Bagikan melalui

Penginstalan dan konfigurasi untuk Windows Remote Management

Agar skrip Windows Remote Management (WinRM) berjalan, dan agar alat baris perintah Winrm melakukan operasi data, WinRM harus diinstal dan dikonfigurasi.

Elemen berikut juga bergantung pada konfigurasi WinRM:

Lokasi penginstalan WinRM

WinRM secara otomatis diinstal dengan semua versi sistem operasi Windows yang saat ini didukung.

Konfigurasi WinRM dan IPMI

Komponen WinRM dan Intelligent Platform Management Interface (IPMI)penyedia WMI berikut diinstal dengan sistem operasi:

  • Layanan WinRM dimulai secara otomatis pada Windows Server 2008, dan yang lebih baru. Pada versi Windows yang lebih lama (klien atau server), Anda perlu memulai layanan secara manual.
  • Secara default, tidak ada pendengar WinRM yang dikonfigurasi. Bahkan jika layanan WinRM berjalan, pesan protokol WS-Management yang meminta data tidak dapat diterima atau dikirim.
  • Internet Connection Firewall (ICF) memblokir akses ke port.

winrm Gunakan perintah untuk menemukan listener dan alamat dengan mengetik perintah berikut pada prompt perintah:

winrm enumerate winrm/config/listener

Untuk memeriksa status pengaturan konfigurasi, ketik perintah berikut:

winrm get winrm/config

Konfigurasi default cepat

Aktifkan protokol WS-Management di komputer lokal, dan siapkan konfigurasi default untuk manajemen jarak jauh dengan perintah winrm quickconfig.

Perintah winrm quickconfig (yang dapat disingkat ) winrm qcmelakukan operasi berikut:

  • Memulai layanan WinRM, dan mengatur jenis startup layanan ke mulai otomatis.
  • Mengonfigurasi pendengar untuk port yang mengirim dan menerima pesan protokol WS-Management menggunakan HTTP atau HTTPS pada alamat IP apa pun.
  • Menentukan pengecualian ICF untuk layanan WinRM, dan membuka port untuk HTTP dan HTTPS.

Catatan

Perintah winrm quickconfig membuat pengecualian firewall hanya untuk profil pengguna saat ini. Jika profil firewall diubah karena alasan apa pun, maka untuk mengaktifkan pengecualian firewall untuk profil baru, jalankan winrm quickconfig (jika tidak, pengecualian mungkin tidak diaktifkan).

Untuk mengambil informasi tentang mengkustomisasi konfigurasi, ketik perintah berikut pada prompt perintah:

winrm help config

Untuk mengonfigurasi WinRM dengan pengaturan default

  1. Di prompt perintah yang dijalankan dengan akun Administrator komputer lokal, jalankan perintah ini:

    winrm quickconfig

    Jika Anda tidak berjalan sebagai Administrator komputer lokal, pilih Jalankan sebagai Administrator dari menu Mulai, atau gunakan perintah Runas di prompt perintah.

  2. Saat alat menampilkan Buat perubahan ini [y/n]?, ketik y.

    Jika konfigurasi berhasil, maka output berikut ditampilkan.

    WinRM has been updated for remote management.

WinRM service type changed to delayed auto start.
WinRM service started.
Created a WinRM listener on https://* to accept WS-Man requests to any IP on this machine.

  3. Pertahankan pengaturan default untuk komponen klien dan server WinRM, atau sesuaikan. Misalnya, Anda mungkin perlu menambahkan komputer jarak jauh tertentu ke daftar konfigurasi TrustedHosts klien.

    Siapkan daftar host tepercaya saat autentikasi bersama tidak dapat dibuat. Kerberos memungkinkan autentikasi bersama, tetapi tidak dapat digunakan dalam grup kerja; hanya domain. Praktik terbaik saat menyiapkan host tepercaya untuk grup kerja adalah membuat daftar sebatas mungkin.

  4. Buat pendengar HTTPS dengan mengetik perintah berikut:

    winrm quickconfig -transport:https

    Catatan

    Buka port 5986 agar transportasi HTTPS berfungsi.

Pengaturan default protokol Listener dan WS-Management

Untuk mendapatkan konfigurasi listener, ketik winrm enumerate winrm/config/listener pada prompt perintah. Pendengar didefinisikan oleh transportasi (HTTP atau HTTPS) dan alamat IPv4 atau IPv6.

Perintah winrm quickconfig membuat pengaturan default berikut untuk pendengar. Anda dapat membuat lebih dari satu pendengar. Untuk informasi selengkapnya, ketik winrm help config pada prompt perintah.

Alamat

Menentukan alamat tempat pendengar ini dibuat.

Transportasi

Menentukan transportasi yang akan digunakan untuk mengirim dan menerima permintaan dan respons protokol WS-Management. Nilainya harus HTTP atau HTTPS. Defaultnya adalah HTTP.

Pelabuhan

Menentukan port TCP tempat pendengar ini dibuat.

WinRM 2.0: Port HTTP default adalah 5985.

Nama host

Menentukan nama host komputer tempat layanan WinRM berjalan. Nilai harus berupa nama domain lengkap, atau teks literal IPv4 atau IPv6, atau karakter kartu bebas.

Diaktifkan

Menentukan apakah pendengar diaktifkan atau dinonaktifkan. Nilai defaultnya adalah True.

Prefiks URL

Menentukan awalan URL untuk menerima permintaan HTTP atau HTTPS. String ini hanya berisi karakter a-z, A-Z, 9-0, garis bawah (_), dan garis miring (/). String tidak boleh dimulai dengan atau diakhir dengan garis miring (/). Misalnya, jika nama komputer adalah SampleMachine, maka klien WinRM akan menentukan https://SampleMachine/<URLPrefix> di alamat tujuan. Awalan URL default adalah wsman.

Sidik Jari Sertifikat

Menentukan sidik jari sertifikat layanan. Nilai ini mewakili string nilai heksadesimal dua digit yang ditemukan di bidang Thumbprint sertifikat. String ini berisi hash SHA-1 sertifikat. Sertifikat digunakan dalam autentikasi berbasis sertifikat klien. Sertifikat hanya dapat dipetakan ke akun pengguna lokal. Mereka tidak bekerja dengan akun domain.

MendengarkanPada

Menentukan alamat IPv4 dan IPv6 yang digunakan pendengar. Contohnya,111.0.0.1, 111.222.333.444, ::1, 1000:2000:2c:3:c19:9ec8:a715:5e24, 3ffe:8311:ffff:f70f:0:5efe:111.222.333.444, fe80::5efe:111.222.333.444%8, fe80::c19:9ec8:a715:5e24%6.

Pengaturan default protokol

Banyak pengaturan konfigurasi, seperti MaxEnvelopeSizekb atau SoapTraceEnabled, menentukan bagaimana klien WinRM dan komponen server berinteraksi dengan protokol WS-Management. Bagian berikut menjelaskan pengaturan konfigurasi yang tersedia.

MaxEnvelopeSizekb

Menentukan data Simple Object Access Protocol (SOAP) maksimum dalam kilobyte. Defaultnya adalah 150 kilobyte.

Catatan

Perilaku tidak didukung jika MaxEnvelopeSizekb diatur ke nilai yang lebih besar dari 1039440.

MaxTimeoutms

Menentukan batas waktu maksimum dalam milidetik yang dapat digunakan untuk permintaan apa pun selain Pull permintaan. Defaultnya adalah 60000.

MaxBatchItems

Menentukan jumlah maksimum elemen yang dapat digunakan dalam Pull respons. Defaultnya adalah 32000.

MaxProviderRequests

Menentukan jumlah maksimum permintaan bersamaan yang diizinkan oleh layanan. Defaultnya adalah 25.

WinRM 2.0: Pengaturan ini tidak digunakan lagi, dan diatur ke baca-saja.

Pengaturan konfigurasi dasar klien WinRM

Versi klien WinRM memiliki pengaturan konfigurasi default berikut.

Penundaan Jaringan (ms)

Menentukan waktu tambahan dalam milidetik yang menunggu komputer klien untuk mengakomodasi waktu penundaan jaringan. Defaultnya adalah 5000 milidetik.

Prefiks URL

Menentukan awalan URL untuk menerima permintaan HTTP atau HTTPS. Awalan URL default adalah wsman.

IzinkanTanpaEnkripsi

Memungkinkan komputer klien meminta lalu lintas yang tidak terenkripsi. Secara default, komputer klien memerlukan lalu lintas jaringan terenkripsi dan pengaturan ini False.

Catatan

Mengizinkan lalu lintas yang tidak terenkripsi tidak dianggap aman.

Dasar

Memungkinkan komputer klien menggunakan autentikasi Dasar. Autentikasi dasar adalah skema di mana nama pengguna dan kata sandi dikirim dalam teks yang jelas ke server atau proksi. Metode ini adalah metode autentikasi yang paling tidak aman. Defaultnya adalah True.

ringkasan

Memungkinkan klien menggunakan autentikasi Digest. Autentikasi digest adalah skema respons tantangan yang menggunakan string data yang ditentukan oleh server untuk tantangan tersebut. Hanya komputer klien yang dapat memulai permintaan autentikasi Digest.

Komputer klien mengirim permintaan ke server untuk mengautentikasi, dan menerima string token dari server. Kemudian komputer klien mengirimkan permintaan sumber daya, termasuk nama pengguna dan hash kriptografi kata sandi yang dikombinasikan dengan string token.

Autentikasi digest didukung untuk HTTP dan untuk HTTPS. Skrip dan aplikasi klien WinRM Shell dapat menentukan autentikasi Digest, tetapi layanan WinRM tidak menerima autentikasi Digest. Default adalah True.

Catatan

Autentikasi digest melalui HTTP tidak dianggap aman.

Sertifikat

Memungkinkan klien menggunakan autentikasi berbasis sertifikat klien. Autentikasi berbasis sertifikat adalah skema di mana server mengautentikasi klien yang diidentifikasi oleh sertifikat X509. Defaultnya adalah True.

Kerberos

Memungkinkan klien untuk menggunakan autentikasi Kerberos. Autentikasi Kerberos adalah skema di mana klien dan server saling mengautentikasi dengan menggunakan sertifikat Kerberos. Defaultnya adalah True.

Negosiasi

Memungkinkan klien menggunakan Negotiate authentication. Menegosiasikan autentikasi adalah skema di mana klien mengirim permintaan ke server untuk mengautentikasi.

Server menentukan apakah akan menggunakan protokol Kerberos atau NT LAN Manager (NTLM). Protokol Kerberos dipilih untuk mengautentikasi akun domain. NTLM dipilih untuk akun komputer lokal. Nama pengguna harus ditentukan dalam format domain\user_name untuk pengguna domain. Nama pengguna harus ditentukan dalam format server_name\user_name untuk pengguna lokal di komputer server. Default adalah True.

CredSSP

Memungkinkan klien menggunakan autentikasi Penyedia Dukungan Keamanan Kredensial (CredSSP). CredSSP memungkinkan aplikasi untuk mendelegasikan kredensial pengguna dari komputer klien ke server target. Default adalah False.

DefaultPorts

Menentukan port yang digunakan klien untuk HTTP atau HTTPS.

WinRM 2.0: Port HTTP default adalah 5985, dan port HTTPS default adalah 5986.

Tuan Rumah Tepercaya

Menentukan daftar komputer jarak jauh yang tepercaya. Komputer lain dalam grup kerja atau komputer di domain lain harus ditambahkan ke daftar ini.

Catatan

Komputer dalam daftar host tepercaya tidak diautentikasi. Klien mungkin mengirim informasi kredensial ke komputer tersebut.

Jika alamat IPv6 ditentukan untuk host tepercaya, maka alamat harus diapit dalam tanda kurung siku seperti yang ditunjukkan oleh perintah utilitas berikut Winrm :

winrm set winrm/config/client '@{TrustedHosts ="[0:0:0:0:0:0:0:0]"}'

Untuk informasi selengkapnya tentang cara menambahkan komputer ke TrustedHosts daftar, ketik winrm help config.

Pengaturan konfigurasi default layanan WinRM

Versi layanan WinRM memiliki pengaturan konfigurasi default berikut.

RootSDDL

Menentukan deskriptor keamanan yang mengontrol akses jarak jauh ke pendengar. Default adalah O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;ER)S:P(AU;FA;GA;;;WD)(AU;SA;GWGX;;;WD).

MaxConcurrentOperations

Jumlah maksimum operasi bersamaan. Nilai defaultnya adalah 100.

WinRM 2.0: Pengaturan MaxConcurrentOperations tidak digunakan lagi, dan diatur ke baca-saja. Pengaturan ini telah digantikan oleh MaxConcurrentOperationsPerUser.

Operasi Maksimum Bersamaan Per Pengguna

Menentukan jumlah maksimum operasi bersamaan yang dapat dibuka pengguna dari jarak jauh pada sistem yang sama. Defaultnya adalah 1500.

PeriodeHabispakaiEnumerasi(ms)

Menentukan batas waktu diam dalam milidetik di antara Pull pesan. Defaultnya adalah 60000.

MaxConnections

Menentukan jumlah maksimum permintaan aktif yang dapat diproses layanan secara bersamaan. Defaultnya adalah 300.

WinRM 2.0: Defaultnya adalah 25.

MaksimumWaktuPengambilanPaketDetik

Menentukan lama waktu maksimum dalam detik yang diperlukan layanan WinRM untuk mengambil paket. Batas waktu default adalah 120 detik.

IzinkanTanpaEnkripsi

Memungkinkan komputer klien meminta lalu lintas yang tidak terenkripsi. Default adalah False.

Dasar

Memungkinkan layanan WinRM menggunakan autentikasi Dasar. Default adalah False.

Sertifikat

Memungkinkan layanan WinRM menggunakan autentikasi berbasis sertifikat klien. Default adalah False.

Kerberos

Memungkinkan layanan WinRM menggunakan autentikasi Kerberos. Default adalah True.

Negosiasi

Memungkinkan layanan WinRM menggunakan Autentikasi negosiasi. Default adalah True.

CredSSP

Memungkinkan layanan WinRM menggunakan autentikasi Penyedia Dukungan Keamanan Kredensial (CredSSP). Default adalah False.

CbtHardeningLevel

Menetapkan kebijakan untuk persyaratan token pengikatan saluran dalam permintaan autentikasi. Defaultnya adalah Relaxed.

DefaultPorts

Menentukan port yang digunakan layanan WinRM untuk HTTP atau HTTPS.

WinRM 2.0: Port HTTP default adalah 5985. Port HTTPS default adalah 5986.

IPv4Filter dan IPv6Filter

Menentukan alamat IPv4 atau IPv6 yang dapat digunakan pendengar. Defaultnya adalah IPv4Filter = * dan IPv6Filter = *.

  • IPv4: String harfiah IPv4 terdiri dari empat angka desimal putus-putus, masing-masing dalam rentang 0 hingga 255. Misalnya: 192.168.0.0.
  • IPv6: String harfiah IPv6 diapit dalam tanda kurung siku dan berisi angka heksadesimal yang dipisahkan oleh titik dua. Misalnya: [::1] atau [3ffe:ffff::6ECB:0101].

Mengaktifkan CompatibilityHttpListener

Menentukan apakah pendengar HTTP kompatibilitas diaktifkan. Jika pengaturan ini adalah True, pendengar mendengarkan di port 80 selain port 5985. Default adalah False.

Mengaktifkan Pendengar HTTPS Kompatibilitas

Menentukan apakah listener HTTPS kompatibilitas diaktifkan. Jika pengaturan ini adalah True, listener mendengarkan port 443 selain port 5986. Default adalah False.

Pengaturan konfigurasi default Winrs

Perintah winrm quickconfig ini juga mengonfigurasi pengaturan default Winrs.

AllowRemoteShellAccess

Mengaktifkan akses ke shell jarak jauh. Jika Anda mengatur parameter ini ke False, server menolak koneksi shell jarak jauh baru oleh server. Default adalah True.

IdleTimeout

Menentukan waktu maksimum dalam milidetik bahwa shell jarak jauh tetap terbuka ketika tidak ada aktivitas pengguna di shell jarak jauh. Shell jarak jauh dihapus setelah waktu yang ditentukan.

WinRM 2.0: Defaultnya adalah 180000. Nilai minimumnya adalah 60000. Pengaturan nilai lebih rendah dari 60000 tidak akan mempengaruhi perilaku batas waktu.

MaxConcurrentUsers

Menentukan jumlah maksimum pengguna yang dapat melakukan operasi jarak jauh secara bersamaan pada komputer yang sama melalui shell jarak jauh. Jika koneksi shell jarak jauh baru melebihi batas, komputer akan menolaknya. Pengaturan default adalah 5.

MaxShellRunTime

Menentukan waktu maksimum dalam milidetik bahwa perintah atau skrip jarak jauh diizinkan untuk dijalankan. Defaultnya adalah 28800000.

WinRM 2.0: Pengaturan MaxShellRunTime diatur sebagai baca-saja. Mengubah nilai MaxShellRunTime tidak akan berdampak pada shell jarak jauh.

MaxProcessesPerShell

Menentukan jumlah maksimum proses yang diizinkan untuk memulai operasi shell. Nilai 0 memungkinkan sejumlah proses yang tidak terbatas. Defaultnya adalah 15.

MaxMemoryPerShellMB

Menentukan jumlah maksimum memori yang dialokasikan per shell, termasuk proses anak dari shell. Defaultnya adalah 150 MB.

MaxShellsPerUser

Menentukan jumlah maksimum shell bersamaan yang dapat dibuka pengguna dari jarak jauh pada komputer yang sama. Jika pengaturan kebijakan ini diaktifkan, pengguna tidak akan dapat membuka shell jarak jauh baru jika jumlahnya melebihi batas yang ditentukan. Jika pengaturan kebijakan ini dinonaktifkan atau tidak dikonfigurasi, batas diatur ke lima shell jarak jauh per pengguna secara default.

Mengonfigurasi WinRM dengan Kebijakan Grup

Gunakan editor Kebijakan Grup untuk mengonfigurasi Windows Remote Shell dan WinRM untuk komputer di perusahaan Anda.

Untuk mengonfigurasi dengan Kebijakan Grup:

  1. Buka jendela Wantian Perintah sebagai administrator.
  2. Pada prompt perintah, ketik gpedit.msc. Jendela Editor Objek Kebijakan Grup terbuka.
  3. Temukan Windows Remote Management dan Windows Remote Shell Group Policy Objects (GPO) di bawah Computer Configuration\Administrative Templates\Windows Components.
  4. Pada tab Diperluas , pilih pengaturan untuk melihat deskripsi. Klik ganda pengaturan untuk mengeditnya.

Port Windows Firewall dan WinRM 2.0

Mulai dari WinRM 2.0, port pendengar default yang dikonfigurasi oleh Winrm quickconfig adalah port 5985 untuk transportasi HTTP, dan port 5986 untuk HTTPS. Pendengar WinRM dapat dikonfigurasi pada port arbitrer apa pun.

Jika Anda meningkatkan komputer ke WinRM 2.0, listener yang dikonfigurasi sebelumnya akan dimigrasikan, dan masih menerima lalu lintas.

Catatan penginstalan dan konfigurasi WinRM

WinRM tidak bergantung pada layanan lain kecuali WinHttp. Jika Layanan Admin IIS diinstal pada komputer yang sama, maka Anda mungkin melihat pesan yang menunjukkan bahwa WinRM tidak dapat dimuat sebelum Layanan Informasi Internet (IIS). Namun, WinRM sebenarnya tidak bergantung pada IIS. Pesan tersebut terjadi karena pesanan beban memastikan bahwa layanan IIS dimulai sebelum layanan HTTP. WinRM mengharuskan WinHTTP.dll terdaftar.

Jika klien firewall ISA2004 diinstal di komputer, klien Web Services for Management (WS-Management) berhenti merespons. Untuk menghindari masalah ini, instal ISA2004 Firewall SP1.

Jika dua layanan pendengar dengan alamat IP yang berbeda dikonfigurasi dengan nomor port dan nama komputer yang sama, Maka WinRM mendengarkan atau menerima pesan hanya pada satu alamat. Pendekatan yang digunakan ini karena awalan URL yang digunakan oleh protokol WS-Management sama.

Catatan pemasangan driver dan penyedia IPMI

Driver mungkin tidak mendeteksi keberadaan driver IPMI yang bukan dari Microsoft. Jika driver gagal dimulai, maka Anda mungkin perlu menonaktifkannya.

Jika sumber daya pengontrol manajemen baseboard (BMC) muncul di BIOS sistem, acpi (Plug and Play) mendeteksi perangkat keras BMC, dan secara otomatis menginstal driver IPMI. Dukungan Plug and Play mungkin tidak ada di semua BMC. Jika BMC terdeteksi oleh Plug and Play, maka Perangkat Tidak Diketahui muncul di Manajer Perangkat sebelum komponen Manajemen Perangkat Keras diinstal. Ketika driver diinstal, komponen baru, Perangkat Yang Mematuhi IPMI Generik Microsoft ACPI, muncul di Manajer Perangkat.

Jika sistem Anda tidak secara otomatis mendeteksi BMC dan menginstal driver, tetapi BMC terdeteksi selama proses penyiapan, buat perangkat BMC. Untuk membuat perangkat, ketik perintah berikut pada prompt perintah:

Rundll32 ipmisetp.dll, AddTheDevice

Setelah perintah ini berjalan, perangkat IPMI dibuat, dan muncul di Manajer Perangkat. Jika Anda menghapus instalan komponen Manajemen Perangkat Keras, perangkat akan dihapus.

Untuk informasi selengkapnya, lihat Pengenalan manajemen perangkat keras.

Penyedia IPMI menempatkan kelas perangkat keras di root\hardwarenamespace WMI. Untuk informasi selengkapnya tentang kelas perangkat keras, lihat Penyedia IPMI. Untuk informasi selengkapnya tentang namespace layanan WMI, lihat arsitektur WMI.

Catatan konfigurasi modul tambahan WMI

Dimulai dengan Windows 8 dan Windows Server 2012, plug-in WMI memiliki konfigurasi keamanannya sendiri. Untuk pengguna normal atau pengguna yang berdaya, bukan administrator, agar dapat menggunakan WMI plug-in, aktifkan akses untuk pengguna tersebut setelah pendengar dikonfigurasi. Siapkan pengguna untuk akses jarak jauh ke WMI melalui salah satu langkah ini.

  • Jalankan lusrmgr.msc untuk menambahkan pengguna ke grup WinRMRemoteWMIUsers__ di jendela Pengguna dan Grup Lokal.

  • Gunakan alat baris perintah Winrm untuk mengonfigurasi deskriptor keamanan untuk namespaceplug-in WMI:

    winrm configSDDL http://schemas.microsoft.com/wbem/wsman/1/wmi/ WmiNamespace

Saat antarmuka pengguna muncul, tambahkan pengguna.

Setelah menyiapkan pengguna untuk akses jarak jauh ke WMI, Anda harus menyiapkan WMI untuk memungkinkan pengguna mengakses plug-in. Untuk mengizinkan akses, jalankan wmimgmt.msc untuk mengubah keamanan WMI agar namespace dapat diakses di jendela Kontrol WMI.

Sebagian besar kelas WMI untuk manajemen berada di namespace root\cimv2 .