Операция Winrm не может быть выполнена, убедитесь, что имя компьютера указано правильно
Обновлено: 21.11.2024
Я пытаюсь запустить сценарий, который удаленно устанавливает программу для пользователя в моем домене. Я могу нормально запустить скрипт на своем компьютере, но когда я запускаю скрипт для другого компьютера в домене, я получаю сообщение об ошибке
Не удалось подключиться к удаленному серверу (имя компьютера) со следующим сообщением об ошибке: WinRM не может завершить операцию. Убедитесь, что указанное имя компьютера является допустимым, что компьютер доступен по сети и что исключение брандмауэра для службы WinRM включено и разрешает доступ с этого компьютера. По умолчанию исключение брандмауэра WinRM для общедоступных профилей ограничивает доступ к удаленным компьютерам в той же локальной подсети. Дополнительные сведения см. в разделе справки about_Remote_Troubleshooting
Я настроил winRM и объект групповой политики winRM, отключил брандмауэр, но все равно получаю ту же ошибку. Я чувствую, что исчерпал все варианты, поэтому мне нужна помощь.
Вещи, которые я пробовал:
- Проверено, не блокирует ли брандмауэр порт
- Настроил winRM через объект групповой политики в домене, прослушиваются ipv4 и ipv6 *
- Запустил Enable-PSRemoting -Force и winrm /quickconfig на обоих компьютерах
- Запустил winrm id -r:(mymachine), который работает на моем компьютере, но не на компьютере, к которому я пытаюсь подключиться, поскольку получаю сообщение об ошибке:
- Запуск telnet (TargetMachine) 5985 завершается с ошибкой Connecting To (ComputerName). Не удалось открыть подключение к хосту через порт 5985: ошибка подключения
- Когда я запускаю "winrm get winrm/config" и "winrm get wmicimv2/Win32_Service?Name=WinRM", я получаю вывод:
- Я также могу делать такие вещи, как создание папки на целевом компьютере. Но выполнить установку программы на целевой компьютер не удается.
Я не могу вспомнить каждую конкретную мелочь, которую я пробовал, но если вы предложите что-то, я могу подтвердить, что пробовал это.
но все же.. ничего.
Вам нужно указать, можете ли вы подключиться к tcp/5985, чтобы проверить подключение к сети. Вам также необходимо указать, можете ли вы выполнить удаленную проверку связи: winrm id -r:machinename
@GregAskew Хорошо, я обновил его, надеюсь, это поможет. Если нужна любая другая информация, просто спросите. Я долго пытался решить эту проблему
Netstat не сообщит вам, открыт ли порт с удаленного компьютера. Вы должны подключиться через telnet к порту 5985 к компьютеру. Если это не работает, сетевое подключение не работает.
3 ответа 3
Если вы не настроили список разрешенных сетевых адресов/доверенных хостов в групповой политике/локальной политике, это может быть одной из причин.
Административные шаблоны > Компоненты Windows > Удаленное управление Windows > Служба WinRM
Разрешить удаленное управление сервером через WinRM
Если вы отключите или не настроите этот параметр политики, служба WinRM не будет отвечать на запросы с удаленного компьютера, независимо от того, настроены ли какие-либо прослушиватели WinRM.
Служба прослушивает адреса, указанные фильтрами IPv4 и IPv6. Фильтр IPv4 задает один или несколько диапазонов адресов IPv4, а фильтр IPv6 задает один или несколько диапазонов адресов IPv6. Если указано, служба перечисляет доступные IP-адреса на компьютере и использует только те адреса, которые попадают в один из диапазонов фильтра.
Вы должны использовать звездочку (*), чтобы указать, что служба прослушивает все доступные IP-адреса на компьютере. При использовании * другие диапазоны в фильтре игнорируются. Если фильтр оставить пустым, служба не прослушивает никакие адреса.
Например, если вы хотите, чтобы служба прослушивала только адреса IPv4, оставьте фильтр IPv6 пустым.
Диапазоны указываются с использованием синтаксиса IP1-IP2. Несколько диапазонов разделяются с помощью "," (запятая) в качестве разделителя.
Примеры фильтров IPv4:\n2.0.0.1-2.0.0.20, 24.0.0.1-24.0.0.22 Примеры фильтров IPv6:\n3FFE:FFFF:7654:FEDA:1245:BA98:0000:0000-3FFE:FFFF: 7654:ФЕДА:1245:BA98:3210:4562
Административные шаблоны > Компоненты Windows > Удаленное управление Windows > Клиент WinRM
Этот параметр политики позволяет управлять тем, использует ли клиент удаленного управления Windows (WinRM) список, указанный в списке доверенных узлов, чтобы определить, является ли целевой узел доверенным объектом.
Если вы отключите или не настроите этот параметр политики, а клиенту WinRM необходимо использовать список доверенных узлов, вы должны настроить список доверенных узлов локально на каждом компьютере.
Поэтому я только что развернул сервер Windows 2019 Core, чтобы протестировать Центр администрирования Windows, чтобы помочь управлять нашим пространством имен DFS и другими серверами, поскольку большинство наших новых серверов работают под управлением Core.Я не уверен, какие параметры мне нужны, чтобы не создать огромную брешь в моей безопасности и позволить Центру администрирования работать.
Я могу без проблем добавлять серверы. Я могу подключиться к серверам без проблем в течение первых 20 минут. Я могу просмотреть все страницы, я могу подключиться к серверам по RDP с панели управления. Затем он не может подключиться к серверам с ошибкой WinRM
Я понятия не имею, какие настройки мне не хватает, и более запутанная часть заключается в том, что он отлично работает первые 20 минут после добавления сервера, а затем внезапно останавливается и больше никогда не разрешает доступ. В настоящее время у меня есть пользовательская политика, которая позволяет WinRM обмениваться данными с сервером шлюза центра администрирования Windows. Очевидно, чего-то не хватает, но я не уверен, что именно.
Максимальное использование гиперконвергентной инфраструктуры
2022-03-22 18:00:00 Веб-семинар UTC Веб-семинар: Dell — максимально эффективное использование гиперконвергентной инфраструктуры Сведения о событии Просмотреть все события
Супаплекс
- отметить 96 лучших ответов
- thumb_up – 796 благодарностей.
Джош из RTS написал:
Хорошо Итак, новая ошибка. Я добавляю сервер, на котором я установил WFM 5.1. Сервер 2008 R2. Но когда я удаленно вхожу в систему, я получаю сообщение об ошибке
Поскольку Windows Server 2008 R2 уже является EOL, я уверен, что при работе с более новыми инструментами, такими как последняя версия WFM, могут возникать различные странные ошибки. Он может иметь некоторые другие зависимости, которые не указаны в сообщении об ошибке, но все же необходимы. В качестве возможного обходного пути вы можете попробовать установить именно версию WFM 5.0, чтобы посмотреть, поможет ли это.
17 ответов
Карл Хольцхауэр
Какую версию WAC вы используете? Я видел что-то подобное, когда мои хосты работали очень, очень медленно. это похоже на сообщение о тайм-ауте.
Карл Хольцхауэр писал:
Какую версию WAC вы используете? Я видел что-то подобное, когда мои хосты работали очень, очень медленно. это похоже на сообщение о тайм-ауте.
Выпуск 2009, я только что скачал его с сайта Microsoft в пятницу. Его последняя версия. Мои хосты не работают медленно, так как я могу без проблем получить к ним доступ любым другим способом, кроме Центра администрирования. Все виртуальные машины работают в одном кластере, и проблем с производительностью не наблюдается.
Наша сеть достаточно заблокирована, а брандмауэры настроены на блокировку всего, кроме. Теперь другие серверы, такие как PRTG, могут без проблем получить доступ к серверу через WinRM без каких-либо специальных настроек брандмауэра. Поэтому я не уверен, какие параметры могут измениться, чтобы шлюз Windows Admin Center мог видеть и получать доступ к серверам в сети. Может быть, у меня есть неправильные настройки на сервере Центра администрирования Windows, которые вызывают проблему?
Действительно в недоумении. У меня есть серверы в одном подразделении, и некоторые из них работают нормально, другие не видны серверу центра администрирования Windows, даже если на них выполняются одни и те же политики.
Я даже перемещаю систему Windows 10 в ту же организационную единицу, что и сервер, который работает и обновляет свои политики, и который также не виден, даже если в системе работает WinRM. И в довершение ко всему наш инструмент исправления использует WinRM для распространения программного обеспечения, и 100% этих серверов прекрасно с ним работают. Так что я понятия не имею, что мне здесь не хватает.
Есть какие-нибудь мысли?
Супаплекс
- отметить 96 лучших ответов
- thumb_up – 796 благодарностей.
Джош из RTS написал:
У кого-нибудь есть какие-нибудь мысли?
Эти проблемы, связанные с учетными данными, присутствуют в WAC с самого начала и до сих пор полностью не устранены. Тем не менее, ситуация стала намного лучше по сравнению с состоянием, которое было даже год назад.
Джош из RTS написал:
У кого-нибудь есть какие-нибудь мысли?
Эти проблемы, связанные с учетными данными, присутствуют в WAC с самого начала и до сих пор полностью не устранены. Тем не менее, ситуация стала намного лучше по сравнению с состоянием, которое было даже год назад.
Теперь я вижу еще больше проблем. Я могу получить доступ к странице Центра администрирования Windows для просмотра подключений к серверу, но теперь не могу подключиться даже к самому серверу шлюза. Возвращает ошибку
Клиент не может подключиться к месту назначения, указанному в запросе. Убедитесь, что служба в месте назначения работает и принимает запросы. Обратитесь к журналам и документации для службы WS-Management, работающей в месте назначения, чаще всего это IIS или WinRM. Если назначением является служба WinRM, выполните следующую команду в месте назначения, чтобы проанализировать и настроить службу WinRM: «winrm quickconfig».
Как устройство не может подключиться к самому себе. В разделе TrustedHosts отображается *
Показывает, что служба WinRM запущена и принимает запросы с любого IP-адреса
Поэтому при проверке каждого из серверов, чтобы убедиться, что служба WinRM работает, я получаю
PS C:\Windows\system32> winrm quickconfig
Служба WinRM уже запущена на этом компьютере.
WinRM уже настроена для удаленного управления на этом компьютере.
Когда я пытаюсь проверить подключение сервера WAC к другому серверу, я получаю приведенный ниже пример
Test-NetConnection -ComputerName Server-name -Port 5985
ВНИМАНИЕ: TCP-соединение с (10.XX.XX.XX : 5985) не удалось
ComputerName : Server-name
RemoteAddress : 10.1XX.XX.XX
RemotePort: 5985
InterfaceAlias: Ethernet0
SourceAddress: 10.XX.XX.XX
PingSucceeded: True
PingReplyDetails (RTT): 0 ms
TcpTestSucceeded: False
WinRM включен в брандмауэре для всего трафика на 5985 с любого IP
Все эти системы находятся в одном домене, в одной подсети
Я даже запустил Enable-PSRemoting на одной из систем, чтобы убедиться, что она действительно включена и работает, но по-прежнему не работает.
Супаплекс
- отметить 96 лучших ответов
- thumb_up – 796 благодарностей.
Используете ли вы полное доменное имя внутри WAC? Я только что вспомнил, что у меня были похожие проблемы с короткими именами или IP-адресами. Использование полного доменного имени везде устранило эти симптомы для меня.
Supaplex пишет:
Используете ли вы полное доменное имя внутри WAC? Я только что вспомнил, что у меня были похожие проблемы с короткими именами или IP-адресами.Использование полного доменного имени везде устранило эти симптомы для меня.
Да, и он видит систему, если я перехожу к Добавить и запрашиваю учетные данные, а затем, когда я ввожу учетные данные домена для группы T1, он говорит, что ищет систему. Затем он говорит: «Вы можете добавить этот сервер в свой список подключений, но мы не можем подтвердить, что он доступен». И если я все равно добавлю его и нажму подключить, он крутится около 10-15 секунд, а затем выдает ошибку
" Не удалось подключиться к удаленному серверу имя_сервера.домен.com со следующим сообщением об ошибке: WinRM не может завершить операцию. Убедитесь, что указанное имя компьютера является допустимым, что компьютер доступен по сети и что брандмауэр исключение для службы WinRM включено и разрешает доступ с этого компьютера. По умолчанию исключение брандмауэра WinRM для общедоступных профилей ограничивает доступ к удаленным компьютерам в той же локальной подсети. Дополнительные сведения см. в разделе справки about_Remote_Troubleshooting."
Я попытался добавить систему под учетной записью локального администратора, и все равно то же самое.
Итак, я все еще пытаюсь собрать воедино то, что мне не хватает. Я делаю тоненькие детские шажки прогресса. теперь я вижу это
Test-NetConnection -ComputerName Имя-сервера -Порт 5985
ComputerName : Server-name
RemoteAddress : 10.1XX.XX.XX
RemotePort : 5985
InterfaceAlias : Ethernet0
SourceAddress : 10.XX.XX.XX
TcpTestSucceeded: True
Если идти другим путем, я получаю это
Test-NetConnection -Port 5985 -ComputerName Gateway-Server -InformationLevel Detailed
По-прежнему не удается добавить устройство с ошибкой
"Вы можете добавить этот сервер в свой список подключений, но мы не можем подтвердить его доступность."
Это должна быть настройка брандмауэра, потому что, когда я переключаю настройки брандмауэра на запуск настроек Windows по умолчанию, все работает без проблем.
В брандмауэре разрешены 5985 и 5986. Удаленный IP-адрес — это сервер WAC, локальный IP-адрес — это диапазон IP-адресов, на которых сидят все серверы. Я предполагаю, что установка обоих на полный диапазон будет означать, что любые устройства в пределах диапазонов IP-адресов будут иметь включенный WinRM для всех устройств, чтобы общаться с одним другой или сфокусировать его на устройстве на сервере WAC?
На какие еще настройки брандмауэра мне следует обратить внимание, поскольку это действительно похоже на настройку брандмауэра, препятствующую подключению?
Супаплекс
- отметить 96 лучших ответов
- thumb_up – 796 благодарностей.
Центр администрирования Windows использует протокол общего доступа к файлам SMB для некоторых задач копирования файлов, например при импорте сертификата на удаленный сервер. Для успешного выполнения этих операций копирования файлов брандмауэр на удаленном сервере должен разрешать входящие подключения через порт 445. Вы можете использовать инструмент брандмауэра в центре администрирования Windows, чтобы проверить входящее правило для «Удаленное управление файловым сервером (SMB-In)». разрешить доступ к этому порту.
Может ли это быть связано с портом 445, который препятствует вашему подключению?
Включение 445 и настройка его даже на разрешение как входящего, так и исходящего трафика не изменились.
Супаплекс
- отметить 96 лучших ответов
- thumb_up – 796 благодарностей.
Таким образом, в конечном итоге я смог создать новую политику брандмауэра для систем в моем тесте, а также переустановил WFM 5.1 вручную через нашу систему развертывания и смог подключить устройства.Так что теперь я могу, по крайней мере, войти в каждую систему и просмотреть все общие ресурсы серверов, которые я хочу консолидировать, и посмотреть, как выглядят разрешения, поскольку ни один файловый сервер не был настроен одинаково. Некоторые используют объекты групповой политики, некоторые используют пакетные сценарии.
Теперь моя следующая задача будет заключаться в объединении 60 файловых серверов Server 2008 R2 и 2012 R2 в 4 файловых сервера Server 2016, расположенных в двух центрах обработки данных. Я смотрел на Службу миграции хранилища, но, похоже, это миграция только 1: 1 по сравнению с, скажем, 15: 1. Лучше всего добавить все серверы в DFS, обновить сопоставления пространства имен и путей к дискам, затем скопировать общие ресурсы на новый консолидированный сервер с помощью RoboCopy и переключить указатели пространств имен на новые местоположения общих ресурсов? Или я что-то упустил в службе миграции хранилища? Я обновил его до последней версии.
Я испробовал все обычные шаги по устранению неполадок, чтобы позволить PSSession/Invoke-Command работать, но я продолжаю получать сообщение об ошибке:
Если я пингую или даже получаю службу -ComputerName, все работает нормально.
Когда я пытаюсь запустить PSSession или Invoke-Command, я получаю сообщение об ошибке.
Что я упускаю?
Популярные темы в PowerShell
Фил Адлер
Я запускаю небольшой симпатичный скрипт, использующий для этого psexec. Отлично работает.
19 ответов
Адам (Эй Джей Тек)
Представитель бренда AJ Tek
Включите его с помощью GPO — это проще.
Точно
- отметить 1206 лучших ответов
- thumb_up 2682 благодарных голоса
Ryan5204 написал:
Я испробовал все обычные шаги по устранению неполадок, чтобы разрешить PSSession/Invoke-Command
Горфмастер1
- отметить 23 лучших ответа
- thumb_up – 84 благодарных голоса
Обычно мне приходится запускать эту команду на своих компьютерах, прежде чем я смогу подключиться к ним удаленно
Дополнительное пояснение: Enable-PSRemoting был выполнен на удаленном ПК, WinRM запущен и разрешен доступ через локальный брандмауэр, брандмауэр Windows был включен, чтобы разрешить открытие порта 5985.
Фил Адлер
Я запускаю небольшой симпатичный скрипт, использующий для этого psexec. Отлично работает.
Точно
- отметить 1206 лучших ответов
- thumb_up 2682 благодарных голоса
Я попробовал winrm quickconfig, и все, что он сказал, это то, что для службы winrm необходимо установить отложенный запуск. Это не решило проблему.
Попытка выполнить предложение Джитена также не устранила проблему.
Фил Адлер писал:
Я запускаю небольшой симпатичный скрипт, который использует для этого psexec. Отлично работает.
Фил Адлер
О, мой профиль загружает $cred = Get-Credential, вы можете добавить это в скрипт и ввести свою информацию
Мне известна проблема со сценарием. Похоже, ему нужен домен\имя пользователя, пока я просто делал имя пользователя для учетных данных.
Он смог работать правильно. однако, когда приходит Test-Wsman, он терпит неудачу с:
Test-Wsman: http://schemas.microsoft.com/wbem/wsman/1/wsmanfault"; Code="2150859046"
Компьютер > WinRM не может завершить операцию. Убедитесь, что указанное имя компьютера действительно, что компьютер доступен по сети и что исключение брандмауэра для службы WinRM включено и разрешает доступ с этого компьютера.По умолчанию исключение брандмауэра WinRM для общедоступных профилей ограничивает доступ к удаленным компьютерам в той же локальной подсети.
Фил Адлер
У ваших учетных данных есть права администратора?
Фил Адлер написал:
У ваших учетных данных есть права администратора?
Фил Адлер
Когда скрипт запустился, что он выдал?
Похоже, все работало как надо, пока не появилось сообщение об ошибке для Test-Wsman:
Странно то, что у меня установлено 4 новых других сервера обмена с теми же источниками, работающими в той же ОС (Windows 2012 R2, exchange SP1) на виртуальной машине, созданной по тому же шаблону, в той же подсети без каких-либо проблем. .
После проверки я могу пропинговать все серверы, и соединение с локальным контроллером домена в порядке, а на всех серверах Exchange брандмауэр отключен для всех соединений, как общедоступных, так и частных.
g Имя: Приложение
Источник: MSExchange ADAccess
Дата: 07.08.2014, 9:03:30
Код события: 2080
Категория задачи: Топология
Уровень: Информация
Ключевые слова: Классический
Пользователь: Н/Д
Компьютер: AAABBBCCCS01.xx.bb.loc
Описание:
Процесс Microsoft. Exchange.Directory.TopologyService.exe (PID=2472). Поставщик Exchange Active Directory обнаружил следующие серверы со следующими характеристиками:
(Имя сервера | Роли | Включено | Достижимость | Синхронизировано | Поддержка GC | PDC | Права SACL | Критические данные | Netlogon | Версия ОС)
На месте:
AAABBB001.bb.loc CDG 1 7 7 1 0 1 1 7 1
AAABBBPDC005.bb.loc CDG 1 7 7 1 0 1 1 7 1
AAABBB002.ad. местный CDG 1 7 7 1 0 1 1 7 1
AAABBBPDC006.bb.loc CDG 1 7 7 1 0 1 1 7 1
AAABBBPDC007.xx.bb.loc CDG 1 7 7 1 0 1 1 7 1
AAABBBPDC008.xx.bb.loc CDG 1 7 7 1 0 1 1 7 1
AAABBB003.xx.bb.loc CDG 1 7 7 1 0 0 1 7 1
AAABBBPDC009.xx .bb.loc CDG 1 7 7 1 0 1 1 7 1
AAABBB004.xx.bb.loc CDG 1 7 7 1 0 0 1 7 1
Вне сайта:
XXXrtd001 -dc.xx.bb.loc CDG 1 7 7 1 0 0 1 7 1
XXXMOS002.xx.bb.loc CDG 1 7 7 1 0 1 1 7 1
XXXmos001.xx.bb.loc CDG 1 7 7 1 0 1 1 7 1
На другом сервере Exchange, где у меня нет проблемы, значение этого события правильное. Таким образом, проблема не должна быть связана с GC Access.
После проверки Winrm работает хорошо:
C:\Users\TERUIL-EXT>WinRM QuickConfig
Служба WinRM уже запущена на этом компьютере.
WinRM уже настроена для удаленного управления на этом компьютере.
Читайте также: