Penginstalan dan konfigurasi untuk Manajemen Jarak Jauh Windows

Agar skrip Windows Remote Management (WinRM) berjalan, dan agar alat baris perintah Winrm melakukan operasi data, WinRM harus diinstal dan dikonfigurasi.

Elemen-elemen ini juga bergantung pada konfigurasi WinRM.

• Alat baris perintah Windows Remote Shell , Winrs.
• Penerusan peristiwa.
• Windows PowerShell jarak jauh 2.0.

Lokasi penginstalan WinRM

WinRM secara otomatis diinstal dengan semua versi sistem operasi Windows yang saat ini didukung.

Konfigurasi WinRM dan IPMI

Komponen penyedia WinRM dan Intelligent Platform Management Interface (IPMI)WMI ini diinstal dengan sistem operasi.

• Layanan WinRM dimulai secara otomatis pada Windows Server 2008 dan yang lebih baru. Pada versi Windows yang lebih lama (klien atau server), Anda perlu memulai layanan secara manual.
• Secara default, tidak ada pendengar WinRM yang dikonfigurasi. Bahkan jika layanan WinRM berjalan, WS-Management pesan protokol yang meminta data tidak dapat diterima atau dikirim.
• Internet Connection Firewall (ICF) memblokir akses ke port.

winrm Gunakan perintah untuk menemukan listener dan alamat dengan mengetik perintah berikut pada prompt perintah.

winrm enumerate winrm/config/listener

Untuk memeriksa status pengaturan konfigurasi, ketik perintah berikut.

winrm get winrm/config

Konfigurasi default cepat

Aktifkan protokol WS-Management di komputer lokal, dan siapkan konfigurasi default untuk manajemen jarak jauh dengan perintah winrm quickconfig.

Perintah winrm quickconfig (yang dapat disingkat winrm qc) melakukan operasi ini:

• Memulai layanan WinRM, dan mengatur jenis startup layanan ke mulai otomatis.
• Mengonfigurasi pendengar untuk port yang mengirim dan menerima pesan protokol WS-Management menggunakan HTTP atau HTTPS pada alamat IP apa pun.
• Mendefinisikan pengecualian ICF untuk layanan WinRM, dan membuka port untuk HTTP dan HTTPS.

Catatan

Perintah winrm quickconfig membuat pengecualian firewall hanya untuk profil pengguna saat ini. Jika profil firewall diubah karena alasan apa pun, jalankan winrm quickconfig untuk mengaktifkan pengecualian firewall untuk profil baru (jika tidak, pengecualian mungkin tidak diaktifkan).

Untuk mengambil informasi tentang menyesuaikan konfigurasi, ketik perintah berikut pada prompt perintah.

winrm help config

Untuk mengonfigurasi WinRM dengan pengaturan default

1. Pada perintah yang berjalan sebagai akun Administrator komputer lokal, jalankan perintah ini:

   winrm quickconfig
   

   Jika Anda tidak menjalankan sebagai Administrator komputer lokal, pilih Jalankan sebagai Administrator dari menu Mulai , atau gunakan Runas perintah pada prompt perintah.

2. Ketika alat menampilkan Buat perubahan ini [y/n]?, ketik y.

   Jika konfigurasi berhasil, output berikut ditampilkan.

   WinRM has been updated for remote management.
   
   WinRM service type changed to delayed auto start.
   WinRM service started.
   Created a WinRM listener on https://* to accept WS-Man requests to any IP on this machine.
   

3. Pertahankan pengaturan default untuk komponen klien dan server WinRM, atau sesuaikan. Misalnya, Anda mungkin perlu menambahkan komputer jarak jauh tertentu ke daftar konfigurasi TrustedHosts klien.

   Siapkan daftar host tepercaya saat autentikasi bersama tidak dapat dibuat. Kerberos memungkinkan autentikasi bersama, tetapi tidak dapat digunakan dalam grup kerja; hanya domain. Praktik terbaik saat menyiapkan host tepercaya untuk grup kerja adalah membuat daftar sebatas mungkin.

4. Buat pendengar HTTPS dengan mengetik perintah berikut:

   winrm quickconfig -transport:https
   

   Catatan

   Buka port 5986 agar transportasi HTTPS berfungsi.

Pengaturan default protokol listener dan WS-Management

Untuk mendapatkan konfigurasi pendengar, ketik winrm enumerate winrm/config/listener pada prompt perintah. Pendengar didefinisikan oleh transportasi (HTTP atau HTTPS) dan alamat IPv4 atau IPv6.

Perintah winrm quickconfig membuat pengaturan default berikut untuk pendengar. Anda dapat membuat lebih dari satu listener. Untuk informasi selengkapnya, ketik winrm help config pada prompt perintah.

Alamat

Menentukan alamat tempat pendengar ini dibuat.

Transportasi

Menentukan transportasi yang akan digunakan untuk mengirim dan menerima permintaan dan respons protokol WS-Management. Nilainya harus HTTP atau HTTPS. Defaultnya adalah HTTP.

Port

Menentukan port TCP tempat pendengar ini dibuat.

WinRM 2.0: Port HTTP default adalah 5985.

Nama Host

Menentukan nama host komputer tempat layanan WinRM dijalankan. Nilainya harus: nama domain yang sepenuhnya memenuhi syarat; string literal IPv4 atau IPv6; atau karakter kartubebas.

Aktif

Menentukan apakah pendengar diaktifkan atau dinonaktifkan. Nilai defaultnya adalah True.

URLPrefix

Menentukan awalan URL untuk menerima permintaan HTTP atau HTTPS. String ini hanya berisi karakter a-z, A-Z, 9-0, garis bawah (_), dan garis miring (/). String tidak boleh dimulai dengan atau diakhir dengan garis miring (/). Misalnya, jika nama komputer adalah SampleMachine, maka klien WinRM akan menentukan https://SampleMachine/<URLPrefix> di alamat tujuan. Awalan URL default adalah wsman.

CertificateThumbprint

Menentukan thumbprint sertifikat layanan. Nilai ini mewakili string nilai heksadesimal dua digit yang ditemukan di bidang Thumbprint sertifikat. String ini berisi hash SHA-1 sertifikat. Sertifikat digunakan dalam autentikasi berbasis sertifikat klien. Sertifikat hanya dapat dipetakan ke akun pengguna lokal. Mereka tidak berfungsi dengan akun domain.

ListeningOn

Menentukan alamat IPv4 dan IPv6 yang digunakan pendengar. Misalnya: 111.0.0.1, 111.222.333.444, ::1, 1000:2000:2c:3:c19:9ec8:a715:5e24, 3ffe:8311:ffff:f70f:0:5efe:111.222.333.444, fe80::5efe:111.222.333.444%8, fe80::c19:9ec8:a715:5e24%6.

Pengaturan default protokol

Banyak pengaturan konfigurasi, seperti MaxEnvelopeSizekb atau SoapTraceEnabled, menentukan bagaimana klien WinRM dan komponen server berinteraksi dengan protokol WS-Management. Bagian berikut menjelaskan pengaturan konfigurasi yang tersedia.

MaxEnvelopeSizekb

Menentukan data Simple Object Access Protocol (SOAP) maksimum dalam kilobyte. Defaultnya adalah 150 kilobyte.

Catatan

Perilaku tidak didukung jika MaxEnvelopeSizekb diatur ke nilai yang lebih besar dari 1039440.

MaxTimeoutms

Menentukan waktu habis maksimum dalam milidetik yang dapat digunakan untuk permintaan apa pun selain Pull permintaan. Defaultnya adalah 60000.

MaxBatchItems

Menentukan jumlah maksimum elemen yang dapat digunakan dalam Pull respons. Defaultnya adalah 32000.

MaxProviderRequests

Menentukan jumlah maksimum permintaan bersamaan yang diizinkan oleh layanan. Defaultnya adalah 25.

WinRM 2.0: Pengaturan ini tidak digunakan lagi, dan diatur ke baca-saja.

Pengaturan konfigurasi default klien WinRM

Versi klien WinRM memiliki pengaturan konfigurasi default berikut.

NetworkDelayms

Menentukan waktu tambahan dalam milidetik yang ditunggu komputer klien untuk mengakomodasi waktu penundaan jaringan. Defaultnya adalah 5000 milidetik.

URLPrefix

Menentukan awalan URL untuk menerima permintaan HTTP atau HTTPS. Awalan URL default adalah wsman.

AllowUnencrypted

Memungkinkan komputer klien untuk meminta lalu lintas yang tidak terenkripsi. Secara default, komputer klien memerlukan lalu lintas jaringan terenkripsi dan pengaturan ini false.

Dasar

Memungkinkan komputer klien menggunakan autentikasi Dasar. Autentikasi dasar adalah skema di mana nama pengguna dan kata sandi dikirim dalam teks yang jelas ke server atau proksi. Metode ini adalah metode autentikasi yang paling tidak aman. Defaultnya adalah True.

digest

Memungkinkan klien untuk menggunakan autentikasi Digest. Autentikasi hash adalah skema respons tantangan yang menggunakan string data yang ditentukan server untuk tantangan tersebut. Hanya komputer klien yang dapat memulai permintaan autentikasi Digest.

Komputer klien mengirim permintaan ke server untuk mengautentikasi, dan menerima string token dari server. Kemudian komputer klien mengirim permintaan sumber daya, termasuk nama pengguna dan hash kriptografi kata sandi yang dikombinasikan dengan string token.

Autentikasi hash didukung untuk HTTP dan untuk HTTPS. Skrip dan aplikasi klien WinRM Shell dapat menentukan autentikasi Digest, tetapi layanan WinRM tidak menerima autentikasi Digest. Default adalah True.

Catatan

Autentikasi hash melalui HTTP tidak dianggap aman.

Sertifikat

Memungkinkan klien menggunakan autentikasi berbasis sertifikat klien. Autentikasi berbasis sertifikat adalah skema di mana server mengautentikasi klien yang diidentifikasi oleh sertifikat X509. The default is True.

Kerberos

Memungkinkan klien untuk menggunakan autentikasi Kerberos. Autentikasi Kerberos adalah skema di mana klien dan server saling mengautentikasi dengan menggunakan sertifikat Kerberos. The default is True.

Negosiasi

Memungkinkan klien untuk menggunakan Negosiasi autentikasi. Negosiasi autentikasi adalah skema di mana klien mengirim permintaan ke server untuk mengautentikasi.

Server menentukan apakah akan menggunakan protokol Kerberos atau NT LAN Manager (NTLM). Protokol Kerberos dipilih untuk mengautentikasi akun domain. NTLM dipilih untuk akun komputer lokal. Nama pengguna harus ditentukan dalam format domain\user_name untuk pengguna domain. Nama pengguna harus ditentukan dalam format server_name\user_name untuk pengguna lokal di komputer server. Default adalah True.

CredSSP

Memungkinkan klien menggunakan autentikasi Credential Security Support Provider (CredSSP). CredSSP memungkinkan aplikasi untuk mendelegasikan kredensial pengguna dari komputer klien ke server target. Default adalah False.

DefaultPorts

Menentukan port yang digunakan klien untuk HTTP atau HTTPS.

WinRM 2.0: Port HTTP default adalah 5985, dan port HTTPS default adalah 5986.

TrustedHosts

Menentukan daftar komputer jarak jauh yang dipercaya. Komputer lain dalam grup kerja atau komputer di domain lain harus ditambahkan ke daftar ini.

Catatan

Komputer dalam daftar host tepercaya tidak diautentikasi. Klien mungkin mengirim informasi kredensial ke komputer ini.

Jika alamat IPv6 ditentukan untuk host tepercaya, alamat harus diapit dalam tanda kurung siku seperti yang ditunjukkan oleh perintah utilitas berikut Winrm :

winrm set winrm/config/client '@{TrustedHosts ="[0:0:0:0:0:0:0:0]"}'

Untuk informasi selengkapnya tentang cara menambahkan komputer ke TrustedHosts daftar, ketik winrm help config.

Pengaturan konfigurasi default layanan WinRM

Versi layanan WinRM memiliki pengaturan konfigurasi default berikut.

RootSDDL

Menentukan deskriptor keamanan yang mengontrol akses jarak jauh ke pendengar. Default adalah O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;ER)S:P(AU;FA;GA;;;WD)(AU;SA;GWGX;;;WD).

MaxConcurrentOperations

Jumlah maksimum operasi bersamaan. Nilai defaultnya adalah 100.

WinRM 2.0: Pengaturan MaxConcurrentOperations tidak digunakan lagi, dan diatur ke baca-saja. Pengaturan ini telah digantikan oleh MaxConcurrentOperationsPerUser.

MaxConcurrentOperationsPerUser

Menentukan jumlah maksimum operasi bersamaan yang dapat dibuka pengguna dari jarak jauh pada sistem yang sama. Defaultnya adalah 1500.

EnumerationTimeoutms

Menentukan batas waktu diam dalam milidetik di antara Pull pesan. Defaultnya adalah 60000.

MaxConnections

Menentukan jumlah maksimum permintaan aktif yang dapat diproses layanan secara bersamaan. Defaultnya adalah 300.

WinRM 2.0: Defaultnya adalah 25.

MaxPacketRetrievalTimeSeconds

Menentukan durasi waktu maksimum dalam hitungan detik yang diperlukan layanan WinRM untuk mengambil paket. Batas waktu default adalah 120 detik.

AllowUnencrypted

Allows the client computer to request unencrypted traffic. Default adalah False.

Dasar

Memungkinkan layanan WinRM menggunakan autentikasi Dasar. Default adalah False.

Sertifikat

Memungkinkan layanan WinRM menggunakan autentikasi berbasis sertifikat klien. Default adalah False.

Kerberos

Memungkinkan layanan WinRM menggunakan autentikasi Kerberos. Default adalah True.

Negosiasi

Memungkinkan layanan WinRM menggunakan Negosiasi autentikasi. Default adalah True.

CredSSP

Memungkinkan layanan WinRM menggunakan autentikasi Credential Security Support Provider (CredSSP). Default adalah False.

CbtHardeningLevel

Menetapkan kebijakan untuk persyaratan token pengikatan saluran dalam permintaan autentikasi. Defaultnya adalah Santai.

DefaultPorts

Menentukan port yang digunakan layanan WinRM untuk HTTP atau HTTPS.

WinRM 2.0: Port HTTP default adalah 5985. Port HTTPS default adalah 5986.

IPv4Filter dan IPv6Filter

Menentukan alamat IPv4 atau IPv6 yang dapat digunakan pendengar. Defaultnya adalah IPv4Filter = * dan IPv6Filter = *.

• IPv4: String harfiah IPv4 terdiri dari empat angka desimal putus-putus, masing-masing dalam rentang 0 hingga 255. Misalnya: 192.168.0.0.
• IPv6: String harfiah IPv6 diapit dalam tanda kurung siku dan berisi angka heksadesimal yang dipisahkan oleh titik dua. Misalnya: [::1] atau [3ffe:ffff::6ECB:0101].

EnableCompatibilityHttpListener

Menentukan apakah pendengar HTTP kompatibilitas diaktifkan. Jika pengaturan ini adalah True, pendengar mendengarkan di port 80 selain port 5985. Default adalah False.

EnableCompatibilityHttpsListener

Menentukan apakah pendengar HTTPS kompatibilitas diaktifkan. Jika pengaturan ini adalah True, pendengar mendengarkan di port 443 selain port 5986. Default adalah False.

Pengaturan konfigurasi default Winrs

Perintah ini winrm quickconfig juga mengonfigurasi pengaturan default Winrs.

AllowRemoteShellAccess

Mengaktifkan akses ke shell jarak jauh. Jika Anda mengatur parameter ini ke False, server menolak koneksi shell jarak jauh baru oleh server. Default adalah True.

IdleTimeout

Menentukan waktu maksimum dalam milidetik bahwa shell jarak jauh tetap terbuka ketika tidak ada aktivitas pengguna di shell jarak jauh. Shell jarak jauh dihapus setelah waktu tersebut.

WinRM 2.0: Defaultnya adalah 180000. Nilai minimumnya adalah 60000. Mengatur nilai ini lebih rendah dari 60000 tidak berpengaruh pada perilaku waktu habis.

MaxConcurrentUsers

Menentukan jumlah maksimum pengguna yang dapat melakukan operasi jarak jauh secara bersamaan pada komputer yang sama melalui shell jarak jauh. Jika koneksi shell jarak jauh baru melebihi batas, komputer akan menolaknya. Bawaan adalah 5.

MaxShellRunTime

Menentukan waktu maksimum dalam milidetik yang diizinkan untuk dijalankan oleh perintah atau skrip jarak jauh. Defaultnya adalah 28800000.

WinRM 2.0: Pengaturan MaxShellRunTime diatur ke baca-saja. Mengubah nilai untuk MaxShellRunTime tidak berpengaruh pada shell jarak jauh.

MaxProcessesPerShell

Menentukan jumlah maksimum proses yang diizinkan untuk memulai operasi shell. Nilai 0 memungkinkan proses dalam jumlah tak terbatas. Defaultnya adalah 15.

MaxMemoryPerShellMB

Menentukan jumlah maksimum memori yang dialokasikan per shell, termasuk proses anak shell. Defaultnya adalah 150 MB.

MaxShellsPerUser

Menentukan jumlah maksimum shell bersamaan yang dapat dibuka oleh setiap pengguna dari jarak jauh pada komputer yang sama. Jika pengaturan kebijakan ini diaktifkan, pengguna tidak akan dapat membuka shell jarak jauh baru jika jumlahnya melebihi batas yang ditentukan. Jika pengaturan kebijakan ini dinonaktifkan atau tidak dikonfigurasi, batasnya diatur ke lima shell jarak jauh per pengguna secara default.

Mengonfigurasi WinRM dengan Kebijakan Grup

Gunakan editor Kebijakan Grup untuk mengonfigurasi Windows Remote Shell dan WinRM untuk komputer di perusahaan Anda.

Untuk mengonfigurasi dengan Kebijakan Grup:

1. Buka jendela Wantian Perintah sebagai administrator.
2. Pada prompt perintah, ketik gpedit.msc. Jendela Kebijakan Grup Object Editor terbuka.
3. Temukan Windows Remote Management dan Windows Remote Shell Kebijakan Grup Objects (GPO) di bawah Computer Configuration\Administrative Templates\Windows Components.
4. Pada tab Diperluas , pilih pengaturan untuk melihat deskripsi. Klik dua kali pengaturan untuk mengeditnya.

Port Windows Firewall dan WinRM 2.0

Mulai dari WinRM 2.0, port pendengar default yang dikonfigurasi adalah Winrm quickconfig port 5985 untuk transportasi HTTP, dan port 5986 untuk HTTPS. Pendengar WinRM dapat dikonfigurasi pada port arbitrer apa pun.

Jika Anda meningkatkan komputer ke WinRM 2.0, listener yang dikonfigurasi sebelumnya akan dimigrasikan, dan masih menerima lalu lintas.

Catatan penginstalan dan konfigurasi WinRM

WinRM tidak bergantung pada layanan lain kecuali WinHttp. Jika IIS Admin Service diinstal pada komputer yang sama, maka Anda mungkin melihat pesan yang menunjukkan bahwa WinRM tidak dapat dimuat sebelum Internet Information Services (IIS). Namun, WinRM sebenarnya tidak bergantung pada IIS. Pesan tersebut terjadi karena urutan beban memastikan bahwa layanan IIS dimulai sebelum layanan HTTP. WinRM mengharuskan yang WinHTTP.dll terdaftar.

Jika klien firewall ISA2004 diinstal di komputer, itu dapat menyebabkan klien Web Services for Management (WS-Management) berhenti merespons. Untuk menghindari masalah ini, instal ISA2004 Firewall SP1.

Jika dua layanan pendengar dengan alamat IP yang berbeda dikonfigurasi dengan nomor port dan nama komputer yang sama, Maka WinRM mendengarkan atau menerima pesan hanya pada satu alamat. Pendekatan yang digunakan ini karena awalan URL yang digunakan oleh protokol WS-Management sama.

Catatan penginstalan driver dan penyedia IPMI

Driver mungkin tidak mendeteksi keberadaan driver IPMI yang bukan dari Microsoft. Jika driver gagal dimulai, maka Anda mungkin perlu menonaktifkannya.

Jika sumber daya pengontrol manajemen baseboard (BMC) muncul di BIOS sistem, maka ACPI (Plug and Play) mendeteksi perangkat keras BMC, dan secara otomatis menginstal driver IPMI. dukungan Plug and Play mungkin tidak ada di semua BMC. Jika BMC terdeteksi oleh Plug and Play, maka Perangkat Tidak Diketahui muncul di Manajer Perangkat sebelum komponen Manajemen Perangkat Keras diinstal. Ketika driver diinstal, komponen baru, Perangkat Yang Mematuhi IPMI Generik Microsoft ACPI, muncul di Manajer Perangkat.

Jika sistem Anda tidak secara otomatis mendeteksi BMC dan menginstal driver, tetapi BMC terdeteksi selama proses penyiapan, buat perangkat BMC. Untuk membuat perangkat, ketik perintah berikut pada prompt perintah:

Rundll32 ipmisetp.dll, AddTheDevice

Setelah perintah ini berjalan, perangkat IPMI dibuat, dan muncul di Manajer Perangkat. Jika Anda menghapus instalan komponen Manajemen Perangkat Keras, perangkat akan dihapus.

Untuk informasi selengkapnya, lihat Pengenalan manajemen perangkat keras.

Penyedia IPMI menempatkan kelas perangkat keras di namespace layananroot\hardware WMI. Untuk informasi selengkapnya tentang kelas perangkat keras, lihat Penyedia IPMI. Untuk informasi selengkapnya tentang namespace WMI, lihat Arsitektur WMI.

Catatan konfigurasi plug-in WMI

Dimulai dengan Windows 8 dan Windows Server 2012, plug-in WMI memiliki konfigurasi keamanan mereka sendiri. Untuk pengguna normal atau daya, bukan administrator, untuk dapat menggunakan plug-in WMI, aktifkan akses untuk pengguna tersebut setelah pendengar dikonfigurasi. Siapkan pengguna untuk akses jarak jauh ke WMI melalui salah satu langkah ini.

• Jalankan lusrmgr.msc untuk menambahkan pengguna ke grup WinRMRemoteWMIUsers__ di jendela Pengguna dan Grup Lokal .

• Gunakan alat baris perintah Winrm untuk mengonfigurasi deskriptor keamanan untuk namespaceplug-in WMI:

  winrm configSDDL http://schemas.microsoft.com/wbem/wsman/1/wmi/ WmiNamespace
  

Saat antarmuka pengguna muncul, tambahkan pengguna.

Setelah menyiapkan pengguna untuk akses jarak jauh ke WMI, Anda harus menyiapkan WMI untuk memungkinkan pengguna mengakses plug-in. Untuk mengizinkan akses, jalankan wmimgmt.msc untuk memodifikasi keamanan WMI agar namespace dapat diakses di jendela Kontrol WMI .

Sebagian besar kelas WMI untuk manajemen berada di namespace root\cimv2 .