次のコマンドを実行して、サーバー上のwinrmサービスのネゴシエート認証を無効にしました。
winrm put winrm/config/service/Auth @{Negotiate="false"}
そして今、私はwinrmであらゆる操作を実行できます。エラーが発生します:
Message = The WinRM client cannot process the request. The WinRM client trie
d to use Negotiate authentication mechanism, but the destination computer (local
Host:47001) returned an 'access denied' error. Change the configuration to allow
Negotiate authentication mechanism to be used or specify one of the authenticat
ion mechanisms supported by the server. To use Kerberos, specify the local compu
ter name as the remote destination. Also verify that the client computer and the
destination computer are joined to a domain. To use Basic, specify the local co
mputer name as the remote destination, specify Basic authentication and provide
user name and password. Possible authentication mechanisms reported by server:
エラーを理解しましたが、問題は、Webでネゴシエート認証を有効にする唯一の方法は、次を実行することであるということです。
winrm put winrm/config/service/Auth @{Negotiate="true"}
もちろん、どちらが上記のエラーになります。ネゴシエート認証を有効にする別の方法はありますか?
グループポリシーを使用する:
コンピューター>ポリシー>管理用テンプレート> Windowsコンポーネント> Windowsリモート管理> WinRMサービス:
ネゴシエート認証を許可しない:無効にします。
レジストリキーHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Clientを編集します。
Auth_kerberosおよびauth_negotiateを1に設定します。
サービスを再起動します。
この答え で提案されていますが、サービスではなくクライアント:
レジストリキーを編集しますHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service
。
セットする auth_kerberos
およびauth_negotiate
to1。
Windowsリモート管理(WS-Management)サービスを再起動します。
コンピューター(サーバー)がドメインのメンバーである場合、またはそれ自体がドメインコントローラー(私の場合はWindows Server 2019)である場合、グループポリシーはドメイングループポリシーから適用できることに注意してください。
(以下の場合は)以下のコマンドを使用して、「ネゴシエート認証を許可しない」ポリシーの優先値を確認することをお勧めします。
C:\Temp\gpresult /h rep.htm
「デフォルトドメインコントローラポリシー」から適用される場合があります!!
私たちのサーバー2012/Exchange 2010マシンで、AVGバックアップソフトウェアを使用しようとすると、このエラーが発生しました。
このキーの下でmaxenvelopesize
とtrusted_hosts
の両方を削除することがトリックを実行したことがわかりました
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client]
"maxEnvelopeSize"=dword:000007d0
"trusted_hosts"="*"
サーバーを1台稼働させましたが、もう1台は稼働させませんでした。問題が見つかりませんでした。最後に私はそれを理解しました。
送信側サーバーで、ローカルポリシーComputer Configuration\Administrative Templates\System\Credentials Delegation\Allow Delegating Fresh Credentialsを設定します。そこに、サーバーをリストに追加でWSMAN *を設定します(また、OSのデフォルトを連結するチェックボックスをオンにします)
受信側サーバー(以下を使用して.regファイルを作成します:):
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client]
"auth_credssp"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service]
"auth_credssp"=dword:00000001
私のために働く