Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья помогает устранить проблему, из-за которой удаленный сеанс PowerShell с помощью удаленного управления Windows (WinRM) невозможно установить между компьютерами, присоединенными только к идентификатору Microsoft Entra.
У вас есть два компьютера в одной сети. Они не присоединяются к локальному домену и присоединяются только к идентификатору Microsoft Entra без локальной синхронизации.
При попытке установить удаленный сеанс PowerShell с помощью WinRM между двумя компьютерами вы получите следующие сообщения об ошибках:
-
Ввод-PSSession: подключение к удаленному серверу CLIENT01 завершилось сбоем со следующим сообщением об ошибке: клиент WinRM не может обработать запрос. Если схема проверки подлинности отличается от Kerberos или если клиентский компьютер не присоединен к домену, необходимо использовать транспортировку HTTPS или добавить целевой компьютер в параметр конфигурации TrustedHosts. Используйте команду winrm.cmd для настройки TrustedHosts. Обратите внимание, что компьютеры в списке TrustedHosts могут не проходить проверку подлинности. Дополнительные сведения об этом можно получить, выполнив следующую команду: winrm help config. Дополнительные сведения см. в разделе справки about_Remote_Troubleshooting.
-
Ввод-PSSession: подключение к удаленному серверу CLIENT01 завершилось сбоем со следующим сообщением об ошибке: WinRM не может обработать запрос. При использовании проверки подлинности "Согласование" произошла следующая ошибка с кодом ошибки 0x8009030e: не существует указанного сеанса входа. It may already have been terminated. (Произошла системная ошибка 1312. Возможно, он уже завершен.)
Возможные причины.
-Указано недопустимое имя пользователя или пароль.
-Kerberos используется, если метод проверки подлинности не указан и имя пользователя не указано.
-Kerberos принимает имена пользователей домена, но не имена локальных пользователей.
-Имя субъекта-службы (SPN) для имени удаленного компьютера и порта не существует.
-Клиентские и удаленные компьютеры находятся в разных доменах и между двумя доменами нет доверия.
После проверки указанных выше проблем попробуйте следующее:
-Проверьте Просмотр событий события, связанные с проверкой подлинности.
-Изменение метода проверки подлинности; добавьте целевой компьютер в параметр конфигурации WinRM TrustedHosts или используйте транспорт HTTPS.
Обратите внимание, что компьютеры в списке TrustedHosts могут не проходить проверку подлинности.
Для получения дополнительных сведений о конфигурации WinRM выполните следующую команду: winrm help config. Дополнительные сведения см. в разделе справки about_Remote_Troubleshooting.
Эта проблема возникает из-за одной из следующих причин:
- WinRM считает компьютеры, присоединенные только к Microsoft Entra, как компьютеры рабочей группы. Поэтому неявные учетные данные нельзя использовать.
- Префикс имени субъекта-службы (SPN) по умолчанию WinRM запрещает проверку подлинности Microsoft Entra.
Неявные учетные данные нельзя использовать
Чтобы устранить эту проблему, задайте TrustedHosts значение следующим образом:
| значение | Описание |
|---|---|
* |
Это значение позволяет повторно использовать неявные учетные данные для всех целевых компьютеров. |
*.contoso.com |
Это значение ограничивает использование учетных данных компьютерами определенного домена. |
Например, можно использовать один из следующих способов, чтобы задать TrustedHosts значение *.contoso.com:
Командлет PowerShell:
set-item WSMan:\localhost\Client\TrustedHosts "*.contoso.com"Командная строка:
winrm s winrm/config/client @{TrustedHosts="*.contoso.com"}Добавьте запись реестра из командной строки:
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client /v trusted_hosts /t REG_SZ /d "*.contoso.com" /f
Префикс имени участника-службы по умолчанию http предотвращает проверку подлинности Microsoft Entra
Чтобы устранить эту проблему, задайте префикс HOST имени субъекта-службы по умолчанию, выполнив следующую команду:
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client /v spn_prefix /t REG_SZ /d "HOST" /f
Сбор данных
Если вам нужна помощь от поддержки Майкрософт, рекомендуется собирать сведения, выполнив действия, описанные в статье "Сбор сведений" с помощью TSS для проблем с взаимодействием с пользователем.