web-dev-qa-db-ja.com

winrmのネゴシエート認証を有効にする方法

次のコマンドを実行して、サーバー上のwinrmサービスのネゴシエート認証を無効にしました。

winrm put winrm/config/service/Auth @{Negotiate="false"}

そして今、私はwinrmであらゆる操作を実行できます。エラーが発生します:

    Message = The WinRM client cannot process the request. The WinRM client trie
d to use Negotiate authentication mechanism, but the destination computer (local
Host:47001) returned an 'access denied' error. Change the configuration to allow
 Negotiate authentication mechanism to be used or specify one of the authenticat
ion mechanisms supported by the server. To use Kerberos, specify the local compu
ter name as the remote destination. Also verify that the client computer and the
 destination computer are joined to a domain. To use Basic, specify the local co
mputer name as the remote destination, specify Basic authentication and provide
user name and password. Possible authentication mechanisms reported by server:

エラーを理解しましたが、問題は、Webでネゴシエート認証を有効にする唯一の方法は、次を実行することであるということです。

winrm put winrm/config/service/Auth @{Negotiate="true"}

もちろん、どちらが上記のエラーになります。ネゴシエート認証を有効にする別の方法はありますか?

windowsauthenticationwinrm
10
Ivaylo Strandjev

グループポリシーを使用する:

コンピューター>ポリシー>管理用テンプレート> Windowsコンポーネント> Windowsリモート管理> WinRMサービス:
ネゴシエート認証を許可しない:無効にします。

14
Greg Askew

レジストリキーHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Clientを編集します。

Auth_kerberosおよびauth_negotiateを1に設定します。

サービスを再起動します。

5
Ivan

この答え で提案されていますが、サービスではなくクライアント:

  1. レジストリキーを編集しますHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service

  2. セットする auth_kerberosおよびauth_negotiate to1

  3. Windowsリモート管理(WS-Management)サービスを再起動します。

2
lcapty507

コンピューター(サーバー)がドメインのメンバーである場合、またはそれ自体がドメインコントローラー(私の場合はWindows Server 2019)である場合、グループポリシーはドメイングループポリシーから適用できることに注意してください。
(以下の場合は)以下のコマンドを使用して、「ネゴシエート認証を許可しない」ポリシーの優先値を確認することをお勧めします。

C:\Temp\gpresult /h rep.htm

「デフォルトドメインコントローラポリシー」から適用される場合があります!!

1
Mehdi Imani

私たちのサーバー2012/Exchange 2010マシンで、AVGバックアップソフトウェアを使用しようとすると、このエラーが発生しました。

このキーの下でmaxenvelopesizetrusted_hostsの両方を削除することがトリックを実行したことがわかりました

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client]
"maxEnvelopeSize"=dword:000007d0
"trusted_hosts"="*"
1
rob

サーバーを1台稼働させましたが、もう1台は稼働させませんでした。問題が見つかりませんでした。最後に私はそれを理解しました。

送信側サーバーで、ローカルポリシーComputer Configuration\Administrative Templates\System\Credentials Delegation\Allow Delegating Fresh Credentialsを設定します。そこに、サーバーをリストに追加でWSMAN *を設定します(また、OSのデフォルトを連結するチェックボックスをオンにします)

受信側サーバー(以下を使用して.regファイルを作成します:):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client] 
"auth_credssp"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service]
"auth_credssp"=dword:00000001

私のために働く

1
Citrix Admin