Instalação e configuração para o Gerenciamento Remoto do Windows

Para que os scripts do WinRM (Gerenciamento Remoto do Windows) sejam executados e para que a ferramenta de linha de comando winrm execute operações de dados, o WinRM precisa ser instalado e configurado.

Esses elementos também dependem da configuração do WinRM.

• A ferramenta de linha de comando do Shell Remoto do Windows , Winrs.
• Encaminhamento de eventos.
• Windows PowerShell comunicação remota 2.0.

O local de instalação do WinRM

O WinRM é instalado automaticamente com todas as versões com suporte no momento do sistema operacional Windows.

Configuração de WinRM e IPMI

Esses componentes do provedorwinrm e da interface de gerenciamento de plataforma inteligente (IPMI)são instalados com o sistema operacional.

• O serviço WinRM é iniciado automaticamente no Windows Server 2008 e posterior. Em versões anteriores do Windows (cliente ou servidor), você precisa iniciar o serviço manualmente.
• Por padrão, nenhum ouvinte do WinRM está configurado. Mesmo que o serviço WinRM esteja em execução, WS-Management mensagens de protocolo que solicitam dados não podem ser recebidas ou enviadas.
• O ICF (Firewall de Conexão com a Internet) bloqueia o acesso às portas.

Use o winrm comando para localizar ouvintes e os endereços digitando o comando a seguir em um prompt de comando.

winrm enumerate winrm/config/listener

Para verificar o estado das configurações, digite o comando a seguir.

winrm get winrm/config

Configuração padrão rápida

Habilite o protocolo WS-Management no computador local e configure a configuração padrão para o gerenciamento remoto com o comando winrm quickconfig.

O winrm quickconfig comando (que pode ser abreviado para winrm qc) executa estas operações:

• Inicia o serviço WinRM e define o tipo de inicialização de serviço como inicialização automática.
• Configura um ouvinte para as portas que enviam e recebem mensagens de protocolo WS-Management usando HTTP ou HTTPS em qualquer endereço IP.
• Define exceções de ICF para o serviço WinRM e abre as portas para HTTP e HTTPS.

Observação

O winrm quickconfig comando cria uma exceção de firewall somente para o perfil de usuário atual. Se o perfil de firewall for alterado por qualquer motivo, execute winrm quickconfig para habilitar a exceção de firewall para o novo perfil (caso contrário, a exceção pode não estar habilitada).

Para recuperar informações sobre como personalizar uma configuração, digite o comando a seguir em um prompt de comando.

winrm help config

Para definir o WinRM com configurações padrão

1. Em um prompt de comando em execução como a conta de administrador do computador local, execute este comando:

   winrm quickconfig
   

   Se você não estiver executando como administrador do computador local, selecione Executar como Administrador no menu Iniciar ou use o Runas comando em um prompt de comando.

2. Quando a ferramenta exibir Fazer essas alterações [y/n]?, digite y.

   Se a configuração for bem-sucedida, a saída a seguir será exibida.

   WinRM has been updated for remote management.
   
   WinRM service type changed to delayed auto start.
   WinRM service started.
   Created a WinRM listener on https://* to accept WS-Man requests to any IP on this machine.
   

3. Mantenha as configurações padrão para componentes de cliente e servidor do WinRM ou personalize-as. Por exemplo, talvez seja necessário adicionar determinados computadores remotos à lista de configuração TrustedHosts do cliente.

   Configure uma lista de hosts confiáveis quando a autenticação mútua não puder ser estabelecida. O Kerberos permite a autenticação mútua, mas não pode ser usada em grupos de trabalho; somente domínios. Uma prática recomendada ao configurar hosts confiáveis para um grupo de trabalho é tornar a lista o mais restrita possível.

4. Crie um ouvinte HTTPS digitando o seguinte comando:

   winrm quickconfig -transport:https
   

   Observação

   Abra a porta 5986 para que o transporte HTTPS funcione.

Configurações padrão do ouvinte e do protocolo WS-Management

Para obter a configuração do ouvinte, digite winrm enumerate winrm/config/listener em um prompt de comando. Os ouvintes são definidos por um transporte (HTTP ou HTTPS) e um endereço IPv4 ou IPv6.

O winrm quickconfig comando cria as seguintes configurações padrão para um ouvinte. Você pode criar mais de um ouvinte. Para obter mais informações, digite winrm help config em um prompt de comando.

Endereço

Especifica o endereço para o qual esse ouvinte está sendo criado.

Transporte

Especifica o transporte a ser usado para enviar e receber respostas e solicitações do protocolo WS-Management. O valor deve ser HTTP ou HTTPS. O padrão é HTTP.

Porta

Especifica a porta TCP para a qual este ouvinte é criado.

WinRM 2.0: a porta HTTP padrão é 5985.

Nome do host

Especifica o nome do host do computador no qual o serviço WinRM está em execução. O valor deve ser: um nome de domínio totalmente qualificado; uma cadeia de caracteres literal IPv4 ou IPv6; ou um caractere curinga.

habilitado

Especifica se o ouvinte está habilitado ou desabilitado. O valor padrão é True.

URLPrefix

Especifica um prefixo de URL no qual aceitar solicitações HTTP ou HTTPS. Essa cadeia de caracteres contém apenas os caracteres a-z, A-Z, 9-0, sublinhado (_) e barra (/). A cadeia de caracteres não deve começar com ou terminar com uma barra (/). Por exemplo, se o nome do computador for SampleMachine, o cliente WinRM especificaria https://SampleMachine/<URLPrefix> no endereço de destino. O prefixo de URL padrão é wsman.

CertificateThumbprint

Especifica a impressão digital do certificado de serviço. Esse valor representa uma cadeia de caracteres de valores hexadecimal de dois dígitos encontrados no campo Impressão digital do certificado. Essa cadeia de caracteres contém o hash SHA-1 do certificado. Os certificados são utilizados na autenticação baseada em certificado do cliente. Os certificados só podem ser mapeados para contas de usuário locais. Eles não funcionam com contas de domínio.

ListeningOn

Especifica os endereços IPv4 e IPv6 que o ouvinte usa. Por exemplo: 111.0.0.1, 111.222.333.444, ::1, 1000:2000:2c:3:c19:9ec8:a715:5e24, 3ffe:8311:ffff:f70f:0:5efe:111.222.333.444, fe80::5efe:111.222.333.444%8, fe80::c19:9ec8:a715:5e24%6.

Configurações padrão do protocolo

Muitas das configurações, como MaxEnvelopeSizekb ou SoapTraceEnabled, determinam como os componentes do cliente e do servidor WinRM interagem com o protocolo WS-Management. As seções a seguir descrevem as configurações disponíveis.

MaxEnvelopeSizekb

Especifica os dados máximos do SOAP (Simple Object Access Protocol) em quilobytes. O padrão é 150 quilobytes.

Observação

O comportamento não será suportado se MaxEnvelopeSizekb for definido como um valor maior que 1039440.

MaxTimeoutms

Especifica o tempo limite máximo em milissegundos que pode ser usado para qualquer solicitação diferente de Pull solicitações. O padrão é 60000.

MaxBatchItems

Especifica o número máximo de elementos que podem ser usados em uma Pull resposta. O padrão é 32000.

MaxProviderRequests

Especifica o número máximo de solicitações simultâneas permitido pelo serviço. O padrão é 25.

WinRM 2.0: essa configuração foi preterida e está definida como somente leitura.

Configurações padrão do cliente WinRM

A versão do cliente do WinRM tem as seguintes configurações padrão.

NetworkDelayms

Especifica o tempo extra, em milissegundos, que o computador cliente aguarda para acomodar o tempo de atraso de rede. O padrão é 5000 milissegundos.

URLPrefix

Especifica um prefixo de URL no qual aceitar solicitações HTTP ou HTTPS. O prefixo de URL padrão é wsman.

AllowUnencrypted

Permite que o computador cliente solicite tráfego não criptografado. Por padrão, o computador cliente requer tráfego de rede criptografado e essa configuração é False.

Basic

Permite que o computador cliente use a autenticação básica. A autenticação básica é um esquema no qual o nome de usuário e a senha são enviados em texto não criptografado para o servidor ou proxy. Esse método é o método menos seguro de autenticação. O padrão é True.

Digest

Permite que o cliente use a autenticação Digest. É um esquema de desafio/resposta de autenticação que utiliza uma cadeia de caracteres de dados do servidor especificado para o desafio. Apenas o computador cliente pode iniciar uma solicitação de autenticação Digest.

O computador cliente envia uma solicitação ao servidor para autenticar e recebe uma cadeia de caracteres de token do servidor. Em seguida, o computador cliente envia a solicitação de recurso, incluindo o nome de usuário e um hash criptográfico da senha combinado com a cadeia de caracteres de token.

A autenticação Digest tem suporte para HTTP e HTTPS. Os scripts e aplicativos de cliente do WinRM Shell podem especificar a autenticação Digest, mas o serviço WinRM não aceita a autenticação Digest. O padrão é True.

Observação

A autenticação digest por HTTP não é considerada segura.

Certificado

Permite que o cliente use a autenticação baseada em certificado do cliente. A autenticação baseada em certificado é um esquema no qual o servidor autentica um cliente identificado por um certificado X509. O padrão é True.

Kerberos

Permite que o cliente use a autenticação Kerberos. A autenticação Kerberos é um esquema no qual o cliente e o servidor autenticam mutuamente usando certificados Kerberos. O padrão é True.

Negotiate

Permite que o cliente use a autenticação Negotiate . Negociar a autenticação é um esquema no qual o cliente envia uma solicitação ao servidor para autenticar.

O servidor determina se o protocolo Kerberos ou o NTLM (NT LAN Manager) deve ser usado. O protocolo Kerberos é selecionado para autenticar uma conta de domínio. O NTLM está selecionado para contas de computador locais. O nome de usuário deve ser especificado no formato domain\user_name para um usuário de domínio. O nome de usuário deve ser especificado no formato server_name\user_name para um usuário local em um computador servidor. O padrão é True.

CredSSP

Permite que o cliente use a autenticação credSSP (Provedor de Suporte de Segurança de Credencial). O CredSSP permite que um aplicativo deducione as credenciais do usuário do computador cliente para o servidor de destino. O padrão é False.

DefaultPorts

Especifica as portas que o cliente usa para HTTP ou HTTPS.

WinRM 2.0: a porta HTTP padrão é 5985 e a porta HTTPS padrão é 5986.

TrustedHosts

Especifica a lista de computadores remotos confiáveis. Outros computadores em um grupo de trabalho ou computadores em um domínio diferente devem ser adicionados a essa lista.

Observação

Os computadores na lista de hosts confiáveis não são autenticados. O cliente pode enviar informações de credencial para esses computadores.

Se um endereço IPv6 for especificado para um host confiável, o endereço deverá ser colocado entre colchetes, conforme demonstrado pelo seguinte Winrm comando do utilitário:

winrm set winrm/config/client '@{TrustedHosts ="[0:0:0:0:0:0:0:0]"}'

Para obter mais informações sobre como adicionar computadores à TrustedHosts lista, digite winrm help config.

Configurações padrão do serviço WinRM

A versão de serviço do WinRM tem as seguintes configurações padrão.

RootSDDL

Especifica o descritor de segurança que controla o acesso remoto ao ouvinte. O padrão é O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;ER)S:P(AU;FA;GA;;;WD)(AU;SA;GWGX;;;WD).

MaxConcurrentOperations

O número máximo de operações simultâneas. O padrão é 100.

WinRM 2.0: a MaxConcurrentOperations configuração foi preterida e está definida como somente leitura. Essa configuração foi substituída por MaxConcurrentOperationsPerUser.

MaxConcurrentOperationsPerUser

Especifica o número máximo de operações simultâneas que qualquer usuário pode abrir remotamente no mesmo sistema. O padrão é 1500.

EnumerationTimeoutms

Especifica o tempo limite ocioso em milissegundos entre Pull mensagens. O padrão é 60000.

MaxConnections

Especifica o número máximo de solicitações ativas que o serviço pode processar simultaneamente. O padrão é 300.

WinRM 2.0: o padrão é 25.

MaxPacketRetrievalTimeSeconds

Especifica o período máximo de tempo em segundos que o serviço WinRM leva para recuperar um pacote. O padrão é 120 segundos.

AllowUnencrypted

Permite que o computador cliente solicite tráfego não criptografado. O padrão é False.

Basic

Permite que o serviço WinRM use a autenticação Básica. O padrão é False.

Certificado

Permite que o serviço WinRM use a autenticação baseada em certificado do cliente. O padrão é False.

Kerberos

Permite que o serviço WinRM use a autenticação Kerberos. O padrão é True.

Negotiate

Permite que o serviço WinRM use a autenticação Negotiate. O padrão é True.

CredSSP

Permite que o serviço WinRM use a autenticação credSSP (Provedor de Suporte de Segurança de Credencial). O padrão é False.

CbtHardeningLevel

Define a política para requisitos de token de associação de canal em solicitações de autenticação. O padrão é Relaxado.

DefaultPorts

Especifica as portas que o serviço WinRM usa para HTTP ou HTTPS.

WinRM 2.0: a porta HTTP padrão é 5985. A porta HTTPS padrão é 5986.

IPv4Filter e IPv6Filter

Especifica os endereços IPv4 ou IPv6 que os ouvintes podem usar. Os padrões são IPv4Filter = * e IPv6Filter = *.

• IPv4: uma cadeia de caracteres literal IPv4 consiste em quatro números decimais pontilhados, cada um no intervalo de 0 a 255. Por exemplo: 192.168.0.0.
• IPv6: uma cadeia de caracteres literal IPv6 está entre colchetes e contém números hexadecimal separados por dois-pontos. Por exemplo: [::1] ou [3ffe:ffff::6ECB:0101].

EnableCompatibilityHttpListener

Especifica se o ouvinte HTTP de compatibilidade está habilitado. Se essa configuração for True, o ouvinte escutará na porta 80, além da porta 5985. O padrão é False.

EnableCompatibilityHttpsListener

Especifica se o ouvinte HTTPS de compatibilidade está habilitado. Se essa configuração for True, o ouvinte escutará na porta 443, além da porta 5986. O padrão é False.

Configurações padrão do Winrs

O winrm quickconfig comando também define as configurações padrão do Winrs.

AllowRemoteShellAccess

Permite o acesso a shells remotos. Se você definir esse parâmetro como False, o servidor rejeitará novas conexões de shell remoto pelo servidor. O padrão é True.

IdleTimeout

Especifica o tempo máximo em milissegundos em que o shell remoto permanece aberto quando não há atividade do usuário no shell remoto. O shell remoto é excluído após esse tempo.

WinRM 2.0: o padrão é 180000. O valor mínimo é 60000. Definir esse valor abaixo de 60000 não tem efeito no comportamento de tempo limite.

MaxConcurrentUsers

Especifica o número máximo de usuários que podem executar simultaneamente operações remotas no mesmo computador por meio de um shell remoto. Se novas conexões de shell remoto excederem o limite, o computador as rejeitará. O padrão é 5.

MaxShellRunTime

Especifica o tempo máximo em milissegundos que o comando ou script remoto tem permissão para executar. O padrão é 288000000.

WinRM 2.0: a MaxShellRunTime configuração está definida como somente leitura. Alterar o valor de MaxShellRunTime não tem efeito sobre os shells remotos.

MaxProcessesPerShell

Especifica o número máximo de processos que qualquer operação de shell tem permissão para iniciar. Um valor 0 permite um número ilimitado de processos. O padrão é 15.

MaxMemoryPerShellMB

Especifica a quantidade máxima de memória alocada por shell, incluindo os processos filho do shell. O padrão é 150 MB.

MaxShellsPerUser

Especifica o número máximo de shells simultâneos que um usuário pode abrir remotamente no mesmo computador. Se essa configuração de política estiver habilitada, o usuário não poderá abrir novos shells remotos se a contagem exceder o limite especificado. Se essa configuração de política estiver desabilitada ou não estiver configurada, o limite será definido como cinco shells remotos por usuário por padrão.

Configurando o WinRM com Política de Grupo

Use o editor de Política de Grupo para configurar o Windows Remote Shell e o WinRM para computadores em sua empresa.

Para configurar com Política de Grupo:

1. Abra uma janela de Prompt de comando como administrador.
2. No prompt de comando, digite gpedit.msc. A janela editor de objetos Política de Grupo é aberta.
3. Localize o Gerenciamento Remoto do Windows e o WINDOWS Remote Shell Política de Grupo Objects (GPO) em Configuração do Computador\Modelos Administrativos\Componentes do Windows.
4. Na guia Estendido , selecione uma configuração para ver uma descrição. Clique duas vezes em uma configuração para editá-la.

Firewall do Windows e portas WinRM 2.0

A partir do WinRM 2.0, as portas de ouvinte padrão configuradas por Winrm quickconfig são a porta 5985 para transporte HTTP e a porta 5986 para HTTPS. Os ouvintes do WinRM podem ser configurados em qualquer porta arbitrária.

Se você atualizar um computador para o WinRM 2.0, os ouvintes configurados anteriormente serão migrados e ainda receberão tráfego.

Notas de instalação e configuração do WinRM

O WinRM não depende de nenhum outro serviço, exceto WinHttp. Se o Serviço de Administração do IIS estiver instalado no mesmo computador, você poderá ver mensagens que indicam que o WinRM não pode ser carregado antes dos Serviços de Informações da Internet (IIS). No entanto, o WinRM não depende realmente do IIS. Essas mensagens ocorrem porque a ordem de carregamento garante que o serviço do IIS seja iniciado antes do serviço HTTP. O WinRM requer que WinHTTP.dll esteja registrado.

Se o cliente de firewall ISA2004 estiver instalado no computador, ele poderá fazer com que um cliente dos Serviços Web para Gerenciamento (WS-Management) pare de responder. Para evitar esse problema, instale o ISA2004 Firewall SP1.

Se dois serviços de ouvinte com endereços IP diferentes forem configurados com o mesmo número de porta e nome do computador, o WinRM ouvirá ou receberá mensagens em apenas um endereço. Essa abordagem usada ocorre porque os prefixos de URL usados pelo protocolo WS-Management são os mesmos.

Notas de instalação do provedor e do driver IPMI

O driver pode não detectar a existência de drivers IPMI que não são da Microsoft. Se o driver não for iniciado, talvez seja necessário desabilitá-lo.

Se os recursos do BMC (controlador de gerenciamento de placa base) aparecerem no BIOS do sistema, o ACPI (Plug and Play) detectará o hardware do BMC e instalará automaticamente o driver IPMI. Plug and Play suporte pode não estar presente em todos os BMCs. Se o BMC for detectado por Plug and Play, um Dispositivo Desconhecido aparecerá em Gerenciador de Dispositivos antes que o componente gerenciamento de hardware seja instalado. Quando o driver é instalado, um novo componente, o Dispositivo Compatível com IPMI Genérico do Microsoft ACPI, aparece em Gerenciador de Dispositivos.

Se o sistema não detectar automaticamente o BMC e instalar o driver, mas um BMC tiver sido detectado durante o processo de instalação, crie o dispositivo BMC. Para criar o dispositivo, digite o seguinte comando em um prompt de comando:

Rundll32 ipmisetp.dll, AddTheDevice

Depois que esse comando é executado, o dispositivo IPMI é criado e aparece em Gerenciador de Dispositivos. Se você desinstalar o componente Gerenciamento de Hardware, o dispositivo será removido.

Para obter mais informações, consulte Introdução ao gerenciamento de hardware.

O provedor IPMI coloca as classes de hardware no namespaceraiz\hardware do WMI. Para obter mais informações sobre as classes de hardware, consulte Provedor IPMI. Para obter mais informações sobre namespaces WMI, consulte Arquitetura WMI.

Notas de configuração do plug-in WMI

Começando com Windows 8 e Windows Server 2012, os plug-ins WMI têm suas próprias configurações de segurança. Para um usuário normal ou avançado, não um administrador, para poder usar o plug-in WMI, habilite o acesso para esse usuário depois que o ouvinte tiver sido configurado. Configure o usuário para acesso remoto ao WMI por meio de uma dessas etapas.

• Execute lusrmgr.msc para adicionar o usuário ao grupo WinRMRemoteWMIUsers__ na janela Usuários e Grupos Locais .

• Use a ferramenta de linha de comando do Winrm para configurar o descritor de segurança para o namespace do plug-in WMI:

  winrm configSDDL http://schemas.microsoft.com/wbem/wsman/1/wmi/ WmiNamespace
  

Quando a interface do usuário for exibida, adicione o usuário.

Depois de configurar o usuário para acesso remoto ao WMI, você deve configurar o WMI para permitir que o usuário acesse o plug-in. Para permitir o acesso, execute wmimgmt.msc para modificar a segurança WMI para que o namespace seja acessado na janela Controle WMI .

A maioria das classes WMI para gerenciamento está no namespace root\cimv2 .