En nuestro dia a dia gestionando máquinas y servidores más que posiblemente utilicemos el servicio de administración remota de Windows (WinRM), esta implementación del protocolo ws-management nos permite de manera rápida y sencilla lanzar órdenes y configuraciones en toda nuestra red. WinRM, por otro lado, puede presentar problemas si los clientes no están del todo bien configurados en las máquinas cliente, vamos a ver algunos pasos básicos para solucionar estos potenciales problemas.

CBHL0S5WkAAfQRo

Comprobando el servicio de WinRM

WinRM es un servicio y por lo tanto para poder utilizarlo debe estar en marcha. Lo primero que debemos hacer es verificar que eso sea así. Para ello abrimos la ventana de servicios ejecutando services.msc y buscamos el servicio Windows Remote Management (WS-Management). En el caso que veamos que está parado lo iniciaremos.

Posiblemente querremos que siempre lo esté, para ello lo podemos configurar en la misma entrada con un doble click y seleccionando Startup type > Automatic (Delayed Start).

Comprobando los puertos en el Firewall de windows

Los puertos por defecto que usa WinRM son el 5985 para HTTP y el 5986 para HTTPS, estos u otros que configuremos en el cliente de WinRM deben estar abiertos y estos por defecto están bloqueados.
Por lo que primero nos aseguraremos de la configuración local de WinRM con el comando

winrm get winrm/config

Una vez sabiendo los puertos de escucha, vamos a abrirlos:

  1. Abrimos el Windows Defender Firewall with Advanced Security
  2. Navegamos a las reglas de entrada, las expandimos y vamos a la entrada Windows Remote Management.
  3. Clickamos con el botón derecho y activamos la regla.

En caso que hayamos configurado algún otro puerto deberemos abrir este de manera específica.

Configurando WinRM

La configuración de WinRM, si no nos salimos de la predeterminada es muy sencilla, pero si hemos tocado alguno de los parámetros puede que esta no funcione bien. Volviendo a lo básico, podemos lanzar la configuración desde powershell o cmd con

winrm quickconfig

O alternativamente

winrm qc

Esto lleva a cabo lo siguiente:

  • Inicia el servicio WinRM y establece el servicio en inicio automático.
  • Configura el agente para escuchar en los puertos por defecto y sin filtrar IP
  • Define excepciones en el Firewall para el servicio de WinRM y abre los puertos para HTTP y HTTPS.

Como decíamos podemos configurar WinRM con muchos parámetros pero no sería el tema de hoy, podéis aprender más en es link.

Configurando la lista de TrustedHost

En ocasiones podemos encontrarnos con que la IP remota esté bloqueada en nuestro sistema por algún motivo. Para ello podemos probar añadiendo a la lista de IP confiables de WinRM. Esto lo podemos hacer a través de powershell con el siguiente comando

Set-Item WSMan:\localhost\Client\TrustedHosts -Value ipremota -Concatenate

Comprobando los permisos de usuario

Para utilizar WinRM, nuestro usuario debe tener suficientes permisos en la máquina remota. En un dominio esto se traduce normalmente en que nuestro usuario debe formar parte del grupo de Remote Management Users.

Esto lo podemos ver fácilmente en el directorio activo, comprobando de que grupos nuestro usuario es miembro de.

 

Espero que estos puntos os sirvan al menos como checklist rápida y para solucionar la mayoría de casos en que WinRM no de este error. Saludos.