So aktivieren Sie die Verhandlungsauthentifizierung für winrm

10

Ich habe die Verhandlungsauthentifizierung für den WinRM-Dienst auf meinem Server deaktiviert, indem ich Folgendes ausgeführt habe:

winrm put winrm/config/service/Auth @{Negotiate="false"}

Und jetzt kann ich jede Operation mit winrm durchführen. Ich bekomme den Fehler:

    Message = The WinRM client cannot process the request. The WinRM client trie
d to use Negotiate authentication mechanism, but the destination computer (local
host:47001) returned an 'access denied' error. Change the configuration to allow
 Negotiate authentication mechanism to be used or specify one of the authenticat
ion mechanisms supported by the server. To use Kerberos, specify the local compu
ter name as the remote destination. Also verify that the client computer and the
 destination computer are joined to a domain. To use Basic, specify the local co
mputer name as the remote destination, specify Basic authentication and provide
user name and password. Possible authentication mechanisms reported by server:

Ich verstehe den Fehler, aber das Problem ist, dass der einzige Weg, den ich im Web finde, um die Authentifizierung zu verhandeln, darin besteht, Folgendes auszuführen:

winrm put winrm/config/service/Auth @{Negotiate="true"}

Was natürlich den obigen Fehler ergibt. Gibt es eine andere Möglichkeit, die Authentifizierung zu verhandeln?

Ivaylo Strandjev
quelle

Antworten:

14

Gruppenrichtlinie verwenden:

Computer> Richtlinien> Administrative Vorlagen> Windows-Komponenten> Windows-Remoteverwaltung> WinRM-Dienst:
Negotiate-Authentifizierung nicht zulassen: Deaktiviert.

Greg Askew
quelle
5
Für zukünftige Leser: Um dieses Menü zu öffnen, laufen Sie (win + 'R') gpedit.mscund wählen Sie Computer Configuration-> Administrative Templates...
Ivaylo Strandjev
Wenn es "nicht konfiguriert" ist, lassen Sie sich davon nicht täuschen. Es wird nicht wie erwartet die Standardeinstellung übernommen. Dies war die Antwort für mich, nachdem ich die Registrierungskorrekturen erfolglos ausprobiert hatte.
Durette
5

Bearbeiten Sie den Registrierungsschlüssel HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WSMAN \ Client.

Setzen Sie auth_kerberos und auth_negotiate auf 1.

Starten Sie den Dienst neu.

Ivan
quelle
2

Wie in dieser Antwort vorgeschlagen , aber Service, nicht Client:

  1. Bearbeiten Sie den Registrierungsschlüssel HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service.

  2. Setze auth_kerberosund auth_negotiateauf 1 .

  3. Starten Sie den Windows-Remoteverwaltungsdienst (WS-Management) neu.

lcapty507
quelle
1

Auf unserem Server 2012 / Exchange 2010-Computer trat dieser Fehler auf, als wir versuchten, die AVG-Sicherungssoftware zu verwenden.

Ich fand beide zu entfernen maxenvelopesizeund trusted_hostsunter diesem Schlüssel tat der Trick

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client]
"maxEnvelopeSize"=dword:000007d0
"trusted_hosts"="*"
rauben
quelle
1

Ich hatte einen Server in Betrieb, ein anderer nicht. Ich konnte das Problem nicht finden. Endlich habe ich es herausgefunden.

Auf dem sendenden Server: Legen Sie die lokale Richtlinie Computerkonfiguration \ Administrative Vorlagen \ System \ Delegierung von Anmeldeinformationen \ Delegieren neuer Anmeldeinformationen zulassen fest. Stellen Sie dort WSMAN * in der Liste Server zur Liste hinzufügen ein (aktivieren Sie auch das Kontrollkästchen, um die Standardeinstellungen des Betriebssystems zu verketten).

Auf dem empfangenden Server (Erstellen Sie eine REG-Datei mit den folgenden Angaben :):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client] 
"auth_credssp"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service]
"auth_credssp"=dword:00000001

funktioniert bei mir

Citrix Admin
quelle
1

Beachten Sie, dass die Gruppenrichtlinie über die Domänengruppenrichtlinie angewendet werden kann, wenn der Computer (Server) Mitglied einer Domäne oder selbst ein Domänencontroller ist (in meinem Fall Windows Server 2019).
Daher schlage ich (in diesen Fällen) vor, den folgenden Befehl zu verwenden und den Gewinnwert der Richtlinie "Authentifizierung nicht aushandeln" zu überprüfen.

C:\Temp\gpresult /h rep.htm

Es kann aus der "Standardrichtlinie für Domänencontroller" angewendet werden !!

Mehdi Imani
quelle