Enter-PSSession: recibir acceso denegado en un servidor remoto que no es de dominio

tag-icon tag-icon powershell remote-access windows-server-2022
Enter-PSSession: recibir acceso denegado en un servidor remoto que no es de dominio

Tengo dificultades para abrir una sesión de PS remota en un servidor remoto (Windows Server 2022 Standard). El servidor remoto esnoparte de un dominio.

Al ejecutar el comando

Enter-PSSession -ComputerName server01 -Credential server01\administrator

Recibo "Acceso denegado".

Que he hecho:

  • servidor
    • Enable-PSRemoting
    • Enable-WSManCredSSP -Role server
  • cliente
    • Add-Content -Path C:\Windows\System32\drivers\etc\hosts -Value "`n192.168.1.250`tserver01"
    • winrm quickconfig
    • Set-Item WSMan:\localhost\Client\TrustedHosts -Value server01

Al ejecutar en el cliente

Enter-PSSession -ComputerName server01 -Credential server01\administrator

y al ingresar la contraseña recibo:

Enter-PSSession: Beim Verbinden mit dem Remoteserver "server01" ist folgender Fehler aufgetreten: Zugriff verweigert Weitere Informationen finden Sie im Hilfethema "about_Remote_Troubleshooting". En Zeile:1 Zeichen:1 + Enter-PSSession -ComputerName server01 -Credential server01\administrator + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: InvalidArgument: (server01:String) [Enter- PSSession], PSRemotingTransportException + FullyQualifiedErrorId: CreateRemoteRunspaceFailed

Al ejecutar en el cliente

winrm identify -r:http://server01:5985 -u:server01\Administrator -p:secret

Recibo

Mensaje WSManFault = Zugriff verweigert

Fehlernummer: -2147024891 0x80070005 Zugriff verweigert

¿Qué me estoy perdiendo?

ACTUALIZAR:

En la configuración de winrm configuré Auth/Basicy AllowUnencryptedpara true(tanto el cliente como el servicio): el mismo resultado. entonces yoacceso HTTPS configuradocon un certificado autofirmado: mismo resultado.

Como no hay entrada en Microsoft-Windows-Windows Remote Management/Operationalel lado del servidor, parece que la solicitud está bloqueada en el lado del cliente. Test-NetConnection -ComputerName server01 -Port 5985tiene éxito (como lo hace con el puerto 5986).

Respuesta1

Debido a que estás utilizando usuarios que no son de dominio, mi primera suposición sería que UACpodría estar bloqueándote.

Yo diría que este error lo genera el cliente, así que primero intente con deshabilitado UACen el cliente. Si esto no funciona, desactívelo UACen el servidor.

Si no está UACrelacionado, me imagino que esta cuenta de administrador local debe ser miembro del Remote Management Usersgrupo en el servidor.

Al menos eso es lo que intentaría a continuación.

Respuesta2

Debe incluir la salida de winrm get winrm/configen el servidor. Uso de la autenticación básica a través de HTTPenvía las credenciales a través de la red y al host sin cifrar, por lo que suele estar deshabilitado de forma predeterminada para el Servicio.

Consulte también el registro de eventos de Administración remota de Windows (Microsoft-Windows-Windows Remote Management/Operational).

winrm get winrm/config
Config
    MaxEnvelopeSizekb = 500
    MaxTimeoutms = 60000
    MaxBatchItems = 32000
    MaxProviderRequests = 4294967295
    Client
        NetworkDelayms = 5000
        URLPrefix = wsman
        AllowUnencrypted = false
        Auth
            Basic = true
            Digest = true
            Kerberos = true
            Negotiate = true
            Certificate = true
            CredSSP = false
        DefaultPorts
            HTTP = 5985
            HTTPS = 5986
        TrustedHosts
    Service
        RootSDDL = O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;IU)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)
        MaxConcurrentOperations = 4294967295
        MaxConcurrentOperationsPerUser = 1500
        EnumerationTimeoutms = 240000
        MaxConnections = 300
        MaxPacketRetrievalTimeSeconds = 120
        AllowUnencrypted = false
        Auth
            Basic = false        **
            Kerberos = true
            Negotiate = true
            Certificate = false
            CredSSP = false
            CbtHardeningLevel = Relaxed
        DefaultPorts
            HTTP = 5985
            HTTPS = 5986
        IPv4Filter = *
        IPv6Filter = *
        EnableCompatibilityHttpListener = false
        EnableCompatibilityHttpsListener = false
        CertificateThumbprint
        AllowRemoteAccess = true
    Winrs
        AllowRemoteShellAccess = true
        IdleTimeout = 7200000
        MaxConcurrentUsers = 2147483647
        MaxShellRunTime = 2147483647
        MaxProcessesPerShell = 2147483647
        MaxMemoryPerShellMB = 2147483647
        MaxShellsPerUser = 2147483647

Respuesta3

Encontré la solución. Simplemente tuve que agregar -Authentication Basical Enter-PSSessioncomando.

Comando completo:

Enter-PSSession -ComputerName server01 -Authentication Basic -Credential administrator

Al usarlo winrm identifytuve que agregar -auth:basic:

winrm identify -r:http://server01:5985 -a:basic -u:Administrator -p:secret

Fue así de simple...

información relacionada