Instalación y configuración de la gestión remota de Windows

  • Artículo

Para que se ejecuten las secuencias de comandos de Administración remota de Windows (WinRM), y para que el Winrm para realizar operaciones de datos, WinRM debe estar instalado y configurado.

Los siguientes elementos también dependen de la configuración de WinRM:

La ubicación de instalación de WinRM

WinRM se instala automáticamente con todas las versiones actualmente compatibles del sistema operativo Windows.

Configuración de WinRM y IPMI

Los siguientes componentes de WinRM y de proveedor WMI de Interfaz inteligente de gestión de plataformas (IPMI) se instalan con el sistema operativo:

  • El servicio WinRM se inicia automáticamente en Windows Server 2008 y posteriores. En versiones anteriores de Windows (cliente o servidor), es necesario iniciar el servicio manualmente.
  • Por defecto, ningún WinRM oyente está configurado. Aunque el servicio WinRM esté en ejecución, el protocolo WS-Management messages que los datos solicitados no pueden ser recibidos o enviados.
  • El cortafuegos de conexión a Internet (ICF) bloquea el acceso a los puertos.

Use el comando winrm para localizar a los oyentes y las direcciones escribiendo el siguiente comando en un símbolo del sistema:

winrm enumerate winrm/config/listener

Para comprobar el estado de los ajustes de configuración, escriba el siguiente comando:

winrm get winrm/config

Configuración rápida por defecto

Habilite el protocolo WS-Management en el equipo local y establezca la configuración predeterminada para la administración remota con el comando winrm quickconfig.

El winrm quickconfig comando (que se puede abreviar a winrm qc) realiza las siguientes operaciones:

  • Inicia el servicio WinRM y establece el tipo de inicio del servicio en empezar automáticamente.
  • Configura una escucha para los puertos que envían y reciben el protocolo WS-Management messages utilizando HTTP o HTTPS en cualquier dirección IP.
  • Define las excepciones ICF para el servicio WinRM y abre los puertos para HTTP y HTTPS.

Nota:

El comando winrm quickconfig crea una excepción de cortafuegos solo para el perfil de usuario actual. Si el perfil del cortafuegos se modifica por cualquier motivo, ejecute winrm quickconfig para habilitar la excepción del cortafuegos para el nuevo perfil (de lo contrario, la excepción podría no estar habilitada).

Para obtener información sobre la personalización de una configuración, escriba el siguiente comando en un símbolo del sistema:

winrm help config

Para configurar WinRM con los ajustes por defecto

  1. En un símbolo del sistema que se ejecute como cuenta de administrador del equipo local, ejecute este comando:

    winrm quickconfig

    Si no se está ejecutando como Administrador del equipo local, seleccione Ejecutar como administrador desde el empezar menú, o use el Runas comando en una pregunta de comando.

  2. Cuando la herramienta muestra Hacer estos cambios [y/n]?, tipo y.

    Si la configuración se realiza correctamente, se muestra la siguiente salida.

    WinRM has been updated for remote management.

WinRM service type changed to delayed auto start.
WinRM service started.
Created a WinRM listener on https://* to accept WS-Man requests to any IP on this machine.

  3. Mantenga la configuración predeterminada para los componentes cliente y servidor de WinRM, o personalícela. Por ejemplo, puede que necesite añadir determinados ordenadores remotos a la configuración de clientes TrustedHosts lista.

    Configure una lista de hosts de confianza cuando no se pueda establecer la autenticación mutua. Kerberos permite la autenticación mutua, pero no puede utilizarse en grupos de trabajo; solo en dominios. Una de las mejores prácticas a la hora de configurar hosts de confianza para un grupo de trabajo es hacer que la lista sea lo más restringida posible.

  4. Cree un oyente HTTPS escribiendo el siguiente comando:

    winrm quickconfig -transport:https

    Nota:

    Abra el puerto 5986 para que funcione el transporte HTTPS.

Configuración por defecto de los protocolos Listener y WS-Management

Para obtener la configuración de la escucha, escriba winrm enumerate winrm/config/listener en la búsqueda de un comando. Los receptores se definen mediante un transporte (HTTP o HTTPS) y una dirección IPv4 o IPv6.

El winrm quickconfig comando crea la siguiente configuración por defecto para una escucha. Puede crear más de un oyente. Para más información, escriba winrm help config en la búsqueda de un comando.

Dirección

Especifica la dirección para la que se está creando esta escucha.

Transporte

Especifica el transporte que se va a utilizar para enviar y recibir las solicitudes y las respuestas del protocolo WS-Management. El valor debe ser o HTTP o HTTPS. El valor predeterminado es HTTP.

Port

Especifica el puerto TCP para el que se creó este agente de escucha.

WinRM 2.0: el puerto HTTP por defecto es 5985.

Nombre de host

Especifica el nombre de host del equipo en el que se ejecuta el servicio WinRM. El valor debe ser un nombre de dominio completo, una cadena literal IPv4 o IPv6 o un carácter comodín.

habilitado

Especifica si el agente de escucha está habilitado o deshabilitado. El valor predeterminado es True.

URLPrefix

Especifica un prefijo de URL en el que aceptar solicitudes HTTP o HTTPS. Esta cadena solo contiene los caracteres a-z, A-Z, 9-0, guion bajo (_) y barra (/). La cadena no debe empezar ni terminar con una barra (/). Por ejemplo, si el nombre del ordenador es SampleMachine, entonces el cliente WinRM especificaría https://SampleMachine/<URLPrefix> en la dirección de destino. El prefijo de URL por defecto es wsman.

CertificateThumbprint

Especifica la huella digital del certificado del servicio. Este valor representa una cadena de valores hexadecimales de dos dígitos que se encuentran en el Thumbprint campo del certificado. Esta cadena contiene el hash SHA-1 del certificado. Los certificados se usan para la autenticación basada en certificados de cliente. Los certificados solo pueden asignarse a cuentas de usuario locales. No funcionan con cuentas de dominio.

ListeningOn

Especifica las direcciones IPv4 e IPv6 que utiliza el receptor. Por ejemplo, 111.0.0.1, 111.222.333.444, ::1, 1000:2000:2c:3:c19:9ec8:a715:5e24, 3ffe:8311:ffff:f70f:0:5efe:111.222.333.444, fe80::5efe:111.222.333.444%8, fe80::c19:9ec8:a715:5e24%6.

Configuración de protocolo por defecto

Muchos de los ajustes de configuración, como MaxEnvelopeSizekb or SoapTraceEnabled, determinar cómo interactúan los componentes cliente y servidor de WinRM con el protocolo WS-Management. Las siguientes secciones describen los ajustes de configuración disponibles.

MaxEnvelopeSizekb

Especifica el máximo de datos del Protocolo Simple de Acceso a Objetos (SOAP) en kilobytes. El valor predeterminado es 150 kilobytes.

Nota:

El comportamiento no es compatible si MaxEnvelopeSizekb tiene un valor superior a 1039440.

MaxTimeoutms

Especifica el tiempo máximo de espera en milisegundos que se puede utilizar para cualquier solicitud que no sea Pull solicitudes. El valor predeterminado es 60 000.

MaxBatchItems

Especifica el número máximo de elementos que se pueden utilizar en una Pull respuesta. El valor predeterminado es 32000.

MaxProviderRequests

Especifica el número máximo de solicitudes simultáneas permitidas por el servicio. El valor predeterminado es 25.

WinRM 2.0: Esta opción está obsoleta y es de solo lectura.

Ajustes de configuración por defecto del cliente WinRM

La versión cliente de WinRM tiene los siguientes ajustes de configuración por defecto.

NetworkDelayms

Especifica el tiempo adicional en milisegundos que espera el equipo cliente para adaptarse al tiempo de retraso de la red. El valor predeterminado es 5000 milisegundos.

URLPrefix

Especifica un prefijo de URL en el que aceptar solicitudes HTTP o HTTPS. El prefijo de URL por defecto es wsman.

AllowUnencrypted

Permite que el equipo cliente solicite tráfico sin cifrar. Por defecto, el ordenador cliente requiere tráfico de red cifrado y esta configuración es Falso.

Básico

Permite que el equipo cliente utilice la autenticación Básica. La autenticación Básica es un esquema en el que el nombre de usuario y la contraseña se envían al servidor o proxy como texto no cifrado. Este método de autenticación es el menos seguro de todos. El valor predeterminado es True.

Digest

Permite al cliente utilizar la autenticación Implícita. La autenticación Implícita es un esquema de desafío/respuesta que utiliza una cadena de datos especificada por el servidor para el desafío. Solo el equipo cliente puede iniciar una solicitud de autenticación Implícita.

El ordenador cliente envía una solicitud al servidor para autenticarse y recibe una cadena de tokens del servidor. A continuación, el ordenador cliente envía la solicitud de recursos, incluyendo el nombre de usuario y un hash criptográfico de la contraseña combinada con la cadena del token.

Se admite la autenticación Implícita para HTTP y HTTPS. Los scripts y las aplicaciones cliente de WinRM Shell pueden especificar la autenticación Digest, pero el servicio WinRM no acepta la autenticación Digest. El valor predeterminado es True.

Nota:

La autenticación Digest a través de HTTP no se considera segura.

Certificate

Permite al cliente utilizar la autenticación basada en certificados de cliente. La autenticación basada en certificados es un esquema en el que el servidor autentica a un cliente identificado mediante un certificado X509. El valor predeterminado es True.

Kerberos

Permite al cliente utilizar la autenticación Kerberos. La autenticación Kerberos es un esquema en el que el cliente y el servidor se autentican mutuamente mediante certificados Kerberos. El valor predeterminado es True.

Negotiate

Permite al cliente utilizar Negociar autenticación. La autenticación Negotiate es un esquema en el que el cliente envía una solicitud al servidor para que la autentique.

El servidor determina si se utiliza el protocolo Kerberos o NT LAN Manager (NTLM). Se selecciona el protocolo Kerberos para autenticar una cuenta de dominio. Se selecciona NTLM para las cuentas de ordenadores locales. El nombre de usuario debe especificarse en domain\user_name formato para un usuario de dominio. El nombre de usuario debe especificarse en server_name\user_name formato para un usuario local en un ordenador servidor. El valor predeterminado es True.

CredSSP

Permite al cliente utilizar la autenticación Credential Security Support Provider (CredSSP). CredSSP permite a una aplicación delegar las credenciales del usuario desde el ordenador cliente al servidor de destino. El valor predeterminado es False.

DefaultPorts

Especifica los puertos que el cliente utiliza para HTTP o HTTPS.

WinRM 2.0: El puerto HTTP por defecto es el 5985, y el puerto HTTPS por defecto es el 5986.

TrustedHosts

Especifica la lista de ordenadores remotos de confianza. Otros ordenadores de un grupo de trabajo o de un dominio diferente deben añadirse a esta lista.

Nota:

Los ordenadores de la lista de hosts de confianza no están autenticados. El cliente podría enviar información sobre credenciales a esos ordenadores.

Si se especifica una dirección IPv6 para un host de confianza, la dirección debe ir entre corchetes, como se muestra en el comando de utilidad Winrm a continuación:

winrm set winrm/config/client '@{TrustedHosts ="[0:0:0:0:0:0:0:0]"}'

Para obtener más información sobre cómo añadir ordenadores a la lista TrustedHosts, escriba winrm help config.

Ajustes de configuración por defecto del servicio WinRM

La versión servicio de WinRM tiene los siguientes ajustes de configuración por defecto.

RootSDDL

Especifica el descriptor de seguridad que controla el acceso remoto al receptor. El valor predeterminado es O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;ER)S:P(AU;FA;GA;;;WD)(AU;SA;GWGX;;;WD).

MaxConcurrentOperations

Número máximo de operaciones simultáneas. El valor predeterminado es 100.

WinRM 2.0: La MaxConcurrentOperations configuración está obsoleto y es de solo lectura. Esta configuración ha sido reemplazada por MaxConcurrentOperationsPerUser.

MaxConcurrentOperationsPerUser

Especifica el número máximo de operaciones concurrentes que cualquier usuario puede abrir remotamente en el mismo sistema. El valor predeterminado es 1500.

EnumerationTimeoutms

Especifica el tiempo de espera de inactividad en milisegundos entre Pull mensajes. El valor predeterminado es 60 000.

MaxConnections

Especifica el número máximo de solicitudes activas que el servicio puede procesar simultáneamente. El valor predeterminado es 300.

WinRM 2.0: el valor por defecto es 25.

MaxPacketRetrievalTimeSeconds

Especifica el tiempo máximo en segundos que el servicio WinRM tarda en recuperar un paquete. El valor predeterminado es 120 segundos.

AllowUnencrypted

Permite que el equipo cliente solicite tráfico sin cifrar. El valor predeterminado es False.

Básico

Permite que el servicio WinRM utilice la autenticación Básico. El valor predeterminado es False.

Certificate

Permite al servicio WinRM utilizar la autenticación basada en certificados de cliente. El valor predeterminado es False.

Kerberos

Permite que el servicio WinRM utilice la autenticación Kerberos El valor predeterminado es True.

Negotiate

Permite que el servicio WinRM utilice la autenticación negociar. El valor predeterminado es True.

CredSSP

Permite al servicio WinRM utilizar la autenticación Credential Security Support Provider (CredSSP). El valor predeterminado es False.

CbtHardeningLevel

Establece la directiva para los requisitos de token de enlace de canal en las solicitudes de autenticación. El valor predeterminado es Relajado.

DefaultPorts

Especifica los puertos que el servicio WinRM utiliza para HTTP o HTTPS.

WinRM 2.0: el puerto HTTP por defecto es 5985. El puerto HTTPS por defecto es 5986.

IPv4Filter y IPv6Filter

Especifica las direcciones IPv4 o IPv6 que los oyentes pueden utilizar. El valor predeterminado es IPv4Filter = * y IPv6Filter = *.

  • IPv4: Una cadena literal IPv4 consta de cuatro números decimales con puntos, cada uno en el rango de 0 a 255. Por ejemplo: 192.168.0.0.
  • IPv6: Una cadena literal IPv6 va entre corchetes y contiene números hexadecimales separados por dos puntos. Por ejemplo: [::1] o [3ffe:ffff::6ECB:0101].

EnableCompatibilityHttpListener

Especifica si está activada la escucha HTTP de compatibilidad. Si esta configuración es True, el oyente escucha en el puerto 80 además del puerto 5985. El valor predeterminado es False.

EnableCompatibilityHttpsListener

Especifica si está activada la escucha HTTPS de compatibilidad. Si esta configuración es True, el oyente escucha en el puerto 443 además del puerto 5986. El valor predeterminado es False.

Ajustes de configuración por defecto de Winrs

El winrm quickconfig comando también configura los ajustes por defecto de Winrs.

AllowRemoteShellAccess

Permite el acceso a shells remotos. Si ajusta este parámetro a False, el servidor rechaza nuevas conexiones shell remotas por parte del servidor. El valor predeterminado es True.

IdleTimeout

Especifica el tiempo máximo en milisegundos que el shell remoto permanece abierto cuando no hay actividad del usuario en el shell remoto. El shell remoto se elimina después de ese tiempo.

WinRM 2.0: el valor por defecto es 180000. El valor mínimo es 60000. Establecer este valor por debajo de 60000 no tiene ningún efecto sobre el comportamiento del tiempo de espera.

MaxConcurrentUsers

Especifica el número máximo de usuarios que pueden realizar simultáneamente operaciones remotas en el mismo equipo a través de un shell remoto. Si las nuevas conexiones shell remotas superan el límite, el ordenador las rechaza. El valor predeterminado es 5.

MaxShellRunTime

Especifica el tiempo máximo de espera en milisegundos que se permite la ejecución del comando o script remoto. El valor predeterminado es 28800000.

WinRM 2.0: La configuración MaxShellRunTime está establecida como de solo lectura. Cambiar el valor de MaxShellRunTime no tiene ningún efecto sobre los shells remotos.

MaxProcessesPerShell

Especifica el número máximo de procesos que cualquier operación de shell puede iniciar. Un valor de 0 permite un número ilimitado de procesos. El valor predeterminado es 15.

MaxMemoryPerShellMB

Especifica la cantidad máxima de memoria asignada por shell, incluyendo los procesos secundarios del shell. El valor predeterminado es 150 MB.

MaxShellsPerUser

Especifica el número máximo de shells concurrentes que cualquier usuario puede abrir remotamente en el mismo ordenador. Si esta configuración de directiva está habilitada, el usuario no podrá abrir nuevos shells remotos si el recuento supera el límite especificado. Si esta configuración de directiva está deshabilitada o no está configurada, el límite se establece en cinco shells remotos por usuario de forma predeterminada.

Configuración de WinRM con directivas de grupo

Utilice el editor de directivas de grupo para configurar Windows Remote Shell y WinRM para los equipos de su empresa.

Para configurar con la directiva de grupo:

  1. Abra una ventana de símbolo del sistema como administrador.
  2. En el símbolo del sistema, escriba gpedit.msc. El Editor de objetos de directiva de grupo se abre la ventana.
  3. Encuentre el Gestión remota de Windows and Shell administración remota de Windows Objetos de directiva de grupo (GPO) bajo Configuración del equipo Plantillas administrativas Componentes de Windows.
  4. En la Extendida pestaña, seleccione una configuración para ver una descripción. Haga doble clic en un ajuste para editarlo.

Firewall de Windows y puertos WinRM 2.0

A partir de WinRM 2.0, los puertos de escucha predeterminados configurados por Winrm quickconfig son puertos 5985 para HTTP transporte, y puerto 5986 para HTTPS. Las escuchas WinRM pueden configurarse en cualquier puerto arbitrario.

Si se actualiza un equipo a WinRM 2.0, se migran las escuchas previamente configuradas, que siguen recibiendo tráfico.

Notas sobre la instalación y configuración de WinRM

WinRM no depende de ningún otro servicio excepto de WinHttp. Si el servicio de administración de IIS está instalado en el mismo equipo, es posible que aparezcan mensajes que indiquen que WinRM no puede cargarse antes que Internet Information Services (IIS). Sin embargo, WinRM no depende realmente de IIS. Estos mensajes se producen porque el orden de carga garantiza que el servicio IIS se inicie antes que el servicio HTTP. WinRM requiere que WinHTTP.dll esté registrado.

Si el cliente del cortafuegos ISA2004 está instalado en el ordenador, puede provocar que un cliente de Servicios Web para la Administración (WS-Management) deje de responder. Para evitar este problema, instale ISA2004 Firewall SP1.

Si dos servicios de escucha con direcciones IP diferentes están configurados con el mismo número de puerto y nombre de equipo, entonces WinRM escucha o recibe mensajes solo en una dirección. Este enfoque utilizado se debe a que los prefijos URL utilizados por el protocolo WS-Management son los mismos.

Notas de instalación del controlador IPMI y del proveedor

Es posible que el controlador no detecte la existencia de controladores IPMI que no sean de Microsoft. Si el controlador no se inicia, es posible que tenga que desactivarlo.

Si el controlador de gestión de placa base (BMC) aparecen en la BIOS del sistema, ACPI (Plug and Play) detecta el hardware BMC e instala automáticamente el controlador IPMI. Es posible que la compatibilidad con Plug and Play no esté presente en todos los BMC. Si el BMC es detectado por Plug and Play, entonces un Dispositivo desconocida aparece en el Administrador de dispositivos antes de que se instale el componente Gestión de hardware. Cuando se instala el controlador, un nuevo componente, el Dispositivo compatible con Microsoft ACPI Generic IPMI, aparece en el Administrador de dispositivos.

Si su sistema no detecta automáticamente el BMC e instala el controlador, pero se detectó un BMC durante el proceso de instalación, cree el dispositivo BMC. Para crear el dispositivo, escriba el siguiente comando en un símbolo del sistema:

Rundll32 ipmisetp.dll, AddTheDevice

Después de que este comando se ejecuta, el dispositivo IPMI se crea, y aparece en el Administrador de dispositivos. Si desinstala el componente Gestión de hardware, se elimina el dispositivo.

Para más información, véase Introducción al Hardware de gestión.

El proveedor IPMI coloca las clases de hardware en el raíz/hardware espacio de nombre de WMI. Para más información sobre las clases de hardware, consulte IPMI Provider. Para obtener más información sobre los espacios de nombres de WMI, consulte WMI architecture.

Notas sobre la configuración del complemento WMI

A partir de Windows 8 y Windows Server 2012, WMI plug-ins tienen sus propias configuraciones de seguridad. Para que un usuario normal o avanzado, no un administrador, pueda utilizar el complemento WMI, habilite el acceso para ese usuario después de que el oyente ha sido configurado. Configurar el usuario para el acceso remoto a WMI a través de uno de estos pasos.

  • Ejecute lusrmgr.msc para añadir el usuario al WinRMRemoteWMIUsers__ grupo en el Usuarios y grupos locales ventana.

  • Utilice la herramienta de línea de comandos Winrm para configurar el descriptor de seguridad para el archivo espacio de nombre del WMI plug-in:

    winrm configSDDL http://schemas.microsoft.com/wbem/wsman/1/wmi/ WmiNamespace

Cuando aparezca la interfaz de usuario, añada el usuario.

Después de configurar el usuario para el acceso remoto a WMI, debe establecer WMI para permitir que el usuario acceda al complemento. Para permitir el acceso, ejecute wmimgmt.msc para modificar la seguridad WMI para el espacio de nombre para ser accedido a Control WMI ventana.

La mayoría de las clases WMI de gestión se encuentran en el directorio root\cimv2 espacio de nombre,