Instalación y configuración para la administración remota de Windows

Para que los scripts de Administración remota de Windows (WinRM) se ejecuten y, para que la herramienta de línea de comandos de Winrm realice operaciones de datos, WinRM debe instalarse y configurarse.

Estos elementos también dependen de la configuración de WinRM.

• La herramienta de línea de comandos de Windows Remote Shell , Winrs.
• Reenvío de eventos.
• Windows PowerShell comunicación remota 2.0.

Ubicación de instalación de WinRM

WinRM se instala automáticamente con todas las versiones compatibles actualmente del sistema operativo Windows.

Configuración de WinRM e IPMI

Estos componentes del proveedor WMI de WinRM y Intelligent Platform Management Interface (IPMI)WMI se instalan con el sistema operativo.

• El servicio WinRM se inicia automáticamente en Windows Server 2008 y versiones posteriores. En versiones anteriores de Windows (cliente o servidor), debe iniciar el servicio manualmente.
• De forma predeterminada, no se configura ningún agente de escucha de WinRM. Incluso si el servicio WinRM se está ejecutando, WS-Management mensajes de protocolo que solicitan datos no se pueden recibir ni enviar.
• El Firewall de conexión a Internet (ICF) bloquea el acceso a los puertos.

Use el winrm comando para buscar agentes de escucha y las direcciones escribiendo el siguiente comando en un símbolo del sistema.

winrm enumerate winrm/config/listener

Para comprobar el estado de los valores de configuración, escriba el siguiente comando.

winrm get winrm/config

Configuración predeterminada rápida

Habilite el protocolo WS-Management en el equipo local y configure la configuración predeterminada para la administración remota con el comando winrm quickconfig.

El winrm quickconfig comando (que se puede abreviar en winrm qc) realiza estas operaciones:

• Inicia el servicio WinRM y establece el tipo de inicio del servicio en inicio automático.
• Configura un agente de escucha para los puertos que envían y reciben mensajes de protocolo WS-Management mediante HTTP o HTTPS en cualquier dirección IP.
• Define excepciones de ICF para el servicio WinRM y abre los puertos para HTTP y HTTPS.

Nota

El winrm quickconfig comando crea una excepción de firewall solo para el perfil de usuario actual. Si se cambia el perfil de firewall por cualquier motivo, ejecute winrm quickconfig para habilitar la excepción de firewall para el nuevo perfil (de lo contrario, es posible que la excepción no esté habilitada).

Para recuperar información sobre cómo personalizar una configuración, escriba el siguiente comando en un símbolo del sistema.

winrm help config

Para configurar WinRM con valores predeterminados

1. En un símbolo del sistema que se ejecuta como la cuenta de administrador del equipo local, ejecute este comando:

   winrm quickconfig
   

   Si no está ejecutando como administrador del equipo local, seleccione Ejecutar como administrador en el menú Inicio o use el Runas comando en un símbolo del sistema.

2. Cuando se muestre la herramienta Realizar estos cambios [y/n]?, escriba y.

   Si la configuración se realiza correctamente, se muestra la siguiente salida.

   WinRM has been updated for remote management.
   
   WinRM service type changed to delayed auto start.
   WinRM service started.
   Created a WinRM listener on https://* to accept WS-Man requests to any IP on this machine.
   

3. Mantenga la configuración predeterminada para los componentes de cliente y servidor de WinRM o personalícelos. Por ejemplo, es posible que tenga que agregar determinados equipos remotos a la lista de configuración TrustedHosts de cliente.

   Configure una lista de hosts de confianza cuando no se pueda establecer la autenticación mutua. Kerberos permite la autenticación mutua, pero no se puede usar en grupos de trabajo; solo dominios. Un procedimiento recomendado al configurar hosts de confianza para un grupo de trabajo es que la lista esté lo más restringida posible.

4. Cree un agente de escucha HTTPS escribiendo el siguiente comando:

   winrm quickconfig -transport:https
   

   Nota

   Abra el puerto 5986 para que el transporte HTTPS funcione.

Configuración predeterminada del protocolo de escucha y WS-Management

Para obtener la configuración del agente de escucha, escriba winrm enumerate winrm/config/listener en un símbolo del sistema. Los agentes de escucha se definen mediante un transporte (HTTP o HTTPS) y una dirección IPv4 o IPv6.

El winrm quickconfig comando crea la siguiente configuración predeterminada para un agente de escucha. Puede crear más de un agente de escucha. Para obtener más información, escriba winrm help config en un símbolo del sistema.

Dirección

Especifica la dirección para la que se está creando este agente de escucha.

Transporte

Especifica el transporte que se va a utilizar para enviar y recibir las solicitudes y las respuestas del protocolo WS-Management. El valor debe ser HTTP o HTTPS. El valor predeterminado es HTTP.

Port

Especifica el puerto TCP para el que se creó este agente de escucha.

WinRM 2.0: el puerto HTTP predeterminado es 5985.

Hostname

Especifica el nombre de host del equipo en el que se ejecuta el servicio WinRM. El valor debe ser: un nombre de dominio completo; una cadena literal IPv4 o IPv6; o un carácter comodín.

habilitado

Especifica si el agente de escucha está habilitado o deshabilitado. El valor predeterminado es True.

URLPrefix

Especifica un prefijo de dirección URL en el que se aceptan solicitudes HTTP o HTTPS. Esta cadena contiene solo los caracteres a-z, A-Z, 9-0, subrayado (_) y barra diagonal (/). La cadena no debe comenzar con o terminar con una barra diagonal (/). Por ejemplo, si el nombre del equipo es SampleMachine, el cliente winRM especificaría https://SampleMachine/<URLPrefix> en la dirección de destino. El prefijo de dirección URL predeterminado es wsman.

CertificateThumbprint

Especifica la huella digital del certificado del servicio. Este valor representa una cadena de valores hexadecimales de dos dígitos que se encuentran en el campo Huella digital del certificado. Esta cadena contiene el hash SHA-1 del certificado. Los certificados se usan para la autenticación basada en certificados de cliente. Los certificados solo se pueden asignar a las cuentas de usuario locales. No funcionan con cuentas de dominio.

ListeningOn

Especifica las direcciones IPv4 e IPv6 que usa el agente de escucha. Por ejemplo: 111.0.0.1, 111.222.333.444, ::1, 1000:2000:2c:3:c19:9ec8:a715:5e24, 3ffe:8311:ffff:f70f:0:5efe:111.222.333.444, fe80::5efe:111.222.333.444%8, fe80::c19:9ec8:a715:5e24%6.

Configuración predeterminada del protocolo

Muchas de las opciones de configuración, como MaxEnvelopeSizekb o SoapTraceEnabled, determinan cómo interactúan los componentes de servidor y cliente de WinRM con el protocolo WS-Management. En las secciones siguientes se describen las opciones de configuración disponibles.

MaxEnvelopeSizekb

Especifica el máximo de datos del Protocolo de acceso a objetos simples (SOAP) en kilobytes. El valor predeterminado es 150 kilobytes.

Nota

El comportamiento no se admite si MaxEnvelopeSizekb está establecido en un valor mayor que 1039440.

MaxTimeoutms

Especifica el tiempo de espera máximo en milisegundos que se puede usar para cualquier solicitud distinta de Pull las solicitudes. El valor predeterminado es 60000.

MaxBatchItems

Especifica el número máximo de elementos que se pueden usar en una Pull respuesta. El valor predeterminado es 32000.

MaxProviderRequests

Especifica el número máximo de solicitudes simultáneas permitidas por el servicio. El valor predeterminado es 25.

WinRM 2.0: esta configuración está en desuso y está establecida en solo lectura.

Opciones de configuración predeterminadas del cliente WinRM

La versión de cliente de WinRM tiene las siguientes opciones de configuración predeterminadas.

NetworkDelayms

Especifica el tiempo adicional en milisegundos que espera el equipo cliente para adaptarse al tiempo de retraso de la red. El valor predeterminado es de 5000 milisegundos.

URLPrefix

Especifica un prefijo de dirección URL en el que se aceptan solicitudes HTTP o HTTPS. El prefijo de dirección URL predeterminado es wsman.

AllowUnencrypted

Permite que el equipo cliente solicite tráfico sin cifrar. De forma predeterminada, el equipo cliente requiere tráfico de red cifrado y esta configuración es False.

Básico

Permite que el equipo cliente utilice la autenticación Básica. La autenticación Básica es un esquema en el que el nombre de usuario y la contraseña se envían al servidor o proxy como texto no cifrado. Este método de autenticación es el menos seguro de todos. El valor predeterminado es True.

Digest

Permite al cliente utilizar la autenticación Implícita. La autenticación Implícita es un esquema de desafío/respuesta que utiliza una cadena de datos especificada por el servidor para el desafío. Solo el equipo cliente puede iniciar una solicitud de autenticación Implícita.

El equipo cliente envía una solicitud al servidor para autenticarse y recibe una cadena de token del servidor. A continuación, el equipo cliente envía la solicitud de recursos, incluido el nombre de usuario y un hash criptográfico de la contraseña combinada con la cadena de token.

Se admite la autenticación Implícita para HTTP y HTTPS. Los scripts y aplicaciones cliente de WinRM Shell pueden especificar la autenticación implícita, pero el servicio WinRM no acepta la autenticación implícita. El valor predeterminado es True.

Nota

La autenticación implícita a través de HTTP no se considera segura.

Certificado

Permite al cliente usar la autenticación basada en certificados de cliente. La autenticación basada en certificados es un esquema en el que el servidor autentica un cliente identificado por un certificado X509. El valor predeterminado es True.

Kerberos

Permite al cliente utilizar la autenticación Kerberos. La autenticación Kerberos es un esquema en el que el cliente y el servidor se autentican mutuamente mediante certificados Kerberos. El valor predeterminado es True.

Negotiate

Permite al cliente usar la autenticación Negotiate . La autenticación Negotiate es un esquema en el que el cliente envía una solicitud al servidor para que la autentique.

El servidor determina si se debe usar el protocolo Kerberos o NT LAN Manager (NTLM). El protocolo Kerberos está seleccionado para autenticar una cuenta de dominio. NTLM está seleccionado para las cuentas de equipo local. El nombre de usuario debe especificarse en formato domain\user_name para un usuario de dominio. El nombre de usuario debe especificarse en formato server_name\user_name para un usuario local en un equipo servidor. El valor predeterminado es True.

CredSSP

Permite al cliente usar la autenticación del proveedor de soporte técnico de seguridad de credenciales (CredSSP). CredSSP permite a una aplicación delegar las credenciales del usuario desde el equipo cliente al servidor de destino. El valor predeterminado es False.

DefaultPorts

Especifica los puertos que usa el cliente para HTTP o HTTPS.

WinRM 2.0: el puerto HTTP predeterminado es 5985 y el puerto HTTPS predeterminado es 5986.

TrustedHosts

Especifica la lista de equipos remotos de confianza. Otros equipos de un grupo de trabajo o equipos de un dominio diferente deben agregarse a esta lista.

Nota

Los equipos de la lista de hosts de confianza no se autentican. El cliente puede enviar información de credenciales a estos equipos.

Si se especifica una dirección IPv6 para un host de confianza, la dirección debe ir entre corchetes, como se muestra en el siguiente Winrm comando de utilidad:

winrm set winrm/config/client '@{TrustedHosts ="[0:0:0:0:0:0:0:0]"}'

Para obtener más información sobre cómo agregar equipos a la TrustedHosts lista, escriba winrm help config.

Opciones de configuración predeterminadas del servicio WinRM

La versión de servicio de WinRM tiene las siguientes opciones de configuración predeterminadas.

RootSDDL

Especifica el descriptor de seguridad que controla el acceso remoto al agente de escucha. El valor predeterminado es O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;ER)S:P(AU;FA;GA;;;WD)(AU;SA;GWGX;;;WD).

MaxConcurrentOperations

Número máximo de operaciones simultáneas. El valor predeterminado es 100.

WinRM 2.0: la MaxConcurrentOperations configuración está en desuso y está establecida en de solo lectura. Esta configuración se ha reemplazado por MaxConcurrentOperationsPerUser.

MaxConcurrentOperationsPerUser

Especifica el número máximo de operaciones simultáneas que cualquier usuario puede abrir de forma remota en el mismo sistema. El valor predeterminado es 1500.

EnumerationTimeoutms

Especifica el tiempo de espera de inactividad en milisegundos entre Pull los mensajes. El valor predeterminado es 60000.

MaxConnections

Especifica el número máximo de solicitudes activas que el servicio puede procesar simultáneamente. El valor predeterminado es 300.

WinRM 2.0: el valor predeterminado es 25.

MaxPacketRetrievalTimeSeconds

Especifica el período máximo de tiempo en segundos que tarda el servicio WinRM en recuperar un paquete. El valor predeterminado es 120 segundos.

AllowUnencrypted

Permite que el equipo cliente solicite tráfico sin cifrar. El valor predeterminado es False.

Básico

Permite que el servicio WinRM use la autenticación básica. El valor predeterminado es False.

Certificado

Permite al servicio WinRM usar la autenticación basada en certificados de cliente. El valor predeterminado es False.

Kerberos

Permite al servicio WinRM usar la autenticación Kerberos. El valor predeterminado es True.

Negotiate

Permite que el servicio WinRM use la autenticación Negotiate. El valor predeterminado es True.

CredSSP

Permite al servicio WinRM usar la autenticación del proveedor de compatibilidad de seguridad de credenciales (CredSSP). El valor predeterminado es False.

CbtHardeningLevel

Establece la directiva para los requisitos de token de enlace de canal en las solicitudes de autenticación. El valor predeterminado es Relax.

DefaultPorts

Especifica los puertos que usa el servicio WinRM para HTTP o HTTPS.

WinRM 2.0: el puerto HTTP predeterminado es 5985. El puerto HTTPS predeterminado es 5986.

IPv4Filter e IPv6Filter

Especifica las direcciones IPv4 o IPv6 que pueden usar los agentes de escucha. Los valores predeterminados son IPv4Filter = * y IPv6Filter = *.

• IPv4: una cadena literal IPv4 consta de cuatro números decimales punteados, cada uno en el intervalo de 0 a 255. Por ejemplo: 192.168.0.0.
• IPv6: una cadena literal IPv6 se incluye entre corchetes y contiene números hexadecimales separados por dos puntos. Por ejemplo: [::1] o [3ffe:ffff::6ECB:0101].

EnableCompatibilityHttpListener

Especifica si el agente de escucha HTTP de compatibilidad está habilitado. Si esta configuración es True, el agente de escucha escucha en el puerto 80 además del puerto 5985. El valor predeterminado es False.

EnableCompatibilityHttpsListener

Especifica si el agente de escucha HTTPS de compatibilidad está habilitado. Si esta configuración es True, el agente de escucha escucha en el puerto 443 además del puerto 5986. El valor predeterminado es False.

Opciones de configuración predeterminadas de Winrs

El winrm quickconfig comando también configura los valores predeterminados de Winrs.

AllowRemoteShellAccess

Permite el acceso a shells remotos. Si establece este parámetro Falseen , el servidor rechaza las nuevas conexiones de shell remoto por parte del servidor. El valor predeterminado es True.

IdleTimeout

Especifica el tiempo máximo en milisegundos que el shell remoto permanece abierto cuando no hay ninguna actividad de usuario en el shell remoto. El shell remoto se elimina después de ese tiempo.

WinRM 2.0: el valor predeterminado es 180000. El valor mínimo es 60000. Establecer este valor inferior a 60000 no tiene ningún efecto en el comportamiento de tiempo de espera.

MaxConcurrentUsers

Especifica el número máximo de usuarios que pueden realizar simultáneamente operaciones remotas en el mismo equipo a través de un shell remoto. Si las nuevas conexiones de shell remoto superan el límite, el equipo los rechaza. El valor predeterminado es 5.

MaxShellRunTime

Especifica el tiempo máximo en milisegundos que el comando remoto o el script pueden ejecutarse. El valor predeterminado es 28800000.

WinRM 2.0: la MaxShellRunTime configuración se establece en de solo lectura. Cambiar el valor de MaxShellRunTime no tiene ningún efecto en los shells remotos.

MaxProcessesPerShell

Especifica el número máximo de procesos que cualquier operación de shell puede iniciar. Un valor de 0 permite un número ilimitado de procesos. El valor predeterminado es 15.

MaxMemoryPerShellMB

Especifica la cantidad máxima de memoria asignada por shell, incluidos los procesos secundarios del shell. El valor predeterminado es 150 MB.

MaxShellsPerUser

Especifica el número máximo de shells simultáneos que puede abrir de forma remota cada usuario en el mismo equipo. Si esta configuración de directiva está habilitada, el usuario no podrá abrir nuevos shells remotos si el recuento supera el límite especificado. Si esta configuración de directiva está deshabilitada o no está configurada, el límite se establece en cinco shells remotos por usuario de forma predeterminada.

Configuración de WinRM con directiva de grupo

Use el editor de directiva de grupo para configurar Windows Remote Shell y WinRM para equipos de su empresa.

Para configurar con directiva de grupo:

1. Abra una ventana de símbolo del sistema como administrador.
2. En el símbolo del sistema, escriba gpedit.msc. Se abre la ventana directiva de grupo Editor de objetos.
3. Busque la administración remota de Windows y el Shell remoto de Windows directiva de grupo objetos (GPO) en Configuración del equipo\Plantillas administrativas\Componentes de Windows.
4. En la pestaña Extendido , seleccione una configuración para ver una descripción. Haga doble clic en una configuración para editarla.

Firewall de Windows y puertos winRM 2.0

A partir de WinRM 2.0, los puertos de escucha predeterminados configurados por Winrm quickconfig son el puerto 5985 para el transporte HTTP y el puerto 5986 para HTTPS. Los agentes de escucha de WinRM se pueden configurar en cualquier puerto arbitrario.

Si actualiza un equipo a WinRM 2.0, los agentes de escucha configurados anteriormente se migran y siguen recibiendo tráfico.

Notas de instalación y configuración de WinRM

WinRM no depende de ningún otro servicio, excepto WinHttp. Si el servicio de Administración IIS está instalado en el mismo equipo, es posible que vea mensajes que indican que WinRM no se puede cargar antes de Internet Information Services (IIS). Sin embargo, WinRM no depende realmente de IIS. Estos mensajes se producen porque el orden de carga garantiza que el servicio IIS se inicie antes del servicio HTTP. WinRM requiere que WinHTTP.dll esté registrado.

Si el cliente de firewall ISA2004 está instalado en el equipo, puede hacer que un cliente de servicios web para administración (WS-Management) deje de responder. Para evitar este problema, instale ISA2004 Firewall SP1.

Si dos servicios de escucha con direcciones IP diferentes se configuran con el mismo número de puerto y nombre de equipo, WinRM escucha o recibe mensajes en una sola dirección. Este enfoque usado se debe a que los prefijos de dirección URL usados por el protocolo WS-Management son los mismos.

Notas de instalación del controlador IPMI y del proveedor

Es posible que el controlador no detecte la existencia de controladores IPMI que no son de Microsoft. Si el controlador no se inicia, es posible que tenga que deshabilitarlo.

Si los recursos del controlador de administración de placa base (BMC) aparecen en el BIOS del sistema, ACPI (Plug and Play) detecta el hardware BMC e instala automáticamente el controlador IPMI. es posible que Plug and Play compatibilidad no esté presente en todos los BMC. Si el BMC se detecta mediante Plug and Play, aparece un dispositivo desconocido en Administrador de dispositivos antes de instalar el componente administración de hardware. Cuando se instala el controlador, aparece un nuevo componente, el dispositivo compatible con IPMI genérico de Microsoft ACPI, en Administrador de dispositivos.

Si el sistema no detecta automáticamente el BMC e instala el controlador, pero se detectó un BMC durante el proceso de instalación, cree el dispositivo BMC. Para crear el dispositivo, escriba el siguiente comando en un símbolo del sistema:

Rundll32 ipmisetp.dll, AddTheDevice

Una vez que se ejecuta este comando, se crea el dispositivo IPMI y aparece en Administrador de dispositivos. Si desinstala el componente Administración de hardware, se quita el dispositivo.

Para obtener más información, consulte Introducción a la administración de hardware.

El proveedor IPMI coloca las clases de hardware en el espacio de nombresroot\hardware de WMI. Para obtener más información sobre las clases de hardware, vea Proveedor de IPMI. Para obtener más información sobre los espacios de nombres WMI, vea Arquitectura WMI.

Notas de configuración del complemento WMI

A partir de Windows 8 y Windows Server 2012, los complementos WMI tienen sus propias configuraciones de seguridad. Para un usuario normal o avanzado, no un administrador, para poder usar el complemento WMI, habilite el acceso para ese usuario una vez configurado el agente de escucha . Configure el usuario para el acceso remoto a WMI mediante uno de estos pasos.

• Ejecute lusrmgr.msc para agregar el usuario al grupo WinRMRemoteWMIUsers__ en la ventana Usuarios y grupos locales .

• Use la herramienta de línea de comandos winrm para configurar el descriptor de seguridad para el espacio de nombres del complemento WMI:

  winrm configSDDL http://schemas.microsoft.com/wbem/wsman/1/wmi/ WmiNamespace
  

Cuando aparezca la interfaz de usuario, agregue el usuario.

Después de configurar el usuario para el acceso remoto a WMI, debe configurar WMI para permitir que el usuario acceda al complemento. Para permitir el acceso, ejecute wmimgmt.msc para modificar la seguridad de WMI para el espacio de nombres al que se va a acceder en la ventana Control WMI .

La mayoría de las clases WMI para la administración están en el espacio de nombres root\cimv2 .