Comment activer l'authentification négociation pour WinRM
J'ai désactivé l'authentification négociée pour le service WinRM sur mon serveur en exécutant:
winrm put winrm/config/service/Auth @{Negotiate="false"}
Et maintenant, je peux effectuer n'importe quelle opération avec WinRM. Je reçois l'erreur:
Message = The WinRM client cannot process the request. The WinRM client trie
d to use Negotiate authentication mechanism, but the destination computer (local
Host:47001) returned an 'access denied' error. Change the configuration to allow
Negotiate authentication mechanism to be used or specify one of the authenticat
ion mechanisms supported by the server. To use Kerberos, specify the local compu
ter name as the remote destination. Also verify that the client computer and the
destination computer are joined to a domain. To use Basic, specify the local co
mputer name as the remote destination, specify Basic authentication and provide
user name and password. Possible authentication mechanisms reported by server:
Je comprends l'erreur, mais le problème est que le seul moyen de trouver sur le Web pour activer la négociation L'authentification consiste à exécuter:
winrm put winrm/config/service/Auth @{Negotiate="true"}
Lequel bien sûr donne l'erreur ci-dessus. Y a-t-il une autre façon d'activer la négociation d'authentification?
Utiliser la politique de groupe:
Ordinateur> Politiques> Modèles d'administration> Composants Windows> Windows Gestion à distance> Service WinRM:
[.____] interdit l'authentification négociée: désactivé.
Modifier la clé de registre HKLM\Software\Microsoft\Windows\CurrentVersion\wsman\Client.
Set auth_kerberos et auth_negotiate de 1.
Redémarrer le service.
Comme suggéré dans cette réponse , mais service, non client:
Modifier la clé de registre
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service.Régler
auth_kerberosetauth_negotiateto 1.Redémarrez le service Windows Gestion à distance (WS-Gestion).
Veuillez noter que si l'ordinateur (serveur) est membre de domaine ou est un contrôleur de domaine (dans mon cas Windows Server 2019), la stratégie de groupe peut être appliquée à partir de la stratégie de groupe de domaine.
[.____] Donc, je suggère (dans ces cas) l'utilisation sous la commande ci-dessous et vérifiez la valeur gagnante "d'authentification négociate".
C:\Temp\gpresult /h rep.htm
Il peut être appliqué à partir de "Politique de contrôleurs de domaine par défaut" !!
Sur notre machine Server 2012/Exchange 2010, nous avons eu cette erreur lors de la tentative d'utilisation AVG logiciel de sauvegarde.
J'ai trouvé enlever les deux maxenvelopesize et trusted_hosts sous cette clé a fait l'affaire
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client]
"maxEnvelopeSize"=dword:000007d0
"trusted_hosts"="*"
J'ai eu un serveur qui fonctionne, mais un autre ne le ferait pas. Je ne pouvais pas trouver le problème. Enfin je l'ai compris.
Sur le serveur d'envoi: définissez la configuration de la stratégie locale Configuration de l'ordinateur\Modèles d'administration\System\System\Délégation\Autoriser les références fraîches. Là-bas, définissez WSman * dans les serveurs Ajoutez à la liste (cochez également la case pour concaténer les paramètres par défaut)
Sur le serveur de réception (créez un fichier .reg avec ce qui suit :):
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client]
"auth_credssp"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service]
"auth_credssp"=dword:00000001
travaille pour moi