Wyłączyłem negocjowanie uwierzytelniania dla usługi winrm na moim serwerze, wykonując:
winrm put winrm/config/service/Auth @{Negotiate="false"}
A teraz mogę wykonać dowolną operację za pomocą winrm. Dostaję błąd:
Message = The WinRM client cannot process the request. The WinRM client trie
d to use Negotiate authentication mechanism, but the destination computer (local
host:47001) returned an 'access denied' error. Change the configuration to allow
Negotiate authentication mechanism to be used or specify one of the authenticat
ion mechanisms supported by the server. To use Kerberos, specify the local compu
ter name as the remote destination. Also verify that the client computer and the
destination computer are joined to a domain. To use Basic, specify the local co
mputer name as the remote destination, specify Basic authentication and provide
user name and password. Possible authentication mechanisms reported by server:
Rozumiem błąd, ale problem polega na tym, że jedynym sposobem na znalezienie w Internecie włączenia uwierzytelnienia negocjacyjnego jest wykonanie:
winrm put winrm/config/service/Auth @{Negotiate="true"}
Co oczywiście daje błąd powyżej. Czy istnieje inny sposób włączenia uwierzytelniania negocjacyjnego?
windows
authentication
winrm
Ivaylo Strandjev
źródło
źródło
gpedit.msc
i wybierzComputer Configuration
->Administrative Templates
...Edytuj klucz rejestru HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WSMAN \ Client.
Ustaw auth_kerberos i auth_negotiate na 1.
Uruchom ponownie usługę.
źródło
Jak sugerowano w tej odpowiedzi , ale usługa, a nie klient:
Edytuj klucz rejestru
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service
.Ustaw
auth_kerberos
iauth_negotiate
na 1 .Uruchom ponownie usługę Windows Remote Management (WS-Management).
źródło
Na naszym serwerze 2012 / Exchange 2010 mieliśmy ten błąd podczas próby użycia oprogramowania do tworzenia kopii zapasowych AVG.
Znalazłem usunięcie obu
maxenvelopesize
itrusted_hosts
pod tym kluczem załatwiłem sprawęźródło
Miałem jeden serwer działający, a inny nie. Nie mogłem znaleźć problemu. W końcu to rozgryzłem.
Na serwerze wysyłającym: ustaw lokalne zasady Konfiguracja komputera \ Szablony administracyjne \ System \ Referencje Delegacja \ Zezwalaj na delegowanie świeżych referencji. Tam ustaw WSMAN * na liście Dodaj serwery do listy (zaznacz także pole wyboru Domyślne połączenie systemu operacyjnego)
Na serwerze odbierającym (utwórz plik .reg z następującymi :):
pracuje dla mnie
źródło
Należy pamiętać, że jeśli komputer (serwer) jest członkiem domeny lub sam jest kontrolerem domeny (w moim przypadku Windows Server 2019), zasady grupy można zastosować z zasad grupy domeny.
Sugeruję więc (w takich przypadkach) skorzystanie z poniższego polecenia i sprawdzenie zwycięskiej wartości zasad „Nie zezwalaj na negocjowanie uwierzytelnienia”.
Można go zastosować z „Domyślnych zasad kontrolerów domeny” !!
źródło