Поделиться через

События не перенаправляются, если сборщик работает под управлением Windows Server

  • Статья

Эта статья поможет устранить проблему, которая возникает при использовании пересылки событий, инициированной источником, для отправки событий в сборщик событий Microsoft Windows Server.

Применимо к: Windows Server 2019, Windows Server 2016
Исходный номер базы знаний: 4494462

Симптомы

Вы настраиваете компьютер с Windows Server 2019 или Windows Server 2016 в качестве сборщика событий. Вы также настраиваете инициируемую источником подписку (и связанные групповая политика объекты) для переадресации событий. Однако события не пересылаются, а исходные компьютеры регистрируют сообщения о событиях, которые выглядят следующим образом:

Log Name: Microsoft-Windows-Forwarding/Operational
Event ID: 105
Task Category: None
User: NETWORK SERVICE
Description:
The forwarder is having a problem communicating with subscription manager at address http://W19SRV.contoso.com:5985/wsman/SubscriptionManager/WEC. Error code is 2150859027 and Error Message is The WinRM client sent a request to an HTTP server and got a response saying the requested HTTP URL was not available. This is usually returned by a HTTP server that does not support the WS-Management protocol. </f:Message></f:WSManFault>.

Причина

Это поведение вызвано разрешениями, настроенными для следующих URL-адресов:

  • http://+:5985/wsman/
  • http://+:5986/wsman/

На компьютере сборщика событий служба сборщика событий Windows (WecSvc) и служба удаленного управления Windows (WinRM) используют эти URL-адреса. Однако списки управления доступом (ACL) по умолчанию для этих URL-адресов разрешают доступ только для процесса svchost, выполняющего WinRM. В конфигурации по умолчанию Windows Server 2016 один процесс svchost выполняет winRM и WecSvc. Так как у процесса есть доступ, обе службы работают правильно. Однако если изменить конфигурацию так, чтобы службы запускались в отдельных процессах узла, у WecSvc больше нет доступа, а переадресация событий больше не работает.

В Windows Server 2019 службы работают по-разному. Если компьютер с Windows Server 2019 имеет более 3,5 ГБ ОЗУ, отдельные процессы svchost выполняют WinRM и WecSvc. Из-за этого изменения переадресация событий может работать неправильно в конфигурации по умолчанию. Дополнительные сведения об изменениях службы см. в разделе Изменения в группировке узлов служб в Windows 10.

Разрешение

Чтобы просмотреть разрешения URL-адреса, откройте окно командной строки с повышенными привилегиями и выполните команду netsh http show urlacl.

Чтобы исправить разрешения URL-адреса, используйте окно командной строки с повышенными привилегиями и выполните следующие команды:

netsh http delete urlacl url=http://+:5985/wsman/
netsh http add urlacl url=http://+:5985/wsman/ sddl=D:(A;;GX;;;S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)(A;;GX;;;S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)
netsh http delete urlacl url=https://+:5986/wsman/
netsh http add urlacl url=https://+:5986/wsman/ sddl=D:(A;;GX;;;S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)(A;;GX;;;S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)

Разрешения URL-адресов по умолчанию, используемые Windows Server 2019 и Windows Server 2016

Зарезервированный URL-адрес: http://+:5985/wsman/
Пользователь: NT SERVICE\WinRM
Слушай: Да
Делегат: Нет
SDDL: D:(A;; GX;;; S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)

Зарезервированный URL-адрес: https://+:5986/wsman/
Пользователь: NT SERVICE\WinRM
Слушай: Да
Делегат: Нет SDDL: D:(A;; GX;;; S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)

Разрешения URL-адресов по умолчанию, используемые Windows Server 2012 R2

Зарезервированный URL-адрес: http://+:5985/wsman/
Пользователь: NT SERVICE\WinRM
Слушай: Да
Делегат: Нет
Пользователь: NT SERVICE\Wecsvc
Слушай: Да
Делегат: Нет
SDDL: D:(A;; GX;;; S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)(A;; GX;;; S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)

Зарезервированный URL-адрес: https://+:5986/wsman/
Пользователь: NT SERVICE\WinRM
Слушай: Да
Делегат: Нет
Пользователь: NT SERVICE\Wecsvc
Слушай: Да
Делегат: Нет
SDDL: D:(A;; GX;;; S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)(A;; GX;;; S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)