Bereitstellen von Windows PowerShell Web Access

 

Betrifft: Windows Server 2012, Windows Server 2012 R2

Windows PowerShell® Web Access wurde in Windows Server® 2012 eingeführt, fungiert als Windows PowerShell-Gateway und stellt eine webbasierte Windows PowerShell-Konsole bereit, die auf einen Remotecomputer ausgerichtet ist. Damit können IT-Spezialisten Windows PowerShell-Befehle und -Skripts über eine Windows PowerShell-Konsole in einem Webbrowser ausführen, ohne dass Windows PowerShell, Remoteverwaltungssoftware oder Browser-Plug-Ins auf dem Clientgerät installiert sein müssen. Zur Ausführung der webbasierten Windows PowerShell-Konsole ist lediglich ein ordnungsgemäß konfiguriertes Windows PowerShell Web Access-Gateway und ein Browser auf dem Clientgerät erforderlich, der JavaScript® unterstützt und Cookies akzeptiert.

Beispiele für Clientgeräte umfassen Laptops, privat genutzte Personalcomputer, geliehene Computer, Tablet PCs, Webkiosks, Computer, auf denen kein Windows-basiertes Betriebssystem ausgeführt wird, sowie Browser auf Handys. IT-Professionals können über Geräte, die Zugriff auf eine Internetverbindung und einen Webbrowser haben, wichtige Verwaltungsaufgaben auf Windows-basierten Remoteservern ausführen.

Nach der erfolgreichen Einrichtung und Konfiguration des Gateways können Benutzer mit einem Webbrowser auf eine Windows PowerShell-Konsole zugreifen. Nachdem Benutzer die geschützte Windows PowerShell Web Access-Website geöffnet haben, können sie nach der erfolgreichen Authentifizierung eine webbasierte Windows PowerShell-Konsole ausführen.

Die Einrichtung und Konfiguration von Windows PowerShell Web Access umfasst drei Schritte:

  1. Installieren von Windows PowerShell Web Access

  2. Konfigurieren des Gateways

  3. Konfigurieren von Autorisierungsregeln, die Benutzern den Zugriff auf die webbasierte Windows PowerShell-Konsole ermöglichen

Vor der Installation und Konfiguration von Windows PowerShell Web Access sollten Sie das gesamten Handbuch lesen, das Anweisungen zum Installieren, Sichern und Deinstallieren von Windows PowerShell Web Access enthält. Im Thema Verwendung der webbasierten Windows PowerShell-Konsole wird beschrieben, wie Benutzer sich bei der webbasierten Konsole anmelden, und es werden einige Beschränkungen und Unterschiede zwischen der webbasierten Windows PowerShell-Konsole und der powershell.exe-Konsole erläutert. Endbenutzer der webbasierten Konsole sollten Verwendung der webbasierten Windows PowerShell-Konsole lesen, müssen jedoch nicht den Rest dieses Handbuchs lesen.

Dieses Thema enthält keine ausführliche Anleitung zum Webserverbetrieb (IIS), sondern es werden nur die Schritte beschrieben, die zum Konfigurieren des Windows PowerShell Web Access-Gateways erforderlich sind. Weitere Informationen zum Konfigurieren und Schützen von Websites in IIS finden Sie in den IIS-Dokumentationsressourcen im Abschnitt "Siehe auch".

In der folgenden Abbildung wird die Funktionsweise von Windows PowerShell Web Access veranschaulicht.

Windows PowerShell Web Access-Diagramm

Inhalte dieses Themas:

  • Anforderungen für die Ausführung von Windows PowerShell Web Access

  • Unterstützung für Browser und Clientgeräte

  • Empfohlene (schnelle) Bereitstellung

  • Benutzerdefinierte Bereitstellung

  • Konfigurieren eines Originalzertifikats

Anforderungen für die Ausführung von Windows PowerShell Web Access

Windows PowerShell Web Access erfordert Webserver (IIS), .NET Framework 4.5 und Windows PowerShell 3.0 oder Windows PowerShell 4.0 für die Ausführung auf dem Server, auf dem Sie das Gateway ausführen möchten. Sie können Windows PowerShell Web Access auf einem Server mit Windows Server 2012 R2 oder Windows Server 2012 installieren, indem Sie entweder den Assistent zum Hinzufügen von Rollen und Features im Server-Manager oder Windows PowerShell-Bereitstellungs-Cmdlets für den Server-Manager verwenden. Wenn Sie Windows PowerShell Web Access mithilfe des Server-Managers oder seiner Bereitstellungs-Cmdlets installieren, werden die erforderlichen Rollen und Features im Rahmen des Installationsvorgangs automatisch hinzugefügt.

Mithilfe von Windows PowerShell Web Access können Remotebenutzer auf Computer der Organisation über Windows PowerShell in einem Webbrowser zugreifen. Obwohl Windows PowerShell Web Access ein benutzerfreundliches und leistungsfähiges Verwaltungstool ist, ist der webbasierte Zugriff mit Sicherheitsrisiken verbunden. Daher sollte eine möglichst sichere Konfiguration gewählt werden. Administratoren, die das Windows PowerShell Web Access-Gateway konfigurieren, wird die Verwendung der verfügbaren Sicherheitsebenen empfohlen. Damit sind die auf Cmdlets basierenden Autorisierungsregeln von Windows PowerShell Web Access sowie die Sicherheitsebenen gemeint, die im Webserver (IIS) und in Drittanbieteranwendungen verfügbar sind. In dieser Dokumentation wird sowohl auf nicht sichere Konfigurationen, die nur für Testumgebungen empfohlen werden, als auch auf Konfigurationen eingegangen, die für sichere Bereitstellungen empfohlen werden.

Unterstützung für Browser und Clientgeräte

Windows PowerShell Web Access unterstützt die folgenden Internetbrowser. Obwohl es keine offizielle Unterstützung für mobile Browser gibt, kann die webbasierte Windows PowerShell-Konsole in vielen dieser Browser ausgeführt werden. Andere Browser, die Cookies zulassen, JavaScript ausführen und HTTPS-Websites ausführen, sollten ebenfalls funktionieren. Offizielle Tests wurden jedoch nicht durchgeführt.

Unterstützte Desktopcomputerbrowser

  • Windows® Internet Explorer® für Microsoft Windows® 8.0, 9.0, 10.0 und 11.0

  • Mozilla Firefox® 10.0.2

  • Google Chrome™ 17.0.963.56m für Windows

  • Apple Safari® 5.1.2 für Windows

  • Apple Safari 5.1.2 für Mac OS®

Mobile Geräte oder Browser, für die Minimaltests durchgeführt wurden

  • Windows Phone 7 und 7.5

  • Google Android WebKit 3.1 Browser Android 2.2.1 (Kernel 2.6)

  • Apple Safari für iPhone-Betriebssystem 5.0.1

  • Apple Safari für iPad 2-Betriebssystem 5.0.1

Browseranforderungen

Um die webbasierte Konsole Windows PowerShell Web Access verwenden zu können, müssen Browser folgende Anforderungen erfüllen.

  • Sie müssen Cookies von der Windows PowerShell Web Access-Gatewaywebsite zulassen.

  • Öffnen und Lesen von HTTPS-Seiten.

  • Öffnen und Ausführen von Websites, die JavaScript verwenden.

Empfohlene (schnelle) Bereitstellung

Sie können das Windows PowerShell Web Access-Gateway auf einem Server mit Windows Server 2012 R2 oder Windows Server 2012 installieren, indem Sie entweder Windows PowerShell-Cmdlets verwenden, oder den Assistent zum Hinzufügen von Rollen und Features, der im Server-Manager geöffnet wird. Verwenden Sie für schnelle Installation und Konfiguration Windows PowerShell-Cmdlets, wie in diesem Abschnitt beschrieben.

  • Schritt 1: Installieren von Windows PowerShell Web Access

  • Schritt 2: Konfigurieren des Gateways

  • „Schritt 3: Konfigurieren einer restriktiven Autorisierungsregel

Schritt 1: Installieren von Windows PowerShell Web Access

So installieren Sie Windows PowerShell Web Access mithilfe von Windows PowerShell-Cmdlets

  1. Führen Sie eine der folgenden Aktionen aus, um eine Windows PowerShell-Sitzung mit erhöhten Benutzerrechten zu öffnen.

    • Klicken Sie auf dem Windows-Desktop auf der Taskleiste mit der rechten Maustaste auf Windows PowerShell, und klicken Sie dann auf Als Administrator ausführen.

    • Klicken Sie auf der Windows-Startseite mit der rechten Maustaste auf Windows PowerShell, und klicken Sie dann auf Als Administrator ausführen.

    Hinweis

    In Windows PowerShell 3.0 und 4.0 muss das Server-Manager-Cmdlet-Modul vor der Ausführung von Cmdlets, die zum Modul gehören, nicht in die Windows PowerShell-Sitzung importiert werden. Module werden automatisch importiert, wenn Sie ein zum Modul gehörendes Cmdlet zum ersten Mal ausführen. Außerdem wird die Groß- und Kleinschreibung bei Windows PowerShell-Cmdlets nicht berücksichtigt.

  2. Geben Sie Folgendes ein, und drücken Sie dann die EINGABETASTE, wobei computer_name für den Remotecomputer steht, auf dem Sie Windows PowerShell Web Access, falls zutreffend, installieren möchten. Mit dem Parameter Restart werden die Zielserver bei Bedarf automatisch neu gestartet.

    Install-WindowsFeature –Name WindowsPowerShellWebAccess -ComputerName <computer_name> -IncludeManagementTools -Restart
    

    Hinweis

    Beim Installieren von Windows PowerShell Web Access mit Windows PowerShell-Cmdlets werden Webserver (IIS)-Verwaltungstools standardmäßig nicht hinzugefügt. Wenn Sie die Verwaltungstools auf demselben Server wie das Windows PowerShell Web Access-Gateway installieren möchten, fügen Sie den Parameter IncludeManagementTools dem Installationsbefehl hinzu (wie in diesem Schritt angegeben). Wenn Sie die Windows PowerShell Web Access-Website über einen Remotecomputer verwalten, installieren Sie das IIS-Manager-Snap-In per Installation der Remoteserver-Verwaltungstools für Windows 8.1 oder Remoteserver-Verwaltungstools für Windows 8 auf dem Computer, von dem aus Sie das Gateway verwalten möchten.

    Zum Installieren von Rollen oder Features auf einer Offline-VHD müssen Sie die Parameter ComputerName und VHD hinzufügen. Der Parameter ComputerName enthält den Namen des Servers, auf dem die VHD eingebunden werden soll, und der Parameter VHD enthält den Pfad zur VHD-Datei auf dem angegebenen Server.

    Install-WindowsFeature –Name WindowsPowerShellWebAccess –VHD <path> -ComputerName <computer_name> -IncludeManagementTools -Restart
    
  3. Stellen Sie nach Abschluss der Installation sicher, dass Windows PowerShell Web Access auf den Zielservern installiert wurde. Führen Sie dazu das Cmdlet Get-WindowsFeature auf einem Zielserver in einer Windows PowerShell-Konsole aus, die mit erhöhten Benutzerrechten geöffnet wurde. Sie können die Installation von Windows PowerShell Web Access auch in der Server-Manager-Konsole überprüfen, indem Sie auf der Seite Alle Server einen Zielserver auswählen und dann die Kachel Rollen und Features für den ausgewählten Server anzeigen. Außerdem können Sie die Infodatei für Windows PowerShell Web Access anzeigen.

  4. Nachdem Windows PowerShell Web Access installiert wurde, werden Sie aufgefordert, die Infodatei zu lesen, in der grundlegende, erforderliche Setupanweisungen für das Gateway enthalten sind. Diese Setupanweisungen finden Sie auch im nächsten Abschnitt, Schritt 2: Konfigurieren des Gateways. Die Infodatei befindet sich unter C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Schritt 2: Konfigurieren des Gateways

Das Cmdlet Install-PswaWebApplication stellt eine schnelle Möglichkeit zum Konfigurieren von Windows PowerShell Web Access dar. Sie können den Parameter UseTestCertificate zwar dem Cmdlet Install-PswaWebApplication hinzufügen können, um zu Testzwecken ein selbstsigniertes SSL-Zertifikat zu installieren, aber dies ist kein sicheres Verfahren. Verwenden Sie für eine sichere Produktionsumgebung immer ein gültiges SSL-Zertifikat, das von einer Zertifizierungsstelle signiert wurde. Mithilfe der IIS-Manager-Konsole können Administratoren das Testzertifikat durch ein signiertes Zertifikat ihrer Wahl ersetzen.

Sie können die Konfiguration der Windows PowerShell Web Access-Webanwendung durchführen, indem Sie entweder das Cmdlet Install-PswaWebApplication ausführen oder im IIS-Manager GUI-basierte Konfigurationsschritte ausführen. Standardmäßig wird die Webanwendung pswa (und der dazugehörige Anwendungspool pswa_pool) im Container Standardwebsite installiert, wie im IIS-Manager gezeigt. Bei Bedarf können Sie das Cmdlet anweisen, den Standardwebsitecontainer der Webanwendung zu ändern. Der IIS-Manager bietet Konfigurationsoptionen, die für Webanwendungen verfügbar sind, beispielsweise das Ändern der Portnummer oder des SSL-Zertifikats (Secure Sockets Layer).

System_CAPS_security Sicherheit Hinweis

Es wird nachdrücklich empfohlen, dass Administratoren das Gateway so konfigurieren, dass ein gültiges, von einer Zertifizierungsstelle signiertes Zertifikat verwendet wird.

  • So verwenden Sie das Install-PswaWebApplication-Cmdlet, um das Windows PowerShell Web Access-Gateway mit einem Testzertifikat zu konfigurieren

  • So verwenden Sie Install-PswaWebApplication und IIS-Manager, um das Windows PowerShell Web Access-Gateway mit einem Originalzertifikat zu konfigurieren

So verwenden Sie das Install-PswaWebApplication-Cmdlet, um das Windows PowerShell Web Access-Gateway mit einem Testzertifikat zu konfigurieren

  1. Führen Sie eine der folgenden Aktionen aus, um eine Windows PowerShell-Sitzung zu öffnen.

    • Klicken Sie auf dem Windows-Desktop mit der rechten Maustaste auf Windows PowerShell auf der Taskleiste.

    • Klicken Sie auf der Windows-Startseite auf Windows PowerShell.

  2. Geben Sie Folgendes ein, und drücken Sie dann die EINGABETASTE.

    Install-PswaWebApplication -UseTestCertificate

    System_CAPS_security Sicherheit Hinweis

    Der Parameter UseTestCertificate sollte nur in einer privaten Testumgebung verwendet werden. Für sichere Produktionsumgebungen empfiehlt sich die Verwendung eines gültigen Zertifikats, das von einer Zertifizierungsstelle signiert wurde.

    Beim Ausführen des Cmdlets wird die Windows PowerShell Web Access-Webanwendung im standardmäßigen IIS-Websitecontainer installiert. Das Cmdlet legt die erforderliche Infrastruktur zum Ausführen von Windows PowerShell Web Access auf der Standardwebsite "https://<Servername>/pswa" an. Geben Sie zum Installieren der Webanwendung auf einer anderen Website den Websitenamen an, indem Sie den Parameter WebSiteName hinzufügen. Fügen Sie den Parameter pswa hinzu, um den Namen der Webanwendung zu ändern (der Standardname lautet WebApplicationName).

    Die folgenden Einstellungen werden durch die Ausführung des Cmdlets konfiguriert. Falls gewünscht, können Sie diese in der IIS-Manager-Konsole manuell ändern.

    • Path: /pswa

    • ApplicationPool: pswa_pool

    • EnabledProtocols: http

    • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

    Beispiel: Install-PswaWebApplication –webApplicationName myWebApp –useTestCertificate

    In diesem Beispiel ergibt sich als Website für Windows PowerShell Web Access "https://<Servername>/myWebApp".

    Hinweis

    Eine Anmeldung ist erst möglich, nachdem den Benutzern durch Hinzufügen von Autorisierungsregeln der Zugriff auf die Website gestattet wurde. Weitere Informationen finden Sie unter „Schritt 3: Konfigurieren einer restriktiven Autorisierungsregel und Autorisierungsregeln und Sicherheitsfeatures von Windows PowerShell Web Access.

So verwenden Sie Install-PswaWebApplication und IIS-Manager, um das Windows PowerShell Web Access-Gateway mit einem Originalzertifikat zu konfigurieren

  1. Führen Sie eine der folgenden Aktionen aus, um eine Windows PowerShell-Sitzung zu öffnen.

    • Klicken Sie auf dem Windows-Desktop mit der rechten Maustaste auf Windows PowerShell auf der Taskleiste.

    • Klicken Sie auf der Windows-Startseite auf Windows PowerShell.

  2. Geben Sie Folgendes ein, und drücken Sie dann die EINGABETASTE.

    Install-PswaWebApplication

    Die folgenden Gatewayeinstellungen werden durch die Ausführung des Cmdlets konfiguriert. Falls gewünscht, können Sie diese in der IIS-Manager-Konsole manuell ändern. Sie können auch Werte für die Parameter WebsiteName und WebApplicationName des Cmdlets Install-PswaWebApplication angeben.

    • Path: /pswa

    • ApplicationPool: pswa_pool

    • EnabledProtocols: http

    • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

  3. Öffnen Sie die IIS-Manager-Konsole, indem Sie eine der folgenden Aktionen ausführen:

    • Starten Sie auf dem Windows-Desktop den Server-Manager, indem Sie in der Windows-Taskleiste auf Server-Manager klicken. Klicken Sie im Menü Extras in Server-Manager auf Internetinformationsdienste-Manager.

    • Klicken Sie auf der Windows-Startseite auf Server-Manager.

  4. Erweitern Sie im IIS-Manager-Strukturbereich den Knoten für den Server, auf dem Windows PowerShell Web Access installiert ist, bis der Ordner Sites sichtbar ist. Erweitern Sie den Ordner Sites.

  5. Wählen Sie die Website aus, auf der Sie die Windows PowerShell Web Access-Webanwendung installiert haben. Klicken Sie im Bereich Aktionen auf Bindungen.

  6. Klicken Sie im Dialogfeld Sitebindung auf Hinzufügen.

  7. Wählen Sie im Dialogfeld Sitebindung hinzufügen im Feld Typ die Option https aus.

  8. Wählen Sie das signierte Zertifikat im Dropdownmenü des Felds SSL-Zertifikat aus. Klicken Sie auf OK. Weitere Informationen dazu, wie Sie ein Zertifikat erhalten, finden Sie unter So konfigurieren Sie ein SSL-Zertifikat im IIS-Manager in diesem Thema.

    Die Windows PowerShell Web Access-Webanwendung ist jetzt für die Verwendung des signierten SSL-Zertifikats konfiguriert. Sie können auf Windows PowerShell Web Access zugreifen, indem Sie "https://<Servername>/pswa" in einem Browserfenster öffnen.

    Hinweis

    Eine Anmeldung ist erst möglich, nachdem den Benutzern durch Hinzufügen von Autorisierungsregeln der Zugriff auf die Website gestattet wurde. Weitere Informationen finden Sie unter „Schritt 3: Konfigurieren einer restriktiven Autorisierungsregel und Autorisierungsregeln und Sicherheitsfeatures von Windows PowerShell Web Access.

„Schritt 3: Konfigurieren einer restriktiven Autorisierungsregel

Nach der Installation von Windows PowerShell Web Access und der Konfiguration des Gateways können Benutzer die Anmeldeseite in einem Browser öffnen. Sie können sich jedoch erst anmelden, nachdem der Windows PowerShell Web Access-Administrator den Zugriff ausdrücklich gewährt hat. Die Windows PowerShell Web Access-Zugriffssteuerung wird mithilfe der Windows PowerShell-Cmdlets verwaltet, die in der folgenden Tabelle beschrieben sind. Eine vergleichbare GUI für das Hinzufügen und Verwalten von Autorisierungsregeln ist nicht verfügbar. Ausführlichere Informationen zu Windows PowerShell Web Access-Cmdlets finden Sie in den Cmdlet-Referenzthemen unter Windows PowerShell Web Access-Cmdlets.

Weitere Informationen zu Windows PowerShell Web Access-Autorisierungsregeln und zur Sicherheit finden Sie unter Autorisierungsregeln und Sicherheitsfeatures von Windows PowerShell Web Access.

So fügen Sie eine restriktive Autorisierungsregel hinzu

  1. Führen Sie eine der folgenden Aktionen aus, um eine Windows PowerShell-Sitzung mit erhöhten Benutzerrechten zu öffnen.

    • Klicken Sie auf dem Windows-Desktop auf der Taskleiste mit der rechten Maustaste auf Windows PowerShell, und klicken Sie dann auf Als Administrator ausführen.

    • Klicken Sie auf der Windows-Startseite mit der rechten Maustaste auf Windows PowerShell, und klicken Sie dann auf Als Administrator ausführen.

  2. Optionaler Schritt zur Einschränkung des Benutzerzugriffs mithilfe von Sitzungskonfigurationen: Überprüfen Sie, ob Sitzungskonfigurationen, die Sie in Ihren Regeln verwenden möchten, bereits vorhanden sind. Falls diese noch nicht erstellt wurden, können Sie die Anleitung zum Erstellen von Sitzungskonfigurationen im MSDN unter about_Session_Configuration_Files verwenden.

  3. Geben Sie Folgendes ein, und drücken Sie dann die EINGABETASTE.

    Add-PswaAuthorizationRule –UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>
    

    Diese Autorisierungsregel erlaubt es einem bestimmten Benutzer, auf einen Computer im Netzwerk zuzugreifen, auf den er normalerweise zugreifen kann. Der Zugriff ist auf eine bestimmte Sitzungskonfiguration beschränkt, die die üblichen Anforderungen des Benutzers im Hinblick auf die Ausführung von Skripts und Cmdlets abdeckt. Im folgenden Beispiel wird dem Benutzer JSmith in der Domäne Contoso Zugriff auf die Verwaltung des Computers Contoso_214 gewährt und eine Sitzungskonfiguration mit dem Namen NewAdminsOnly verwendet.

    Add-PswaAuthorizationRule –UserName Contoso\JSmith -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly
    
  4. Stellen Sie sicher, dass die Regel erstellt wurde, indem Sie entweder das Cmdlet Get-PswaAuthorizationRule oder Test-PswaAuthorizationRule -UserName Domäne\Benutzercomputer\Benutzer-ComputerName <Computername> ausführen. Beispiel: Test-PswaAuthorizationRule –UserName Contoso\JSmith –ComputerName Contoso_214.

Nachdem Sie eine Autorisierungsregel konfiguriert haben, können sich autorisierte Benutzer bei der webbasierten Konsole anmelden und mit der Nutzung von Windows PowerShell Web Access beginnen.

Benutzerdefinierte Bereitstellung

Sie können das Windows PowerShell Web Access-Gateway auf einem Server installieren, der Windows Server 2012 R2 oder Windows Server 2012 ausführt, indem Sie den Assistent zum Hinzufügen von Rollen und Features im Server-Manager verwenden. Nach der Installation von Windows PowerShell Web Access können Sie die Konfiguration des Gateways im IIS-Manager anpassen.

Schritt 1: Installieren von Windows PowerShell Web Access

So installieren Sie Windows PowerShell Web Access mithilfe des Assistenten zum Hinzufügen von Rollen und Features

  1. Wenn der Server-Manager bereits geöffnet ist, fahren Sie mit dem nächsten Schritt fort. Ist der Server-Manager nicht bereits geöffnet, öffnen Sie ihn mit einem der folgenden Aktionen:

    • Starten Sie auf dem Windows-Desktop den Server-Manager, indem Sie in der Windows-Taskleiste auf Server-Manager klicken.

    • Klicken Sie auf der Windows-Startseite auf Server-Manager.

  2. Klicken Sie im Menü Verwalten auf Rollen und Funktionen hinzufügen.

  3. Wählen Sie auf der Seite Installationstyp auswählen die Option Rollenbasierte oder featurebasierte Installation. Klicken Sie auf Weiter.

  4. Wählen Sie auf der Seite Zielserver auswählen einen Server aus dem Serverpool aus, oder wählen Sie eine Offline-VHD aus. Um eine Offline-VHD als Zielserver auszuwählen, müssen Sie zuerst den Server auswählen, auf dem die VHD eingebunden werden soll. Wählen Sie anschließend die VHD-Datei aus. Informationen zum Hinzufügen von Servern zum Serverpool finden Sie in der Server-Manager-Hilfe. Klicken Sie nach dem Auswählen des Zielservers auf Weiter.

  5. Erweitern Sie im Assistenten auf der Seite Features auswählen die Option Windows PowerShell, und wählen Sie Windows PowerShell Web Access.

  6. Sie werden aufgefordert, erforderliche Features, wie beispielsweise .NET Framework 4.5, und Rollendienste des Webservers (IIS) hinzuzufügen. Fügen Sie die erforderlichen Features hinzu, und setzen Sie den Vorgang fort.

    Hinweis

    Wenn Windows PowerShell Web Access mit dem Assistent zum Hinzufügen von Rollen und Features installiert wird, wird auch der Webserver (IIS) einschließlich des IIS-Manager-Snap-Ins installiert. Das Snap-In und andere IIS-Verwaltungstools werden standardmäßig installiert, wenn Sie den Assistent zum Hinzufügen von Rollen und Features verwenden. Wenn Sie Windows PowerShell Web Access mithilfe von Windows PowerShell-Cmdlets wie im folgenden Verfahren beschrieben installieren, werden Verwaltungstools nicht standardmäßig hinzugefügt.

  7. Falls die Featuredateien für nicht auf dem in Schritt 4 ausgewählten Zielserver gespeichert sind, klicken Sie auf der Seite Installationsauswahl bestätigenWindows PowerShell Web Access auf Alternativen Quellpfad angeben und geben den Pfad zu den Featuredateien an. Klicken Sie andernfalls auf Installieren.

  8. Nachdem Sie auf Installieren geklickt haben, werden auf der Seite Installationsstatus der Installationsstatus, Ergebnisse und Meldungen zu Warnungen, Fehlern oder nach der Installation auszuführenden Konfigurationsschritten angezeigt, die für Windows PowerShell Web Access erforderlich sind. Nachdem Windows PowerShell Web Access installiert wurde, werden Sie aufgefordert, die Infodatei zu lesen, in der grundlegende, erforderliche Setupanweisungen für das Gateway enthalten sind. Diese Anweisungen sind auch in diesem Thema enthalten. Die Infodatei befindet sich unter C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Schritt 2: Konfigurieren des Gateways

Die Anweisungen in diesem Abschnitt gelten für die Installation der Windows PowerShell Web Access-Webanwendung in einem Unterverzeichnis – nicht im Stammverzeichnis – der Website. Dieses GUI-basierte Verfahren entspricht den Aktionen, die vom Cmdlet Install-PswaWebApplication durchgeführt werden. Der Abschnitt enthält auch Anweisungen zur Verwendung des IIS-Managers zum Konfigurieren des Windows PowerShell Web Access-Gateways als Stammwebsite.

  • So verwenden Sie den IIS-Manager, um das Gateway auf einer vorhandenen Website zu konfigurieren

  • So verwenden Sie den IIS-Manager, um das Gateway als Stammwebsite mit einem Testzertifikat zu konfigurieren

So verwenden Sie den IIS-Manager, um das Gateway auf einer vorhandenen Website zu konfigurieren

  1. Öffnen Sie die IIS-Manager-Konsole, indem Sie eine der folgenden Aktionen ausführen:

    • Starten Sie auf dem Windows-Desktop den Server-Manager, indem Sie in der Windows-Taskleiste auf Server-Manager klicken. Klicken Sie im Menü Extras in Server-Manager auf Internetinformationsdienste-Manager.

    • Geben Sie auf der Windows-Startseite einen beliebigen Teil des Namens Internetinformationsdienste-Manager ein. Klicken Sie auf die Verknüpfung, wenn diese in den Ergebnissen unter Apps angezeigt wird.

  2. Erstellen Sie einen neuen Anwendungspool für Windows PowerShell Web Access. Erweitern Sie den Knoten des Gatewayservers im IIS-Manager-Strukturbereich, wählen Sie die Anwendungspools, und klicken Sie im Bereich Aktionen auf Anwendungspool hinzufügen.

  3. Fügen Sie einen neuen Anwendungspool mit dem Namen pswa_pool hinzu, oder geben Sie einen anderen Namen an. Klicken Sie auf OK.

  4. Erweitern Sie im IIS-Manager-Strukturbereich den Knoten für den Server, auf dem Windows PowerShell Web Access installiert ist, bis der Ordner Sites sichtbar ist. Wählen Sie den Ordner Sites aus.

  5. Klicken Sie mit der rechten Maustaste auf die Website (z. B. Standardwebsite), der Sie die Windows PowerShell Web Access-Website hinzufügen möchten, und klicken Sie dann auf Anwendung hinzufügen.

  6. Geben Sie im Feld Alias den Text "pswa" ein, oder geben Sie einen anderen Alias an. Der Alias wird zum Namen des virtuellen Verzeichnisses. In der folgenden URL steht pswa z. B. für den Alias, der in diesem Schritt angegeben wurde: "https://<Servername>/pswa".

  7. Wählen Sie im Feld Anwendungspool den Anwendungspool aus, den Sie in Schritt 3 erstellt haben.

  8. Suchen Sie im Feld Physischer Pfad nach dem Speicherort der Anwendung. Sie können den Standardspeicherort "%windir%/Web/PowerShellWebAccess/wwwroot"% verwenden. Klicken Sie auf OK.

  9. Führen Sie die Schritte im Verfahren So konfigurieren Sie ein SSL-Zertifikat im IIS-Manager in diesem Thema aus.

  10. Optionaler Sicherheitsschritt: Doppelklicken Sie im Inhaltsbereich auf SSL-Einstellungen, während die Website im Strukturbereich ausgewählt ist. Wählen Sie die Option SSL erforderlich, und klicken Sie im Aktionsbereich auf Übernehmen. Optional können Sie es unter SSL-Einstellungen obligatorisch machen, dass Benutzer, die eine Verbindung zur Windows PowerShell Web Access-Website herstellen, über Clientzertifikate verfügen. Clientzertifikate dienen dazu, die Identität des Benutzers eines Clientgeräts zu überprüfen. Weitere Informationen dazu, wie die obligatorische Verwendung von Clientzertifikaten die Sicherheit von Windows PowerShell Web Access erhöhen kann, finden Sie unter Autorisierungsregeln und Sicherheitsfeatures von Windows PowerShell Web Access in diesem Thema.

  11. Öffnen Sie eine Browsersitzung auf einem Clientgerät. Weitere Informationen zu unterstützten Browsern und Geräten finden Sie unter Unterstützung für Browser und Clientgeräte in diesem Thema.

  12. Öffnen Sie die neue Windows PowerShell Web Access -Website, "https://<Gatewayservername>/pswa".

    Im Browser wird die Anmeldeseite der Windows PowerShell Web Access-Konsole angezeigt.

    Hinweis

    Eine Anmeldung ist erst möglich, nachdem den Benutzern durch Hinzufügen von Autorisierungsregeln der Zugriff auf die Website gestattet wurde.

  13. Führen Sie in einer Windows PowerShell-Sitzung, die mit erhöhten Benutzerrechten (Als Administrator ausführen) geöffnet wurde, das folgende Skript aus (hierbei entspricht application_pool_name dem Namen des in Schritt 3 erstellten Anwendungspools), um dem Anwendungspool Zugriffsrechte für die Autorisierungsdatei zu erteilen.

    $applicationPoolName = "<application_pool_name>"
    $authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
    c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null
    

    Führen Sie den folgenden Befehl aus, um die vorhandenen Zugriffsrechte für die Autorisierungsdatei anzuzeigen:

    c:\windows\system32\icacls.exe $authorizationFile
    

So verwenden Sie den IIS-Manager, um das Gateway als Stammwebsite mit einem Testzertifikat zu konfigurieren

  1. Öffnen Sie die IIS-Manager-Konsole, indem Sie eine der folgenden Aktionen ausführen:

    • Starten Sie auf dem Windows-Desktop den Server-Manager, indem Sie in der Windows-Taskleiste auf Server-Manager klicken. Klicken Sie im Menü Extras in Server-Manager auf Internetinformationsdienste-Manager.

    • Geben Sie auf der Windows-Startseite einen beliebigen Teil des Namens Internetinformationsdienste-Manager ein. Klicken Sie auf die Verknüpfung, wenn diese in den Ergebnissen unter Apps angezeigt wird.

  2. Erweitern Sie im IIS-Manager-Strukturbereich den Knoten für den Server, auf dem Windows PowerShell Web Access installiert ist, bis der Ordner Sites sichtbar ist. Wählen Sie den Ordner Sites aus.

  3. Klicken Sie im Aktionsbereich auf Website hinzufügen.

  4. Geben Sie einen Namen für die Website ein, z. B. Windows PowerShell Web Access.

  5. Für die neue Website wird automatisch ein Anwendungspool erstellt. Wenn Sie einen anderen Anwendungspool verwenden möchten, klicken Sie auf Auswählen, um einen Anwendungspool zum Zuordnen zur neuen Website auszuwählen. Wählen Sie den alternativen Anwendungspool im Dialogfeld Anwendungspool auswählen aus, und klicken Sie auf OK.

  6. Navigieren Sie im Textfeld Physischer Pfad zu "%windir%/Web/PowerShellWebAccess/wwwroot".

  7. Wählen Sie unter Bindung im Feld Typ die Option https aus.

  8. Weisen Sie der Website eine Portnummer zu, die noch nicht von einer anderen Website oder -anwendung verwendet wird. Sie können den netstat-Befehl in einem Eingabeaufforderungsfenster ausführen, um nach offenen Ports zu suchen. Die Standardportnummer ist 443.

    Ändern Sie den Standardport, falls Port 443 bereits von einer anderen Website verwendet wird oder wenn das Ändern der Portnummer aus anderen Sicherheitsgründen notwendig ist. Falls eine andere Website, die auf dem Gatewayserver ausgeführt wird, den ausgewählten Port verwendet, wird eine Warnung angezeigt, wenn Sie im Dialogfeld Website hinzufügen auf OK klicken. Sie müssen einen nicht verwendeten Port zum Ausführen von Windows PowerShell Web Access nutzen.

  9. Falls dies für Ihre Organisation erforderlich ist, können Sie optional einen Hostnamen angeben, der für die Organisation und Benutzer sinnvoll ist, z. B. www.contoso.com. Klicken Sie auf OK.

  10. Zur Erhöhung der Sicherheit von Produktionsumgebungen wird dringend dazu geraten, ein gültiges Zertifikat bereitzustellen, das von einer Zertifizierungsstelle signiert wurde. Sie müssen ein SSL-Zertifikat bereitstellen, weil Benutzer die Verbindung mit Windows PowerShell Web Access nur über eine HTTPS-Website herstellen können. Weitere Informationen dazu, wie Sie ein Zertifikat erhalten, finden Sie unter So konfigurieren Sie ein SSL-Zertifikat im IIS-Manager in diesem Thema.

  11. Klicken Sie auf OK, um das Dialogfeld Website hinzufügen zu schließen.

  12. Führen Sie in einer Windows PowerShell-Sitzung, die mit erhöhten Benutzerrechten (Als Administrator ausführen) geöffnet wurde, das folgende Skript aus (hierbei entspricht application_pool_name dem Namen des in Schritt 4 erstellten Anwendungspools), um dem Anwendungspool Zugriffsrechte für die Autorisierungsdatei zu erteilen.

    $applicationPoolName = "<application_pool_name>"
    $authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
    c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null
    

    Führen Sie den folgenden Befehl aus, um die vorhandenen Zugriffsrechte für die Autorisierungsdatei anzuzeigen:

    c:\windows\system32\icacls.exe $authorizationFile
    
  13. Klicken Sie, während die neue Website im IIS-Manager-Strukturbereich ausgewählt ist, im Aktionsbereich auf Start, um die Website zu starten.

  14. Öffnen Sie eine Browsersitzung auf einem Clientgerät. Weitere Informationen zu unterstützten Browsern und Geräten finden Sie unter Unterstützung für Browser und Clientgeräte in diesem Dokument.

  15. Öffnen Sie die neue Windows PowerShell Web Access-Website.

    Da die Stammwebsite auf den Windows PowerShell Web Access-Ordner verweist, sollte im Browser die Anmeldeseite von Windows PowerShell Web Access angezeigt werden, wenn Sie "https://<Gatewayservername>" öffnen. Es sollte nicht erforderlich sein, der URL /pswa hinzuzufügen.

    Hinweis

    Eine Anmeldung ist erst möglich, nachdem den Benutzern durch Hinzufügen von Autorisierungsregeln der Zugriff auf die Website gestattet wurde.

„Schritt 3: Konfigurieren einer restriktiven Autorisierungsregel

Nach der Installation von Windows PowerShell Web Access und der Konfiguration des Gateways können Benutzer die Anmeldeseite in einem Browser öffnen. Sie können sich jedoch erst anmelden, nachdem der Windows PowerShell Web Access-Administrator den Zugriff ausdrücklich gewährt hat. Die Windows PowerShell Web Access-Zugriffssteuerung wird mithilfe der Windows PowerShell-Cmdlets verwaltet, die in der folgenden Tabelle beschrieben sind. Eine vergleichbare GUI für das Hinzufügen und Verwalten von Autorisierungsregeln ist nicht verfügbar. Ausführlichere Informationen zu Windows PowerShell Web Access-Cmdlets finden Sie in den Cmdlet-Referenzthemen unter Windows PowerShell Web Access-Cmdlets.

Weitere Informationen zu Windows PowerShell Web Access-Autorisierungsregeln und zur Sicherheit finden Sie unter Autorisierungsregeln und Sicherheitsfeatures von Windows PowerShell Web Access.

So fügen Sie eine restriktive Autorisierungsregel hinzu

  1. Führen Sie eine der folgenden Aktionen aus, um eine Windows PowerShell-Sitzung mit erhöhten Benutzerrechten zu öffnen.

    • Klicken Sie auf dem Windows-Desktop auf der Taskleiste mit der rechten Maustaste auf Windows PowerShell, und klicken Sie dann auf Als Administrator ausführen.

    • Klicken Sie auf der Windows-Startseite mit der rechten Maustaste auf Windows PowerShell, und klicken Sie dann auf Als Administrator ausführen.

  2. Optionaler Schritt zur Einschränkung des Benutzerzugriffs mithilfe von Sitzungskonfigurationen: Überprüfen Sie, ob Sitzungskonfigurationen, die Sie in Ihren Regeln verwenden möchten, bereits vorhanden sind. Falls diese noch nicht erstellt wurden, können Sie die Anleitung zum Erstellen von Sitzungskonfigurationen im MSDN unter about_Session_Configuration_Files verwenden.

  3. Geben Sie Folgendes ein, und drücken Sie dann die EINGABETASTE.

    Add-PswaAuthorizationRule –UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>
    

    Diese Autorisierungsregel erlaubt es einem bestimmten Benutzer, auf einen Computer im Netzwerk zuzugreifen, auf den er normalerweise zugreifen kann. Der Zugriff ist auf eine bestimmte Sitzungskonfiguration beschränkt, die die üblichen Anforderungen des Benutzers im Hinblick auf die Ausführung von Skripts und Cmdlets abdeckt. Im folgenden Beispiel wird dem Benutzer JSmith in der Domäne Contoso Zugriff auf die Verwaltung des Computers Contoso_214 gewährt und eine Sitzungskonfiguration mit dem Namen NewAdminsOnly verwendet.

    Add-PswaAuthorizationRule –UserName Contoso\JSmith -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly
    
  4. Stellen Sie sicher, dass die Regel erstellt wurde, indem Sie entweder das Cmdlet Get-PswaAuthorizationRule oder Test-PswaAuthorizationRule -UserName Domäne\Benutzercomputer\Benutzer-ComputerName <Computername> ausführen. Beispiel: Test-PswaAuthorizationRule –UserName Contoso\JSmith –ComputerName Contoso_214.

Nachdem Sie eine Autorisierungsregel konfiguriert haben, können sich autorisierte Benutzer bei der webbasierten Konsole anmelden und mit der Nutzung von Windows PowerShell Web Access beginnen.

Konfigurieren eines Originalzertifikats

Für sichere Produktionsumgebungen sollten Sie stets ein gültiges, von einer Zertifizierungsstelle (ZS) signiertes SSL-Zertifikat verwenden. In diesem Abschnitt wird das Verfahren beschrieben, mit dem Sie ein gültiges SSL-Zertifikat von einer Zertifizierungsstelle beziehen und anwenden.

So konfigurieren Sie ein SSL-Zertifikat im IIS-Manager

  1. Wählen Sie im IIS-Manager-Strukturbereich den Server aus, auf dem Windows PowerShell Web Access installiert ist.

  2. Doppelklicken Sie im Inhaltsbereich auf Serverzertifikate.

  3. Führen Sie im Aktionsbereich eine der folgenden Aktionen aus: Weitere Informationen zur Konfiguration von Serverzertifikaten in IIS finden Sie unter Konfigurieren von Serverzertifikaten in IIS 7.

    • Klicken Sie auf Importieren, um ein vorhandenes gültiges Zertifikat von einem Speicherort im Netzwerk zu importieren.

    • Klicken Sie auf Zertifikatanforderung erstellen, um ein Zertifikat von einer Zertifizierungsstelle wie VeriSign™, Thawte oder GeoTrust® anzufordern. Der allgemeine Name des Zertifikats muss dem Hostheader in der Anforderung entsprechen. Wenn der Clientbrowser beispielsweise "https://www.contoso.com/" anfordert, muss der allgemeine Name ebenfalls "https://www.contoso.com/" lauten. Dies ist die sicherste und empfohlene Option, um das Windows PowerShell Web Access-Gateway mit einem Zertifikat zu versehen.

    • Klicken Sie auf Selbstsigniertes Zertifikat erstellen, um ein Zertifikat zu erstellen, das Sie sofort verwenden und später bei Bedarf von einer Zertifizierungsstelle signieren lassen können. Geben Sie einen Anzeigenamen für das selbstsignierte Zertifikat an, z. B. Windows PowerShell Web Access. Diese Vorgehensweise ist als nicht sicher anzusehen und wird nur für eine private Testumgebung empfohlen.

  4. Wählen Sie nach der Erstellung bzw. Beschaffung eines Zertifikats die Website, auf die das Zertifikat angewendet werden soll (z. B. Standardwebsite), im IIS-Manager-Strukturbereich aus. Klicken Sie anschließend im Aktionsbereich auf Bindungen.

  5. Fügen Sie im Dialogfeld Sitebindung hinzufügen eine Bindung vom Typ https für die Website hinzu, falls noch keine Bindung angezeigt wird. Wenn Sie kein selbstsigniertes Zertifikat verwenden, geben Sie den Hostnamen aus Schritt 3 dieses Verfahrens an. Wenn Sie ein selbstsigniertes Zertifikat verwenden, ist dieser Schritt nicht erforderlich.

  6. Wählen Sie das Zertifikat aus, das Sie in Schritt 3 dieses Verfahrens abgerufen oder erstellt haben, und klicken Sie auf OK.

Verwenden der webbasierten Windows PowerShell-Konsole

Nachdem Windows PowerShell Web Access installiert und die Gatewaykonfiguration wie in diesem Thema beschrieben abgeschlossen wurde, ist die webbasierte Windows PowerShell-Konsole bereit für die Verwendung. Weitere Informationen zu den ersten Schritten mit der webbasierten Konsole finden Sie unter Verwendung der webbasierten Windows PowerShell-Konsole.

Siehe auch

Dokumentation zu Internetinformationsdienste (IIS) 7.0
Hilfe zum IIS-Manager 7.0
Konfigurieren der Webserversicherheit (IIS 7)
Ressourcen zur IPsec-Bereitstellung