Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья помогает устранить проблему, возникающую при использовании перенаправления событий, инициированных источником, для отправки событий в сборщик событий Microsoft Windows Server.
Область применения: Windows Server 2019, Windows Server 2016
Исходный номер базы знаний: 4494462
Симптомы
Вы настраиваете компьютер Windows Server 2019 или Windows Server 2016 в качестве сборщика событий. Вы также настраиваете подписку, инициированную источником (и связанные объекты групповой политики), для переадресации событий. Однако события не перенаправляются и сообщения журнала событий исходных компьютеров событий, похожие на следующие:
Log Name: Microsoft-Windows-Forwarding/Operational
Event ID: 105
Task Category: None
User: NETWORK SERVICE
Description:
The forwarder is having a problem communicating with subscription manager at address http://W19SRV.contoso.com:5985/wsman/SubscriptionManager/WEC. Error code is 2150859027 and Error Message is The WinRM client sent a request to an HTTP server and got a response saying the requested HTTP URL was not available. This is usually returned by a HTTP server that does not support the WS-Management protocol. </f:Message></f:WSManFault>.
Причина
Это поведение вызвано разрешениями, настроенными для следующих URL-адресов:
http://+:5985/wsman/https://+:5986/wsman/
На компьютере сборщика событий служба сборщика событий Windows (WecSvc) и служба удаленного управления Windows (WinRM) используют эти URL-адреса. Однако списки управления доступом по умолчанию (ACL) для этих URL-адресов разрешают доступ только для процесса svchost, запускающего WinRM. В конфигурации Windows Server 2016 по умолчанию один процесс svchost выполняется как WinRM, так и WecSvc. Так как процесс имеет доступ, обе службы работают правильно. Однако если изменить конфигурацию, чтобы службы выполнялись в отдельных процессах узла, WecSvc больше не имеет доступа и переадресации событий больше не работает.
Службы работают по-разному в Windows Server 2019. Если на компьютере Windows Server 2019 больше 3,5 ГБ ОЗУ, отдельные процессы svchost выполняют WinRM и WecSvc. Из-за этого изменения перенаправление событий может работать неправильно в конфигурации по умолчанию. Дополнительные сведения об изменениях службы см. в разделе "Изменения группирования узлов служб" в Windows 10.
Решение
Чтобы просмотреть разрешения URL-адреса, откройте окно командной строки с повышенными привилегиями и выполните команду netsh http show urlacl.
Чтобы исправить разрешения URL-адреса, используйте окно командной строки с повышенными привилегиями и выполните следующие команды:
netsh http delete urlacl url=http://+:5985/wsman/
netsh http add urlacl url=http://+:5985/wsman/ sddl=D:(A;;GX;;;S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)(A;;GX;;;S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)
netsh http delete urlacl url=https://+:5986/wsman/
netsh http add urlacl url=https://+:5986/wsman/ sddl=D:(A;;GX;;;S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)(A;;GX;;;S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)
Разрешения URL-адресов по умолчанию, используемые Windows Server 2019 и Windows Server 2016
Зарезервированный URL-адрес:
http://+:5985/wsman/
Пользователь: NT SERVICE\WinRM
Прослушивание: Да
Делегат: Нет
SDDL: D:(A;; GX;; S-1-5-80-569256582-2953403351-2909559716-13013147-412116970)Зарезервированный URL-адрес:
https://+:5986/wsman/
Пользователь: NT SERVICE\WinRM
Прослушивание: Да
Делегат: нет SDDL: D:(A;; GX;; S-1-5-80-569256582-2953403351-2909559716-13013147-412116970)
Разрешения URL-адреса по умолчанию, используемые Windows Server 2012 R2
Зарезервированный URL-адрес:
http://+:5985/wsman/
Пользователь: NT SERVICE\WinRM
Прослушивание: Да
Делегат: Нет
Пользователь: NT SERVICE\Wecsvc
Прослушивание: Да
Делегат: Нет
SDDL: D:(A;; GX;; S-1-5-80-569256582-2953403351-2909559716-13013147-412116970)(A;; GX;; S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)Зарезервированный URL-адрес:
https://+:5986/wsman/
Пользователь: NT SERVICE\WinRM
Прослушивание: Да
Делегат: Нет
Пользователь: NT SERVICE\Wecsvc
Прослушивание: Да
Делегат: Нет
SDDL: D:(A;; GX;; S-1-5-80-569256582-2953403351-2909559716-13013147-412116970)(A;; GX;; S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)