Cách bật xác thực đàm phán cho winrm

Tôi đã vô hiệu hóa thương lượng xác thực cho dịch vụ winrm trên máy chủ của mình bằng cách thực thi:

winrm put winrm/config/service/Auth @{Negotiate="false"}

Và bây giờ tôi có thể thực hiện bất kỳ hoạt động với winrm. Tôi nhận được lỗi:

    Message = The WinRM client cannot process the request. The WinRM client trie
d to use Negotiate authentication mechanism, but the destination computer (local
host:47001) returned an 'access denied' error. Change the configuration to allow
 Negotiate authentication mechanism to be used or specify one of the authenticat
ion mechanisms supported by the server. To use Kerberos, specify the local compu
ter name as the remote destination. Also verify that the client computer and the
 destination computer are joined to a domain. To use Basic, specify the local co
mputer name as the remote destination, specify Basic authentication and provide
user name and password. Possible authentication mechanisms reported by server:

Tôi hiểu lỗi, nhưng vấn đề là cách duy nhất tôi tìm thấy trên web để kích hoạt xác thực Đàm phán là bằng cách thực thi:

winrm put winrm/config/service/Auth @{Negotiate="true"}

Mà tất nhiên đưa ra lỗi ở trên. Có cách nào khác để kích hoạt xác thực Đàm phán không?

Sử dụng chính sách nhóm:

Máy tính> Chính sách> Mẫu quản trị> Thành phần Windows> Quản lý từ xa Windows> Dịch vụ WinRM:
Không cho phép xác thực đàm phán: Đã tắt.

Chỉnh sửa khóa đăng ký HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WSMAN \ Client.

Đặt auth_kerberos và auth_negotiate thành 1.

Khởi động lại dịch vụ.

Như được đề xuất trong câu trả lời này , nhưng Dịch vụ, không phải Máy khách:

1. Chỉnh sửa khoá đăng ký HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service.

2. Đặt auth_kerberosvà auth_negotiateđể 1 .

3. Khởi động lại dịch vụ Windows Remote Management (WS-Management).

Trên máy chủ 2012 / exchange 2010 của chúng tôi, chúng tôi đã gặp lỗi này khi thử sử dụng phần mềm sao lưu AVG.

Tôi tìm thấy loại bỏ cả hai maxenvelopesizevà trusted_hostsdưới khóa này đã lừa

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client]
"maxEnvelopeSize"=dword:000007d0
"trusted_hosts"="*"

Tôi đã có một máy chủ hoạt động, nhưng một máy chủ khác thì không. Tôi không thể tìm thấy vấn đề. Cuối cùng tôi đã tìm ra nó.

Trên máy chủ gửi: đặt chính sách cục bộ Cấu hình máy tính \ Mẫu quản trị \ Hệ thống \ Ủy nhiệm ủy nhiệm \ Cho phép ủy quyền xác thực mới. Trong đó, đặt WSMAN * trong danh sách Thêm máy chủ vào danh sách (cũng chọn hộp để Mặc định hệ điều hành mặc định)

Trên máy chủ nhận (Tạo tệp .reg bằng cách sau :):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client] 
"auth_credssp"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service]
"auth_credssp"=dword:00000001

làm việc cho tôi

Xin lưu ý rằng nếu máy tính (máy chủ) là thành viên của miền hoặc chính nó là bộ điều khiển miền (trong trường hợp của tôi là Windows Server 2019), Chính sách nhóm có thể được áp dụng từ chính sách nhóm miền.
Vì vậy, tôi đề nghị (trong những trường hợp này) sử dụng lệnh bên dưới và kiểm tra giá trị chiến thắng của chính sách "Không cho phép đàm phán xác thực".

C:\Temp\gpresult /h rep.htm

Nó có thể được áp dụng từ "Chính sách bộ điều khiển miền mặc định" !!