Penginstalan dan konfigurasi untuk Manajemen Jarak Jauh Windows
Agar skrip Windows Remote Management (WinRM) berjalan, dan agar alat baris perintah Winrm melakukan operasi data, WinRM harus diinstal dan dikonfigurasi.
Elemen-elemen ini juga bergantung pada konfigurasi WinRM.
- Alat baris perintah Windows Remote Shell , Winrs.
- Penerusan peristiwa.
- Windows PowerShell jarak jauh 2.0.
Lokasi penginstalan WinRM
WinRM secara otomatis diinstal dengan semua versi sistem operasi Windows yang saat ini didukung.
Konfigurasi WinRM dan IPMI
Komponen penyedia WinRM dan Intelligent Platform Management Interface (IPMI)WMI ini diinstal dengan sistem operasi.
- Layanan WinRM dimulai secara otomatis pada Windows Server 2008 dan yang lebih baru. Pada versi Windows yang lebih lama (klien atau server), Anda perlu memulai layanan secara manual.
- Secara default, tidak ada pendengar WinRM yang dikonfigurasi. Bahkan jika layanan WinRM berjalan, WS-Management pesan protokol yang meminta data tidak dapat diterima atau dikirim.
- Internet Connection Firewall (ICF) memblokir akses ke port.
winrm
Gunakan perintah untuk menemukan listener dan alamat dengan mengetik perintah berikut pada prompt perintah.
winrm enumerate winrm/config/listener
Untuk memeriksa status pengaturan konfigurasi, ketik perintah berikut.
winrm get winrm/config
Konfigurasi default cepat
Aktifkan protokol WS-Management di komputer lokal, dan siapkan konfigurasi default untuk manajemen jarak jauh dengan perintah winrm quickconfig
.
Perintah winrm quickconfig
(yang dapat disingkat winrm qc
) melakukan operasi ini:
- Memulai layanan WinRM, dan mengatur jenis startup layanan ke mulai otomatis.
- Mengonfigurasi pendengar untuk port yang mengirim dan menerima pesan protokol WS-Management menggunakan HTTP atau HTTPS pada alamat IP apa pun.
- Mendefinisikan pengecualian ICF untuk layanan WinRM, dan membuka port untuk HTTP dan HTTPS.
Catatan
Perintah winrm quickconfig
membuat pengecualian firewall hanya untuk profil pengguna saat ini. Jika profil firewall diubah karena alasan apa pun, jalankan winrm quickconfig
untuk mengaktifkan pengecualian firewall untuk profil baru (jika tidak, pengecualian mungkin tidak diaktifkan).
Untuk mengambil informasi tentang menyesuaikan konfigurasi, ketik perintah berikut pada prompt perintah.
winrm help config
Untuk mengonfigurasi WinRM dengan pengaturan default
Pada perintah yang berjalan sebagai akun Administrator komputer lokal, jalankan perintah ini:
winrm quickconfig
Jika Anda tidak menjalankan sebagai Administrator komputer lokal, pilih Jalankan sebagai Administrator dari menu Mulai , atau gunakan
Runas
perintah pada prompt perintah.Ketika alat menampilkan Buat perubahan ini [y/n]?, ketik y.
Jika konfigurasi berhasil, output berikut ditampilkan.
WinRM has been updated for remote management. WinRM service type changed to delayed auto start. WinRM service started. Created a WinRM listener on https://* to accept WS-Man requests to any IP on this machine.
Pertahankan pengaturan default untuk komponen klien dan server WinRM, atau sesuaikan. Misalnya, Anda mungkin perlu menambahkan komputer jarak jauh tertentu ke daftar konfigurasi
TrustedHosts
klien.Siapkan daftar host tepercaya saat autentikasi bersama tidak dapat dibuat. Kerberos memungkinkan autentikasi bersama, tetapi tidak dapat digunakan dalam grup kerja; hanya domain. Praktik terbaik saat menyiapkan host tepercaya untuk grup kerja adalah membuat daftar sebatas mungkin.
Buat pendengar HTTPS dengan mengetik perintah berikut:
winrm quickconfig -transport:https
Catatan
Buka port 5986 agar transportasi HTTPS berfungsi.
Pengaturan default protokol listener dan WS-Management
Untuk mendapatkan konfigurasi pendengar, ketik winrm enumerate winrm/config/listener
pada prompt perintah. Pendengar didefinisikan oleh transportasi (HTTP atau HTTPS) dan alamat IPv4 atau IPv6.
Perintah winrm quickconfig
membuat pengaturan default berikut untuk pendengar. Anda dapat membuat lebih dari satu listener. Untuk informasi selengkapnya, ketik winrm help config
pada prompt perintah.
Alamat
Menentukan alamat tempat pendengar ini dibuat.
Transportasi
Menentukan transportasi yang akan digunakan untuk mengirim dan menerima permintaan dan respons protokol WS-Management. Nilainya harus HTTP atau HTTPS. Defaultnya adalah HTTP.
Port
Menentukan port TCP tempat pendengar ini dibuat.
WinRM 2.0: Port HTTP default adalah 5985.
Nama Host
Menentukan nama host komputer tempat layanan WinRM dijalankan. Nilainya harus: nama domain yang sepenuhnya memenuhi syarat; string literal IPv4 atau IPv6; atau karakter kartubebas.
Aktif
Menentukan apakah pendengar diaktifkan atau dinonaktifkan. Nilai defaultnya adalah True.
URLPrefix
Menentukan awalan URL untuk menerima permintaan HTTP atau HTTPS. String ini hanya berisi karakter a-z, A-Z, 9-0, garis bawah (_), dan garis miring (/). String tidak boleh dimulai dengan atau diakhir dengan garis miring (/). Misalnya, jika nama komputer adalah SampleMachine, maka klien WinRM akan menentukan https://SampleMachine/<URLPrefix>
di alamat tujuan. Awalan URL default adalah wsman
.
CertificateThumbprint
Menentukan thumbprint sertifikat layanan. Nilai ini mewakili string nilai heksadesimal dua digit yang ditemukan di bidang Thumbprint sertifikat. String ini berisi hash SHA-1 sertifikat. Sertifikat digunakan dalam autentikasi berbasis sertifikat klien. Sertifikat hanya dapat dipetakan ke akun pengguna lokal. Mereka tidak berfungsi dengan akun domain.
ListeningOn
Menentukan alamat IPv4 dan IPv6 yang digunakan pendengar. Misalnya: 111.0.0.1, 111.222.333.444, ::1, 1000:2000:2c:3:c19:9ec8:a715:5e24, 3ffe:8311:ffff:f70f:0:5efe:111.222.333.444, fe80::5efe:111.222.333.444%8, fe80::c19:9ec8:a715:5e24%6
.
Pengaturan default protokol
Banyak pengaturan konfigurasi, seperti MaxEnvelopeSizekb atau SoapTraceEnabled, menentukan bagaimana klien WinRM dan komponen server berinteraksi dengan protokol WS-Management. Bagian berikut menjelaskan pengaturan konfigurasi yang tersedia.
MaxEnvelopeSizekb
Menentukan data Simple Object Access Protocol (SOAP) maksimum dalam kilobyte. Defaultnya adalah 150 kilobyte.
Catatan
Perilaku tidak didukung jika MaxEnvelopeSizekb diatur ke nilai yang lebih besar dari 1039440.
MaxTimeoutms
Menentukan waktu habis maksimum dalam milidetik yang dapat digunakan untuk permintaan apa pun selain Pull
permintaan. Defaultnya adalah 60000.
MaxBatchItems
Menentukan jumlah maksimum elemen yang dapat digunakan dalam Pull
respons. Defaultnya adalah 32000.
MaxProviderRequests
Menentukan jumlah maksimum permintaan bersamaan yang diizinkan oleh layanan. Defaultnya adalah 25.
WinRM 2.0: Pengaturan ini tidak digunakan lagi, dan diatur ke baca-saja.
Pengaturan konfigurasi default klien WinRM
Versi klien WinRM memiliki pengaturan konfigurasi default berikut.
NetworkDelayms
Menentukan waktu tambahan dalam milidetik yang ditunggu komputer klien untuk mengakomodasi waktu penundaan jaringan. Defaultnya adalah 5000 milidetik.
URLPrefix
Menentukan awalan URL untuk menerima permintaan HTTP atau HTTPS. Awalan URL default adalah wsman.
AllowUnencrypted
Memungkinkan komputer klien untuk meminta lalu lintas yang tidak terenkripsi. Secara default, komputer klien memerlukan lalu lintas jaringan terenkripsi dan pengaturan ini false.
Dasar
Memungkinkan komputer klien menggunakan autentikasi Dasar. Autentikasi dasar adalah skema di mana nama pengguna dan kata sandi dikirim dalam teks yang jelas ke server atau proksi. Metode ini adalah metode autentikasi yang paling tidak aman. Defaultnya adalah True.
digest
Memungkinkan klien untuk menggunakan autentikasi Digest. Autentikasi hash adalah skema respons tantangan yang menggunakan string data yang ditentukan server untuk tantangan tersebut. Hanya komputer klien yang dapat memulai permintaan autentikasi Digest.
Komputer klien mengirim permintaan ke server untuk mengautentikasi, dan menerima string token dari server. Kemudian komputer klien mengirim permintaan sumber daya, termasuk nama pengguna dan hash kriptografi kata sandi yang dikombinasikan dengan string token.
Autentikasi hash didukung untuk HTTP dan untuk HTTPS. Skrip dan aplikasi klien WinRM Shell dapat menentukan autentikasi Digest, tetapi layanan WinRM tidak menerima autentikasi Digest. Default adalah True
.
Catatan
Autentikasi hash melalui HTTP tidak dianggap aman.
Sertifikat
Memungkinkan klien menggunakan autentikasi berbasis sertifikat klien. Autentikasi berbasis sertifikat adalah skema di mana server mengautentikasi klien yang diidentifikasi oleh sertifikat X509. The default is True.
Kerberos
Memungkinkan klien untuk menggunakan autentikasi Kerberos. Autentikasi Kerberos adalah skema di mana klien dan server saling mengautentikasi dengan menggunakan sertifikat Kerberos. The default is True.
Negosiasi
Memungkinkan klien untuk menggunakan Negosiasi autentikasi. Negosiasi autentikasi adalah skema di mana klien mengirim permintaan ke server untuk mengautentikasi.
Server menentukan apakah akan menggunakan protokol Kerberos atau NT LAN Manager (NTLM). Protokol Kerberos dipilih untuk mengautentikasi akun domain. NTLM dipilih untuk akun komputer lokal. Nama pengguna harus ditentukan dalam format domain\user_name untuk pengguna domain. Nama pengguna harus ditentukan dalam format server_name\user_name untuk pengguna lokal di komputer server. Default adalah True
.
CredSSP
Memungkinkan klien menggunakan autentikasi Credential Security Support Provider (CredSSP). CredSSP memungkinkan aplikasi untuk mendelegasikan kredensial pengguna dari komputer klien ke server target. Default adalah False
.
DefaultPorts
Menentukan port yang digunakan klien untuk HTTP atau HTTPS.
WinRM 2.0: Port HTTP default adalah 5985, dan port HTTPS default adalah 5986.
TrustedHosts
Menentukan daftar komputer jarak jauh yang dipercaya. Komputer lain dalam grup kerja atau komputer di domain lain harus ditambahkan ke daftar ini.
Catatan
Komputer dalam daftar host tepercaya tidak diautentikasi. Klien mungkin mengirim informasi kredensial ke komputer ini.
Jika alamat IPv6 ditentukan untuk host tepercaya, alamat harus diapit dalam tanda kurung siku seperti yang ditunjukkan oleh perintah utilitas berikut Winrm
:
winrm set winrm/config/client '@{TrustedHosts ="[0:0:0:0:0:0:0:0]"}'
Untuk informasi selengkapnya tentang cara menambahkan komputer ke TrustedHosts
daftar, ketik winrm help config
.
Pengaturan konfigurasi default layanan WinRM
Versi layanan WinRM memiliki pengaturan konfigurasi default berikut.
RootSDDL
Menentukan deskriptor keamanan yang mengontrol akses jarak jauh ke pendengar. Default adalah O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;ER)S:P(AU;FA;GA;;;WD)(AU;SA;GWGX;;;WD)
.
MaxConcurrentOperations
Jumlah maksimum operasi bersamaan. Nilai defaultnya adalah 100.
WinRM 2.0: Pengaturan MaxConcurrentOperations
tidak digunakan lagi, dan diatur ke baca-saja. Pengaturan ini telah digantikan oleh MaxConcurrentOperationsPerUser
.
MaxConcurrentOperationsPerUser
Menentukan jumlah maksimum operasi bersamaan yang dapat dibuka pengguna dari jarak jauh pada sistem yang sama. Defaultnya adalah 1500.
EnumerationTimeoutms
Menentukan batas waktu diam dalam milidetik di antara Pull
pesan. Defaultnya adalah 60000.
MaxConnections
Menentukan jumlah maksimum permintaan aktif yang dapat diproses layanan secara bersamaan. Defaultnya adalah 300.
WinRM 2.0: Defaultnya adalah 25.
MaxPacketRetrievalTimeSeconds
Menentukan durasi waktu maksimum dalam hitungan detik yang diperlukan layanan WinRM untuk mengambil paket. Batas waktu default adalah 120 detik.
AllowUnencrypted
Allows the client computer to request unencrypted traffic. Default adalah False
.
Dasar
Memungkinkan layanan WinRM menggunakan autentikasi Dasar. Default adalah False
.
Sertifikat
Memungkinkan layanan WinRM menggunakan autentikasi berbasis sertifikat klien. Default adalah False
.
Kerberos
Memungkinkan layanan WinRM menggunakan autentikasi Kerberos. Default adalah True
.
Negosiasi
Memungkinkan layanan WinRM menggunakan Negosiasi autentikasi. Default adalah True
.
CredSSP
Memungkinkan layanan WinRM menggunakan autentikasi Credential Security Support Provider (CredSSP). Default adalah False
.
CbtHardeningLevel
Menetapkan kebijakan untuk persyaratan token pengikatan saluran dalam permintaan autentikasi. Defaultnya adalah Santai.
DefaultPorts
Menentukan port yang digunakan layanan WinRM untuk HTTP atau HTTPS.
WinRM 2.0: Port HTTP default adalah 5985. Port HTTPS default adalah 5986.
IPv4Filter dan IPv6Filter
Menentukan alamat IPv4 atau IPv6 yang dapat digunakan pendengar. Defaultnya adalah IPv4Filter = *
dan IPv6Filter = *
.
- IPv4: String harfiah IPv4 terdiri dari empat angka desimal putus-putus, masing-masing dalam rentang 0 hingga 255. Misalnya: 192.168.0.0.
- IPv6: String harfiah IPv6 diapit dalam tanda kurung siku dan berisi angka heksadesimal yang dipisahkan oleh titik dua. Misalnya: [::1] atau [3ffe:ffff::6ECB:0101].
EnableCompatibilityHttpListener
Menentukan apakah pendengar HTTP kompatibilitas diaktifkan. Jika pengaturan ini adalah True
, pendengar mendengarkan di port 80 selain port 5985. Default adalah False
.
EnableCompatibilityHttpsListener
Menentukan apakah pendengar HTTPS kompatibilitas diaktifkan. Jika pengaturan ini adalah True
, pendengar mendengarkan di port 443 selain port 5986. Default adalah False
.
Pengaturan konfigurasi default Winrs
Perintah ini winrm quickconfig
juga mengonfigurasi pengaturan default Winrs.
AllowRemoteShellAccess
Mengaktifkan akses ke shell jarak jauh. Jika Anda mengatur parameter ini ke False
, server menolak koneksi shell jarak jauh baru oleh server. Default adalah True
.
IdleTimeout
Menentukan waktu maksimum dalam milidetik bahwa shell jarak jauh tetap terbuka ketika tidak ada aktivitas pengguna di shell jarak jauh. Shell jarak jauh dihapus setelah waktu tersebut.
WinRM 2.0: Defaultnya adalah 180000. Nilai minimumnya adalah 60000. Mengatur nilai ini lebih rendah dari 60000 tidak berpengaruh pada perilaku waktu habis.
MaxConcurrentUsers
Menentukan jumlah maksimum pengguna yang dapat melakukan operasi jarak jauh secara bersamaan pada komputer yang sama melalui shell jarak jauh. Jika koneksi shell jarak jauh baru melebihi batas, komputer akan menolaknya. Bawaan adalah 5.
MaxShellRunTime
Menentukan waktu maksimum dalam milidetik yang diizinkan untuk dijalankan oleh perintah atau skrip jarak jauh. Defaultnya adalah 28800000.
WinRM 2.0: Pengaturan MaxShellRunTime
diatur ke baca-saja. Mengubah nilai untuk MaxShellRunTime
tidak berpengaruh pada shell jarak jauh.
MaxProcessesPerShell
Menentukan jumlah maksimum proses yang diizinkan untuk memulai operasi shell. Nilai 0 memungkinkan proses dalam jumlah tak terbatas. Defaultnya adalah 15.
MaxMemoryPerShellMB
Menentukan jumlah maksimum memori yang dialokasikan per shell, termasuk proses anak shell. Defaultnya adalah 150 MB.
MaxShellsPerUser
Menentukan jumlah maksimum shell bersamaan yang dapat dibuka oleh setiap pengguna dari jarak jauh pada komputer yang sama. Jika pengaturan kebijakan ini diaktifkan, pengguna tidak akan dapat membuka shell jarak jauh baru jika jumlahnya melebihi batas yang ditentukan. Jika pengaturan kebijakan ini dinonaktifkan atau tidak dikonfigurasi, batasnya diatur ke lima shell jarak jauh per pengguna secara default.
Mengonfigurasi WinRM dengan Kebijakan Grup
Gunakan editor Kebijakan Grup untuk mengonfigurasi Windows Remote Shell dan WinRM untuk komputer di perusahaan Anda.
Untuk mengonfigurasi dengan Kebijakan Grup:
- Buka jendela Wantian Perintah sebagai administrator.
- Pada prompt perintah, ketik
gpedit.msc
. Jendela Kebijakan Grup Object Editor terbuka. - Temukan Windows Remote Management dan Windows Remote Shell Kebijakan Grup Objects (GPO) di bawah Computer Configuration\Administrative Templates\Windows Components.
- Pada tab Diperluas , pilih pengaturan untuk melihat deskripsi. Klik dua kali pengaturan untuk mengeditnya.
Port Windows Firewall dan WinRM 2.0
Mulai dari WinRM 2.0, port pendengar default yang dikonfigurasi adalah Winrm quickconfig
port 5985 untuk transportasi HTTP, dan port 5986 untuk HTTPS. Pendengar WinRM dapat dikonfigurasi pada port arbitrer apa pun.
Jika Anda meningkatkan komputer ke WinRM 2.0, listener yang dikonfigurasi sebelumnya akan dimigrasikan, dan masih menerima lalu lintas.
Catatan penginstalan dan konfigurasi WinRM
WinRM tidak bergantung pada layanan lain kecuali WinHttp
. Jika IIS Admin Service diinstal pada komputer yang sama, maka Anda mungkin melihat pesan yang menunjukkan bahwa WinRM tidak dapat dimuat sebelum Internet Information Services (IIS). Namun, WinRM sebenarnya tidak bergantung pada IIS. Pesan tersebut terjadi karena urutan beban memastikan bahwa layanan IIS dimulai sebelum layanan HTTP. WinRM mengharuskan yang WinHTTP.dll
terdaftar.
Jika klien firewall ISA2004 diinstal di komputer, itu dapat menyebabkan klien Web Services for Management (WS-Management) berhenti merespons. Untuk menghindari masalah ini, instal ISA2004 Firewall SP1.
Jika dua layanan pendengar dengan alamat IP yang berbeda dikonfigurasi dengan nomor port dan nama komputer yang sama, Maka WinRM mendengarkan atau menerima pesan hanya pada satu alamat. Pendekatan yang digunakan ini karena awalan URL yang digunakan oleh protokol WS-Management sama.
Catatan penginstalan driver dan penyedia IPMI
Driver mungkin tidak mendeteksi keberadaan driver IPMI yang bukan dari Microsoft. Jika driver gagal dimulai, maka Anda mungkin perlu menonaktifkannya.
Jika sumber daya pengontrol manajemen baseboard (BMC) muncul di BIOS sistem, maka ACPI (Plug and Play) mendeteksi perangkat keras BMC, dan secara otomatis menginstal driver IPMI. dukungan Plug and Play mungkin tidak ada di semua BMC. Jika BMC terdeteksi oleh Plug and Play, maka Perangkat Tidak Diketahui muncul di Manajer Perangkat sebelum komponen Manajemen Perangkat Keras diinstal. Ketika driver diinstal, komponen baru, Perangkat Yang Mematuhi IPMI Generik Microsoft ACPI, muncul di Manajer Perangkat.
Jika sistem Anda tidak secara otomatis mendeteksi BMC dan menginstal driver, tetapi BMC terdeteksi selama proses penyiapan, buat perangkat BMC. Untuk membuat perangkat, ketik perintah berikut pada prompt perintah:
Rundll32 ipmisetp.dll, AddTheDevice
Setelah perintah ini berjalan, perangkat IPMI dibuat, dan muncul di Manajer Perangkat. Jika Anda menghapus instalan komponen Manajemen Perangkat Keras, perangkat akan dihapus.
Untuk informasi selengkapnya, lihat Pengenalan manajemen perangkat keras.
Penyedia IPMI menempatkan kelas perangkat keras di namespace layananroot\hardware WMI. Untuk informasi selengkapnya tentang kelas perangkat keras, lihat Penyedia IPMI. Untuk informasi selengkapnya tentang namespace WMI, lihat Arsitektur WMI.
Catatan konfigurasi plug-in WMI
Dimulai dengan Windows 8 dan Windows Server 2012, plug-in WMI memiliki konfigurasi keamanan mereka sendiri. Untuk pengguna normal atau daya, bukan administrator, untuk dapat menggunakan plug-in WMI, aktifkan akses untuk pengguna tersebut setelah pendengar dikonfigurasi. Siapkan pengguna untuk akses jarak jauh ke WMI melalui salah satu langkah ini.
Jalankan
lusrmgr.msc
untuk menambahkan pengguna ke grup WinRMRemoteWMIUsers__ di jendela Pengguna dan Grup Lokal .Gunakan alat baris perintah Winrm untuk mengonfigurasi deskriptor keamanan untuk namespaceplug-in WMI:
winrm configSDDL http://schemas.microsoft.com/wbem/wsman/1/wmi/ WmiNamespace
Saat antarmuka pengguna muncul, tambahkan pengguna.
Setelah menyiapkan pengguna untuk akses jarak jauh ke WMI, Anda harus menyiapkan WMI untuk memungkinkan pengguna mengakses plug-in. Untuk mengizinkan akses, jalankan wmimgmt.msc untuk memodifikasi keamanan WMI agar namespace dapat diakses di jendela Kontrol WMI .
Sebagian besar kelas WMI untuk manajemen berada di namespace root\cimv2 .
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk