Windows リモート管理のインストールと構成

Windows リモート管理 (WinRM) スクリプトを実行し、 Winrm コマンド ライン ツールでデータ操作を実行するには、WinRM をインストールして構成する必要があります。

これらの要素は、WinRM の構成にも依存します。

• Windows リモート シェルのコマンド ライン ツール Winrs。
• イベント転送。
• Windows PowerShell 2.0 リモート処理。

WinRM のインストール場所

WinRM は、現在サポートされているすべてのバージョンの Windows オペレーティング システムと共に自動的にインストールされます。

WinRM と IPMI の構成

これらの WinRM およびインテリジェント プラットフォーム管理インターフェイス (IPMI)WMI プロバイダー コンポーネントは、オペレーティング システムと共にインストールされます。

• WinRM サービスは、Windows Server 2008 以降で自動的に開始されます。 以前のバージョンの Windows (クライアントまたはサーバー) では、サービスを手動で開始する必要があります。
• 既定では、WinRM リスナー は構成されていません。 WinRM サービスが実行されている場合でも、データを要求するプロトコル メッセージ WS-Management受信または送信することはできません。
• インターネット接続ファイアウォール (ICF) は、ポートへのアクセスをブロックします。

コマンド プロンプトで次の winrm コマンドを入力して、リスナーとアドレスを検索するには、 コマンドを使用します。

winrm enumerate winrm/config/listener

構成設定の状態を確認するには、次のコマンドを入力します。

winrm get winrm/config

クイック既定の構成

ローカル コンピューターで WS-Management プロトコルを有効にし、 コマンドを使用してリモート管理の既定の構成を設定します winrm quickconfig。

winrm quickconfigコマンド (省略winrm qc可能) は、次の操作を実行します。

• WinRM サービスを開始し、サービスのスタートアップの種類を 自動開始に設定します。
• 任意の IP アドレスで HTTP または HTTPS を使用してWS-Managementプロトコル メッセージ を送受信するポートのリスナーを構成します。
• WinRM サービスの ICF 例外を定義し、HTTP と HTTPS のポートを開きます。

注意

コマンドは winrm quickconfig 、現在のユーザー プロファイルに対してのみファイアウォール例外を作成します。 何らかの理由でファイアウォール プロファイルが変更された場合は、 を実行 winrm quickconfig して新しいプロファイルのファイアウォール例外を有効にします (それ以外の場合は例外が有効になっていない可能性があります)。

構成のカスタマイズに関する情報を取得するには、コマンド プロンプトで次のコマンドを入力します。

winrm help config

既定の設定で WinRM を構成するには

1. ローカル コンピューター管理者アカウントとして実行されているコマンド プロンプトで、次のコマンドを実行します。

   winrm quickconfig
   

   ローカル コンピューターの管理者として実行していない場合は、[スタート] メニューから [管理者として実行] を選択するか、コマンド プロンプトで コマンドを使用Runasします。

2. ツールに [ y/n] と表示されたら、「y」と入力 します。

   構成が成功すると、次の出力が表示されます。

   WinRM has been updated for remote management.
   
   WinRM service type changed to delayed auto start.
   WinRM service started.
   Created a WinRM listener on https://* to accept WS-Man requests to any IP on this machine.
   

3. WinRM のクライアント コンポーネントとサーバー コンポーネントの既定の設定をそのまま使用するか、カスタマイズします。 たとえば、特定のリモート コンピューターをクライアント構成 TrustedHosts リストに追加する必要がある場合があります。

   相互認証を確立できない場合は、信頼できるホストの一覧を設定します。 Kerberos では相互認証が許可されますが、ワークグループでは使用できません。ドメインのみ。 ワークグループに対して信頼できるホストを設定する場合のベスト プラクティスは、リストを可能な限り制限することです。

4. 次のコマンドを入力して、HTTPS リスナーを作成します。

   winrm quickconfig -transport:https
   

   注意

   HTTPS トランスポートが機能するようにポート 5986 を開きます。

リスナーとWS-Management プロトコルの既定の設定

リスナーの構成を取得するには、コマンド プロンプトで「」と入力 winrm enumerate winrm/config/listener します。 リスナーは、トランスポート (HTTP または HTTPS) と IPv4 または IPv6 アドレスによって定義されます。

コマンドは winrm quickconfig 、リスナーに対して次の既定の設定を作成します。 複数のリスナーを作成できます。 詳細については、コマンド プロンプトで「」と入力 winrm help config します。

住所

このリスナーを作成するアドレスを指定します。

トランスポート

WS-Management プロトコルの要求と応答を送受信するためのトランスポートを指定します。 値は HTTP または HTTPS である必要があります。 既定値は HTTP です。

Port

このリスナーが作成された TCP ポートを指定します。

WinRM 2.0: 既定の HTTP ポートは 5985 です。

hostname

WinRM サービスが実行されているコンピューターのホスト名を指定します。 値は完全修飾ドメイン名である必要があります。IPv4 または IPv6 リテラル文字列。またはワイルドカード文字。

Enabled

リスナーが有効であるか、無効であるかを指定します。 既定値は True です。

URLPrefix

HTTP または HTTPS 要求を受け入れる URL プレフィックスを指定します。 この文字列には、a から z、A から Z、9 から 0、アンダースコア (_)、スラッシュ (/) の文字のみが含まれます。 文字列は、スラッシュ (/) で始まるか末尾にすることはできません。 たとえば、コンピューター名が SampleMachine の場合、WinRM クライアントは宛先アドレスに を指定 https://SampleMachine/<URLPrefix> します。 既定の URL プレフィックスは です wsman。

CertificateThumbprint

サービス証明書の拇印を指定します。 この値は、証明書の [拇印 ] フィールドにある 2 桁の 16 進値の文字列を表します。 この文字列には、証明書の SHA-1 ハッシュが含まれています。 証明書は、クライアント証明書ベースの認証で使用されます。 証明書は、ローカル ユーザー アカウントにのみマップできます。 ドメイン アカウントでは機能しません。

ListeningOn

リスナーが使用する IPv4 アドレスと IPv6 アドレスを指定します。 (例: 111.0.0.1, 111.222.333.444, ::1, 1000:2000:2c:3:c19:9ec8:a715:5e24, 3ffe:8311:ffff:f70f:0:5efe:111.222.333.444, fe80::5efe:111.222.333.444%8, fe80::c19:9ec8:a715:5e24%6)。

プロトコルの既定の設定

MaxEnvelopeSizekb や SoapTraceEnabled などの構成設定の多くは、WinRM クライアントとサーバー コンポーネントがWS-Management プロトコルとどのようにやり取りするかを決定します。 次のセクションでは、使用可能な構成設定について説明します。

MaxEnvelopeSizekb

Simple Object Access Protocol (SOAP) の最大データをキロバイト単位で指定します。 既定値は 150 キロバイトです。

注意

MaxEnvelopeSizekb が 1039440 より大きい値に設定されている場合、動作はサポートされません。

MaxTimeoutms

要求以外 Pull の要求に使用できる最大タイムアウトをミリ秒単位で指定します。 既定値は 60000 です。

MaxBatchItems

応答で使用できる要素の最大数を Pull 指定します。 既定値は 32000 です。

MaxProviderRequests

サービスで許可される同時要求の最大数を指定します。 既定値は 25 です。

WinRM 2.0: この設定は非推奨であり、読み取り専用に設定されています。

WinRM クライアントの既定の構成設定

WinRM のクライアント バージョンには、次の既定の構成設定があります。

NetworkDelayms

ネットワーク遅延時間としてクライアント コンピューターが待機する延長時間をミリ秒で指定します。 既定値は 5000 ミリ秒です。

URLPrefix

HTTP または HTTPS 要求を受け入れる URL プレフィックスを指定します。 既定の URL プレフィックスは wsman です。

AllowUnencrypted

暗号化されていないトラフィックの要求をクライアント コンピューターに許可します。 既定では、クライアント コンピューターには暗号化されたネットワーク トラフィックが必要であり、この設定は False です。

Basic

Basic 認証の使用をクライアント コンピューターに許可します。 Basic 認証はユーザー名とパスワードが平文でサーバーまたはプロキシに送信されるスキームです。 この手法は最も安全性が低い認証方法です。 既定値は Trueです。

ダイジェスト

Digest 認証の使用をクライアントに許可します。 Digest 認証はサーバーで指定されたデータ文字列をチャレンジで使用するチャレンジ/レスポンス スキームです。 クライアント コンピューターだけが Digest 認証要求を開始できます。

クライアント コンピューターは、認証要求をサーバーに送信し、サーバーからトークン文字列を受け取ります。 次に、クライアント コンピューターからリソース要求が送信されます。これには、ユーザー名と、トークン文字列と組み合わせたパスワードの暗号化ハッシュが含まれます。

Digest 認証は HTTP と HTTPS でサポートされます。 WinRM シェル クライアント スクリプトとアプリケーションではダイジェスト認証を指定できますが、WinRM サービスはダイジェスト認証を受け入れていません。 既定値は、True です。

Note

HTTP 経由のダイジェスト認証は安全とは見なされません。

証明書

クライアントがクライアント証明書ベースの認証を使用できるようにします。 証明書ベースの認証は、サーバーが X509 証明書によって識別されたクライアントを認証するスキームです。 既定値は Trueです。

Kerberos

Kerberos 認証の使用をクライアントに許可します。 Kerberos 認証は、クライアントとサーバーが Kerberos 証明書を利用して互いに認証するスキームです。 既定値は Trueです。

ネゴシエート

クライアントが ネゴシエート 認証を使用できるようにします。 Negotiate 認証は、クライアントがサーバーに要求を送信して認証するスキームです。

サーバーは、Kerberos プロトコルと NT LAN マネージャー (NTLM) のどちらを使用するかを決定します。 Kerberos プロトコルは、ドメイン アカウントを認証するために選択されます。 ローカル コンピューター アカウントに対して NTLM が選択されています。 ユーザー名は、ドメイン ユーザーの domain\user_name 形式で指定する必要があります。 ユーザー名は、サーバー コンピューター上のローカル ユーザーの server_name\user_name 形式で指定する必要があります。 既定値は、True です。

CredSSP

クライアントが資格情報セキュリティ サポート プロバイダー (CredSSP) 認証を使用できるようにします。 CredSSP を使用すると、アプリケーションはクライアント コンピューターからターゲット サーバーにユーザーの資格情報を委任できます。 既定値は、False です。

DefaultPorts

クライアントが HTTP または HTTPS に使用するポートを指定します。

WinRM 2.0: 既定の HTTP ポートは 5985、既定の HTTPS ポートは 5986 です。

TrustedHosts

信頼されているリモート コンピューターの一覧を指定します。 ワークグループ内の他のコンピューター、または別のドメイン内のコンピューターをこの一覧に追加する必要があります。

注意

信頼されたホストの一覧のコンピューターは認証されません。 クライアントは、これらのコンピューターに資格情報を送信する場合があります。

信頼されたホストに IPv6 アドレスを指定する場合は、次 Winrm のユーティリティ コマンドで示すように、アドレスを角かっこで囲む必要があります。

winrm set winrm/config/client '@{TrustedHosts ="[0:0:0:0:0:0:0:0]"}'

一覧にコンピューターを追加する方法の TrustedHosts 詳細については、「」と入力します winrm help config。

WinRM サービスの既定の構成設定

WinRM のサービス バージョンには、次の既定の構成設定があります。

RootSDDL

リスナーへのリモート アクセスを制御するセキュリティ記述子を指定します。 既定値は、O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;ER)S:P(AU;FA;GA;;;WD)(AU;SA;GWGX;;;WD) です。

MaxConcurrentOperations

同時実行操作の最大数。 既定値は、100 です。

WinRM 2.0: この設定は MaxConcurrentOperations 非推奨であり、読み取り専用に設定されています。 この設定は に MaxConcurrentOperationsPerUser置き換えられました。

MaxConcurrentOperationsPerUser

任意のユーザーが同じシステムでリモートで開くことができる同時実行操作の最大数を指定します。 既定は 1500 です。

EnumerationTimeoutms

メッセージ間 Pull のアイドル タイムアウトをミリ秒単位で指定します。 既定値は 60000 です。

MaxConnections

サービスが同時に処理できるアクティブな要求の最大数を指定します。 既定値は 300 です。

WinRM 2.0: 既定値は 25 です。

MaxPacketRetrievalTimeSeconds

WinRM サービスがパケットの取得に要する最大時間を秒単位で指定します。 既定値は 120 秒です。

AllowUnencrypted

暗号化されていないトラフィックの要求をクライアント コンピューターに許可します。 既定値は、False です。

Basic

WinRM サービスで基本認証を使用できるようにします。 既定値は、False です。

証明書

WinRM サービスでクライアント証明書ベースの認証を使用できるようにします。 既定値は、False です。

Kerberos

WinRM サービスで Kerberos 認証を使用できるようにします。 既定値は、True です。

ネゴシエート

WinRM サービスでネゴシエート認証を使用できるようにします。 既定値は、True です。

CredSSP

WinRM サービスで資格情報セキュリティ サポート プロバイダー (CredSSP) 認証を使用できるようにします。 既定値は、False です。

CbtHardeningLevel

認証要求でチャネル バインディング トークン要件のポリシーを設定します。 既定値は [リラックス] です。

DefaultPorts

WinRM サービスが HTTP または HTTPS に使用するポートを指定します。

WinRM 2.0: 既定の HTTP ポートは 5985 です。 既定の HTTPS ポートは 5986 です。

IPv4Filter と IPv6Filter

リスナーが使用できる IPv4 または IPv6 アドレスを指定します。 既定値は と IPv6Filter = *ですIPv4Filter = *。

• IPv4: IPv4 リテラル文字列は、それぞれ 0 ~ 255 の範囲の 4 つのドット付き 10 進数で構成されます。 例: 192.168.0.0
• IPv6: IPv6 リテラル文字列は角かっこで囲まれており、コロンで区切られた 16 進数が含まれています。 例: [::1] または [3ffe:ffff::6ECB:0101]。

EnableCompatibilityHttpListener

互換性 HTTP リスナーを有効にするかどうかを指定します。 この設定が の場合、リスナーは Trueポート 5985 に加えてポート 80 でリッスンします。 既定値は、False です。

EnableCompatibilityHttpsListener

互換性 HTTPS リスナーを有効にするかどうかを指定します。 この設定が の場合、リスナーは Trueポート 5986 に加えてポート 443 でリッスンします。 既定値は、False です。

Winrs の既定の構成設定

このコマンドでは winrm quickconfig 、Winrs の既定の設定も構成されます。

AllowRemoteShellAccess

リモート シェルへのアクセスが有効になります。 このパラメーターを に False設定すると、サーバーはサーバーによる新しいリモート シェル接続を拒否します。 既定値は、True です。

IdleTimeout

リモート シェルにユーザー アクティビティがない場合にリモート シェルが開いたままの最大時間をミリ秒単位で指定します。 その後、リモート シェルが削除されます。

WinRM 2.0: 既定値は 180000 です。 最小値は 60000 です。 この値を 60000 未満に設定しても、タイムアウト動作には影響しません。

MaxConcurrentUsers

リモート シェルを利用し、同じコンピューターでリモート操作を同時に実行できるユーザーの最大数を指定します。 新しいリモート シェル接続が制限を超えた場合、コンピューターはそれらを拒否します。 既定値は 5 です。

MaxShellRunTime

リモート コマンドまたはスクリプトの実行が許可される最大時間をミリ秒単位で指定します。 既定値は 28800000 です。

WinRM 2.0: 設定は MaxShellRunTime 読み取り専用に設定されています。 の値 MaxShellRunTime を変更しても、リモート シェルには影響しません。

MaxProcessesPerShell

シェル操作で起動できるプロセスの最大数を指定します。 値が 0 の場合、プロセスの数は無制限になります。 既定値は 15 です。

MaxMemoryPerShellMB

シェルの子プロセスを含む、シェルごとに割り当てられるメモリの最大量を指定します。 既定値は 150 MB です。

MaxShellsPerUser

ユーザーが同じコンピューターで同時に開くことのできるリモート シェルの最大数を指定します。 このポリシー設定が有効になっている場合、カウントが指定した制限を超えた場合、ユーザーは新しいリモート シェルを開くことができません。 このポリシー設定が無効になっているか、構成されていない場合、制限は既定でユーザーごとに 5 つのリモート シェルに設定されます。

グループ ポリシーを使用した WinRM の構成

グループ ポリシー エディターを使用して、企業内のコンピューター用に Windows リモート シェルと WinRM を構成します。

グループ ポリシーを使用して構成するには:

1. 管理者としてコマンド プロンプト ウィンドウを開きます。
2. コマンド プロンプトで、「gpedit.msc」と入力します。 [グループ ポリシー オブジェクト エディター] ウィンドウが開きます。
3. [コンピューターの構成]\[管理用テンプレート]\[Windows コンポーネント] で、Windows リモート管理と Windows リモート シェル グループ ポリシー オブジェクト (GPO) を見つけます。
4. [ 拡張 ] タブで、設定を選択して説明を表示します。 設定をダブルクリックして編集します。

Windows ファイアウォールと WinRM 2.0 ポート

WinRM 2.0 以降では、 で Winrm quickconfig 構成される既定のリスナー ポートは、HTTP トランスポートの場合はポート 5985、HTTPS の場合はポート 5986 です。 WinRM リスナーは、任意のポートで構成できます。

コンピューターを WinRM 2.0 にアップグレードすると、以前に構成されたリスナーが移行され、トラフィックが引き続き受信されます。

WinRM のインストールと構成に関する注意事項

WinRM は を除く WinHttp他のサービスに依存しません。 IIS 管理 サービスが同じコンピューターにインストールされている場合は、インターネット インフォメーション サービス (IIS) の前に WinRM を読み込めなかったことを示すメッセージが表示されることがあります。 ただし、WinRM は実際には IIS に依存しません。 これらのメッセージは、読み込み順序によって、HTTP サービスの前に IIS サービスが確実に開始されるために発生します。 WinRM では、 が WinHTTP.dll 登録されている必要があります。

ISA2004 ファイアウォール クライアントがコンピューターにインストールされている場合、Web Services for Management (WS-Management) クライアントが応答を停止する可能性があります。 この問題を回避するには、ISA2004 Firewall SP1 をインストールします。

異なる IP アドレスを持つ 2 つのリスナー サービスが同じポート番号とコンピューター名で構成されている場合、WinRM は 1 つのアドレスでのみメッセージをリッスンまたは受信します。 この方法は、WS-Management プロトコルで使用される URL プレフィックスが同じであるためです。

IPMI ドライバーとプロバイダーのインストールに関する注意事項

ドライバーは、Microsoft 以外の IPMI ドライバーの存在を検出しない可能性があります。 ドライバーの起動に失敗した場合は、無効にする必要がある場合があります。

ベースボード管理コントローラー (BMC) リソースがシステム BIOS に表示される場合は、ACPI (プラグ アンド プレイ) によって BMC ハードウェアが検出され、IPMI ドライバーが自動的にインストールされます。 プラグ アンド プレイサポートはすべての BMC に存在しない場合があります。 プラグ アンド プレイによって BMC が検出された場合、ハードウェア管理コンポーネントがインストールされる前に、デバイス マネージャーに不明なデバイスが表示されます。 ドライバーがインストールされると、新しいコンポーネントである Microsoft ACPI 汎用 IPMI 準拠デバイスがデバイス マネージャーに表示されます。

システムが BMC を自動的に検出してドライバーをインストールしないが、セットアップ プロセス中に BMC が検出された場合は、BMC デバイスを作成します。 デバイスを作成するには、コマンド プロンプトで次のコマンドを入力します。

Rundll32 ipmisetp.dll, AddTheDevice

このコマンドを実行すると、IPMI デバイスが作成され、デバイス マネージャーに表示されます。 ハードウェア管理コンポーネントをアンインストールすると、デバイスは削除されます。

詳細については、「 ハードウェア管理の概要」を参照してください。

IPMI プロバイダーは、WMI の root\hardware名前空間 にハードウェア クラスを配置します。 ハードウェア クラスの詳細については、「 IPMI プロバイダー」を参照してください。 WMI 名前空間の詳細については、「WMI アーキテクチャ」を参照してください。

WMI プラグインの構成に関する注意事項

Windows 8とWindows Server 2012以降、WMI プラグインには独自のセキュリティ構成があります。 管理者ではなく通常のユーザーまたは電源ユーザーが WMI プラグインを使用できるようにするには、 リスナー の構成後にそのユーザーのアクセスを有効にします。 次のいずれかの手順を使用して 、WMI へのリモート アクセス用にユーザーを設定します。

• を実行 lusrmgr.msc して、[ローカル ユーザーとグループ] ウィンドウの WinRMRemoteWMIUsers__ グループに ユーザーを 追加します。

• Winrm コマンド ライン ツールを使用して、WMI プラグインの名前空間のセキュリティ記述子を構成します。

  winrm configSDDL http://schemas.microsoft.com/wbem/wsman/1/wmi/ WmiNamespace
  

ユーザー インターフェイスが表示されたら、ユーザーを追加します。

WMI へのリモート アクセス用にユーザーを設定したら、ユーザーがプラグインにアクセスできるように WMI を設定する必要があります。 アクセスを許可するには、 wmimgmt.msc を実行して、WMI コントロール ウィンドウでアクセスする 名前空間 の WMI セキュリティを変更します。

管理用の WMI クラスのほとんどは、 root\cimv2 名前空間にあります。