Cách bật xác thực đàm phán cho winrm


10

Tôi đã vô hiệu hóa thương lượng xác thực cho dịch vụ winrm trên máy chủ của mình bằng cách thực thi:

winrm put winrm/config/service/Auth @{Negotiate="false"}

Và bây giờ tôi có thể thực hiện bất kỳ hoạt động với winrm. Tôi nhận được lỗi:

    Message = The WinRM client cannot process the request. The WinRM client trie
d to use Negotiate authentication mechanism, but the destination computer (local
host:47001) returned an 'access denied' error. Change the configuration to allow
 Negotiate authentication mechanism to be used or specify one of the authenticat
ion mechanisms supported by the server. To use Kerberos, specify the local compu
ter name as the remote destination. Also verify that the client computer and the
 destination computer are joined to a domain. To use Basic, specify the local co
mputer name as the remote destination, specify Basic authentication and provide
user name and password. Possible authentication mechanisms reported by server:

Tôi hiểu lỗi, nhưng vấn đề là cách duy nhất tôi tìm thấy trên web để kích hoạt xác thực Đàm phán là bằng cách thực thi:

winrm put winrm/config/service/Auth @{Negotiate="true"}

Mà tất nhiên đưa ra lỗi ở trên. Có cách nào khác để kích hoạt xác thực Đàm phán không?

Câu trả lời:


14

Sử dụng chính sách nhóm:

Máy tính> Chính sách> Mẫu quản trị> Thành phần Windows> Quản lý từ xa Windows> Dịch vụ WinRM:
Không cho phép xác thực đàm phán: Đã tắt.


5
Đối với độc giả tương lai: để mở menu này chạy (win + 'R') gpedit.mscvà chọn Computer Configuration-> Administrative Templates...
Ivaylo Strandjev

Nếu nó "không được cấu hình", đừng để điều đó đánh lừa bạn; nó không thực sự chọn mặc định như bạn mong đợi. Điều này cuối cùng đã trở thành câu trả lời cho tôi sau khi không thành công trong việc thử sửa lỗi registry.
Durette

5

Chỉnh sửa khóa đăng ký HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WSMAN \ Client.

Đặt auth_kerberos và auth_negotiate thành 1.

Khởi động lại dịch vụ.


2

Như được đề xuất trong câu trả lời này , nhưng Dịch vụ, không phải Máy khách:

  1. Chỉnh sửa khoá đăng ký HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service.

  2. Đặt auth_kerberosauth_negotiateđể 1 .

  3. Khởi động lại dịch vụ Windows Remote Management (WS-Management).


1

Trên máy chủ 2012 / exchange 2010 của chúng tôi, chúng tôi đã gặp lỗi này khi thử sử dụng phần mềm sao lưu AVG.

Tôi tìm thấy loại bỏ cả hai maxenvelopesizetrusted_hostsdưới khóa này đã lừa

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client]
"maxEnvelopeSize"=dword:000007d0
"trusted_hosts"="*"

1

Tôi đã có một máy chủ hoạt động, nhưng một máy chủ khác thì không. Tôi không thể tìm thấy vấn đề. Cuối cùng tôi đã tìm ra nó.

Trên máy chủ gửi: đặt chính sách cục bộ Cấu hình máy tính \ Mẫu quản trị \ Hệ thống \ Ủy nhiệm ủy nhiệm \ Cho phép ủy quyền xác thực mới. Trong đó, đặt WSMAN * trong danh sách Thêm máy chủ vào danh sách (cũng chọn hộp để Mặc định hệ điều hành mặc định)

Trên máy chủ nhận (Tạo tệp .reg bằng cách sau :):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client] 
"auth_credssp"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service]
"auth_credssp"=dword:00000001

làm việc cho tôi


1

Xin lưu ý rằng nếu máy tính (máy chủ) là thành viên của miền hoặc chính nó là bộ điều khiển miền (trong trường hợp của tôi là Windows Server 2019), Chính sách nhóm có thể được áp dụng từ chính sách nhóm miền.
Vì vậy, tôi đề nghị (trong những trường hợp này) sử dụng lệnh bên dưới và kiểm tra giá trị chiến thắng của chính sách "Không cho phép đàm phán xác thực".

C:\Temp\gpresult /h rep.htm

Nó có thể được áp dụng từ "Chính sách bộ điều khiển miền mặc định" !!

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.