PS C:Windowssystem32> Enter-PSSession -ComputerName serv1
Enter-PSSession : Сбой подключения к удаленному серверу
serv1. Сообщение об ошибке: Клиенту WinRM не удается обработать запрос. Если применяемая схема проверки подлинности отличается от Kerberos или компьютер клиента не входит в домен, необходимо использовать транспорт HTTPS или добавить компьютер назначения к значениям параметра конфигурации TrustedHosts. Чтобы настроить TrustedHosts, используйтеwinrm.cmd. Обратите внимание, что в списке TrustedHosts могут находиться компьютеры, не прошедшие проверку подлинности. Чтобы получить дополнительные сведения об этом, выполните следующую команду:winrm help config. Подробности см. в разделе справки «about_Remote_Troubleshooting».строка:1 знак:1
+ Enter-PSSession -ComputerName serv1 + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidArgument: (serv1:String) [Enter-PSSession], PSRemotingTransportException + FullyQualifiedErrorId : CreateRemoteRunspaceFailed
задан 19 июн 2016 в 8:33
Oleg OvcharenkoOleg Ovcharenko
7314 золотых знака10 серебряных знаков25 бронзовых знаков
Arhadthedev
11.4k8 золотых знаков39 серебряных знаков69 бронзовых знаков
ответ дан 19 июн 2016 в 9:29
Oleg OvcharenkoOleg Ovcharenko
7314 золотых знака10 серебряных знаков25 бронзовых знаков
В статье, на которую сослался Oleg, нашел вот такую команду, помогло
Set-Item WSMan:localhostClientTrustedHosts -Value SRV1.contoso.com
ответ дан 16 мая 2018 в 9:32
1
Добрый день.
Поднял сервер виртуализации. При попытке подключения Диспетчер Hyper-V спрашивает: «Включить делегирование учетных данных пользователя», после чего выдает такую ошибку:
<code>Не удалось включить делегирование учетных данных для сервера 192.168.88.1 Проверка подлинности CreedSSP на локальном клиенте сейчас отключена. Для ее включения требуются права администратора.</code>
Сам Диспетчер Hyper-V установлен на ОС Windows 10 Pro. При попытке включить проверку подлинности на Win10 с помощью Power Shell появляется такая ошибка:
<code>
PS C:WINDOWSsystem32> enable-wsmancredssp -role client -delegatecomputer ghost
Настройка проверки подлинности CredSSP для службы WS-Management
При проверке подлинности CredSSP разрешена отправка на удаленный компьютер
учетных данных пользователей на данном компьютере. Если проверка подлинности
CredSSP используется при подключении к компьютеру, который содержит вредоносные
программы или к которому осуществляется несанкционированный доступ, то этот
компьютер получит доступ к имени пользователя и паролю. Дополнительные сведения
см. в разделе справки для команды Enable-WSManCredSSP.
Вы хотите включить проверку подлинности CredSSP?
[Y] Да — Y [N] Нет — N [S] Приостановить — S [?] Справка
(значением по умолчанию является «Y»):y
enable-wsmancredssp : <f:WSManFault xmlns:f=»http://schemas.microsoft.com/wbem/
wsman/1/wsmanfault» Code=»2150858770″ Machine=»infomaximum07-1″><f:Message>Клие
нту не удается подключиться к узлу назначения, указанному в запросе. Убедитесь,
что служба на узле назначения работает и принимает запросы. Ознакомьтесь с жур
налами и документацией для определения запущенной на узле назначения службы WS-
Management (чаще всего это IIS или WinRM). Если это служба WinRM, то для анализ
а состояния и настройки этой службы используйте на удаленном узле команду «winr
m quickconfig». </f:Message></f:WSManFault>
строка:1 знак:1
+ enable-wsmancredssp -role client -delegatecomputer ghost
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidOperation: (System.String[]:String[]) [En
able-WSManCredSSP], InvalidOperationException
+ FullyQualifiedErrorId : WsManError,Microsoft.WSMan.Management.EnableWSMa
nCredSSPCommand
PS C:WINDOWSsystem32>
</code>
На самом сервере Hyper-V 2012 R2 командлет отрабатывает нормально.
<code>
enable-wsmancredssp -role client -delegatecomputer * cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth lang : en-US Basic : true Digest : true Kerberos : true Negotiate : true Certificate : true CredSSP : true
</code>
На обоих системах установлены все последние обновления.
Через 5Nine Manager все работает, но использовать его не хотелось бы ввиду его платности.
В чем может быть проблема? Заранее спасибо.
-
Изменено
2 октября 2015 г. 11:26
-
Изменен тип
Petko KrushevMicrosoft contingent staff, Moderator
27 октября 2015 г. 11:46
(Клиент WinRM не может обрабатывать запрос) ошибка при подключении к Exchange Online через удаленные Windows PowerShell
При использовании удаленного Windows PowerShell для подключения к Exchange Online в Microsoft Office 365 вы получаете следующее сообщение об ошибке:
[outlook.office365.com] Подключение к удаленному серверу не удалось с помощью следующего сообщения об ошибке:
Клиент WinRM не может обрабатывать запрос, так как имя сервера невозможно разрешить. Дополнительные сведения см. в разделе about_Remote_Troubleshooting Справка.+ CategoryInfo : OpenError:
(System.Manageme. RemoteRunspace:RemoteRunspace) [].
PSRemotingTransportException+ FullyQualifiedErrorId : PSSessionOpenedFailed
Причина
Эта проблема возникает в одной из следующих ситуаций:
- Брандмауэр блокирует необходимый трафик.
- Служба Windows удаленного управления не запущена.
- Прокси-сервер работает неправильно.
Решение
Убедитесь, что брандмауэр не блокирует необходимый трафик.
Проверьте, установлена ли Windows служба удаленного управления и запущена ли она:
Введите services.msc в диалоговом окне Run и нажмите кнопку Ввод.
В MMC служб дважды щелкните Windows удаленное управление.
Установите тип запуска в Руководство, а затем нажмите кнопку ОК.
Щелкните правой кнопкой мыши службу, а затем выберите Начните.
Если служба уже запущена, но она не отвечает, может потребоваться перезапустить.
Попробуйте подключиться к Exchange Online снова.
Проверка параметра прокси-сервера
Откройте повышенный командный запрос.
Запустите следующую команду, чтобы проверить текущую конфигурацию прокси:
Примите одно из следующих действий:
Чтобы сбросить прокси WinHTTP, запустите следующую команду:
Чтобы настроить новый прокси-сервер, запустите следующую команду:
Например, запустите netsh winhttp set proxy 10.0.0.6:8080 .
Дополнительные сведения
Дополнительные сведения о конечных точках Microsoft 365 см. в Microsoft 365 URL-адресов и диапазонов IP-адресов.
Дополнительные сведения о том, как подключиться к Exchange Online с помощью удаленной PowerShell, Подключение в Exchange Online с помощью remote PowerShell.
Сообщения: 225
Благодарности: 1
Рабочая группа. Два сервера виндовс 2012 р2. Подключил к Диспетчеру серверов для мониторинга и управления удаленный (через интернет) сервер. Вроде как работает, но зайдя в Диспетчере серверов на вкладку Ролей и компонентов Файловые службы и службы хранилища, диски видны обоих серверов, но уже перейдя на вкладку Тома появляются такие сообщения
«Komandor Сбой перечисления общих ресурсов SMB.
Произошла ошибка при перечислении общих ресурсов SMB: Клиенту WinRM не удалось обработать запрос, так как не удалось разрешить имя сервера.»
«Komandor Ошибка при перечислении хранилищ.
Клиенту WinRM не удалось обработать запрос, так как не удалось разрешить имя сервера.»
Клиенту winrm не удалось обработать запрос так как не удалось разрешить имя сервера
На днях мой коллега задал мне вопрос, на который я не смог ответить с ходу. Ему не удавалось подключиться, с помощью powershell remoting, к удаленному серверу, находящемуся в другом домене. При попытке сделать это он получал примерно вот такое сообщение
Не удалось подключиться к удаленному серверу. Сообщение об ошибке: Клиенту WinRM не удается обработать запрос. Проверку подлинности по умолчанию можно использовать с IP-адресом при следующ
их условиях: транспортом является HTTPS или назначением является список TrustedHosts, кроме того, должны быть предоставлены явно указанные учетные данные. Чтобы настроить TrustedHosts, используйте winrm.
cmd. Обратите внимание, что в списке TrustedHosts могут находиться компьютеры, не прошедшие проверку подлинности. Для получения сведений о настройке TrustedHosts используйте следующую команду: winrm help
config. Дополнительные сведения см. в разделе справки, вызываемом командой about_Remote_Troubleshooting.
Я, в свою очередь, тоже попробовал сделать это в разных окружениях и получил несколько разных результатов:
После нескольких экспериментов мой коллега сообщил, что если добавить адрес удаленного сервера в TrustedHosts на клиентской машине, то все работает. Все довольно странно и запутано. По этому – давайте подробнее разберем все эти ситуации.
Прежде всего стоит отметить, что проблема возникает, когда используются не доменные окружения. То есть, если клиент и сервер находятся не в одном домене. Наиболее часто, на мой взгляд, встречаются три ситуации:
Кроме того, исходя из сообщений об ошибках (да, их надо читать внимательно), и, соответственно, из методов обращения к серверу, есть две ситуации:
- при обращении к серверу, клиент указывает IP-адрес в качестве адреса назначения
- при обращении к серверу, клиент указывает имя в качестве адреса назначения
К сожалению в интернетах нет однозначного мнения по поводу того, где, на сервере или клиенте, нужно задавать параметр TrustedHosts, и нужно ли это вообще делать. На что это влияет и все такое. В целом, информация довольно скудная по этому поводу. Поэтому, после долгого забега по гуглу, я решил обратиться, куда бы вы думали – да, к первоисточнику. А именно – к спецификации на ws-management. Про параметр TrustedHosts там сказано следующее:
- Blank: No hosts are trusted.
- The asterisk «*» character: All hosts are trusted.
- A list of host name patterns separated by the comma «,» character, in which each host name can be one of four possible values:
- String starting with the asterisk «*» character and containing at least two characters. All hosts that share the suffix are trusted.
- String ending with the asterisk «*» character and containing at least two characters. All hosts that share the prefix are trusted.
- The exact string » «: All NetBIOS names are trusted (for example, strings that do not contain the period «.» character).
- A string without the asterisk «*» character: The host named by the string is trusted.
Основная идея выделена. И это означает, что параметр TrustedHosts нужно использовать на клиенте. В этом списке указываются машины, при работе с которыми невозможно использовать схемы с поддержкой взаимной аутентификации. Таким образом, если и клиент и сервер находятся в одном домене, то для подключения вы можете использовать простую команду без дополнительных параметров.
Следующий этап – два домена с доверительными отношениями. В этом случае тоже нет необходимости в TrustedHosts. Однако необходимо обеспечить корректное разрешение имен. Однако, скажете вы, ведь в домене можно обращаться не только по имени, а еще и по адресу, и все должно работать корректно. А у нас, при попытке использовать адрес, вываливается ошибка. И вот тут возникает необходимость внимательно прочитать содержимое ошибки:
Проверку подлинности по умолчанию можно использовать с IP-адресом при следующих условиях: Транспортом является HTTPS или назначением является список TrustedHosts.
Прежде всего видим, что в TrustedHosts нужно указывать именно назначение. А почему такое ограничение на использование IP-адреса? Об этом написано в блоге Ask the Directory Services Team. Вкратце, там сказано, что нельзя в качестве использовать IP-адреса в синтаксисе записи SPN. И если в windows xp/2003 это работало то в Vista и старше при использовании IP-адреса в назначении не будет даже попыток использовать kerberos . Отсюда и ошибка: раз не используется протокол с взаимной аутентификацией – используйте HTTPS или пропишите TrustedHosts. Для того чтобы убедиться в этом, вы можете воспользоваться вашим любимым сниффером. В нем вы увидите, что клиент даже не пытается установить связь с сервером, если вы указываете в качестве назначения адрес. Ошибка выдается сразу. Более подробно про SPN вы можете так же прочесть в моей статье.
И наконец – не доменное окружение. Powershell знает, что клиентская машина не в домене. Значит kerberos по определению не возможен. Следовательно либо TrustedHosts либо HTTPS.
- Remove From My Forums
-
Вопрос
-
Доброго времени суток. Получаю данное сообщение, когда пытаюсь удаленно выполнить команду, типа icm -computername pc1 -scriptblock {Test-Path c:windows} и получаю это:
[pc1] Сбой подключения к удаленному серверу pc1. Сообщение об ошибке: WinRM не удается обработать запрос. П
ри использовании проверки подлинности Kerberos возникла следующая ошибка с кодом ошибки 0x80090322: Произошла неизвестн
ая ошибка безопасности.
Возможные причины:
— Указаны неверные имя пользователя или пароль.
— Используется проверка подлинности Kerberos без указания способа проверки подлинности и имени пользователя.
— Kerberos принимает имена пользователей домена, но не принимает имена локальных пользователей.
— Имя субъекта-службы (SPN) для имени и порта удаленного компьютера не существует.
— Клиентский и удаленный компьютеры находятся в разных доменах, между которыми отсутствует доверительное отношение.
После проверки указанных выше проблем попробуйте выполнить следующее:
— Просмотрите в средстве «Просмотр событий» события, относящиеся к проверке подлинности.
— Измените способ проверки подлинности, добавьте конечный компьютер в конфигурацию TrustedHosts для WinRM либо воспол
ьзуйтесь транспортом HTTPS.
Помните о том, что компьютеры в списке TrustedHosts могут не проходить проверку подлинности.
— Для получения дополнительных сведений о конфигурации WinRM выполните следующую команду: winrm help config. Подробн
ости см. в разделе справки «about_Remote_Troubleshooting».
+ CategoryInfo : OpenError: (pc1:String) [], PSRemotingTransportException
+ FullyQualifiedErrorId : -2144108387,PSSessionStateBrokenОС ХР, локально и удаленно на 5985 заходит нормально. На комп захожу с правами админа. А вот icm и new-psession, тоже локально и удаленно, нет. Хотелось бы узнать что это ошибка значит и как ее решить? Вывод setspn -L pc1:
Зарегистрирован ServicePrincipalNames для CN=pc1,DC=com:
HTTP/pc1.com
HTTP/pc.1
WSMAN/pc1
WSMAN/pc1.com
HOST/pc1
HOST/pc1.com
По IP адресу отрабатывает норм, т.е. dir \10.1.1.1c$ выполняется нормально.-
Изменено
8 июня 2015 г. 7:39
-
Изменено
Ответы
-
Весьма подозрительное сообщение. Проверьте — с помощью ping, nslookup, nbtstat -a/nbtstat -c (если NetBIOS включен) — не разрешается ли имя PC1 случайно в адрес для PC2?
Слава России!
-
Помечено в качестве ответа
Net Ranger
9 июня 2015 г. 5:37
-
Помечено в качестве ответа
I have two forests with a transitive on-way trust between them: PROD -> TEST (test trusts PROD). I had previously had kerberos authentication working with winrm from PROD to machines in TEST. I have verified the trust is healthy, I also verified users
in TEST can use WINRM with kerberos just fine. Users from PROD cannot connect via kerberos to machines in TEST with winrm.
I have verified the service has registered the appropriate SPNs. I ran dcdiag against all my PROD and TEST domain controllers and didn’t find anything that would prevent kerberos from happening. I even tried disabling the firewall entirely on my TEST dcs
but that didn’t gain me anything.
I’ve enabled kerberos logging but only see the expected errors such as it couldn’t find a PROD SPN for the machine, which it shouldn’t from what I understand, it should go to the TEST domain and find the SPN from there.
I’m really out of next steps before I call PSS and hope someone here has run into this and could provide me some next steps.
PowerShell Error:
Connecting to remote server failed with the following error message : WinRM cannot process the request. The following error occured while using Kerberos authentication: The network path was not found.
Possible causes are:
-The user name or password specified are invalid.
-Kerberos is used when no authentication method and no user name are specified.
-Kerberos accepts domain user names, but not local user names.
-The Service Principal Name (SPN) for the remote computer name and port does not exist.
-The client and remote computers are in different domains and there is no trust between the two domains.
After checking for the above issues, try the following:
-Check the Event Viewer for events related to authentication.
-Change the authentication method; add the destination computer to the WinRM TrustedHosts configuration setting or use HTTPS transport.
Note that computers in the TrustedHosts list might not be authenticated.
-For more information about WinRM configuration, run the following command: winrm help config. For more information, see the about_Remote_Troubleshooting Help topic.
+ CategoryInfo : OpenError: (:) [], PSRemotingTransportException
+ FullyQualifiedErrorId : PSSessionStateBroken
winrs Error:
Winrs error:
WinRM cannot process the request. The following error occured while using Kerberos authentication: The network path was not found.
Possible causes are:
-The user name or password specified are invalid.
-Kerberos is used when no authentication method and no user name are specified.
-Kerberos accepts domain user names, but not local user names.
-The Service Principal Name (SPN) for the remote computer name and port does not exist.
-The client and remote computers are in different domains and there is no trust between the two domains.
After checking for the above issues, try the following:
-Check the Event Viewer for events related to authentication.
-Change the authentication method; add the destination computer to the WinRM TrustedHosts configuration setting or use HTTPS transport.
Note that computers in the TrustedHosts list might not be authenticated.
-For more information about WinRM configuration, run the following command: winrm help config.