Enter-PSSession: Empfang des Zugriffs auf einem Remote-Server, der keine Domäne ist, verweigert

tag-icon tag-icon powershell remote-access windows-server-2022
Enter-PSSession: Empfang des Zugriffs auf einem Remote-Server, der keine Domäne ist, verweigert

Ich habe Probleme, eine Remote-PS-Sitzung auf einem Remote-Server (Windows Server 2022 Standard) zu öffnen. Der Remote-Server istnichtTeil einer Domäne.

Beim Ausführen des Befehls

Enter-PSSession -ComputerName server01 -Credential server01\administrator

Ich erhalte die Meldung „Zugriff verweigert“.

Was habe ich getan:

  • Server
    • Enable-PSRemoting
    • Enable-WSManCredSSP -Role server
  • Klient
    • Add-Content -Path C:\Windows\System32\drivers\etc\hosts -Value "`n192.168.1.250`tserver01"
    • winrm quickconfig
    • Set-Item WSMan:\localhost\Client\TrustedHosts -Value server01

Bei der Ausführung auf dem Client

Enter-PSSession -ComputerName server01 -Credential server01\administrator

und das Passwort eingebe, das ich erhalte:

Enter-PSSession: Beim Verbinden mit dem Remoteserver „server01“ ist folgender Fehler aufgetreten: Zugriff verweigert. Weitere Informationen finden Sie im Hilfethema „about_Remote_Troubleshooting“. In Zeile:1 Zeichen:1 + Enter-PSSession -ComputerName server01 -Credential server01\administrator + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidArgument: (server01:String) [Eingabe- PSSession], PSRemotingTransportException + FullyQualifiedErrorId: CreateRemoteRunspaceFailed

Bei der Ausführung auf dem Client

winrm identify -r:http://server01:5985 -u:server01\Administrator -p:secret

ich erhalte

WSManFault Message = Zugriff verweigert

Fehlernummer: -2147024891 0x80070005 Zugriff verweigert

Was vermisse ich?

AKTUALISIEREN:

In der WinRM-Konfiguration habe ich Auth/Basicund AllowUnencryptedauf true(sowohl Client als auch Dienst) gesetzt - gleiches Ergebnis. Ich dannkonfigurierter HTTPS-Zugriffmit einem selbstsignierten Zertifikat – gleiches Ergebnis.

Da auf der Serverseite kein Eintrag vorhanden ist, Microsoft-Windows-Windows Remote Management/Operationalsieht es so aus, als ob die Anforderung auf der Clientseite blockiert ist. Test-NetConnection -ComputerName server01 -Port 5985erfolgreich (wie bei Port 5986).

Antwort1

Da Sie keine Domänenbenutzer verwenden, würde ich zunächst vermuten, dass dies UACSie möglicherweise blockiert.

Ich würde sagen, dieser Fehler wird vom Client ausgelöst. Versuchen Sie es also zunächst mit deaktivierter Funktion UACauf dem Client. Wenn dies nicht funktioniert, deaktivieren Sie die Funktion UACauf dem Server.

Wenn es nicht UACdamit zusammenhängt, könnte ich mir vorstellen, dass dieses lokale Administratorkonto Mitglied der Remote Management UsersGruppe auf dem Server sein muss.

Zumindest würde ich das als nächstes versuchen.

Antwort2

Sie müssen die Ausgabe winrm get winrm/configauf dem Server einbinden. Verwenden der Basisauthentifizierung über HTTPsendet die Anmeldeinformationen unverschlüsselt über das Netzwerk an den Host, daher ist es für den Dienst normalerweise standardmäßig deaktiviert.

Überprüfen Sie auch das Ereignisprotokoll der Windows-Remoteverwaltung (Microsoft-Windows-Windows Remote Management/Operational).

winrm get winrm/config
Config
    MaxEnvelopeSizekb = 500
    MaxTimeoutms = 60000
    MaxBatchItems = 32000
    MaxProviderRequests = 4294967295
    Client
        NetworkDelayms = 5000
        URLPrefix = wsman
        AllowUnencrypted = false
        Auth
            Basic = true
            Digest = true
            Kerberos = true
            Negotiate = true
            Certificate = true
            CredSSP = false
        DefaultPorts
            HTTP = 5985
            HTTPS = 5986
        TrustedHosts
    Service
        RootSDDL = O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;IU)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)
        MaxConcurrentOperations = 4294967295
        MaxConcurrentOperationsPerUser = 1500
        EnumerationTimeoutms = 240000
        MaxConnections = 300
        MaxPacketRetrievalTimeSeconds = 120
        AllowUnencrypted = false
        Auth
            Basic = false        **
            Kerberos = true
            Negotiate = true
            Certificate = false
            CredSSP = false
            CbtHardeningLevel = Relaxed
        DefaultPorts
            HTTP = 5985
            HTTPS = 5986
        IPv4Filter = *
        IPv6Filter = *
        EnableCompatibilityHttpListener = false
        EnableCompatibilityHttpsListener = false
        CertificateThumbprint
        AllowRemoteAccess = true
    Winrs
        AllowRemoteShellAccess = true
        IdleTimeout = 7200000
        MaxConcurrentUsers = 2147483647
        MaxShellRunTime = 2147483647
        MaxProcessesPerShell = 2147483647
        MaxMemoryPerShellMB = 2147483647
        MaxShellsPerUser = 2147483647

Antwort3

Ich habe die Lösung gefunden. Ich musste sie lediglich -Authentication Basicdem Enter-PSSessionBefehl hinzufügen.

Vollständiger Befehl:

Enter-PSSession -ComputerName server01 -Authentication Basic -Credential administrator

Bei der Verwendung winrm identifymusste ich hinzufügen -auth:basic:

winrm identify -r:http://server01:5985 -a:basic -u:Administrator -p:secret

So einfach war das...

verwandte Informationen