winrmのネゴシエート認証を有効にする方法

10

次のコマンドを実行して、サーバー上のwinrmサービスのネゴシエート認証を無効にしました。

winrm put winrm/config/service/Auth @{Negotiate="false"}

そして今、私はwinrmであらゆる操作を実行できます。エラーが発生します：

    Message = The WinRM client cannot process the request. The WinRM client trie
d to use Negotiate authentication mechanism, but the destination computer (local
host:47001) returned an 'access denied' error. Change the configuration to allow
 Negotiate authentication mechanism to be used or specify one of the authenticat
ion mechanisms supported by the server. To use Kerberos, specify the local compu
ter name as the remote destination. Also verify that the client computer and the
 destination computer are joined to a domain. To use Basic, specify the local co
mputer name as the remote destination, specify Basic authentication and provide
user name and password. Possible authentication mechanisms reported by server:

私はエラーを理解していますが、問題は、Webでネゴシエート認証を有効にする唯一の方法は、次を実行することであるということです。

winrm put winrm/config/service/Auth @{Negotiate="true"}

もちろん、どちらが上記のエラーになります。ネゴシエート認証を有効にする別の方法はありますか？

windows authentication winrm

— イヴァイロ・ストランドジェフ
ソース

14

グループポリシーを使用する：

コンピューター>ポリシー>管理用テンプレート> Windowsコンポーネント> Windowsリモート管理> WinRMサービス：
ネゴシエート認証を許可しない：無効。

— グレッグ・アスキュー
ソース

5

将来の読者のために：このメニューを開くには、実行（win + 'R'）gpedit.mscを選択してComputer Configuration-> Administrative Templates...

— Ivaylo Strandjev

「設定されていない」場合は、だまされてはいけません。実際にデフォルトを選択しているわけではありません。これは、レジストリの修正に失敗した後の答えでした。

— デュレット2018年

5

レジストリキーHKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WSMAN \ Clientを編集します。

auth_kerberosおよびauth_negotiateを1に設定します。

サービスを再起動します。

— イワン
ソース

2

この回答で提案されているように、クライアントではなくサービス：

レジストリキーを編集しますHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service。
auth_kerberosand auth_negotiateを1に設定します。
Windowsリモート管理（WS-Management）サービスを再起動します。

— lcapty507
ソース

1

サーバー2012 / Exchange 2010マシンで、AVGバックアップソフトウェアを使用しようとすると、このエラーが発生しました。

私は両方maxenvelopesizeを削除することを発見し、trusted_hostsこのキーの下でトリックをしました

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client]
"maxEnvelopeSize"=dword:000007d0
"trusted_hosts"="*"

— 奪う
ソース

1

サーバーを1台稼働させましたが、もう1台稼働させませんでした。問題が見つかりませんでした。最後に私はそれを理解しました。

送信側サーバーで、ローカルポリシーComputer Configuration \ Administrative Templates \ System \ Credentials Delegation \ Allow Delegating Fresh Credentialsを設定します。そこに、サーバーをリストに追加でWSMAN *を設定します（OSのデフォルトを連結するチェックボックスもオンにします）

受信側サーバー（以下を使用して.regファイルを作成します:)：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client] 
"auth_credssp"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service]
"auth_credssp"=dword:00000001

私のために働く

— Citrix管理者
ソース

1

コンピューター（サーバー）がドメインのメンバーであるか、それ自体がドメインコントローラー（私の場合はWindows Server 2019）である場合、グループポリシーはドメイングループポリシーから適用できることに注意してください。
したがって、私は（これらの場合）以下のコマンドを使用して、「ネゴシエート認証を許可しない」ポリシーの優先値を確認することをお勧めします。

C:\Temp\gpresult /h rep.htm

「デフォルトドメインコントローラポリシー」から適用される場合があります!!

— メディ・イマーニ
ソース