Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Удаленное управление Windows (WinRM) использует HTTP и HTTPS для отправки сообщений между клиентскими и серверными компьютерами. Как правило, клиент WinRM отправляет сообщения непосредственно на сервер WinRM. Клиенты WinRM также можно настроить для использования прокси-сервера.
Дополнительные сведения см. в следующих разделах:
Настройка прокси-сервера для WinRM 2.0
WinRM 2.0 поддерживает широкий спектр конфигураций прокси-сервера. Например, WinRM поддерживает прокси-серверы для транспорта HTTP и HTTPS, а также для прошедших проверку подлинности и неавторентированных прокси-серверов.
подключения прокси-сервера HTTPS-Based
Для повышения безопасности и сопоставления на основе подключений HTTPS следует использовать в качестве механизма транспорта.
Если прокси-сервер требует проверки подлинности, клиенты и серверы WinRM должны использовать ПРОТОКОЛ HTTPS.
Заметка
Проверка подлинности на прокси-сервере не зависит от проверки подлинности на целевом сервере.
подключения прокси-сервера HTTP-Based
Если проверка подлинности прокси-сервера не требуется, для транспорта можно использовать HTTP или HTTPs. Однако подключения на основе HTTP от клиента WinRM к серверу WinRM через прокси-сервер могут быть проблемными.
При использовании HTTP-подключений могут возникнуть следующие проблемы:
- Прокси-сервер не поддерживает проверку подлинности на основе подключения, что может привести к сбою проверки подлинности на целевом сервере с ошибкой отказа в доступе.
- Для подключения к целевому серверу и к прокси-серверу требуется несколько наборов учетных данных.
- Прокси-серверы на основе HTTP могут не поддерживать возможность поддерживать связанные клиентские и серверные подключения. Если прокси-сервер не связывает клиента с сервером и поддерживает подключение TCP/IP, клиенты, не прошедшие проверку подлинности, могут получить доступ к данным. Кроме того, отсутствие сопоставления подключений может привести к сбою проверки подлинности на сервере.
Если протокол HTTP должен использоваться в качестве транспорта, прокси-сервер должен поддерживать следующую конфигурацию для достижения лучшего ответа WinRM и предотвращения сбоев доступа для клиентов WinRM:
Поддержка HTTP/1.1. ПРОТОКОЛ HTTP/1.1 более строгий в сопоставлении сопоставлений подключений между клиентом и сервером.
Проверка подлинности на основе подключения для проверки подлинности Kerberos и CredSSP.
Для проверки подлинности запроса требуется несколько циклов между клиентом и сервером. Большинство переговоров по проверке подлинности завершено после того, как сервер проверки подлинности (WinRM) отправляет клиенту ответ, который не является ответом 401 (несанкционированный). Если сервер WinRM возвращает ответ клиенту, который не является ответом 401, прокси-сервер не должен закрыть подключение.
Перед отправкой фактических данных пакета можно отправлять несколько пар запросов и ответов между клиентом и сервером. WinRM 2.0 использует схемы согласования и проверки подлинности Kerberos с шифрованием, что может добавить дополнительные круговые пути. Данные нельзя отправлять на сервер до завершения проверки подлинности.
Сервер WinRM возвращает ответ на 200 уровней, указывающий, что проверка подлинности завершена. Прокси-серверы на основе HTTP могут завершить сопоставление проверки подлинности на основе подключения и закрыть подключение TCP/IP после получения ответа на 200 уровней с сервера WinRM. Последняя круговая поездка от клиента к серверу не включает исходный пакет запроса. Если прокси-сервер закрывает подключение, сервер попытается повторно пройти проверку подлинности клиента, и запрос клиента никогда не будет отправлен на сервер. Если сходство на основе подключения не поддерживается, проверка подлинности на целевом сервере может завершиться ошибкой отказа в доступе.
Сохраняемость подключения. Подключение клиента TCP/IP к прокси-серверу должно продолжать сопоставляться с тем же подключением TCP/IP с прокси-сервера. Поддержание этого подключения помогает достичь более высокого уровня производительности. Если подключение не поддерживается, каждый запрос необходимо повторно пройти проверку подлинности, что может повлиять на производительность.
Шифрование и WinRM 2.0
WinRM 2.0 поддерживает шифрование по протоколу HTTP с помощью схем проверки подлинности Negotiate, Kerberos и CredSSP. Если сервер WinRM поддерживает HTTP и получает доступ через прокси-сервер, сервер WinRM должен принудительно применять шифрование и не разрешать незашифрованный сетевой трафик.
В каких-то случаях не следует отправлять незашифрованные HTTP-запросы через прокси-серверы. Когда данные должны передаваться через прокси-сервер перед отправкой на целевой сервер, важны следующие проблемы безопасности:
- Возможно, вредоносный прокси-сервер может проверить каждую пару запросов и ответа, включая учетные данные.
- Если подключения TCP/IP не сопоставляются как между клиентом WinRM, так и прокси-сервером, а также между прокси-сервером и конечным сервером, несанкционированный клиент может подключиться к целевому серверу с помощью одного и того же аутентифицированного подключения с прокси-сервера к целевому серверу. Целевой сервер может разрешить доступ к данным, не прошедшим проверку подлинности. Если шифрование применяется, целевой сервер отправляет сообщение об отказе в доступе клиенту, не прошедшим проверку подлинности.
Использование шифрования позволит устранить эти потенциальные проблемы с безопасностью.
Настройка прокси-сервера для WinRM 1.1 и более ранних версий
Если для доступа к серверу WinRM требуется прокси-сервер, клиент WinRM использует конфигурацию прокси-сервера служб Windows HTTP (WinHTTP). По умолчанию WinHTTP не настроен на использование прокси-сервера. Конфигурацию прокси-сервера WinHTTP можно изменить с помощью служебных программ командной строки ProxyCfg.exe или netsh.
WinRM 1.1 и более ранних версий: WinRM не использует параметры прокси-сервера Internet Explorer.