Cara mengaktifkan negosiasi otentikasi untuk winrm


10

Saya telah menonaktifkan autentikasi negosiasi untuk layanan winrm di server saya dengan menjalankan:

winrm put winrm/config/service/Auth @{Negotiate="false"}

Dan sekarang saya dapat melakukan operasi apa pun dengan winrm. Saya mendapatkan kesalahan:

    Message = The WinRM client cannot process the request. The WinRM client trie
d to use Negotiate authentication mechanism, but the destination computer (local
host:47001) returned an 'access denied' error. Change the configuration to allow
 Negotiate authentication mechanism to be used or specify one of the authenticat
ion mechanisms supported by the server. To use Kerberos, specify the local compu
ter name as the remote destination. Also verify that the client computer and the
 destination computer are joined to a domain. To use Basic, specify the local co
mputer name as the remote destination, specify Basic authentication and provide
user name and password. Possible authentication mechanisms reported by server:

Saya mengerti kesalahannya, tetapi masalahnya adalah bahwa satu-satunya cara yang saya temukan di web untuk mengaktifkan Negosiasi otentikasi adalah dengan mengeksekusi:

winrm put winrm/config/service/Auth @{Negotiate="true"}

Yang tentu saja memberikan kesalahan di atas. Apakah ada cara lain untuk mengaktifkan Negosiasi otentikasi?

Jawaban:


14

Gunakan Kebijakan Grup:

Komputer> Kebijakan> Template Administratif> Komponen Windows> Manajemen Jarak Jauh Windows> Layanan WinRM:
Disallow Negotiate Authentication: Disabled.


5
Untuk pembaca masa depan: untuk membuka menjalankan menu ini (win + 'R') gpedit.mscdan pilih Computer Configuration-> Administrative Templates...
Ivaylo Strandjev

Jika "tidak dikonfigurasi", jangan biarkan itu menipu Anda; itu sebenarnya tidak mengambil default seperti yang Anda harapkan. Ini akhirnya menjadi jawaban bagi saya setelah gagal mencoba perbaikan registri.
durette

5

Edit kunci registri HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WSMAN \ Client.

Setel auth_kerberos dan auth_negotiate ke 1.

Mulai ulang layanan.


2

Seperti yang disarankan dalam jawaban ini , tetapi Layanan, bukan Klien:

  1. Edit kunci registri HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service.

  2. Atur auth_kerberosdan auth_negotiateke 1 .

  3. Mulai ulang Layanan Manajemen Jarak Jauh Windows (WS-Management).


1

Di mesin server 2012 / exchange 2010 kami mengalami kesalahan ini ketika mencoba menggunakan perangkat lunak cadangan AVG.

Saya menemukan menghapus keduanya maxenvelopesizedan di trusted_hostsbawah tombol ini melakukan trik

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client]
"maxEnvelopeSize"=dword:000007d0
"trusted_hosts"="*"

1

Saya punya satu server yang berfungsi, yang lain tidak. Saya tidak dapat menemukan masalahnya. Akhirnya saya menemukan jawabannya.

Di server pengirim: tetapkan kebijakan lokal Computer Configuration \ Administrative Templates \ System \ Credentials Delegation \ Izinkan Mendelegasikan Kredensial Segar. Di sana, atur WSMAN * di server Tambah ke daftar (juga centang kotak ke default OS Gabungan)

Di server penerima (Buat file .reg dengan yang berikut ini :):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client] 
"auth_credssp"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service]
"auth_credssp"=dword:00000001

bekerja untukku


1

Harap dicatat bahwa jika komputer (server) adalah anggota domain, atau itu sendiri adalah pengontrol domain (dalam kasus saya Windows Server 2019), Kebijakan Grup dapat diterapkan dari kebijakan grup domain.
Jadi saya sarankan (dalam kasus ini) gunakan perintah di bawah ini dan periksa nilai kemenangan kebijakan "Larang Negosiasi".

C:\Temp\gpresult /h rep.htm

Ini dapat diterapkan dari "Kebijakan Pengontrol Domain Default" !!

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.