Delen via

Installatie en configuratie voor Windows Remote Management

WinRM-scripts (Windows Remote Management) kunnen worden uitgevoerd en voor de Winrm opdrachtregelprogramma om gegevensbewerkingen uit te voeren, moet WinRM zowel zijn geïnstalleerd als geconfigureerd.

De volgende elementen zijn ook afhankelijk van winRM-configuratie:

De installatielocatie van WinRM

WinRM wordt automatisch geïnstalleerd met alle momenteel ondersteunde versies van het Windows-besturingssysteem.

Configuratie van WinRM en IPMI

De volgende WinRM- en IPMI-WMI-provider (Intelligent Platform Management Interface) onderdelen worden geïnstalleerd met het besturingssysteem:

  • De WinRM-service wordt automatisch gestart op Windows Server 2008 en hoger. In eerdere versies van Windows (client of server) moet u de service handmatig starten.
  • Standaard is er geen WinRM-listener geconfigureerd. Zelfs wanneer de WinRM-service wordt uitgevoerd, kunnen WS-Management protocol berichten die gegevens aanvragen niet worden ontvangen of verzonden.
  • ICF (Internet Connection Firewall) blokkeert de toegang tot poorten.

Gebruik de opdracht winrm om listeners en de adressen te zoeken door de volgende opdracht te typen bij een opdrachtprompt:

winrm enumerate winrm/config/listener

Als u de status van de configuratie-instellingen wilt controleren, typt u de volgende opdracht:

winrm get winrm/config

Snelle standaardconfiguratie

Schakel het WS-Management-protocol op de lokale computer in en stel de standaardconfiguratie voor extern beheer in met de opdracht winrm quickconfig.

De opdracht winrm quickconfig (die kan worden afgekort tot winrm qc) voert de volgende bewerkingen uit:

  • Start de WinRM-service en stelt het opstarttype van de service in op automatisch starten.
  • Hiermee configureert u een listener voor de poorten die WS-Management-protocol -berichten verzenden en ontvangen via HTTP of HTTPS op elk IP-adres.
  • Definieert ICF-uitzonderingen voor de WinRM-service en opent de poorten voor HTTP en HTTPS.

Notitie

Met de opdracht winrm quickconfig maakt u alleen een firewall-uitzondering voor het huidige gebruikersprofiel. Als het firewallprofiel om welke reden dan ook wordt gewijzigd, voert u winrm quickconfig uit om de firewall-uitzondering voor het nieuwe profiel in te schakelen (anders is de uitzondering mogelijk niet ingeschakeld).

Als u informatie over het aanpassen van een configuratie wilt ophalen, typt u de volgende opdracht bij een opdrachtprompt:

winrm help config

WinRM configureren met standaardinstellingen

  1. Voer bij een opdrachtprompt die wordt uitgevoerd als het administratoraccount van de lokale computer de volgende opdracht uit:

    winrm quickconfig

    Als u niet als lokale computerbeheerder werkt, selecteert u Als administrator uitvoeren in het menu Start of gebruikt u de opdracht Runas bij een opdrachtprompt.

  2. Wanneer het hulpprogramma wordt weergegeven Deze wijzigingen aanbrengen [y/n]?voert u in y.

    Als de configuratie is geslaagd, wordt de volgende uitvoer weergegeven.

    WinRM has been updated for remote management.

WinRM service type changed to delayed auto start.
WinRM service started.
Created a WinRM listener on https://* to accept WS-Man requests to any IP on this machine.

  3. Behoud de standaardinstellingen voor client- en serveronderdelen van WinRM of pas ze aan. U moet bijvoorbeeld bepaalde externe computers toevoegen aan de lijst met clientconfiguraties TrustedHosts.

    Stel een lijst met vertrouwde hosts in wanneer wederzijdse verificatie niet tot stand kan worden gebracht. Kerberos staat wederzijdse verificatie toe, maar kan niet worden gebruikt in werkgroepen; alleen domeinen. Een best practice bij het instellen van vertrouwde hosts voor een werkgroep is om de lijst zo beperkt mogelijk te maken.

  4. Maak een HTTPS-listener door de volgende opdracht te typen:

    winrm quickconfig -transport:https

    Notitie

    Open poort 5986 om HTTPS-transport te laten werken.

Standaardinstellingen voor listener en WS-Management protocol

Als u de listenerconfiguratie wilt ophalen, typt u winrm enumerate winrm/config/listener bij een opdrachtprompt. Listeners worden gedefinieerd door een transport (HTTP of HTTPS) en een IPv4- of IPv6-adres.

Met de opdracht winrm quickconfig worden de volgende standaardinstellingen voor een listener gemaakt. U kunt meer dan één listener maken. Typ winrm help config bij een opdrachtprompt voor meer informatie.

Adres

Hiermee geeft u het adres op waarvoor deze listener wordt gemaakt.

Vervoer

Hiermee geeft u het transport dat moet worden gebruikt voor het verzenden en ontvangen van WS-Management protocolaanvragen en -antwoorden. De waarde moet HTTP- of HTTPS-zijn. De standaardwaarde is HTTP-.

Haven

Hiermee geeft u de TCP-poort waarvoor deze listener wordt gemaakt.

WinRM 2.0: de standaard-HTTP-poort is 5985.

Hostnaam

Hiermee geeft u de hostnaam van de computer waarop de WinRM-service wordt uitgevoerd. De waarde moet een volledig gekwalificeerde domeinnaam of een letterlijke IPv4- of IPv6-tekenreeks of een jokerteken zijn.

Ingeschakeld

Hiermee geeft u op of de listener is ingeschakeld of uitgeschakeld. De standaardwaarde is True.

URL-voorvoegsel

Hiermee geeft u een URL-voorvoegsel op waarop HTTP- of HTTPS-aanvragen moeten worden geaccepteerd. Deze tekenreeks bevat alleen de tekens a-z, A-Z, 9-0, onderstrepingsteken (_) en slash (/). De tekenreeks mag niet beginnen met of eindigen met een slash (/). Als de computernaam bijvoorbeeld is SampleMachine, geeft de WinRM-client https://SampleMachine/<URLPrefix> op in het doeladres. Het standaard-URL-voorvoegsel is wsman.

CertificaatVingerafdruk

Hiermee wordt de vingerafdruk van het servicecertificaat gespecificeerd. Deze waarde vertegenwoordigt een tekenreeks met hexadecimale waarden van twee cijfers in het vingerafdrukveld van het certificaat. Deze tekenreeks bevat de SHA-1-hash van het certificaat. Certificaten worden gebruikt in verificatie op basis van clientcertificaten. Certificaten kunnen alleen worden toegewezen aan lokale gebruikersaccounts. Ze werken niet met domeinaccounts.

LuisterenOp

Hiermee geeft u de IPv4- en IPv6-adressen op die de listener gebruikt. Bijvoorbeeld 111.0.0.1, 111.222.333.444, ::1, 1000:2000:2c:3:c19:9ec8:a715:5e24, 3ffe:8311:ffff:f70f:0:5efe:111.222.333.444, fe80::5efe:111.222.333.444%8, fe80::c19:9ec8:a715:5e24%6.

Standaardinstellingen voor protocol

Veel van de configuratie-instellingen, zoals MaxEnvelopeSizekb of SoapTraceEnabled, bepalen hoe de WinRM-client- en serveronderdelen communiceren met het WS-Management-protocol. In de volgende secties worden de beschikbare configuratie-instellingen beschreven.

MaxEnvelopeSizeKB

Hiermee geeft u het maximum aantal SOAP-gegevens (Simple Object Access Protocol) in kilobytes. De standaardwaarde is 150 kilobytes.

Notitie

Het gedrag wordt niet ondersteund als MaxEnvelopeSizekb- is ingesteld op een waarde die groter is dan 1039440.

MaxTimeoutms

Hiermee geeft u de maximale time-out in milliseconden op die kan worden gebruikt voor andere aanvragen dan Pull aanvragen. De standaardwaarde is 60000.

MaxBatchItems

Hiermee geeft u het maximum aantal elementen op dat kan worden gebruikt in een Pull antwoord. De standaardwaarde is 32000.

MaximaleProviderVerzoeken

Hiermee geeft u het maximum aantal gelijktijdige aanvragen op dat is toegestaan door de service. De standaardwaarde is 25.

WinRM 2.0-: deze instelling is afgeschaft en is ingesteld op alleen-lezen.

Standaardconfiguratie-instellingen voor WinRM-client

De clientversie van WinRM heeft de volgende standaardconfiguratie-instellingen.

NetworkDelayms

Hiermee geeft u de extra tijd in milliseconden op die de clientcomputer wacht om ruimte te bieden voor netwerkvertragingstijd. De standaardwaarde is 5000 milliseconden.

URLPrefix

Hiermee geeft u een URL-voorvoegsel op waarop HTTP- of HTTPS-aanvragen moeten worden geaccepteerd. Het standaard-URL-voorvoegsel is wsman.

Niet-versleuteld toestaan

Hiermee kan de clientcomputer niet-versleuteld verkeer aanvragen. Standaard vereist de clientcomputer versleuteld netwerkverkeer en deze instelling is False.

Notitie

Het toestaan van niet-versleuteld verkeer wordt niet beschouwd als veilig.

Basisch

Hiermee kan de clientcomputer basisverificatie gebruiken. Basisverificatie is een schema waarin de gebruikersnaam en het wachtwoord in duidelijke tekst naar de server of proxy worden verzonden. Deze methode is de minst veilige verificatiemethode. De standaardwaarde is True.

Samenvatting

Hiermee kan de client digest-verificatie gebruiken. Digest-verificatie is een challenge-response-schema dat gebruikmaakt van een door de server opgegeven gegevensreeks voor de uitdaging. Alleen de clientcomputer kan een digest-verificatieaanvraag initiëren.

De clientcomputer verzendt een aanvraag naar de server om te verifiëren en ontvangt een tokentekenreeks van de server. Vervolgens verzendt de clientcomputer de resourceaanvraag, inclusief de gebruikersnaam en een cryptografische hash van het wachtwoord in combinatie met de tokentekenreeks.

Digest-verificatie wordt ondersteund voor HTTP en voor HTTPS. WinRM Shell-clientscripts en -toepassingen kunnen Digest-verificatie opgeven, maar de WinRM-service accepteert geen Digest-verificatie. De standaardwaarde is True.

Notitie

Digest-verificatie via HTTP wordt niet beschouwd als veilig.

Certificaat

Hiermee kan de client verificatie op basis van clientcertificaten gebruiken. Verificatie op basis van certificaten is een schema waarin de server een client verifieert die wordt geïdentificeerd door een X509-certificaat. De standaardwaarde is True.

Kerberos

Hiermee kan de client Kerberos-verificatie gebruiken. Kerberos-verificatie is een schema waarin de client en server elkaar wederzijds verifiëren met behulp van Kerberos-certificaten. De standaardwaarde is True.

Onderhandelen

Hiermee kan de client Negotiate-verificatie gebruiken. Onderhandelen over verificatie is een schema waarin de client een aanvraag naar de server verzendt om te verifiëren.

De server bepaalt of het Kerberos-protocol of NT LAN Manager (NTLM) moet worden gebruikt. Het Kerberos-protocol is geselecteerd om een domeinaccount te verifiëren. NTLM is geselecteerd voor lokale computeraccounts. De gebruikersnaam moet worden opgegeven in domein\gebruikersnaam-indeling voor een domeingebruiker. De gebruikersnaam moet worden opgegeven in server_name\user_name-indeling voor een lokale gebruiker op een servercomputer. De standaardwaarde is True.

CredSSP

Hiermee kan de client verificatie van credential Security Support Provider (CredSSP) gebruiken. Met CredSSP kan een toepassing de referenties van de gebruiker delegeren van de clientcomputer naar de doelserver. De standaardwaarde is False.

StandaardPoorten

Hiermee geeft u de poorten op die de client gebruikt voor HTTP of HTTPS.

WinRM 2.0: de standaard-HTTP-poort is 5985 en de standaard HTTPS-poort is 5986.

VertrouwdeHosts

Hiermee geeft u de lijst met externe computers die worden vertrouwd. Andere computers in een werkgroep of computers in een ander domein moeten aan deze lijst worden toegevoegd.

Notitie

De computers in de lijst met vertrouwde hosts worden niet geverifieerd. De client kan referentiegegevens naar die computers verzenden.

Als er een IPv6-adres is opgegeven voor een vertrouwde host, moet het adres tussen vierkante haken worden geplaatst, zoals wordt aangegeven met de volgende opdracht van het hulpprogramma Winrm:

winrm set winrm/config/client '@{TrustedHosts ="[0:0:0:0:0:0:0:0]"}'

Voor meer informatie over het toevoegen van computers aan de TrustedHosts-lijst, typt u winrm help config.

Standaardconfiguratie-instellingen voor WinRM-service

De serviceversie van WinRM heeft de volgende standaardconfiguratie-instellingen.

RootSDDL

Hiermee specificeert u de beveiligingsdescriptor die externe toegang tot de luisteraar beheert. De standaardwaarde is O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;ER)S:P(AU;FA;GA;;;WD)(AU;SA;GWGX;;;WD).

MaxConcurrentOperations

Het maximum aantal gelijktijdige bewerkingen. De standaardwaarde is 100.

WinRM 2.0-: de MaxConcurrentOperations-instelling is afgeschaft en is ingesteld op alleen-lezen. Deze instelling is vervangen door MaxConcurrentOperationsPerUser.

MaximaalGelijkTijdigeOperatiesPerGebruiker

Hiermee geeft u het maximum aantal gelijktijdige bewerkingen op dat elke gebruiker op afstand kan openen op hetzelfde systeem. De standaardwaarde is 1500.

EnumeratieTimeoutms

Specificeert de inactiviteits-tijdslimiet in milliseconden tussen Pull-berichten. De standaardwaarde is 60000.

MaxConnections

Hiermee geeft u het maximum aantal actieve aanvragen op dat de service tegelijkertijd kan verwerken. De standaardwaarde is 300.

WinRM 2.0: de standaardwaarde is 25.

MaxPacketRetrievalTimeSeconds

Hiermee geeft u de maximale tijdsduur in seconden op die de WinRM-service nodig heeft om een pakket op te halen. De standaardwaarde is 120 seconden.

Niet-versleuteld toestaan

Hiermee kan de clientcomputer niet-versleuteld verkeer aanvragen. De standaardwaarde is False.

Basisch

Hiermee kan de WinRM-service basisverificatie gebruiken. De standaardwaarde is False.

Certificaat

Hiermee kan de WinRM-service verificatie op basis van clientcertificaten gebruiken. De standaardwaarde is False.

Kerberos

Hiermee kan de WinRM-service Kerberos-verificatie gebruiken. De standaardwaarde is True.

Onderhandelen

Hiermee kan de WinRM-service negotiate-verificatie gebruiken. De standaardwaarde is True.

CredSSP

Hiermee kan de WinRM-service verificatie van Credential Security Support Provider (CredSSP) gebruiken. De standaardwaarde is False.

CbtHardeningLevel

Hiermee stelt u het beleid in voor kanaalbindingstokenvereisten in verificatieaanvragen. De standaardwaarde is Relaxed.

StandaardPoorten

Hiermee geeft u de poorten op die de WinRM-service gebruikt voor HTTP of HTTPS.

WinRM 2.0: de standaard-HTTP-poort is 5985. De standaard HTTPS-poort is 5986.

IPv4Filter en IPv6Filter

Hiermee geeft u de IPv4- of IPv6-adressen op die listeners kunnen gebruiken. De standaardinstellingen zijn IPv4Filter = * en IPv6Filter = *.

  • IPv4: Een letterlijke IPv4-tekenreeks bestaat uit vier gestippelde decimale getallen, elk in het bereik 0 tot en met 255. Bijvoorbeeld: 192.168.0.0.
  • IPv6: Een letterlijke IPv6-tekenreeks staat tussen vierkante haken en bevat hexadecimale getallen die worden gescheiden door dubbele punten. Bijvoorbeeld: [::1] of [3ffe:ffff::6ECB:0101].

InschakelenCompatibiliteitHttpListener

Hiermee geeft u op of de HTTP-listener voor compatibiliteit is ingeschakeld. Als deze instelling is True, luistert de listener op poort 80 naast poort 5985. De standaardwaarde is False.

CompatibiliteitsHttpsListenerInschakelen

Hiermee geeft u op of de HTTPS-listener voor compatibiliteit is ingeschakeld. Als deze instelling is True, luistert de listener op poort 443 naast poort 5986. De standaardwaarde is False.

Standaardconfiguratie-instellingen voor Winrs

Met de opdracht winrm quickconfig worden ook standaardinstellingen voor Winrs geconfigureerd.

ToestaanVanRemoteShellToegang

Hiermee kunt u toegang krijgen tot externe shells. Als u deze parameter instelt op False, weigert de server nieuwe externe shell-verbindingen door de server. De standaardwaarde is True.

Inactiviteitstijdlimiet

Hiermee geeft u de maximale tijd in milliseconden op dat de externe shell open blijft wanneer er geen gebruikersactiviteit in de externe shell is. De externe shell wordt na die tijd verwijderd.

WinRM 2.0: de standaardwaarde is 180000. De minimumwaarde is 60000. Het instellen van deze waarde lager dan 60000 heeft geen invloed op het time-outgedrag.

MaxConcurrentUsers

Hiermee geeft u het maximum aantal gebruikers op die gelijktijdig externe bewerkingen op dezelfde computer kunnen uitvoeren via een externe shell. Als nieuwe externe shell-verbindingen de limiet overschrijden, weigert de computer deze. De standaardwaarde is 5.

MaxShellRunTime

Hiermee geeft u de maximale tijd in milliseconden op die de externe opdracht of het script mag worden uitgevoerd. De standaardwaarde is 288000000.

WinRM 2.0-: de instelling MaxShellRunTime is ingesteld op alleen-lezen. Het wijzigen van de waarde voor MaxShellRunTime heeft geen invloed op de externe shells.

MaxProcessesPerShell

Hiermee geeft u het maximum aantal processen op dat elke shell-bewerking mag starten. Een waarde van 0 maakt een onbeperkt aantal processen mogelijk. De standaardwaarde is 15.

MaxMemoryPerShellMB

Hiermee geeft u de maximale hoeveelheid toegewezen geheugen per shell, inclusief de onderliggende processen van de shell. De standaardwaarde is 150 MB.

MaxSchelpenPerGebruiker

Hiermee geeft u het maximum aantal gelijktijdige shells op dat elke gebruiker op afstand kan openen op dezelfde computer. Als deze beleidsinstelling is ingeschakeld, kan de gebruiker geen nieuwe externe shells openen als het aantal de opgegeven limiet overschrijdt. Als deze beleidsinstelling is uitgeschakeld of niet is geconfigureerd, wordt de limiet standaard ingesteld op vijf externe shells per gebruiker.

WinRM configureren met groepsbeleid

Gebruik de groepsbeleidseditor om Windows Remote Shell en WinRM te configureren voor computers in uw onderneming.

Configureren met Groepsbeleid:

  1. Open een opdrachtpromptvenster als beheerder.
  2. Typ gpedit.mscbij de opdrachtprompt. Het venster Groepsbeleidsobjecteditor wordt geopend.
  3. Zoek de Windows Remote Management en Windows Remote Shell Groepsbeleidsobjecten (GPO) onder Computerconfiguratie\Beheersjablonen\Windows-onderdelen.
  4. Selecteer op het tabblad Uitgebreide een instelling om een beschrijving weer te geven. Dubbelklik op een instelling om deze te bewerken.

Windows Firewall- en WinRM 2.0-poorten

Vanaf WinRM 2.0 zijn de standaardlistenerpoorten die zijn geconfigureerd door Winrm quickconfig poort 5985 voor HTTP-transport en poort 5986 voor HTTPS. WinRM-listeners kunnen worden geconfigureerd op elke willekeurige poort.

Als u een computer bijwerken naar WinRM 2.0, worden de eerder geconfigureerde listeners gemigreerd en nog steeds verkeer ontvangen.

WinRM-installatie- en configuratieopmerkingen

WinRM is niet afhankelijk van een andere service, behalve WinHttp. Als de IIS-beheerservice op dezelfde computer is geïnstalleerd, ziet u mogelijk berichten die aangeven dat WinRM niet kan worden geladen vóór Internet Information Services (IIS). WinRM is echter niet afhankelijk van IIS. Deze berichten treden op omdat de laadvolgorde ervoor zorgt dat de IIS-service begint vóór de HTTP-service. WinRM vereist dat WinHTTP.dll is geregistreerd.

Als de ISA2004 firewallclient op de computer is geïnstalleerd, kan dit ertoe leiden dat een Web Services for Management-client (WS-Management) niet meer reageert. Installeer ISA2004 Firewall SP1 om dit probleem te voorkomen.

Als twee listenerservices met verschillende IP-adressen zijn geconfigureerd met hetzelfde poortnummer en dezelfde computernaam, luistert of ontvangt WinRM berichten op slechts één adres. Deze methode wordt gebruikt omdat de URL-voorvoegsels die door het WS-Management-protocol worden gebruikt, hetzelfde zijn.

Installatie-opmerkingen voor IPMI-driver en provider

Het stuurprogramma detecteert mogelijk niet het bestaan van IPMI-stuurprogramma's die niet afkomstig zijn van Microsoft. Als het stuurprogramma niet kan worden gestart, moet u dit mogelijk uitschakelen.

Als de BMC (Baseboard Management Controller) bronnen in het systeem-BIOS verschijnen, detecteert ACPI (Plug and Play) de BMC-hardware en installeert het automatisch het IPMI-stuurprogramma. Plug en Play-ondersteuning is mogelijk niet aanwezig in alle BMC's. Als de BMC wordt gedetecteerd door Plug en Play, wordt een Onbekend apparaat weergegeven in Apparaatbeheer voordat het onderdeel Hardwarebeheer wordt geïnstalleerd. Wanneer het stuurprogramma is geïnstalleerd, verschijnt een nieuw onderdeel, de Microsoft ACPI Generic IPMI Compliant Device, in Apparaatbeheer.

Als uw systeem de BMC niet automatisch detecteert en het stuurprogramma installeert, maar er tijdens het installatieproces een BMC is gedetecteerd, maakt u het BMC-apparaat. Als u het apparaat wilt maken, typt u de volgende opdracht bij een opdrachtprompt:

Rundll32 ipmisetp.dll, AddTheDevice

Nadat deze opdracht is uitgevoerd, wordt het IPMI-apparaat gemaakt en wordt het weergegeven in Apparaatbeheer. Als u het hardwarebeheeronderdeel verwijdert, wordt het apparaat verwijderd.

Zie Inleiding tot hardwarebeheervoor meer informatie.

De IPMI-provider plaatst de hardwareklassen in de root\hardwarenaamruimte van WMI. Zie IPMI-providervoor meer informatie over de hardwareklassen. Zie WMI-architectuurvoor meer informatie over WMI-naamruimten.

Opmerkingen bij WMI plug-in configuratie

Vanaf Windows 8 en Windows Server 2012 hebben WMI-invoegtoepassingen hun eigen beveiligingsconfiguraties hebben. Alvorens de WMI-aanvulling te kunnen gebruiken, moet de toegang worden ingeschakeld voor een normale of ervaren gebruiker, zolang deze geen administrator is, nadat de listener is geconfigureerd. Stel de gebruiker in voor externe toegang tot WMI- via een van deze stappen.

  • Voer lusrmgr.msc uit om de gebruiker toe te voegen aan de WinRMRemoteWMIUsers__ groep in het venster Lokale gebruikers en groepen.

  • Gebruik het opdrachtregelprogramma Winrm om de beveiligingsdescriptor te configureren voor de naamruimte van de WMI-invoegtoepassing:

    winrm configSDDL http://schemas.microsoft.com/wbem/wsman/1/wmi/ WmiNamespace

Wanneer de gebruikersinterface wordt weergegeven, voegt u de gebruiker toe.

Nadat u de gebruiker voor externe toegang tot WMI-hebt ingesteld, moet u WMI- instellen om de gebruiker toegang te geven tot de invoegtoepassing. Als u toegang wilt toestaan, voert u wmimgmt.msc uit om de WMI-beveiliging voor de naamruimte te wijzigen toegankelijk zijn in het venster WMI-beheer.

De meeste WMI-klassen voor beheer bevinden zich in de root\cimv2 naamruimte.