Enter-PSSession: получение доступа запрещено на удаленном сервере, не входящем в домен

tag-icon tag-icon powershell remote-access windows-server-2022
Enter-PSSession: получение доступа запрещено на удаленном сервере, не входящем в домен

Я пытаюсь открыть удаленный сеанс PS на удаленном сервере (Windows Server 2022 Standard). Удаленный сервернетчасть домена.

При выполнении команды

Enter-PSSession -ComputerName server01 -Credential server01\administrator

Я получаю сообщение «Доступ запрещен».

Что я наделал:

  • сервер
    • Enable-PSRemoting
    • Enable-WSManCredSSP -Role server
  • клиент
    • Add-Content -Path C:\Windows\System32\drivers\etc\hosts -Value "`n192.168.1.250`tserver01"
    • winrm quickconfig
    • Set-Item WSMan:\localhost\Client\TrustedHosts -Value server01

При выполнении на клиенте

Enter-PSSession -ComputerName server01 -Credential server01\administrator

и вводя пароль я получаю:

Enter-PSSession: При подключении к удаленному серверу "server01" будут получены следующие сведения: Введите пароль. Более подробную информацию вы найдете в разделе "about_Remote_Troubleshooting". В Zeile:1 Zeichen:1 + Enter-PSSession -ComputerName server01 -Credential server01\administrator + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidArgument: (server01:String) [Enter- PSSession], PSRemotingTransportException + FullyQualifiedErrorId : CreateRemoteRunspaceFailed

При выполнении на клиенте

winrm identify -r:http://server01:5985 -u:server01\Administrator -p:secret

я получаю

Сообщение WSManFault = Ошибка Zugriff verweigert

Номер сообщения: -2147024891 0x80070005 Ошибка при отправке сообщения

Что я упускаю?

ОБНОВЛЯТЬ:

В конфигурации winrm я установил и Auth/Basic( и клиент, и служба) - тот же результат. Затем яAllowUnencryptedtrueнастроенный HTTPS-доступс самоподписанным сертификатом - тот же результат.

Поскольку на стороне сервера нет записи, Microsoft-Windows-Windows Remote Management/Operationalпохоже, что запрос заблокирован на стороне клиента. Test-NetConnection -ComputerName server01 -Port 5985выполняется успешно (как и в случае с портом 5986).

решение1

Поскольку вы используете пользователей, не являющихся пользователями домена, я бы предположил, что это UACможет вас блокировать.

Я бы сказал, что эта ошибка возникает на клиенте, поэтому сначала попробуйте отключить UACна клиенте. Если это не сработает, отключите UACна сервере.

Если это не UACсвязано, я могу предположить, что эта учетная запись локального администратора должна быть членом группы Remote Management Usersна сервере.

По крайней мере, это то, что я попробую сделать дальше.

решение2

Вам необходимо включить вывод winrm get winrm/configна сервере. Использование базовой аутентификации через HTTPотправляет учетные данные по сети и на хост в незашифрованном виде, поэтому по умолчанию он обычно отключен для Сервиса.

Также проверьте журнал событий удаленного управления Windows (Microsoft-Windows-Windows Remote Management/Operational).

winrm get winrm/config
Config
    MaxEnvelopeSizekb = 500
    MaxTimeoutms = 60000
    MaxBatchItems = 32000
    MaxProviderRequests = 4294967295
    Client
        NetworkDelayms = 5000
        URLPrefix = wsman
        AllowUnencrypted = false
        Auth
            Basic = true
            Digest = true
            Kerberos = true
            Negotiate = true
            Certificate = true
            CredSSP = false
        DefaultPorts
            HTTP = 5985
            HTTPS = 5986
        TrustedHosts
    Service
        RootSDDL = O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;IU)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)
        MaxConcurrentOperations = 4294967295
        MaxConcurrentOperationsPerUser = 1500
        EnumerationTimeoutms = 240000
        MaxConnections = 300
        MaxPacketRetrievalTimeSeconds = 120
        AllowUnencrypted = false
        Auth
            Basic = false        **
            Kerberos = true
            Negotiate = true
            Certificate = false
            CredSSP = false
            CbtHardeningLevel = Relaxed
        DefaultPorts
            HTTP = 5985
            HTTPS = 5986
        IPv4Filter = *
        IPv6Filter = *
        EnableCompatibilityHttpListener = false
        EnableCompatibilityHttpsListener = false
        CertificateThumbprint
        AllowRemoteAccess = true
    Winrs
        AllowRemoteShellAccess = true
        IdleTimeout = 7200000
        MaxConcurrentUsers = 2147483647
        MaxShellRunTime = 2147483647
        MaxProcessesPerShell = 2147483647
        MaxMemoryPerShellMB = 2147483647
        MaxShellsPerUser = 2147483647

решение3

Я нашел решение. Мне просто пришлось добавить -Authentication Basicкоманду Enter-PSSession.

Полная команда:

Enter-PSSession -ComputerName server01 -Authentication Basic -Credential administrator

При использовании winrm identifyмне пришлось добавить -auth:basic:

winrm identify -r:http://server01:5985 -a:basic -u:Administrator -p:secret

Это было так просто...

Связанный контент