Exportar (0) Imprimir
Expandir todo

Implementación de Windows PowerShell Web Access

Actualizado: noviembre de 2012

Se aplica a: Windows Server 2012

Windows PowerShell® Web Access es una nueva característica de Windows Server® 2012 que actúa como puerta de enlace de Windows PowerShell, proporcionando una consola de Windows PowerShell basada en web destinada a un equipo remoto. Permite a los profesionales de TI ejecutar comandos y scripts de Windows PowerShell desde una consola de Windows PowerShell en un explorador web, sin que sea necesario contar con Windows PowerShell, software de administración remota o la instalación de un complemento de explorador en el dispositivo cliente. Lo único que se necesita para ejecutar la consola de Windows PowerShell basada en web es una puerta de enlace de Windows PowerShell Web Access correctamente configurada y un explorador en el dispositivo cliente que admita JavaScript® y acepte cookies.

Entre los dispositivos cliente se incluyen equipos portátiles, equipos que no son de trabajo, equipos prestados, Tablet PC, quioscos multimedia web, equipos que no ejecutan un sistema operativo Windows y exploradores de teléfono móvil. Los profesionales de TI pueden llevar a cabo tareas críticas de administración en servidores remotos basados en Windows desde dispositivos que cuenten con acceso a una conexión de Internet y un explorador web.

Después de instalar y configurar la puerta de enlace correctamente, los usuarios pueden obtener acceso a una consola de Windows PowerShell mediante un explorador web. Al abrir el sitio web protegido de Windows PowerShell Web Access, y una vez que se hayan autenticado correctamente, los usuarios podrán ejecutar una consola de Windows PowerShell basada en web.

El proceso de instalación y configuración de Windows PowerShell Web Access consta de tres pasos:

  1. Paso 1: Instalar Windows PowerShell Web Access

  2. Paso 2: Configurar la puerta de enlace

  3. Paso 3: Configurar las reglas de autorización y la seguridad del sitio

Antes de instalar y configurar Windows PowerShell Web Access, se recomienda leer este tema y el artículo sobre el Uso de la consola de Windows PowerShell basada en web, que describe el modo en que los usuarios inician sesión en la consola basada en web y algunas de las limitaciones y diferencias de dicha consola. Los usuarios finales de la consola deben leer el artículo sobre el Uso de la consola de Windows PowerShell basada en web, pero no es necesario que lean este tema.

En este tema, no se proporciona una guía de operaciones de Servidor web (IIS) exhaustiva, sino solo los pasos necesarios para configurar la puerta de enlace de Windows PowerShell Web Access. Para obtener más información sobre la configuración y protección de sitios web en IIS, vea los recursos de documentación de IIS en la sección Vea también.

En el siguiente diagrama se muestra cómo funciona Windows PowerShell Web Access.

Diagrama de Windows PowerShell Web Access

En este tema:

Windows PowerShell Web Access requiere que se ejecuten Servidor web (IIS), .NET Framework 4.5 y Windows PowerShell 3.0 en el servidor en el que se desea ejecutar la puerta de enlace. Puede instalar Windows PowerShell Web Access en un servidor que ejecute Windows Server 2012 mediante el Asistente para agregar roles y características del Administrador de servidores o mediante cmdlets de implementación de Windows PowerShell del Administrador de servidores. Al instalar Windows PowerShell Web Access mediante el Administrador de servidores o sus cmdlets de implementación, automáticamente se agregan los roles y las características necesarios como parte del proceso de instalación.

Windows PowerShell Web Access permite a los usuarios remotos obtener acceso a los equipos de la organización mediante Windows PowerShell en un explorador web. Si bien Windows PowerShell Web Access es una herramienta de administración eficaz y conveniente, el acceso web conlleva riesgos de seguridad, por lo que debe configurarse de la manera más segura posible. Se recomienda que los administradores que configuran la puerta de enlace de Windows PowerShell Web Access usen los niveles de seguridad disponibles, tanto las reglas de autorización basadas en cmdlets incluidas con Windows PowerShell Web Access como los niveles de seguridad disponibles en Servidor web (IIS) y en aplicaciones de terceros. En esta documentación se incluyen ejemplos que no son seguros, recomendados únicamente para entornos de prueba, así como ejemplos recomendados para implementaciones seguras.

Windows PowerShell Web Access admite los siguientes exploradores de Internet. Aunque los exploradores móviles no se admiten oficialmente, muchos de ellos pueden ejecutar la consola de Windows PowerShell basada en web. También se espera que funcionen otros exploradores que aceptan cookies y ejecutan JavaScript y sitios web HTTPS, pero no se han probado de manera oficial.

  • Windows® Internet Explorer® para Microsoft Windows® 8.0, 9.0 y 10.0

  • Mozilla Firefox® 10.0.2

  • Google Chrome™ 17.0.963.56m para Windows

  • Apple Safari® 5.1.2 para Windows

  • Apple Safari 5.1.2 para Mac OS®

  • Windows Phone 7 y 7.5

  • Google Android WebKit 3.1 Browser Android 2.2.1 (Kernel 2.6)

  • Apple Safari para sistema operativo iPhone 5.0.1

  • Apple Safari para sistema operativo iPad 2 5.0.1

Para usar la consola de Windows PowerShell Web Access basada en web, los exploradores deben poder hacer lo siguiente.

  • Permitir cookies del sitio web de la puerta de enlace de Windows PowerShell Web Access.

  • Abrir y leer páginas HTTPS.

  • Abrir y ejecutar sitios web que usen JavaScript.

Puede instalar la puerta de enlace de Windows PowerShell Web Access en un servidor que ejecute Windows Server 2012 mediante unos de los siguientes métodos.

  1. Si el Administrador de servidores ya se ha abierto, vaya al siguiente paso. Si todavía no se ha abierto el Administrador de servidores, ábralo mediante una de las siguientes acciones.

    • En el escritorio de Windows, haga clic en Administrador del servidor en la barra de tareas de Windows para iniciar el Administrador de servidores.

    • En la pantalla Inicio de Windows, haga clic en Administrador del servidor.

  2. En el menú Administrar, haga clic en Agregar roles y características.

  3. En la página Seleccionar tipo de instalación, seleccione Instalación basada en características o en roles. Haga clic en Siguiente.

  4. En la página Seleccionar servidor de destino, seleccione un servidor del grupo de servidores o un VHD sin conexión. Para seleccionar un VHD sin conexión como servidor de destino, primero seleccione el servidor en el que montará el VHD y, a continuación, seleccione el archivo VHD. Para obtener información acerca de cómo agregar servidores al grupo de servidores, vea la Ayuda del Administrador de servidores. Una vez seleccionado el servidor de destino, haga clic en Siguiente.

  5. En la página Seleccionar características del asistente, expanda Windows PowerShell y, a continuación, seleccione Windows PowerShell Web Access.

  6. Se le pedirá que agregue las características necesarias, como .NET Framework 4.5 y los servicios de rol de Servidor web (IIS). Agregue las características necesarias y continúe.

    noteNota
    Al instalar Windows PowerShell Web Access mediante el Asistente para agregar roles y características, también se instala Servidor web (IIS), incluido el complemento Administrador de IIS. El complemento y otras herramientas de administración de IIS se instalan de manera predeterminada si usa el Asistente para agregar roles y características. Si instala Windows PowerShell Web Access mediante cmdlets de Windows PowerShell, como se describe en el siguiente procedimiento, las herramientas de administración no se agregan de manera predeterminada.

  7. En la página Confirmar selecciones de instalación, si los archivos de características para Windows PowerShell Web Access no están almacenados en el servidor de destino seleccionado en el paso 4, haga clic en Especifique una ruta de acceso de origen alternativa y proporcione la ruta de acceso a los archivos de características. De lo contrario, haga clic en Instalar.

  8. Después de hacer clic en Instalar, la página Progreso de la instalación mostrará el progreso de la instalación, los resultados y diferentes mensajes, como advertencias, errores o los pasos de configuración posteriores a la instalación necesarios para Windows PowerShell Web Access. Una vez instalado Windows PowerShell Web Access, se le pedirá que revise el archivo Léame, que contiene las instrucciones de configuración necesarias básicas para la puerta de enlace. Estas Paso 2: Configurar la puerta de enlace también se incluyen en este documento. La ruta de acceso al archivo Léame es C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

  1. Realice uno de los siguientes procedimientos para abrir una sesión de Windows PowerShell con permisos del usuario elevados.

    • En el escritorio de Windows, haga clic con el botón secundario en Windows PowerShell en la barra de tareas y, a continuación, haga clic en Ejecutar como administrador.

    • En la pantalla Inicio de Windows, haga clic con el botón secundario en Windows PowerShell y, a continuación, haga clic en Ejecutar como administrador.

    noteNota
    En Windows PowerShell 3.0, no es necesario importar el módulo de cmdlets del Administrador de servidores en la sesión de Windows PowerShell antes de ejecutar los cmdlets que forman parte del módulo. El módulo se importa automáticamente la primera vez que se ejecuta un cmdlet que es parte del módulo. Asimismo, los cmdlets de Windows PowerShell no distinguen mayúsculas de minúsculas.

  2. Escriba lo siguiente y, a continuación, presione Entrar, donde computer_name representa un equipo remoto en el cual desea instalar Windows PowerShell Web Access, si procede. El parámetro Restart reinicia automáticamente los servidores de destino si es necesario.

    Install-WindowsFeature –Name WindowsPowerShellWebAccess -ComputerName <computer_name> -IncludeManagementTools -Restart
    
    noteNota
    Al instalar Windows PowerShell Web Access mediante cmdlets de Windows PowerShell, no se agregan las herramientas de administración de Servidor web (IIS) de manera predeterminada. Si desea instalar las herramientas de administración en el mismo servidor que el de la puerta de enlace de Windows PowerShell Web Access, agregue el parámetro IncludeManagementTools al comando de instalación (como se indica en este paso). Si administra el sitio web de Windows PowerShell Web Access desde un equipo remoto, instale el complemento Administrador de IIS mediante la instalación de las Herramientas de administración remota del servidor en el equipo desde el cual desea administrar la puerta de enlace.

    Para instalar roles y características en un VHD sin conexión, debe agregar los parámetros ComputerName y VHD. El parámetro ComputerName contiene el nombre del servidor en el que se montará el VHD y el parámetro VHD contiene la ruta de acceso al archivo VHD en el servidor especificado.

    Install-WindowsFeature –Name WindowsPowerShellWebAccess –VHD <path> -ComputerName <computer_name> -IncludeManagementTools -Restart
    
  3. Una vez completada la instalación, compruebe que Windows PowerShell Web Access se haya instalado en los servidores de destino mediante la ejecución del cmdlet Get-WindowsFeature en un servidor de destino, en una consola de Windows PowerShell abierta con permisos del usuario elevados. Otro modo de comprobar que se haya instalado Windows PowerShell Web Access en la consola del Administrador de servidores consiste en seleccionar un servidor de destino en la página Todos los servidores y, a continuación, visualizar el icono Roles y características del servidor seleccionado. También puede ver el archivo Léame para Windows PowerShell Web Access.

  4. Una vez instalado Windows PowerShell Web Access, se le pedirá que revise el archivo Léame, que contiene las instrucciones de configuración necesarias básicas para la puerta de enlace. Estas instrucciones de configuración también se encuentran en la sección Paso 2: Configurar la puerta de enlace. La ruta de acceso al archivo Léame es C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

El cmdlet Install-PswaWebApplication es un método rápido para configurar Windows PowerShell Web Access. Si bien puede agregar el parámetro UseTestCertificate al cmdlet Install-PswaWebApplication para instalar un certificado SSL autofirmado con fines de prueba, esto no es seguro. En un entorno de producción seguro, siempre use un certificado SSL válido firmado por una entidad de certificación (CA). Los administradores pueden reemplazar el certificado de prueba por un certificado firmado de su elección mediante la consola del Administrador de IIS.

Puede completar la configuración de la aplicación web Windows PowerShell Web Access mediante la ejecución del cmdlet Install-PswaWebApplication o mediante los pasos de configuración basados en GUI del Administrador de IIS. De manera predeterminada, el cmdlet instala la aplicación web, pswa (y un grupo de aplicaciones, pswa_pool), en el contenedor Sitio web predeterminado, como se muestra en el Administrador de IIS. Si lo desea, puede indicar al cmdlet que cambie el contenedor de sitio predeterminado de la aplicación web. El Administrador de IIS proporciona opciones de configuración que se encuentran disponibles para las aplicaciones web, como cambiar el número de puerto o el certificado de Capa de sockets seguros (SSL).

securitySeguridad Nota
Se recomienda encarecidamente que los administradores configuren la puerta de enlace para que use un certificado válido firmado por una CA.

Siga estas instrucciones para configurar la puerta de enlace de Windows PowerShell Web Access mediante el cmdlet Install-PswaWebApplication.

  1. Realice uno de los siguientes procedimientos para abrir una sesión de Windows PowerShell.

    • En el escritorio de Windows, haga clic con el botón secundario en Windows PowerShell en la barra de tareas.

    • En la pantalla Inicio de Windows, haga clic en Windows PowerShell.

  2. Escriba lo siguiente y, a continuación, presione Entrar.

    Install-PswaWebApplication -UseTestCertificate

    securitySeguridad Nota
    El parámetro UseTestCertificate solo debe usarse en un entorno de prueba privado. Para un entorno de producción seguro, se recomienda usar un certificado válido firmado por una CA.

    La ejecución del cmdlet instala la aplicación web Windows PowerShell Web Access dentro del contenedor Sitio web predeterminado de IIS. El cmdlet crea la infraestructura necesaria para ejecutar Windows PowerShell Web Access en el sitio web predeterminado, https://<nombre_servidor>/pswa. Para instalar la aplicación web en otro sitio web, proporcione el nombre del sitio web mediante la adición del parámetro WebSiteName. Para cambiar el nombre de la aplicación web (el nombre predeterminado es pswa), agregue el parámetro WebApplicationName.

    La siguiente configuración se establece mediante la ejecución del cmdlet. Puede cambiarla de forma manual en la consola del Administrador de IIS, si lo desea.

    • Path: /pswa

    • ApplicationPool: pswa_pool

    • EnabledProtocols: http

    • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

    Ejemplo: Install-PswaWebApplication –webApplicationName myWebApp –useTestCertificateEn este ejemplo, el sitio web resultante para Windows PowerShell Web Access es https://<nombre_servidor>/myWebApp.

    noteNota
    No podrá iniciar sesión hasta que se haya concedido a los usuarios acceso al sitio web mediante la adición de reglas de autorización. Para obtener más información, vea la sección Paso 3: Configurar las reglas de autorización y la seguridad del sitio.

  1. Realice uno de los siguientes procedimientos para abrir una sesión de Windows PowerShell.

    • En el escritorio de Windows, haga clic con el botón secundario en Windows PowerShell en la barra de tareas.

    • En la pantalla Inicio de Windows, haga clic en Windows PowerShell.

  2. Escriba lo siguiente y, a continuación, presione Entrar.

    Install-PswaWebApplication

    La siguiente configuración de puerta de enlace se establece mediante la ejecución del cmdlet. Puede cambiarla de forma manual en la consola del Administrador de IIS, si lo desea. También puede especificar valores para los parámetros WebsiteName y WebApplicationName del cmdlet Install-PswaWebApplication.

    • Path: /pswa

    • ApplicationPool: pswa_pool

    • EnabledProtocols: http

    • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

  3. Abra la consola del Administrador de IIS mediante uno de los siguientes procedimientos.

    • En el escritorio de Windows, haga clic en Administrador del servidor en la barra de tareas de Windows para iniciar el Administrador de servidores. En el menú Herramientas del Administrador de servidores, haga clic en Administrador de Internet Information Services (IIS).

    • En la pantalla Inicio de Windows, haga clic en Administrador del servidor.

  4. En el panel del árbol del Administrador de IIS, expanda el nodo del servidor en el que está instalado Windows PowerShell Web Access hasta que aparezca la carpeta Sitios. Expanda la carpeta Sitios.

  5. Seleccione el sitio web en el que ha instalado la aplicación web Windows PowerShell Web Access. En el panel Acciones, haga clic en Enlaces.

  6. En el cuadro de diálogo Enlaces de sitios, haga clic en Agregar.

  7. En el cuadro de diálogo Agregar enlace de sitio, en el campo Tipo, seleccione https.

  8. En el campo Certificado SSL, seleccione su certificado firmado en el menú desplegable. Haga clic en Aceptar. Vea el procedimiento Para configurar un certificado SSL en el Administrador de IIS en este tema para obtener más información acerca de cómo obtener un certificado.

    La aplicación web Windows PowerShell Web Access ya está configurada para usar su certificado SSL firmado. Para obtener acceso a Windows PowerShell Web Access, abra https://<nombre_servidor>/pswa en una ventana del explorador.

    noteNota
    No podrá iniciar sesión hasta que se haya concedido a los usuarios acceso al sitio web mediante la adición de reglas de autorización. Para obtener más información, vea la sección Paso 3: Configurar las reglas de autorización y la seguridad del sitio.

Las instrucciones de esta sección explican cómo instalar la aplicación web Windows PowerShell Web Access en un subdirectorio del sitio web, no en el directorio raíz. Este procedimiento es el equivalente basado en GUI de las acciones realizadas por el cmdlet Install-PswaWebApplication. En esta sección, también se incluyen instrucciones sobre cómo usar el Administrador de IIS para configurar la puerta de enlace de Windows PowerShell Web Access como un sitio web raíz.

  1. Abra la consola del Administrador de IIS mediante uno de los siguientes procedimientos.

    • En el escritorio de Windows, haga clic en Administrador del servidor en la barra de tareas de Windows para iniciar el Administrador de servidores. En el menú Herramientas del Administrador de servidores, haga clic en Administrador de Internet Information Services (IIS).

    • En la pantalla Inicio de Windows, escriba cualquier parte del nombre Administrador de Internet Information Services (IIS). Haga clic en el acceso directo cuando se muestre en los resultados de Aplicaciones.

  2. Cree un nuevo grupo de aplicaciones para Windows PowerShell Web Access. Expanda el nodo del servidor de puerta de enlace en el panel del árbol del Administrador de IIS, seleccione Grupos de aplicaciones y haga clic en Agregar grupo de aplicaciones en el panel Acciones.

  3. Agregue un nuevo grupo de aplicaciones con el nombre pswa_pool o proporcione un nombre diferente. Haga clic en Aceptar.

  4. En el panel del árbol del Administrador de IIS, expanda el nodo del servidor en el que está instalado Windows PowerShell Web Access hasta que aparezca la carpeta Sitios. Seleccione la carpeta Sitios.

  5. Haga clic con el botón secundario en el sitio web (por ejemplo, Sitio web predeterminado) en el que desea agregar el sitio web de Windows PowerShell Web Access y, a continuación, haga clic en Agregar aplicación.

  6. En el campo Alias, escriba pswa o proporcione un alias diferente. El alias se convierte en el nombre de directorio virtual. Por ejemplo, pswa en la siguiente dirección URL representa el alias especificado en este paso: https://<nombre_servidor>/pswa.

  7. En el campo Grupo de aplicaciones, seleccione el grupo de aplicaciones creado en el paso 3.

  8. En el campo Ruta de acceso física, busque la ubicación de la aplicación. Puede usar la ubicación predeterminada %windir%/Web/PowerShellWebAccess/wwwroot. Haga clic en Aceptar.

  9. Siga los pasos del procedimiento Para configurar un certificado SSL en el Administrador de IIS en este tema.

  10. Paso de seguridad opcional: con el sitio web seleccionado en el panel del árbol, haga doble clic en Configuración de SSL en el panel de contenido. Seleccione Requerir SSL y, a continuación, en el panel Acciones, haga clic en Aplicar. De forma opcional, en el panel Configuración de SSL, puede requerir que los usuarios que se conecten al sitio web de Windows PowerShell Web Access tengan certificados de cliente. Los certificados de cliente ayudan a comprobar la identidad de un usuario del dispositivo cliente. Para obtener más información acerca del modo en que se puede incrementar la seguridad de Windows PowerShell Web Access al requerir certificados de cliente, vea la sección Seguridad en este tema.

  11. Abra una sesión del explorador en un dispositivo cliente. Para obtener más información acerca de los dispositivos y exploradores admitidos, vea el tema Compatibilidad con exploradores y dispositivos cliente en este documento.

  12. Abra el nuevo sitio web de Windows PowerShell Web Access, https://<nombre_servidor_puerta_enlace>/pswa.

    El explorador debería mostrar la página de inicio de sesión de la consola de Windows PowerShell Web Access.

    noteNota
    No podrá iniciar sesión hasta que se haya concedido a los usuarios acceso al sitio web mediante la adición de reglas de autorización.

  13. En una sesión de Windows PowerShell abierta con permisos del usuario elevados (Ejecutar como administrador), ejecute el siguiente script, en el que application_pool_name representa el nombre del grupo de aplicaciones creado en el paso 3, para conceder al grupo de aplicaciones derechos de acceso en el archivo de autorización.

    $applicationPoolName = "<application_pool_name>"
    $authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
    c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null
    

    Para ver los derechos de acceso existentes en el archivo de autorización, ejecute el siguiente comando:

    c:\windows\system32\icacls.exe $authorizationFile
    

  1. Abra la consola del Administrador de IIS mediante uno de los siguientes procedimientos.

    • En el escritorio de Windows, haga clic en Administrador del servidor en la barra de tareas de Windows para iniciar el Administrador de servidores. En el menú Herramientas del Administrador de servidores, haga clic en Administrador de Internet Information Services (IIS).

    • En la pantalla Inicio de Windows, escriba cualquier parte del nombre Administrador de Internet Information Services (IIS). Haga clic en el acceso directo cuando se muestre en los resultados de Aplicaciones.

  2. En el panel del árbol del Administrador de IIS, expanda el nodo del servidor en el que está instalado Windows PowerShell Web Access hasta que aparezca la carpeta Sitios. Seleccione la carpeta Sitios.

  3. En el panel Acciones, haga clic en Agregar sitio web.

  4. Escriba un nombre para el sitio web, como Windows PowerShell Web Access.

  5. Se creará automáticamente un grupo de aplicaciones para el nuevo sitio web. Para usar un grupo de aplicaciones diferente, haga clic en Seleccionar para seleccionar un grupo de aplicaciones para asociarlo con el nuevo sitio web. Seleccione el grupo de aplicaciones alternativo en el cuadro de diálogo Seleccionar grupo de aplicaciones y, a continuación, haga clic en Aceptar.

  6. En el cuadro de texto Ruta de acceso física, navegue a %windir%/Web/PowerShellWebAccess/wwwroot.

  7. En el campo Tipo del área Enlace, seleccione https.

  8. Asigne al sitio web un número de puerto que no esté en uso por otro sitio o aplicación. Para encontrar puertos abiertos, puede ejecutar el comando netstat en una ventana del símbolo del sistema. El número de puerto predeterminado es 443.

    Cambie el puerto predeterminado si otro sitio web ya está usando el 443 o por algún otro motivo de seguridad. Si otro sitio web que se ejecuta en el servidor de puerta de enlace está usando el puerto seleccionado, se mostrará una advertencia cuando haga clic en Aceptar en el cuadro de diálogo Agregar sitio web. Debe usar un puerto que no esté en uso para ejecutar Windows PowerShell Web Access.

  9. De forma opcional, si es necesario en su organización, especifique un nombre de host que tenga sentido para la organización y los usuarios, como www.contoso.com. Haga clic en Aceptar.

  10. En un entorno de producción más seguro, se recomienda encarecidamente proporcionar un certificado válido firmado por una CA. Debe proporcionar un certificado SSL, porque los usuarios solo se pueden conectar a Windows PowerShell Web Access a través de un sitio web HTTPS. Vea el procedimiento Para configurar un certificado SSL en el Administrador de IIS en este tema para obtener más información acerca de cómo obtener un certificado.

  11. Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar sitio web.

  12. En una sesión de Windows PowerShell abierta con permisos del usuario elevados (Ejecutar como administrador), ejecute el siguiente script, en el que application_pool_name representa el nombre del grupo de aplicaciones creado en el paso 4, para conceder al grupo de aplicaciones derechos de acceso en el archivo de autorización.

    $applicationPoolName = "<application_pool_name>"
    $authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
    c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null
    

    Para ver los derechos de acceso existentes en el archivo de autorización, ejecute el siguiente comando:

    c:\windows\system32\icacls.exe $authorizationFile
    
  13. Con el nuevo sitio web seleccionado en el panel del árbol del Administrador de IIS, haga clic en Inicio en el panel Acciones para iniciar el sitio web.

  14. Abra una sesión del explorador en un dispositivo cliente. Para obtener más información acerca de los dispositivos y exploradores admitidos, vea el tema Compatibilidad con exploradores y dispositivos cliente en este documento.

  15. Abra el nuevo sitio web de Windows PowerShell Web Access.

    Puesto que el sitio web raíz apunta a la carpeta Windows PowerShell Web Access, el explorador debería mostrar la página de inicio de sesión de Windows PowerShell Web Access cuando abra https://<nombre_servidor_puerta_enlace>. No será necesario que agregue /pswa a la dirección URL.

    noteNota
    No podrá iniciar sesión hasta que se haya concedido a los usuarios acceso al sitio web mediante la adición de reglas de autorización.

  1. En el panel del árbol del Administrador de IIS, seleccione el servidor en el que está instalado Windows PowerShell Web Access.

  2. En el panel de contenido, haga doble clic en Certificados de servidor.

  3. En el panel Acciones, realice una de las acciones siguientes. Para obtener más información acerca de la configuración de certificados de servidor en IIS, vea el tema sobre la configuración de certificados de servidor en IIS 7.

    • Haga clic en Importar para importar un certificado válido existente desde una ubicación de la red.

    • Haga clic en Crear una solicitud de certificado para solicitar un certificado de una CA, como VeriSign™, Thawte o GeoTrust®. El nombre común del certificado debe coincidir con el encabezado host de la solicitud. Por ejemplo, si el explorador del cliente solicita http://www.contoso.com/, el nombre común también deberá ser http://www.contoso.com/. Esta es la opción más segura y recomendada para proporcionar la puerta de enlace de Windows PowerShell Web Access con un certificado.

    • Haga clic en Crear un certificado autofirmado para crear un certificado para usarlo inmediatamente y, más tarde, hágalo firmar por una CA, si lo desea. Especifique un nombre descriptivo para el certificado autofirmado, como Windows PowerShell Web Access. Esta opción no se considera segura y solo se recomienda para un entorno de prueba privado.

  4. Una vez creado u obtenido el certificado, seleccione el sitio web al que se aplicará (por ejemplo, Sitio web predeterminado) en el panel del árbol del Administrador de IIS y, a continuación, haga clic en Enlaces en el panel Acciones.

  5. En el cuadro de diálogo Agregar enlace de sitio, agregue un enlace https para el sitio, si aún no se muestra ninguno. Si no usa un certificado autofirmado, especifique el nombre de host del paso 3 de este procedimiento. Si usa un certificado autofirmado, este paso no es necesario.

  6. Seleccione el certificado obtenido o creado en el paso 3 de este procedimiento y, a continuación, haga clic en Aceptar.

Una vez instalado Windows PowerShell Web Access y configurada la puerta de enlace, los usuarios podrán abrir la página de inicio de sesión en un explorador, pero no podrán iniciar sesión hasta que el administrador de Windows PowerShell Web Access les conceda acceso de manera explícita. El control de acceso de Windows PowerShell Web Access se administra mediante el conjunto de cmdlets de Windows PowerShell descrito en la siguiente tabla. No existe una GUI comparable para agregar o administrar reglas de autorización. Para obtener información más detallada sobre los cmdlets de Windows PowerShell Web Access, vea los temas de Ayuda de cmdlets cuyos vínculos se proporcionan en la siguiente tabla o lea el tema principal sobre los cmdlets de Windows PowerShell Web Access.

Los administradores pueden definir entre 0 y n reglas de autenticación para Windows PowerShell Web Access. La seguridad predeterminada es restrictiva más que permisiva; si no se define ninguna regla de autenticación, ningún usuario tendrá acceso a ningún sitio.

Las reglas de autenticación de Windows PowerShell Web Access son reglas de lista blanca. Cada regla es una definición de una conexión permitida entre usuarios, equipos de destino y configuraciones de sesión de Windows PowerShell determinadas (también denominadas extremos o espacios de ejecución) en equipos de destino especificados.

securitySeguridad Nota
Un usuario solo necesita que una regla sea verdadera para obtener el acceso. Si a un usuario se le concede acceso a un equipo con acceso de lenguaje completo o acceso únicamente a los cmdlets de administración remota de Windows PowerShell, desde la consola basada en web, el usuario puede iniciar sesión (o saltar) en otros equipos conectados al primer equipo de destino. El modo más seguro de configurar Windows PowerShell Web Access consiste en permitir a los usuarios acceder únicamente a configuraciones de sesión restringidas (también denominadas extremos o espacios de ejecución) que les permitan llevar a cabo tareas específicas que, por lo general, deben realizar de forma remota.

 

Nombre Descripción Parámetros

Add-PswaAuthorizationRule

Agrega una nueva regla de autorización al conjunto de reglas de autorización de Windows PowerShell Web Access.

  • ComputerGroupName

  • ComputerName

  • ConfigurationName

  • RuleName

  • UserGroupName

  • UserName

Remove-PswaAuthorizationRule

Quita una regla de autorización especificada de Windows PowerShell Web Access.

  • Id

  • RuleName

Get-PswaAuthorizationRule

Devuelve un conjunto de reglas de autorización de Windows PowerShell Web Access. Cuando se usa sin parámetros, el cmdlet devuelve todas las reglas.

  • Id

  • RuleName

Test-PswaAuthorizationRule

Evalúa las reglas de autorización para determinar si una solicitud de acceso de usuario, equipo o configuración de sesión específica tiene autorización. De manera predeterminada, si no se agrega ningún parámetro, el cmdlet evalúa todas las reglas de autorización. Mediante la adición de parámetros, los administradores pueden especificar que se pruebe una regla de autorización o un subconjunto de reglas.

  • ComputerName

  • ConfigurationName

  • RuleName

  • UserName

Los cmdlets anteriores crean un conjunto de reglas de acceso que se usan para autorizar a un usuario en la puerta de enlace de Windows PowerShell Web Access. Las reglas difieren de las listas de control de acceso (ACL) en el equipo de destino y proporcionan un nivel de seguridad adicional para el acceso web. En la siguiente sección, se proporcionan más detalles sobre la seguridad.

Si los usuarios no pueden pasar alguno de los niveles de seguridad anteriores, recibirán un mensaje de “acceso denegado” genérico en la ventana del explorador. Si bien los detalles de seguridad se registran en el servidor de puerta de enlace, los usuarios finales no verán ninguna información acerca de cuántos niveles de seguridad pasaron ni en qué nivel se produjo el error de autenticación o de inicio de sesión.

Para obtener más información acerca de la configuración de las reglas de autorización, vea la sección Configuración de reglas de autorización en este tema.

El modelo de seguridad de Windows PowerShell Web Access tiene cuatro niveles entre un usuario final de la consola basada en web y un equipo de destino. Los administradores de Windows PowerShell Web Access pueden agregar niveles de seguridad mediante configuración adicional en la consola del Administrador de IIS. Para obtener más información acerca de la protección de sitios web en la consola del Administrador de IIS, vea el tema sobre cómo configurar la seguridad de Servidor web (IIS 7). Para obtener más información acerca de los procedimientos recomendados de IIS y la prevención de ataques por denegación de servicio, vea el tema sobre los procedimientos recomendados para prevenir ataques por denegación de servicio (ataque DoS). Los administradores también pueden comprar e instalar software de autenticación de venta minorista adicional.

En la siguiente tabla, se describen los cuatro niveles de seguridad entre los usuarios finales y los equipos de destino.

 

Orden Nivel Descripción

1

Características de seguridad de Servidor web (IIS), como la autenticación de certificados de cliente

Los usuarios de Windows PowerShell Web Access siempre deben proporcionar un nombre de usuario y una contraseña para autenticar sus cuentas en la puerta de enlace. No obstante, los administradores de Windows PowerShell Web Access también pueden activar y desactivar la autenticación de certificados de cliente opcional (vea el paso 10 del procedimiento Para usar el Administrador de IIS para configurar la puerta de enlace en un sitio web existente en este documento). La característica de certificado de cliente opcional, que forma parte de la configuración de Servidor web (IIS), requiere que los usuarios finales tengan un certificado de cliente válido, además de sus nombres de usuario y contraseñas. Cuando el nivel de certificado de cliente está habilitado, en la página de inicio de sesión de Windows PowerShell Web Access se pide a los usuarios que proporcionen certificados válidos para poder evaluar sus credenciales de inicio de sesión. La autenticación de certificados de cliente comprueba automáticamente si existe un certificado de cliente.

Si no se encuentra un certificado válido, Windows PowerShell Web Access notifica a los usuarios para que ellos proporcionen el certificado. En el caso de que sí se encuentre uno, Windows PowerShell Web Access abre la página de inicio de sesión para que los usuarios proporcionen sus nombres de usuario y contraseñas.

Este es un ejemplo de una configuración de seguridad adicional proporcionada por Servidor web (IIS). Para obtener más información acerca de otras características de seguridad de IIS, vea el tema sobre cómo configurar la seguridad de Servidor web (IIS 7).

2

Autenticación de puerta de enlace basada en formularios de Windows PowerShell Web Access

La página de inicio de sesión de Windows PowerShell Web Access requiere un conjunto de credenciales (nombre de usuario y contraseña) y ofrece a los usuarios la opción de proporcionar distintas credenciales para el equipo de destino. Si el usuario no proporciona credenciales alternativas, el nombre de usuario y la contraseña principales usados para la conexión con la puerta de enlace también se usarán para la conexión con el equipo de destino.

Las credenciales requeridas se autentican en la puerta de enlace de Windows PowerShell Web Access. Estas credenciales deben ser cuentas de usuario válidas en el servidor de puerta de enlace de Windows PowerShell Web Access local o en Active Directory®.

Una vez autenticado un usuario en la puerta de enlace, Windows PowerShell Web Access comprueba las reglas de autorización para averiguar si el usuario tiene acceso al equipo de destino solicitado. Una vez completada la autorización correctamente, las credenciales del usuario se pasan al equipo de destino.

3

Reglas de autorización de Windows PowerShell Web Access

Una vez autenticado un usuario en la puerta de enlace, Windows PowerShell Web Access comprueba las reglas de autorización para averiguar si el usuario tiene acceso al equipo de destino solicitado. Una vez completada la autorización correctamente, las credenciales del usuario se pasan al equipo de destino.

Estas reglas solo se evalúan una vez que la puerta de enlace ha autenticado al usuario y antes de que el usuario pueda autenticarse en el equipo de destino.

4

Reglas de autorización y autenticación de destino

El nivel de seguridad final de Windows PowerShell Web Access es la configuración de seguridad propia del equipo de destino. Los usuarios deben tener configurados los derechos de acceso correspondientes en el equipo de destino, y en la reglas de autorización de Windows PowerShell Web Access, para ejecutar una consola de Windows PowerShell basada en web que afecte a un equipo de destino mediante Windows PowerShell Web Access.

Este nivel ofrece los mismos mecanismos de seguridad que evaluarían los intentos de conexión si los usuarios intentaran crear una sesión de Windows PowerShell remota en un equipo de destino desde Windows PowerShell mediante la ejecución de los cmdlets Enter-PSSession o New-PSSession.

De manera predeterminada, Windows PowerShell Web Access usa el nombre de usuario y la contraseña principales para la autenticación, tanto en la puerta de enlace como en el equipo de destino. La página de inicio de sesión basada en web, en una sección titulada Configuración de conexión opcional, ofrece a los usuarios la opción de proporcionar distintas credenciales para el equipo de destino, en caso de que sean necesarias. Si el usuario no proporciona credenciales alternativas, el nombre de usuario y la contraseña principales usados para la conexión con la puerta de enlace también se usarán para la conexión con el equipo de destino.

Las reglas de autorización se pueden usar para conceder a los usuarios acceso a una configuración de sesión determinada. Puede crear configuraciones de sesión o espacios de ejecución restringidos para Windows PowerShell Web Access y permitir a usuarios específicos conectarse únicamente a configuraciones de sesión determinadas cuando inician sesión en Windows PowerShell Web Access. Puede usar listas de control de acceso (ACL) para determinar qué usuarios tendrán acceso a extremos específicos y para restringir aún más el acceso al extremo para un conjunto específico de usuarios mediante las reglas de autorización descritas en esta sección. Para obtener más información acerca de los espacios de ejecución restringidos, vea el tema sobre los espacios de ejecución restringidos en MSDN.

Es probable que los administradores deseen usar para los usuarios de Windows PowerShell Web Access la misma regla de autorización que ya está definida en su entorno para la administración remota de Windows PowerShell. El primer procedimiento de esta sección describe cómo agregar una regla de autorización segura que conceda acceso a un usuario que inicia sesión para administrar un equipo dentro de una sola configuración de sesión. El segundo procedimiento describe cómo quitar una regla de autorización que ya no se necesita.

Si planea usar configuraciones de sesión personalizadas para permitir a usuarios específicos trabajar solo dentro de espacios de ejecución restringidos en Windows PowerShell Web Access, cree sus propias configuraciones de sesión personalizadas antes de agregar reglas de autorización que hagan referencia a ellas. No se pueden usar los cmdlets de Windows PowerShell Web Access para crear configuraciones de sesión personalizadas. Para obtener más información sobre la creación de configuraciones de sesión personalizadas, vea el tema acerca de los archivos de configuración de sesión en MSDN.

Los cmdlets de Windows PowerShell Web Access admiten un carácter comodín: el asterisco (*). No se admiten los caracteres comodín dentro de las cadenas. Use un solo asterisco por propiedad (usuarios, equipos o configuraciones de sesión).

  1. Realice uno de los siguientes procedimientos para abrir una sesión de Windows PowerShell con permisos del usuario elevados.

    • En el escritorio de Windows, haga clic con el botón secundario en Windows PowerShell en la barra de tareas y, a continuación, haga clic en Ejecutar como administrador.

    • En la pantalla Inicio de Windows, haga clic con el botón secundario en Windows PowerShell y, a continuación, haga clic en Ejecutar como administrador.

  2. Paso opcional para restringir el acceso del usuario mediante configuraciones de sesión: compruebe que las configuraciones de sesión que desea usar en las reglas ya existan. Si aún no se han creado, use las instrucciones para crear configuraciones de sesión proporcionadas en el tema acerca de los archivos de configuración de sesión en MSDN.

  3. Escriba lo siguiente y, a continuación, presione Entrar.

    Add-PswaAuthorizationRule –UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <nombre_configuración_sesión>
    

    Esta regla de autorización concede a un usuario específico acceso a un equipo de la red al que tiene acceso normalmente, con acceso a una configuración de sesión determinada en el ámbito de las necesidades de cmdlet y scripting típicas del usuario. En el siguiente ejemplo, se concede acceso a un usuario llamado JSmith en el dominio Contoso para administrar el equipo Contoso_214 y usar una configuración de sesión llamada NewAdminsOnly.

    Add-PswaAuthorizationRule –UserName Contoso\JSmith -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly
    
  4. Compruebe que la regla se haya creado mediante la ejecución del cmdlet Get-PswaAuthorizationRule.

noteNota
Para conocer otros modos en que puede usar las reglas de autorización para conceder acceso a los usuarios y ayudar a proteger el entorno de Windows PowerShell Web Access, vea la sección Ejemplos de otros escenarios de reglas de autorización en este tema.

  1. Si aún no tiene abierta una sesión de Windows PowerShell, vea el paso 1 del procedimiento Para agregar una regla de autorización no restrictiva en esta sección.

  2. Escriba lo siguiente y, a continuación, presione Entrar, donde identificador de regla representa el número de identificación único de la regla que desea quitar.

    Remove-PswaAuthorizationRule -ID <identificador de regla>
    

    Como alternativa, si no conoce el número de identificación, pero conoce el nombre descriptivo de la regla que desea quitar, puede obtener el nombre y canalizarlo en el cmdlet Remove-PswaAuthorizationRule para quitarla, como se muestra en el siguiente ejemplo: Get-PswaAuthorizationRule -RuleName <nombre de la regla> | Remove-PswaAuthorizationRule.

    noteNota
    No se le pedirá confirmación para eliminar la regla de autorización especificada; esta se eliminará al presionar Entrar. Asegúrese de que realmente desea quitar la regla antes de ejecutar el cmdlet Remove-PswaAuthorizationRule.

Cada sesión de Windows PowerShell usa una configuración de sesión. Si esta no se especifica para una sesión, Windows PowerShell usa la configuración de sesión de Windows PowerShell integrada predeterminada, que se llama Microsoft.PowerShell. La configuración de sesión predeterminada incluye todos los cmdlets que se encuentran disponibles en un equipo. Los administradores pueden restringir el acceso a todos los equipos mediante la definición de una configuración de sesión con un espacio de ejecución restringido (una variedad limitada de cmdlets y tareas que los usuarios finales pueden realizar). Un usuario al que se le concede acceso a un equipo con acceso de lenguaje completo o acceso únicamente a los cmdlets de administración remota de Windows PowerShell puede conectarse a otros equipos conectados al primer equipo. La definición de un espacio de ejecución restringido puede impedir que los usuarios obtengan acceso a otros equipos desde su espacio de ejecución de Windows PowerShell permitido e incrementa la seguridad del entorno de Windows PowerShell Web Access. La configuración de sesión puede distribuirse (mediante la directiva de grupo) a todos los equipos que los administradores deseen poner a disposición a través de Windows PowerShell Web Access. Para obtener más información sobre las configuraciones de sesión, vea el tema acerca de las configuraciones de sesión. A continuación, se proporcionan algunos ejemplos de este escenario.

  • Un administrador crea un extremo, llamado PswaEndpoint, con un espacio de ejecución restringido. A continuación, crea una regla, *,*,PswaEndpoint, y distribuye el extremo a otros equipos. La regla permite a todos los usuarios obtener acceso a todos los equipos con el extremo PswaEndpoint. Si esta es la única regla de autorización definida en el conjunto de reglas, no se podrá obtener acceso a los equipos que no tengan ese extremo.

  • Un administrador creó un extremo con un espacio de ejecución restringido, llamado PswaEndpoint, y desea restringir el acceso a usuarios específicos. Entonces, crea un grupo de usuarios, llamado Level1Support, y define la siguiente regla: Level1Support,*,PswaEndpoint. La regla concede a cualquier usuario del grupo Level1Support acceso a todos los equipos con la configuración PswaEndpoint. De modo semejante, se puede restringir el acceso a un conjunto específico de equipos.

  • Algunos administradores proporcionan a determinados usuarios más acceso que a otros. Por ejemplo, un administrador crea dos grupos de usuarios, Admins y BasicSupport. También crea un extremo con un espacio de ejecución restringido, llamado PswaEndpoint, y define las dos reglas siguientes: Admins,*,* y BasicSupport,*,PswaEndpoint. La primera regla proporciona a todos los usuarios del grupo Admins acceso a todos los equipos y la segunda regla proporciona a todos los usuarios del grupo BasicSupport acceso únicamente a los equipos con PswaEndpoint.

  • Un administrador ha configurado un entorno de prueba privado y desea conceder a todos los usuarios de red autorizados acceso a todos los equipos de la red a los que tienen acceso normalmente, con acceso a todas las configuraciones de sesión a las que tienen acceso normalmente. Como se trata de un entorno de prueba privado, el administrador crea una regla de autorización que no es segura. Ejecuta el cmdlet Add-PswaAuthorizationRule * * *, que usa el carácter comodín * para representar todos los usuarios, todos los equipos y todas las configuraciones. Esta regla equivale a lo siguiente: Add-PswaAuthorizationRule –UserName * -ComputerName * -ConfigurationName *.

    securitySeguridad Nota
    Esta regla no se recomienda en un entorno seguro, ya que omite el nivel de seguridad de reglas de autorización proporcionado por Windows PowerShell Web Access.

  • Un administrador debe permitir a los usuarios conectarse a los equipos de destino en un entorno que incluye tanto grupos de trabajo como dominios, en el que los equipos de los grupos de trabajo ocasionalmente se usan para conectar con equipos de destino de los dominios, y los equipos de los dominios ocasionalmente se usan para conectar con equipos de destino de los grupos de trabajo. El administrador tiene un servidor de puerta de enlace, llamado PswaServer, en un grupo de trabajo, y el equipo de destino srv1.contoso.com se encuentra en un dominio. El usuario Chris es un usuario local autorizado tanto en el servidor de puerta de enlace del grupo de trabajo como en el equipo de destino. Su nombre de usuario en el servidor del grupo de trabajo es chrisLocal y su nombre de usuario en el equipo de destino es contoso\chris. Para autorizar el acceso de Chris a srv1.contoso.com, el administrador agrega la regla siguiente.

    Add-PswaAuthorizationRule –userName PswaServer\chrisLocal –computerName srv1.contoso.com –configurationName Microsoft.PowerShell
    
    En el ejemplo de regla anterior, se autentica a Chris en el servidor de puerta de enlace y, a continuación, se autoriza su acceso a srv1. En la página de inicio de sesión, Chris debe proporcionar un segundo conjunto de credenciales en el área Configuración de conexión opcional (contoso\chris). El servidor de puerta de enlace usa el conjunto de credenciales adicional para autenticarlo en el equipo de destino, srv1.contoso.com.

    En el escenario anterior, Windows PowerShell Web Access solo establecerá una conexión correcta con el equipo de destino una vez que se hayan completado correctamente los siguientes procesos (y estos se hayan permitido mediante una regla de autorización como mínimo).

    1. Autenticación en el servidor de puerta de enlace del grupo de trabajo mediante la adición de un nombre de usuario, con el formato nombre_servidor\nombre_usuario, a la regla de autorización

    2. Autenticación en el equipo cliente mediante credenciales alternativas proporcionadas en la página de inicio de sesión, en el área Configuración de conexión opcional

    noteNota
    Si los equipos de destino y de la puerta de enlace se encuentran en grupos de trabajo o dominios diferentes, se debe establecer una relación de confianza entre los dos equipos del grupo de trabajo, entre los dos dominios o entre el grupo de trabajo y el dominio. Esta relación no se puede configurar mediante los cmdlets de reglas de autorización de Windows PowerShell Web Access. Las reglas de autorización no definen una relación de confianza entre equipos; solo pueden autorizar a los usuarios para que se conecten a equipos de destino y configuraciones de sesión específicos. Para obtener más información sobre el modo de configurar una relación de confianza entre dominios diferentes, vea el tema acerca de cómo crear confianzas de dominio y de bosque. Para obtener más información sobre el modo de agregar equipos del grupo de trabajo a una lista de hosts de confianza, vea el tema sobre la administración remota con el Administrador del servidor.

Las reglas de autorización se almacenan en un archivo XML. De manera predeterminada, el nombre de ruta de acceso del archivo XML es %windir%\Web\PowershellWebAccess\data\AuthorizationRules.xml.

La ruta de acceso al archivo XML de reglas de autorización se almacena en el archivo powwa.config, que se encuentra en %windir%\Web\PowershellWebAccess\data. El administrador posee la flexibilidad de cambiar la referencia a la ruta de acceso predeterminada en powwa.config para satisfacer sus propias preferencias o para cumplir con requisitos. Al permitir al administrador cambiar la ubicación del archivo, se permite que varias puertas de enlace de Windows PowerShell Web Access usen las mismas reglas de autorización, en el caso de que se desee este tipo de configuración.

De manera predeterminada, Windows PowerShell Web Access limita a los usuarios a tres sesiones por vez. Puede editar el archivo web.config de la aplicación web en el Administrador de IIS para admitir un número diferente de sesiones por usuario. La ruta de acceso al archivo web.config es $Env:Windir\Web\PowerShellWebAccess\wwwroot\Web.config.

De manera predeterminada, Servidor web (IIS) está configurado para reiniciar el grupo de aplicaciones si se edita alguna configuración. Por ejemplo, el grupo de aplicaciones se reiniciará si se realizan cambios en el archivo web.config. Puesto que Windows PowerShell Web Access usa estados de sesión en memoria, los usuarios con sesiones de Windows PowerShell Web Access iniciadas las perderán cuando se reinicie el grupo de aplicaciones.

Las sesiones de Windows PowerShell Web Access tienen tiempo de espera. Se muestra un mensaje de tiempo de espera agotado cuando los usuarios conectados no han realizado ninguna actividad en la sesión por 15 minutos. Si el usuario no responde dentro de los cinco minutos posteriores al envío del mensaje, la sesión del usuario se cerrará. Puede cambiar los períodos de tiempo de espera de las sesiones en la configuración del sitio web en el Administrador de IIS.

Una vez instalado Windows PowerShell Web Access y completada la configuración de la puerta de enlace como se describe en este tema, la consola de Windows PowerShell basada en web estará lista para usarse. Para obtener más información de introducción a la consola basada en web, vea el tema sobre el Uso de la consola de Windows PowerShell basada en web.

En la siguiente tabla, se identifican algunos problemas comunes que pueden experimentar los usuarios cuando intentan conectarse a un equipo remoto mediante Windows PowerShell Web Access y se incluyen sugerencias para resolverlos.

 

Problema Causa y solución posibles

Error de inicio de sesión

El error puede producirse por uno de los siguientes motivos.

  • Una regla de autorización que concede al usuario acceso al equipo, o a una configuración de sesión específica en un equipo remoto, no existe. La seguridad de Windows PowerShell Web Access es restrictiva. Se debe conceder a los usuarios acceso a los equipos remotos de manera explícita mediante reglas de autorización. Para obtener más información acerca de la creación de reglas de autorización, vea la sección sobre Paso 3: Configurar las reglas de autorización y la seguridad del sitio en este tema.

  • El usuario no tiene acceso autorizado al equipo de destino. Este se determina mediante listas de control de acceso (ACL). Para obtener más información, vea "Iniciar sesión en Windows PowerShell Web Access” en el tema sobre el Uso de la consola de Windows PowerShell basada en web o visite el blog del equipo de Windows PowerShell.

    • Es posible que la administración remota de Windows PowerShell no esté habilitada en el equipo de destino. Compruebe que esté habilitada en el equipo al que intenta conectarse el usuario. Para obtener más información, vea "Procedimientos para configurar el equipo para la comunicación remota” en el tema acerca de los requisitos de la comunicación remota en los temas de Ayuda conceptual de Windows PowerShell.

Cuando los usuarios intentan iniciar sesión en Windows PowerShell Web Access en una ventana de Internet Explorer, aparecerá la página Error interno del servidor, o bien Internet Explorer dejará de responder. Este problema es específico de Internet Explorer.

Esto puede ocurrir si el usuario ha iniciado sesión con un nombre de dominio que contiene caracteres en chino o si el nombre del servidor de puerta de enlace contiene uno o más caracteres en este idioma. Para solucionar este problema, el usuario debe instalar y ejecutar Internet Explorer 10 y, a continuación, llevar a cabo los siguientes pasos.

  1. Cambie la configuración Modo de documento de Internet Explorer a Estándares de IE10.

    1. Presione F12 para abrir la consola Herramientas de desarrollo.

    2. En Internet Explorer 10, haga clic en Modo de explorador y, a continuación, seleccione Internet Explorer 10.

    3. Haga clic en Modo de documento y, a continuación, en Estándares de IE10.

    4. Vuelva a presionar F12 para cerrar la consola Herramientas de desarrollo.

  2. Deshabilite la configuración automática de servidor proxy.

    1. En Internet Explorer 10, haga clic en Herramientas y, a continuación, en Opciones de Internet.

    2. En el cuadro de diálogo Opciones de Internet, en la pestaña Conexiones, haga clic en Configuración de LAN.

    3. Desactive la casilla Detectar la configuración automáticamente. Haga clic en Aceptar y, de nuevo, en Aceptar para cerrar el cuadro de diálogo Opciones de Internet.

Error al conectarse a un equipo de grupo de trabajo remoto

Si el equipo de destino pertenece a un grupo de trabajo, use la siguiente sintaxis para proporcionar su nombre de usuario e iniciar sesión en el equipo: <nombre_grupo_trabajo>\<nombre_usuario>

No se encuentran las herramientas de administración de Servidor web (IIS) (aún cuando está instalado el rol)

Si instaló Windows PowerShell Web Access mediante el cmdlet Install-WindowsFeature, las herramientas de administración no se habrán instalado a menos que haya agregado el parámetro IncludeManagementTools al cmdlet. Para obtener un ejemplo, vea el procedimiento Para instalar Windows PowerShell Web Access mediante cmdlets de Windows PowerShell en este tema. Puede agregar la consola del Administrador de IIS y otras herramientas de administración de IIS que necesite; para ello, debe seleccionarlas en una sesión del Asistente para agregar roles y características destinada al servidor de puerta de enlace. El Asistente para agregar roles y características se abre desde el Administrador de servidores.

No se puede obtener acceso al sitio web de Windows PowerShell Web Access

Si la opción Configuración de seguridad mejorada está habilitada en Internet Explorer (IE ESC), puede agregar el sitio web de Windows PowerShell Web Access a la lista de sitios de confianza, o bien puede deshabilitar IE ESC. Puede deshabilitar IE ESC en la página de propiedades del servidor local en el Administrador de servidores.

Se muestra el siguiente mensaje de error al intentar establecer la conexión si el servidor de puerta de enlace es el equipo de destino y, además, se encuentra en un grupo de trabajo: Error de autorización. Compruebe que está autorizado para establecer conexión con el equipo de destino.

En una situación como esta, especifique el nombre de usuario, el nombre de equipo y el nombre del grupo de usuarios, tal como se muestra en la siguiente tabla. No use un punto (.) solo para representar el nombre de equipo.

 

Escenario Parámetro UserName Parámetro UserGroup Parámetro ComputerName Parámetro ComputerGroup

El servidor de puerta de enlace se encuentra en un dominio

Nombre_servidor\nombre_usuario, Localhost\nombre_usuario o .\nombre_usuario

Nombre_servidor\grupo_usuarios, Localhost\grupo_usuarios o .\grupo_usuarios

Nombre completo del servidor de puerta de enlace o localhost

Nombre_servidor\grupo_equipos, Localhost\grupo_equipos o .\grupo_equipos

El servidor de puerta de enlace se encuentra en un grupo de trabajo

Nombre_servidor\nombre_usuario, Localhost\nombre_usuario o .\nombre_usuario

Nombre_servidor\grupo_usuarios, Localhost\grupo_usuarios o .\grupo_usuarios

Nombre del servidor

Nombre_servidor\grupo_equipos, Localhost\grupo_equipos o .\grupo_equipos

Inicie sesión en un servidor de puerta de enlace como equipo de destino con credenciales que tengan uno de los siguientes formatos.

  • Nombre_servidor\nombre_usuario

  • Localhost\nombre_usuario

  • .\nombre_usuario

En las reglas de autorización se muestra un identificador de seguridad (SID) en lugar de la sintaxis nombre_usuario/computer_name

La regla ya no es válida o se produjo un error en la consulta de Servicios de dominio de Active Directory. Por lo general, una regla de autorización no es válida en escenarios donde el servidor de puerta de enlace en algún momento perteneció a un grupo de trabajo, pero más tarde se unió a un dominio.

No puede iniciar sesión en un equipo de destino que se ha especificado en las reglas de autorización como una dirección IPv6 con un dominio.

Las reglas de autorización no admiten direcciones IPv6 en forma de nombre de dominio. Para especificar un equipo de destino mediante una dirección IPv6, use la dirección IPv6 original (que contiene caracteres de dos puntos) en la regla de autorización. Tanto las direcciones IPv6 de dominio como las numéricas (con caracteres de dos puntos) se admiten como nombre del equipo de destino en la página de inicio de sesión de Windows PowerShell Web Access, pero no en las reglas de autorización. Para obtener más información sobre las direcciones IPv6, vea el tema acerca de cómo funciona IPv6.

Siga los pasos de esta sección para eliminar la aplicación y el sitio web de Windows PowerShell Web Access mediante la consola del Administrador de IIS y, a continuación, desinstale la característica Windows PowerShell Web Access. Antes de comenzar, notifique a los usuarios de la consola basada en web de que quitará el sitio web.

Antes de desinstalar Windows PowerShell Web Access del servidor de puerta de enlace, ejecute el cmdlet Uninstall-PswaWebApplication para quitar el sitio web y las aplicaciones web de Windows PowerShell Web Access, o bien use el procedimiento del Administrador de IIS, Para eliminar el sitio web y las aplicaciones web de Windows PowerShell Web Access mediante el Administrador de IIS.

noteNota
El cmdlet Uninstall-PSwaWebApplication aún no se encuentra disponible en esta versión de Windows Server 2012. En su lugar, use el procedimiento del Administrador de IIS, Para eliminar el sitio web y las aplicaciones web de Windows PowerShell Web Access mediante el Administrador de IIS, para quitar el sitio web y las aplicaciones web antes de desinstalar la característica Windows PowerShell Web Access del servidor de puerta de enlace.

Al desinstalar Windows PowerShell Web Access, no se desinstalan IIS ni las demás características que se instalaron automáticamente porque eran necesarias para la ejecución de Windows PowerShell Web Access. El proceso de desinstalación deja instaladas las características de las cuales dependía Windows PowerShell Web Access. Si necesita desinstalarlas, puede hacerlo de manera individual.

  1. Realice uno de los siguientes procedimientos para abrir una sesión de Windows PowerShell.

    • En el escritorio de Windows, haga clic con el botón secundario en Windows PowerShell en la barra de tareas.

    • En la pantalla Inicio de Windows, haga clic en Windows PowerShell.

  2. Escriba Uninstall-PswaWebApplication y, a continuación, presione Entrar.

  3. Si usa un certificado de prueba, agregue el parámetro DeleteTestCertificate al cmdlet, como se muestra en el siguiente ejemplo.

    Uninstall-PswaWebApplication -DeleteTestCertificate
    

  1. Si el Administrador de servidores ya se ha abierto, vaya al siguiente paso. Si todavía no se ha abierto el Administrador de servidores, ábralo mediante una de las siguientes acciones.

    • En el escritorio de Windows, haga clic en Administrador del servidor en la barra de tareas de Windows para iniciar el Administrador de servidores.

    • En la pantalla Inicio de Windows, haga clic en Administrador del servidor.

  2. En el menú Administrar, haga clic en Quitar roles y funciones.

  3. En la página Seleccionar servidor de destino, seleccione el servidor o VHD sin conexión del cual desea quitar la característica. Para seleccionar un VHD sin conexión, primero seleccione el servidor en el que montará el VHD y, a continuación, seleccione el archivo VHD. Una vez seleccionado el servidor de destino, haga clic en Siguiente.

  4. Vuelva a hacer clic en Siguiente para ir directamente a la página Quitar características.

  5. Desactive la casilla Windows PowerShell Web Access y, a continuación, haga clic en Siguiente.

  6. En la página Confirmar selecciones de eliminación, haga clic en Quitar.

  7. Una vez finalizada la desinstalación, vaya al procedimiento Para eliminar el sitio web y las aplicaciones web de Windows PowerShell Web Access mediante el Administrador de IIS.

  1. Realice uno de los siguientes procedimientos para abrir una sesión de Windows PowerShell con permisos del usuario elevados. Si ya se ha abierto una sesión, vaya al siguiente paso.

    • En el escritorio de Windows, haga clic con el botón secundario en Windows PowerShell en la barra de tareas y, a continuación, haga clic en Ejecutar como administrador.

    • En la pantalla Inicio de Windows, haga clic con el botón secundario en Windows PowerShell y, a continuación, haga clic en Ejecutar como administrador.

  2. Escriba lo siguiente y, a continuación, presione Entrar, donde computer_name representa un servidor remoto del cual desea quitar Windows PowerShell Web Access. El parámetro –Restart reinicia automáticamente los servidores de destino, si es necesario para la eliminación.

    Uninstall-WindowsFeature –Name WindowsPowerShellWebAccess -ComputerName <computer_name> -Restart
    

    Para quitar roles y características de un VHD sin conexión, debe agregar los parámetros -ComputerName y -VHD. El parámetro -ComputerName contiene el nombre del servidor en el que se montará el VHD y el parámetro -VHD contiene la ruta de acceso al archivo VHD en el servidor especificado.

    Uninstall-WindowsFeature –Name WindowsPowerShellWebAccess –VHD <path> -ComputerName <computer_name> -Restart
    
  3. Para comprobar la eliminación de Windows PowerShell Web Access una vez finalizada, abra la página Todos los servidores del Administrador de servidores, seleccione un servidor del cual se haya quitado la característica y visualice el icono Roles y características en la página del servidor seleccionado. También puede ejecutar el cmdlet Get-WindowsFeature destinado al servidor seleccionado (Get-WindowsFeature -ComputerName <computer_name>) para ver una lista de los roles y las características instalados en el servidor.

  4. Una vez finalizada la desinstalación, vaya al procedimiento Para eliminar el sitio web y las aplicaciones web de Windows PowerShell Web Access mediante el Administrador de IIS.

  1. Abra la consola del Administrador de IIS mediante uno de los siguientes procedimientos. Si ya se ha abierto, vaya al siguiente paso.

    • En el escritorio de Windows, haga clic en Administrador del servidor en la barra de tareas de Windows para iniciar el Administrador de servidores. En el menú Herramientas del Administrador de servidores, haga clic en Administrador de Internet Information Services (IIS).

    • En la pantalla Inicio de Windows, escriba cualquier parte del nombre Administrador de Internet Information Services (IIS). Haga clic en el acceso directo cuando se muestre en los resultados de Aplicaciones.

  2. En el panel del árbol del Administrador de IIS, seleccione el sitio web que ejecuta la aplicación web Windows PowerShell Web Access.

  3. En el panel Acciones, en Administrar sitio web, haga clic en Detener.

  4. En el panel del árbol, haga clic con el botón secundario en la aplicación web del sitio web que ejecuta la aplicación web Windows PowerShell Web Access y, a continuación, haga clic en Quitar.

  5. En el panel del árbol, seleccione Grupos de aplicaciones, seleccione la carpeta del grupo de aplicaciones de Windows PowerShell Web Access, haga clic en Detener en el panel Acciones y, a continuación, haga clic en Quitar en el panel de contenido.

  6. Cierre el Administrador de IIS.

    noteNota
    El certificado no se elimina durante la desinstalación. Si creó un certificado autofirmado o usó un certificado de prueba y desea quitarlo, hágalo en el Administrador de IIS.

Consulte también

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

AGREGAR
Mostrar:
© 2014 Microsoft