un prefisso URL in cui accettare richieste HTTP o HTTPS. Questa stringa contiene solo i caratteri a-z, A-Z, 9-0, sottolineatura (_) e barra (/). La stringa non deve iniziare con o terminare con una barra (/). Ad esempio, se il nome del computer è SampleMachine, il client WinRM specifica https://SampleMachine/<URLPrefix> nell'indirizzo di destinazione. Il prefisso URL predefinito è wsman.
CertificateThumbprint
Specifica l'identificazione personale del certificato del servizio. Questo valore rappresenta una stringa di valori esadecimali a due cifre trovati nel campo Identificazione personale del certificato. Questa stringa contiene l'hash SHA-1 del certificato. I certificati vengono usati nell'autenticazione basata sui certificati client. I certificati possono essere mappati solo agli account utente locali. Non funzionano con gli account di dominio.
ListeningOn
Specifica gli indirizzi IPv4 e IPv6 usati dal listener. Ad esempio: 111.0.0.1, 111.222.333.444, ::1, 1000:2000:2c:3:c19:9ec8:a715:5e24, 3ffe:8311:ffff:f70f:0:5efe:111.222.333.444, fe80::5efe:111.222.333.444%8, fe80::c19:9ec8:a715:5e24%6.
Impostazioni predefinite del protocollo
Molte delle impostazioni di configurazione, ad esempio MaxEnvelopeSizekb o SoapTraceEnabled, determinano come i componenti client e server WinRM interagiscono con il protocollo WS-Management. Le sezioni seguenti descrivono le impostazioni di configurazione disponibili.
MaxEnvelopeSizekb
Specifica i dati SOAP (Simple Object Access Protocol) massimi in kilobyte. Il valore predefinito è 150 kilobyte.
Nota
Il comportamento non è supportato se MaxEnvelopeSizekb è impostato su un valore maggiore di 1039440.
MaxTimeoutms
Specifica il timeout massimo in millisecondi che può essere usato per qualsiasi richiesta diversa da Pull richieste. Il valore predefinito è 60000.
MaxBatchItems
Specifica il numero massimo di elementi che possono essere usati in una Pull risposta. Il valore predefinito è 32000.
MaxProviderRequests
Specifica il numero massimo di richieste simultanee consentite dal servizio. Il valore predefinito è 25.
WinRM 2.0: questa impostazione è deprecata e è impostata su sola lettura.
Impostazioni di configurazione predefinite del client WinRM
La versione client di WinRM include le impostazioni di configurazione predefinite seguenti.
NetworkDelayms
Specifica l'intervallo di tempo aggiuntivo, in millisecondi, durante il quale il computer client attende per supportare il ritardo di rete. Il valore predefinito è 5000 millisecondi.
URLPrefix
Specifica un prefisso URL in cui accettare richieste HTTP o HTTPS. Il prefisso URL predefinito è wsman.
AllowUnencrypted
Consente al computer client di richiedere traffico non crittografato. Per impostazione predefinita, il computer client richiede il traffico di rete crittografato e questa impostazione è False.
Basic
Consente al computer client di usare l'autenticazione di base. L'autenticazione di base è uno schema in cui il nome utente e la password vengono inviati in testo non crittografato al server o al proxy. Si tratta del metodo di autenticazione meno sicuro. Il valore predefinito è True.
Digest
Consente al client di usare l'autenticazione del digest. L'autenticazione del digest è uno schema In attesa/Risposta che usa una stringa di dati specificata dal server per la parte In attesa. Solo il computer client può avviare una richiesta di autenticazione del digest.
Il computer client invia una richiesta al server per l'autenticazione e riceve una stringa di token dal server. Il computer client invia quindi la richiesta di risorsa, incluso il nome utente e un hash crittografico della password combinata con la stringa di token.
L'autenticazione del digest è supportata per HTTP e per HTTPS. Gli script client e le applicazioni di WinRM Shell possono specificare l'autenticazione digest, ma il servizio WinRM non accetta l'autenticazione digest. Il valore predefinito è True.
Nota
L'autenticazione del digest su HTTP non è considerata sicura.
Certificato
Consente al client di usare l'autenticazione basata su certificati client. L'autenticazione basata su certificati è uno schema in cui il server autentica un client identificato da un certificato X509. Il valore predefinito è True.
Kerberos
Consente al client di usare l'autenticazione Kerberos. L'autenticazione Kerberos è uno schema in cui il client e il server si autenticano reciprocamente tramite certificati Kerberos. Il valore predefinito è True.
Negotiate
Consente al client di usare l'autenticazione Negoziata . L'autenticazione con negoziazione è uno schema in cui il client invia una richiesta di autenticazione al server.
Il server determina se usare il protocollo Kerberos o NT LAN Manager (NTLM). Il protocollo Kerberos è selezionato per autenticare un account di dominio. NTLM è selezionato per gli account del computer locale. Il nome utente deve essere specificato nel formato domain\user_name per un utente di dominio. Il nome utente deve essere specificato nel formato server_name\user_name per un utente locale in un computer server. Il valore predefinito è True.
CredSSP
Consente al client di usare l'autenticazione credSSP (Credential Security Support Provider). CredSSP consente a un'applicazione di delegare le credenziali dell'utente dal computer client al server di destinazione. Il valore predefinito è False.
DefaultPorts
Specifica le porte usate dal client per HTTP o HTTPS.
WinRM 2.0: la porta HTTP predefinita è 5985 e la porta HTTPS predefinita è 5986.
TrustedHosts
Specifica l'elenco di computer remoti attendibili. Altri computer in un gruppo di lavoro o computer in un dominio diverso devono essere aggiunti a questo elenco.
Nota
I computer nell'elenco host attendibili non vengono autenticati. Il client potrebbe inviare informazioni sulle credenziali a questi computer.
Se per un host attendibile viene specificato un indirizzo IPv6, l'indirizzo deve essere racchiuso tra parentesi quadre, come illustrato dal comando di utilità seguente Winrm :
winrm set winrm/config/client '@{TrustedHosts ="[0:0:0:0:0:0:0:0]"}'
Per altre informazioni su come aggiungere computer all'elenco TrustedHosts , digitare winrm help config.
Impostazioni di configurazione predefinite del servizio WinRM
La versione del servizio di WinRM include le impostazioni di configurazione predefinite seguenti.
RootSDDL
Specifica il descrittore di sicurezza che controlla l'accesso remoto al listener. Il valore predefinito è O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;ER)S:P(AU;FA;GA;;;WD)(AU;SA;GWGX;;;WD).
MaxConcurrentOperations
Numero massimo di operazioni simultanee. Il valore predefinito è 100.
WinRM 2.0: l'impostazione MaxConcurrentOperations è deprecata ed è impostata su sola lettura. Questa impostazione è stata sostituita da MaxConcurrentOperationsPerUser.
MaxConcurrentOperationsPerUser
Specifica il numero massimo di operazioni simultanee che qualsiasi utente può aprire in remoto nello stesso sistema. Il valore predefinito è 1500.
EnumerazioneTimeoutms
Specifica il timeout inattiva in millisecondi tra Pull i messaggi. Il valore predefinito è 60000.
MaxConnections
Specifica il numero massimo di richieste attive che il servizio può elaborare simultaneamente. Il valore predefinito è 300.
WinRM 2.0: il valore predefinito è 25.
MaxPacketRetrievalTimeSeconds
Specifica il periodo massimo di tempo in secondi che il servizio WinRM richiede per recuperare un pacchetto. Il valore predefinito è 120 secondi.
AllowUnencrypted
Consente al computer client di richiedere traffico non crittografato. Il valore predefinito è False.
Basic
Consente al servizio WinRM di usare l'autenticazione di base. Il valore predefinito è False.
Certificato
Consente al servizio WinRM di usare l'autenticazione basata su certificati client. Il valore predefinito è False.
Kerberos
Consente al servizio WinRM di usare l'autenticazione Kerberos. Il valore predefinito è True.
Negotiate
Consente al servizio WinRM di usare l'autenticazione Negoziata. Il valore predefinito è True.
CredSSP
Consente al servizio WinRM di usare l'autenticazione credSSP (Credential Security Support Provider). Il valore predefinito è False.
CbtHardeningLevel
Imposta i criteri per i requisiti del token channel-binding nelle richieste di autenticazione. Il valore predefinito è Relaxed.
DefaultPorts
Specifica le porte usate dal servizio WinRM per HTTP o HTTPS.
WinRM 2.0: la porta HTTP predefinita è 5985. La porta HTTPS predefinita è 5986.
IPv4Filter e IPv6Filter
Specifica gli indirizzi IPv4 o IPv6 che possono essere usati dai listener. Le impostazioni predefinite sono IPv4Filter = * e IPv6Filter = *.
- IPv4: una stringa letterale IPv4 è costituita da quattro numeri decimali punteggiati, ognuno nell'intervallo da 0 a 255. Ad esempio: 192.168.0.0.
- IPv6: una stringa letterale IPv6 è racchiusa tra parentesi quadre e contiene numeri esadecimali separati da due punti. Ad esempio: [::1] o [3ffe:ffff::6ECB:0101].
EnableCompatibilityHttpListener
Specifica se il listener HTTP di compatibilità è abilitato. Se questa impostazione è True, il listener è in ascolto sulla porta 80 oltre alla porta 5985. Il valore predefinito è False.
EnableCompatibilityHttpsListener
Specifica se il listener HTTPS di compatibilità è abilitato. Se questa impostazione è True, il listener è in ascolto sulla porta 443 oltre alla porta 5986. Il valore predefinito è False.
Impostazioni di configurazione predefinite di Winrs
Il winrm quickconfig comando configura anche le impostazioni predefinite di Winrs.
AllowRemoteShellAccess
Consente l'accesso alle shell remote. Se si imposta questo parametro su False, il server rifiuta le nuove connessioni della shell remota dal server. Il valore predefinito è True.
IdleTimeout
Specifica il tempo massimo in millisecondi che la shell remota rimane aperta quando non è presente alcuna attività utente nella shell remota. La shell remota viene eliminata dopo tale periodo.
WinRM 2.0: il valore predefinito è 180000. Il valore minimo è 60000. L'impostazione di questo valore inferiore a 60000 non ha effetto sul comportamento di timeout.
MaxConcurrentUsers
Specifica il numero massimo di utenti che possono eseguire simultaneamente operazioni remote nello stesso computer tramite una shell remota. Se le nuove connessioni della shell remota superano il limite, il computer li rifiuta. Il valore predefinito è 5.
MaxShellRunTime
Specifica il tempo massimo in millisecondi consentiti per l'esecuzione del comando remoto o dello script. Il valore predefinito è 28800000.
WinRM 2.0: l'impostazione MaxShellRunTime è impostata su sola lettura. La modifica del valore per MaxShellRunTime non ha effetto sulle shell remote.
MaxProcessesPerShell
Specifica il numero massimo di processi che possono essere avviati da qualsiasi operazione della shell. Il valore 0 consente un numero illimitato di processi. Il valore predefinito è 15.
MaxMemoryPerShellMB
Specifica la quantità massima di memoria allocata per shell, inclusi i processi figlio della shell. Il valore predefinito è 150 MB.
MaxShellsPerUser
Consente di specificare il numero massimo di shell simultanee che qualsiasi utente può aprire in remoto sullo stesso computer. Se questa impostazione di criterio è abilitata, l'utente non sarà in grado di aprire nuove shell remote se il conteggio supera il limite specificato. Se questa impostazione di criterio è disabilitata o non è configurata, il limite è impostato su cinque shell remote per utente per impostazione predefinita.
Configurazione di WinRM con Criteri di gruppo
Usare l'editor di Criteri di gruppo per configurare Windows Remote Shell e WinRM per i computer dell'azienda.
Per configurare con Criteri di gruppo:
- Aprire una finestra del Prompt dei comandi come amministratore.
- Al prompt dei comandi digitare
gpedit.msc. Verrà visualizzata la finestra dell'editor di oggetti Criteri di gruppo. - Trovare Gestione remota Windows e Windows Remote Shell Criteri di gruppo Oggetti (Criteri di gruppo) in Configurazione computer\Modelli amministrativi\Componenti windows.
- Nella scheda Estesa selezionare un'impostazione per visualizzare una descrizione. Fare doppio clic su un'impostazione per modificarla.
Porte Windows Firewall e WinRM 2.0
A partire da WinRM 2.0, le porte del listener predefinite configurate da Winrm quickconfig sono la porta 5985 per il trasporto HTTP e la porta 5986 per HTTPS. I listener WinRM possono essere configurati in qualsiasi porta arbitraria.
Se si aggiorna un computer a WinRM 2.0, i listener configurati in precedenza vengono migrati e ricevono comunque il traffico.
Note sull'installazione e la configurazione di WinRM
WinRM non dipende da alcun altro servizio, ad eccezione WinHttpdi . Se il servizio IIS Amministrazione è installato nello stesso computer, potrebbero essere visualizzati messaggi che indicano che WinRM non può essere caricato prima di Internet Information Services (IIS). Tuttavia, WinRM non dipende effettivamente da IIS. Questi messaggi si verificano perché l'ordine di caricamento garantisce che il servizio IIS venga avviato prima del servizio HTTP. WinRM richiede che WinHTTP.dll sia registrato.
Se il client firewall ISA2004 è installato nel computer, può causare l'arresto della risposta di un client di Servizi Web per la gestione (WS-Management). Per evitare questo problema, installare ISA2004 Firewall SP1.
Se due servizi listener con indirizzi IP diversi sono configurati con lo stesso numero di porta e nome computer, WinRM ascolta o riceve messaggi su un solo indirizzo. Questo approccio usato è dovuto al fatto che i prefissi URL usati dal protocollo WS-Management sono uguali.
Note sull'installazione del driver e del provider IPMI
Il driver potrebbe non rilevare l'esistenza di driver IPMI che non sono da Microsoft. Se il driver non viene avviato, potrebbe essere necessario disabilitarlo.
Se le risorse del controller di gestione della scheda di base vengono visualizzate nel BIOS del sistema, ACPI (Plug and Play) rileva l'hardware BMC e installa automaticamente il driver IPMI. Plug and Play supporto potrebbe non essere presente in tutti i BMC. Se la BMC viene rilevata da Plug and Play, viene visualizzato un dispositivo sconosciuto in Gestione dispositivi prima dell'installazione del componente Gestione hardware. Quando il driver è installato, viene visualizzato in Gestione dispositivi un nuovo componente, il dispositivo conforme a IPMI generico Microsoft ACPI.
Se il sistema non rileva automaticamente il BMC e installa il driver, ma viene rilevato un BMC durante il processo di installazione, creare il dispositivo BMC. Per creare il dispositivo, digitare il comando seguente al prompt dei comandi:
Rundll32 ipmisetp.dll, AddTheDevice
Dopo l'esecuzione di questo comando, il dispositivo IPMI viene creato e viene visualizzato in Gestione dispositivi. Se si disinstalla il componente Gestione hardware, il dispositivo viene rimosso.
Per altre informazioni, vedere Introduzione alla gestione hardware.
Il provider IPMI inserisce le classi hardware nello spazio dei nomiroot\hardware di WMI. Per altre informazioni sulle classi hardware, vedere Provider IPMI. Per altre informazioni sugli spazi dei nomi WMI, vedere Architettura WMI.
Note sulla configurazione del plug-in WMI
A partire da Windows 8 e Windows Server 2012, i plug-in WMI hanno le proprie configurazioni di sicurezza. Per un utente normale o power user, non un amministratore, per poter usare il plug-in WMI, abilitare l'accesso per tale utente dopo la configurazione del listener . Configurare l'utente per l'accesso remoto a WMI tramite uno di questi passaggi.
Eseguire
lusrmgr.mscper aggiungere l'utente al gruppo WinRMRemoteWMIUsers__ nella finestra Utenti e gruppi locali .Usare lo strumento da riga di comando Winrm per configurare il descrittore di sicurezza per lo spazio dei nomi del plug-in WMI:
winrm configSDDL http://schemas.microsoft.com/wbem/wsman/1/wmi/ WmiNamespace
Quando viene visualizzata l'interfaccia utente, aggiungere l'utente.
Dopo aver configurato l'utente per l'accesso remoto a WMI, è necessario configurare WMI per consentire all'utente di accedere al plug-in. Per consentire l'accesso, eseguire wmimgmt.msc per modificare la sicurezza WMI per accedere allo spazio dei nomi nella finestra Controllo WMI .
La maggior parte delle classi WMI per la gestione si trova nello spazio dei nomi root\cimv2 .
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per