Freigeben über


Proxyserver und WinRM

Die Windows-Remoteverwaltung (WinRM) verwendet HTTP und HTTPS zum Senden von Nachrichten zwischen Client- und Servercomputern. Im Allgemeinen sendet der WinRM-Client Nachrichten direkt an den WinRM-Server. WinRM-Clients können auch für die Verwendung eines Proxyservers konfiguriert werden.

Weitere Informationen finden Sie in den folgenden Abschnitten:

Konfigurieren eines Proxyservers für WinRM 2.0

WinRM 2.0 unterstützt eine vielzahl von Proxykonfigurationen. Beispielsweise unterstützt WinRM Proxys für HTTP- und HTTPS-Transporte und für authentifizierte und nicht authentifizierte Proxyserver.

HTTPS-Based Proxyverbindungen

Für eine bessere Sicherheit und verbindungsbasierte Affinität sollte HTTPS als Transportmechanismus verwendet werden.

Wenn der Proxyserver eine Authentifizierung erfordert, müssen die WinRM-Clients und -Server HTTPS verwenden.

Anmerkung

Die Authentifizierung am Proxyserver ist unabhängig von der Authentifizierung an den Zielserver.

 

HTTP-Based Proxyverbindungen

Wenn keine Proxyserverauthentifizierung erforderlich ist, können HTTP- oder HTTPs für den Transport verwendet werden. HTTP-basierte Verbindungen von einem WinRM-Client zu einem WinRM-Server über einen Proxyserver können jedoch problematisch sein.

Bei verwendung httpbasierter Verbindungen treten möglicherweise die folgenden Probleme auf:

  • Der Proxyserver unterstützt keine verbindungsbasierte Authentifizierung, was dazu führen kann, dass die Authentifizierung gegen den Zielserver mit einem Fehler beim Zugriff verweigert fehlschlägt.
  • Zum Herstellen einer Verbindung mit dem Zielserver und zum Proxyserver sind mehrere Anmeldeinformationen erforderlich.
  • HTTP-basierte Proxyserver unterstützen möglicherweise nicht die Möglichkeit, die zugehörigen clientbasierten und serverbasierten Verbindungen aufrechtzuerhalten. Wenn der Proxy einen Client nicht stark mit einem Server verknüpft und die TCP/IP-Verbindung verwaltet, erhalten nicht authentifizierte Clients möglicherweise Zugriff auf Daten. Außerdem kann die fehlende Verbindungsaffinität dazu führen, dass die Authentifizierung gegen den Server fehlschlägt.

Wenn HTTP als Transport verwendet werden muss, sollte der Proxyserver die folgende Konfiguration unterstützen, um eine bessere WinRM-Antwort zu erzielen und Zugriff verweigerte Fehler für WinRM-Clients zu verhindern:

  • Unterstützung für HTTP/1.1. HTTP/1.1 ist strenger bei der Zuordnung der Verbindungsaffinität zwischen Client und Server.

  • Verbindungsbasierte Authentifizierung für aushandeln, Kerberos und CredSSP-Authentifizierung.

    Für die Authentifizierung einer Anforderung sind mehrere Roundtrips zwischen Client und Server erforderlich. Die meisten Aushandlung für die Authentifizierung ist abgeschlossen, nachdem der Authentifizierungsserver (WinRM) eine Antwort an den Client sendet, die keine 401-Antwort (Nicht autorisiert) ist. Wenn der WinRM-Server eine Antwort auf den Client zurückgibt, der keine 401-Antwort ist, sollte der Proxy die Verbindung nicht schließen.

    Mehrere Anforderungs-/Antwortpaare können zwischen Client und Server gesendet werden, bevor die tatsächlichen Paketdaten gesendet werden. WinRM 2.0 verwendet die Aushandlungs- und Kerberos-Authentifizierungsschemas mit Verschlüsselung, die zusätzliche Roundtrips hinzufügen können. Daten können erst an den Server gesendet werden, wenn die Authentifizierung abgeschlossen ist.

    Der WinRM-Server gibt eine Antwort auf 200-Ebene zurück, die angibt, dass die Authentifizierung abgeschlossen ist. HTTP-basierte Proxyserver können die verbindungsbasierte Authentifizierungsaffinität beenden und die TCP/IP-Verbindung schließen, nachdem die Antwort auf 200-Ebene vom WinRM-Server empfangen wurde. Der letzte Roundtrip vom Client zum Server enthält nicht das ursprüngliche Anforderungspaket. Wenn der Proxyserver die Verbindung schließt, versucht der Server, den Client erneut zu authentifizieren, und die Clientanforderung wird möglicherweise nie an den Server gesendet. Wenn die verbindungsbasierte Affinität nicht verwaltet wird, kann die Authentifizierung für den Zielserver mit einem Fehler "Zugriff verweigert" fehlschlagen.

  • Verbindungspersistenz. Die TCP/IP-Clientverbindung mit dem Proxy sollte weiterhin mit derselben TCP/IP-Verbindung vom Proxy zum Server verbunden sein. Die Aufrechterhaltung dieser Verbindung trägt dazu bei, ein höheres Leistungsniveau zu erzielen. Wenn die Verbindung nicht verwaltet wird, muss jede Anforderung erneut authentifiziert werden, was sich auf die Leistung auswirken kann.

Verschlüsselung und WinRM 2.0

WinRM 2.0 unterstützt die Verschlüsselung über HTTP mithilfe der Authentifizierungsschemas "Negotiate", "Kerberos" und "CredSSP". Wenn ein WinRM-Server HTTP unterstützt und über einen Proxy aufgerufen wird, muss der WinRM-Server Verschlüsselung erzwingen und keinen unverschlüsselten Netzwerkdatenverkehr zulassen.

Unter keinen Umständen sollten unverschlüsselte HTTP-Anforderungen über Proxyserver gesendet werden. Wenn Daten vor dem Senden an den Zielserver über einen Proxyserver übergeben werden müssen, sind die folgenden Sicherheitsprobleme sehr wichtig:

  • Es ist möglich, dass ein böswilliger Proxyserver jedes Anforderungs-/Antwortpaar, einschließlich Anmeldeinformationen, untersuchen kann.
  • Wenn die TCP/IP-Verbindungen nicht stark zwischen dem WinRM-Client und dem Proxyserver und zwischen dem Proxyserver und dem Zielserver zugeordnet sind, kann ein nicht autorisierter Client eine Verbindung mit dem Zielserver herstellen, indem die gleiche authentifizierte Verbindung vom Proxyserver zum Zielserver verwendet wird. Der Zielserver lässt möglicherweise den nicht authentifizierten Clientzugriff auf Daten zu. Wenn die Verschlüsselung erzwungen wird, sendet der Zielserver eine Zugriffsverweigerungsnachricht an den nicht authentifizierten Client.

Die Verwendung der Verschlüsselung würde diese potenziellen Sicherheitsprobleme mindern.

Konfigurieren eines Proxyservers für WinRM 1.1 und früher

Wenn ein Proxy erforderlich ist, um den WinRM-Server zu erreichen, verwendet der WinRM-Client die Windows-HTTP-Dienste (WinHTTP)-Proxykonfiguration. Standardmäßig ist WinHTTP nicht für die Verwendung eines Proxyservers konfiguriert. Die WinHTTP-Proxykonfiguration kann mithilfe der ProxyCfg.exe oder netsh Befehlszeilenprogramm geändert werden.

WinRM 1.1 und früher: WinRM verwendet nicht die Internet Explorer-Proxyeinstellungen.