Installazione e configurazione per Gestione remota Windows

Affinché gli script di Gestione remota Windows (WinRM) vengano eseguiti e per lo strumento da riga di comando Winrm per eseguire operazioni sui dati, WinRM deve essere installato e configurato.

Gli elementi seguenti dipendono anche dalla configurazione winRM:

Percorso di installazione di WinRM

WinRM viene installato automaticamente con tutte le versioni attualmente supportate del sistema operativo Windows.

Configurazione di WinRM e IPMI

I componenti del provider WMI WinRM e Intelligent Platform Management Interface (IPMI) seguenti vengono installati con il sistema operativo:

  • Il servizio WinRM viene avviato automaticamente in Windows Server 2008 e versioni successive. Nelle versioni precedenti di Windows (client o server) è necessario avviare il servizio manualmente.
  • Per impostazione predefinita, non è configurato alcun listener WinRM. Anche se il servizio WinRM è in esecuzione, i messaggi del protocollo WS-Management che richiedono dati non possono essere ricevuti o inviati.
  • Internet Connection Firewall (ICF) blocca l'accesso alle porte.

Usare il winrm comando per individuare i listener e gli indirizzi digitando il comando seguente al prompt dei comandi:

winrm enumerate winrm/config/listener

Per controllare lo stato delle impostazioni di configurazione, digitare il comando seguente:

winrm get winrm/config

Configurazione predefinita rapida

Abilitare il protocollo WS-Management nel computer locale e configurare la configurazione predefinita per la gestione remota con il comando winrm quickconfig.

Il winrm quickconfig comando (che può essere abbreviato in winrm qc) esegue le operazioni seguenti:

  • Avvia il servizio WinRM e imposta il tipo di avvio del servizio per l'avvio automatico.
  • Configura un listener per le porte che inviano e ricevono messaggi del protocollo WS-Management usando HTTP o HTTPS in qualsiasi indirizzo IP.
  • Definisce le eccezioni ICF per il servizio WinRM e apre le porte per HTTP e HTTPS.

Nota

Il comando winrm quickconfig crea un'eccezione del firewall solo per il profilo utente corrente. Se il profilo del firewall viene modificato per qualsiasi motivo, per abilitare l'eccezione del firewall per il nuovo profilo, eseguire winrm quickconfig (altrimenti l'eccezione potrebbe non essere abilitata).

Per recuperare informazioni sulla personalizzazione di una configurazione, digitare il comando seguente al prompt dei comandi:

winrm help config

Per configurare WinRM con le impostazioni predefinite

  1. Al prompt dei comandi in esecuzione come account amministratore del computer locale eseguire questo comando:

    winrm quickconfig
    

    Se l'amministratore del computer locale non è in esecuzione, selezionare Esegui come amministratore dal menu Start oppure usare il Runas comando al prompt dei comandi.

  2. Quando lo strumento visualizza Apportare queste modifiche [y/n]?, digitare y.

    Se la configurazione ha esito positivo, viene visualizzato l'output seguente.

    WinRM has been updated for remote management.
    
    WinRM service type changed to delayed auto start.
    WinRM service started.
    Created a WinRM listener on https://* to accept WS-Man requests to any IP on this machine.
    
  3. Mantenere le impostazioni predefinite per i componenti client e server di WinRM o personalizzarle. Ad esempio, potrebbe essere necessario aggiungere determinati computer remoti all'elenco di configurazione TrustedHosts client.

    Configurare un elenco di host attendibili quando non è possibile stabilire l'autenticazione reciproca. Kerberos consente l'autenticazione reciproca, ma non può essere usata nei gruppi di lavoro; solo domini. Quando si configurano host attendibili per un gruppo di lavoro, è consigliabile rendere l'elenco il più limitato possibile.

  4. Creare un listener HTTPS digitando il comando seguente:

    winrm quickconfig -transport:https
    

    Nota

    Aprire la porta 5986 per il funzionamento del trasporto HTTPS.

Impostazioni predefinite del protocollo listener e WS-Management

Per ottenere la configurazione del listener, digitare winrm enumerate winrm/config/listener al prompt dei comandi. I listener sono definiti da un trasporto (HTTP o HTTPS) e da un indirizzo IPv4 o IPv6.

Il winrm quickconfig comando crea le impostazioni predefinite seguenti per un listener. È possibile creare più listener. Per altre informazioni, digitare winrm help config al prompt dei comandi.

Address

Specifica l'indirizzo per il quale viene creato il listener.

Trasporto

Specifica il trasporto da usare per inviare e ricevere richieste e risposte del protocollo WS-Management. Il valore deve essere HTTP o HTTPS. Il valore predefinito è HTTP.

Porta

Specifica la porta TPC per cui viene creato il listener.

WinRM 2.0: la porta HTTP predefinita è 5985.

Hostname (Nome host)

Specifica il nome host del computer in cui è in esecuzione il servizio WinRM. Il valore deve essere un nome di dominio completo o una stringa letterale IPv4 o IPv6 o un carattere jolly.

Attivata

Specifica se il listener è abilitato o disabilitato. Il valore predefinito è True.

URLPrefix

Specifica un prefisso URL in cui accettare richieste HTTP o HTTPS. Questa stringa contiene solo i caratteri a-z, A-Z, 9-0, carattere di sottolineatura (_) e barra (/). La stringa non deve iniziare con o terminare con una barra (/). Ad esempio, se il nome del computer è SampleMachine, il client WinRM specifica https://SampleMachine/<URLPrefix> nell'indirizzo di destinazione. Il prefisso URL predefinito è wsman.

CertificateThumbprint

Specifica l'identificazione personale del certificato del servizio. Questo valore rappresenta una stringa di valori esadecimali a due cifre trovati nel campo Identificazione personale del certificato. Questa stringa contiene l'hash SHA-1 del certificato. I certificati vengono usati nell'autenticazione basata sui certificati client. I certificati possono essere mappati solo agli account utente locali. Non funzionano con gli account di dominio.

ListeningOn

Specifica gli indirizzi IPv4 e IPv6 usati dal listener. Ad esempio: 111.0.0.1, 111.222.333.444, ::1, 1000:2000:2c:3:c19:9ec8:a715:5e24, 3ffe:8311:ffff:f70f:0:5efe:111.222.333.444, fe80::5efe:111.222.333.444%8, fe80::c19:9ec8:a715:5e24%6.

Impostazioni predefinite del protocollo

Molte delle impostazioni di configurazione, ad esempio MaxEnvelopeSizekb o SoapTraceEnabled, determinano in che modo i componenti client e server WinRM interagiscono con il protocollo WS-Management. Le sezioni seguenti descrivono le impostazioni di configurazione disponibili.

MaxEnvelopeSizekb

Specifica i dati SOAP (Simple Object Access Protocol) massimi in kilobyte. Il valore predefinito è 150 kilobyte.

Nota

Il comportamento non è supportato se MaxEnvelopeSizekb è impostato su un valore maggiore di 1039440.

MaxTimeoutms

Specifica il timeout massimo in millisecondi che può essere usato per qualsiasi richiesta diversa dalle Pull richieste. Il valore predefinito è 60000.

MaxBatchItems

Specifica il numero massimo di elementi che possono essere utilizzati in una Pull risposta. Il valore predefinito è 32000.

MaxProviderRequests

Specifica il numero massimo di richieste simultanee consentite dal servizio. Il valore predefinito è 25.

WinRM 2.0: questa impostazione è deprecata ed è impostata su sola lettura.

Impostazioni di configurazione predefinite del client WinRM

La versione client di WinRM include le impostazioni di configurazione predefinite seguenti.

NetworkDelayms

Specifica l'intervallo di tempo aggiuntivo, in millisecondi, durante il quale il computer client attende per supportare il ritardo di rete. Il valore predefinito è 5000 millisecondi.

URLPrefix

Specifica un prefisso URL in cui accettare richieste HTTP o HTTPS. Il prefisso URL predefinito è wsman.

AllowUnencrypted

Consente al computer client di richiedere traffico non crittografato. Per impostazione predefinita, il computer client richiede traffico di rete crittografato e questa impostazione è False.

Di base

Consente al computer client di usare l'autenticazione di base. L'autenticazione di base è uno schema in cui il nome utente e la password vengono inviati in testo non crittografato al server o al proxy. Si tratta del metodo di autenticazione meno sicuro. Il valore predefinito è True.

Digest

Consente al client di usare l'autenticazione del digest. L'autenticazione del digest è uno schema In attesa/Risposta che usa una stringa di dati specificata dal server per la parte In attesa. Solo il computer client può avviare una richiesta di autenticazione del digest.

Il computer client invia una richiesta al server per l'autenticazione e riceve una stringa di token dal server. Il computer client invia quindi la richiesta di risorsa, inclusi il nome utente e un hash crittografico della password combinata con la stringa del token.

L'autenticazione del digest è supportata per HTTP e per HTTPS. Gli script client e le applicazioni della shell WinRM possono specificare l'autenticazione digest, ma il servizio WinRM non accetta l'autenticazione digest. Il valore predefinito è True.

Nota

L'autenticazione digest su HTTP non è considerata sicura.

Certificate

Consente al client di usare l'autenticazione basata su certificati client. L'autenticazione basata su certificati è uno schema in cui il server autentica un client identificato da un certificato X509. Il valore predefinito è True.

Kerberos

Consente al client di usare l'autenticazione Kerberos. L'autenticazione Kerberos è uno schema in cui il client e il server si autenticano reciprocamente tramite certificati Kerberos. Il valore predefinito è True.

Negotiate

Consente al client di usare l'autenticazione Negotiate . L'autenticazione con negoziazione è uno schema in cui il client invia una richiesta di autenticazione al server.

Il server determina se utilizzare il protocollo Kerberos o NT LAN Manager (NTLM). Il protocollo Kerberos è selezionato per autenticare un account di dominio. NTLM è selezionato per gli account computer locali. Il nome utente deve essere specificato nel formato domain\user_name per un utente di dominio. Il nome utente deve essere specificato nel formato server_name\user_name per un utente locale in un computer server. Il valore predefinito è True.

CredSSP

Consente al client di usare l'autenticazione CredSSP (Credential Security Support Provider). CredSSP consente a un'applicazione di delegare le credenziali dell'utente dal computer client al server di destinazione. Il valore predefinito è False.

DefaultPorts

Specifica le porte usate dal client per HTTP o HTTPS.

WinRM 2.0: la porta HTTP predefinita è 5985 e la porta HTTPS predefinita è 5986.

TrustedHosts

Specifica l'elenco di computer remoti attendibili. Altri computer in un gruppo di lavoro o in computer in un dominio diverso devono essere aggiunti a questo elenco.

Nota

I computer nell'elenco host attendibili non vengono autenticati. Il client potrebbe inviare informazioni sulle credenziali a tali computer.

Se per un host attendibile viene specificato un indirizzo IPv6, l'indirizzo deve essere racchiuso tra parentesi quadre, come illustrato dal comando di utilità seguente Winrm :

winrm set winrm/config/client '@{TrustedHosts ="[0:0:0:0:0:0:0:0]"}'

Per altre informazioni su come aggiungere computer all'elenco TrustedHosts , digitare winrm help config.

Impostazioni di configurazione predefinite del servizio WinRM

La versione del servizio di WinRM include le impostazioni di configurazione predefinite seguenti.

RootSDDL

Specifica il descrittore di sicurezza che controlla l'accesso remoto al listener. Il valore predefinito è O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;ER)S:P(AU;FA;GA;;;WD)(AU;SA;GWGX;;;WD).

MaxConcurrentOperations

Numero massimo di operazioni simultanee. L'impostazione predefinita è 100.

WinRM 2.0: l'impostazione MaxConcurrentOperations è deprecata ed è impostata su sola lettura. Questa impostazione è stata sostituita da MaxConcurrentOperationsPerUser.

MaxConcurrentOperationsPerUser

Specifica il numero massimo di operazioni simultanee che qualsiasi utente può aprire in remoto nello stesso sistema. Il valore predefinito è 1500.

EnumerationTimeoutms

Specifica il timeout di inattività in millisecondi tra Pull i messaggi. Il valore predefinito è 60000.

MaxConnections

Specifica il numero massimo di richieste attive che il servizio può elaborare contemporaneamente. Il valore predefinito è 300.

WinRM 2.0: il valore predefinito è 25.

MaxPacketRetrievalTimeSeconds

Specifica il periodo massimo di tempo in secondi impiegato dal servizio Gestione remota Windows per recuperare un pacchetto. Il valore predefinito è 120 secondi.

AllowUnencrypted

Consente al computer client di richiedere traffico non crittografato. Il valore predefinito è False.

Di base

Consente al servizio WinRM di usare l'autenticazione di base. Il valore predefinito è False.

Certificate

Consente al servizio WinRM di usare l'autenticazione basata su certificati client. Il valore predefinito è False.

Kerberos

Consente al servizio WinRM di usare l'autenticazione Kerberos. Il valore predefinito è True.

Negotiate

Consente al servizio WinRM di usare l'autenticazione Negotiate. Il valore predefinito è True.

CredSSP

Consente al servizio WinRM di usare l'autenticazione CredSSP (Credential Security Support Provider). Il valore predefinito è False.

CbtHardeningLevel

Imposta i criteri per i requisiti del token channel-binding nelle richieste di autenticazione. Il valore predefinito è Relaxed.

DefaultPorts

Specifica le porte usate dal servizio WinRM per HTTP o HTTPS.

WinRM 2.0: la porta HTTP predefinita è 5985. La porta HTTPS predefinita è 5986.

IPv4Filter e IPv6Filter

Specifica gli indirizzi IPv4 o IPv6 che i listener possono usare. Le impostazioni predefinite sono IPv4Filter = * e IPv6Filter = *.

  • IPv4: una stringa letterale IPv4 è costituita da quattro numeri decimali punteggiati, ognuno compreso nell'intervallo da 0 a 255. Ad esempio: 192.168.0.0.
  • IPv6: una stringa letterale IPv6 è racchiusa tra parentesi quadre e contiene numeri esadecimali separati da due punti. Ad esempio: [::1] o [3ffe::ffff::6ECB:0101].

EnableCompatibilityHttpListener

Specifica se il listener HTTP di compatibilità è abilitato. Se questa impostazione è True, il listener è in ascolto sulla porta 80 oltre alla porta 5985. Il valore predefinito è False.

EnableCompatibilityHttpsListener

Specifica se il listener HTTPS di compatibilità è abilitato. Se questa impostazione è True, il listener è in ascolto sulla porta 443 oltre alla porta 5986. Il valore predefinito è False.

Impostazioni di configurazione predefinite di Winrs

Il winrm quickconfig comando configura anche le impostazioni predefinite di Winrs.

AllowRemoteShellAccess

Consente l'accesso alle shell remote. Se si imposta questo parametro su False, il server rifiuta le nuove connessioni della shell remota dal server. Il valore predefinito è True.

IdleTimeout

Specifica il tempo massimo in millisecondi in cui la shell remota rimane aperta quando non è presente alcuna attività utente nella shell remota. La shell remota viene eliminata dopo tale ora.

WinRM 2.0: il valore predefinito è 180000. Il valore minimo è 60000. L'impostazione di questo valore inferiore a 60000 non ha alcun effetto sul comportamento di timeout.

MaxConcurrentUsers

Specifica il numero massimo di utenti che possono eseguire simultaneamente operazioni remote nello stesso computer tramite una shell remota. Se le nuove connessioni della shell remota superano il limite, il computer li rifiuta. L'impostazione predefinita è 5.

MaxShellRunTime

Specifica il tempo massimo in millisecondi consentito per l'esecuzione del comando o dello script remoto. Il valore predefinito è 28800000.

WinRM 2.0: l'impostazione MaxShellRunTime è impostata su sola lettura. La modifica del valore per MaxShellRunTime non ha alcun effetto sulle shell remote.

MaxProcessesPerShell

Specifica il numero massimo di processi che possono essere avviati da qualsiasi operazione della shell. Il valore 0 consente un numero illimitato di processi. Il valore predefinito è 15.

MaxMemoryPerShellMB

Specifica la quantità massima di memoria allocata per shell, inclusi i processi figlio della shell. Il valore predefinito è 150 MB.

MaxShellsPerUser

Specifica il numero massimo di shell simultanee che qualsiasi utente può aprire in remoto nello stesso computer. Se questa impostazione di criterio è abilitata, l'utente non sarà in grado di aprire nuove shell remote se il conteggio supera il limite specificato. Se questa impostazione di criterio è disabilitata o non è configurata, il limite è impostato su cinque shell remote per utente per impostazione predefinita.

Configurazione di WinRM con Criteri di gruppo

Usare l'editor criteri di gruppo per configurare Windows Remote Shell e WinRM per i computer dell'organizzazione.

Per configurare con Criteri di gruppo:

  1. Aprire una finestra Prompt dei comandi come amministratore.
  2. Al prompt dei comandi digitare gpedit.msc. Verrà visualizzata la finestra Editor oggetti Criteri di gruppo.
  3. Trovare gli oggetti Criteri di gruppo Gestione remota Windows e Windows Remote Shell in Configurazione computer\Modelli amministrativi\Componenti di Windows.
  4. Nella scheda Esteso selezionare un'impostazione per visualizzare una descrizione. Fare doppio clic su un'impostazione per modificarla.

Porte di Windows Firewall e WinRM 2.0

A partire da WinRM 2.0, le porte del listener predefinite configurate da Winrm quickconfig sono la porta 5985 per il trasporto HTTP e la porta 5986 per HTTPS. I listener WinRM possono essere configurati su qualsiasi porta arbitraria.

Se si aggiorna un computer a WinRM 2.0, i listener configurati in precedenza vengono migrati e ricevono comunque traffico.

Note sull'installazione e la configurazione di WinRM

WinRM non dipende da altri servizi, ad eccezione WinHttpdi . Se il servizio amministrazione IIS è installato nello stesso computer, potrebbero essere visualizzati messaggi che indicano che WinRM non può essere caricato prima di Internet Information Services (IIS). Tuttavia, WinRM non dipende effettivamente da IIS. Questi messaggi si verificano perché l'ordine di caricamento garantisce che il servizio IIS venga avviato prima del servizio HTTP. WinRM richiede che WinHTTP.dll sia registrato.

Se il client firewall ISA2004 è installato nel computer, può causare l'arresto di un client di Servizi Web per la gestione (WS-Management). Per evitare questo problema, installare ISA2004 Firewall SP1.

Se due servizi listener con indirizzi IP diversi sono configurati con lo stesso numero di porta e nome computer, WinRM rimane in ascolto o riceve messaggi su un solo indirizzo. Questo approccio viene usato perché i prefissi URL usati dal protocollo WS-Management sono gli stessi.

Note sull'installazione del driver e del provider IPMI

Il driver potrebbe non rilevare l'esistenza di driver IPMI che non provengono da Microsoft. Se l'avvio del driver non riesce, potrebbe essere necessario disabilitarlo.

Se le risorse BMC (BaseBoard Management Controller) vengono visualizzate nel BIOS di sistema, ACPI (Plug and Play) rileva l'hardware BMC e installa automaticamente il driver IPMI. Il supporto plug and play potrebbe non essere presente in tutti i bare metal. Se il BMC viene rilevato da Plug and Play, viene visualizzato un dispositivo sconosciuto in Gestione dispositivi prima dell'installazione del componente Gestione hardware. Quando il driver è installato, in Gestione dispositivi viene visualizzato un nuovo componente, il dispositivo conforme a IPMI generico ACPI Microsoft.

Se il sistema non rileva automaticamente il BMC e installa il driver, ma viene rilevato un BMC durante il processo di installazione, creare il dispositivo BMC. Per creare il dispositivo, digitare il comando seguente al prompt dei comandi:

Rundll32 ipmisetp.dll, AddTheDevice

Dopo l'esecuzione di questo comando, viene creato il dispositivo IPMI e viene visualizzato in Gestione dispositivi. Se si disinstalla il componente Gestione hardware, il dispositivo viene rimosso.

Per altre informazioni, vedere Introduzione alla gestione hardware.

Il provider IPMI inserisce le classi hardware nello spazio dei nomi root\hardware di WMI. Per altre informazioni sulle classi hardware, vedere Provider IPMI. Per altre informazioni sugli spazi dei nomi WMI, vedere Architettura WMI.

Note sulla configurazione del plug-in WMI

A partire da Windows 8 e Windows Server 2012, i plug-in WMI hanno configurazioni di sicurezza personalizzate. Per un utente normale o power user, non un amministratore, per poter usare il plug-in WMI, abilitare l'accesso per tale utente dopo la configurazione del listener . Configurare l'utente per l'accesso remoto a WMI tramite uno di questi passaggi.

  • Eseguire lusrmgr.msc per aggiungere l'utente al gruppo WinRMRemoteWMIUsers__ nella finestra Utenti e gruppi locali.

  • Usare lo strumento da riga di comando Winrm per configurare il descrittore di sicurezza per lo spazio dei nomi del plug-in WMI:

    winrm configSDDL http://schemas.microsoft.com/wbem/wsman/1/wmi/ WmiNamespace
    

Quando viene visualizzata l'interfaccia utente, aggiungere l'utente.

Dopo aver configurato l'utente per l'accesso remoto a WMI, è necessario configurare WMI per consentire all'utente di accedere al plug-in. Per consentire l'accesso, eseguire wmimgmt.msc per modificare la sicurezza WMI per lo spazio dei nomi a cui accedere nella finestra Controllo WMI.

La maggior parte delle classi WMI per la gestione si trova nello spazio dei nomi root\cimv2 .