Windows Admin Center 已知问题
如果遇到此页面上未介绍的问题,请在 Windows Admin Center 反馈页上告知我们。
安装程序
使用自己的证书安装 Windows Admin Center 时,如果从证书管理器Microsoft管理中心(MMC)工具复制指纹,则粘贴时, 它会在开头包含无效字符。 解决方法是输入指纹的第一个字符,然后复制并粘贴第一个字符之后的字符。
Windows Admin Center 不支持低于 1024 的端口。 在服务模式下,可以选择将端口 80 配置为重定向到指定的端口。
常规
访问的
https://localhost:[port]自签名证书可能会导致 Microsoft Edge 和 Google Chrome 浏览器阻止 Windows Admin Center。 当被阻止时,应会看到一条错误消息,指出连接不是专用的。 若要解决此问题,请将 Windows Admin Center 更新为最新版本。将某些版本的扩展与早期版本的 Windows Admin Center 配合使用可能会导致图标无法正确显示。 若要解决此问题,请更新到最新版本的 Windows Admin Center
在不使用 UI 中的连接体验的情况下,手动修改 URL 以包含不同计算机的名称,可能会导致扩展无法正确加载,尤其是与特定硬件兼容的扩展。 不建议在 Windows Admin Center 中手动修改用于导航的 URL。
如果在 Windows Server 2016 上将 Windows Admin Center 安装为常用网关,该服务可能会崩溃并在包含
Faulting application name: sme.exe和Faulting module name: WsmSvc.dll的事件日志中显示错误。 发生此错误的原因是自 Windows Server 2019 起修复的 bug。 但是,我们还发布了 Windows Server 2016 的修补程序,用于在 2019 年 2 月累积更新中解决此问题, KB4480977。如果已将 Windows Admin Center 安装为网关,并且连接列表似乎已损坏,请执行以下步骤:
警告
这些说明中的过程将删除网关上所有 Windows Admin Center 用户的连接列表和设置。
卸载 Windows Admin Center。
转到 C:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft 并删除 服务器管理体验 文件夹。
重新安装 Windows Admin Center。
如果长时间将工具保持打开和空闲状态,将显示一些错误消息,指出“运行空间状态对此操作无效”。如果出现此问题,请刷新浏览器。 如果遇到此错误, 请向我们发送反馈。
在 Windows Admin Center 模块中运行的开源软件(OSS)的版本号与第三方软件通知中列出的版本之间可能存在细微差异。
如果你有权访问该会话,则可以在 Windows Admin Center 的活动会话期间通过其他方法访问和使用 Windows Admin Center 工具应用程序编程接口(API)。 使用这些 API 执行的操作仅影响安装了 Windows Admin Center 的计算机,也称为网关计算机。 它们不会影响通过 Windows Admin Center 网关进行远程管理的计算机。
Windows Admin Center 使用的一些 API(包括 DeploymentShare API)要求用户成为本地管理员。 默认情况下,标准 Windows 用户无法执行网络共享创建操作。 Windows Admin Center 无法将标准用户帐户提升为管理员。 将用户添加到“设置”中的“网关管理员”组只会更改用户在网关中拥有的权限,而不是在系统上。
- 在 Windows Admin Center 的现代化网关版本上,可能无法遇到此问题。 默认情况下,现代化网关生成使用表单登录来访问网关,该网关没有本地管理员限制。 Windows Admin Center 的现有版本使用 NTLM/Kerberos,后者获取仅限于 localhost 环境的令牌。 NTLM/Kerberos 登录也可用于现代化网关版本。
扩展管理器
更新 Windows Admin Center 时,必须重新安装扩展。
如果添加无法访问的扩展源,则不会显示警告或错误消息。
合作伙伴扩展问题
Dell 的 EMC OpenManage 集成扩展利用 Windows Admin Center 提供的 API 将文件推送到目标节点。 仅当用户是网关管理员时,NodeExtensionInstall 等 API 才起作用;它不支持非管理员使用。
特定于浏览器的问题
本部分介绍在 Internet 浏览器中使用 Windows Admin Center 时可能发生的问题。
Microsoft Edge
如果已将 Windows Admin Center 部署为服务,并且正在使用 Microsoft Edge 作为浏览器,则打开新的浏览器窗口后可能无法将网关连接到 Azure。 目前没有解决此问题的解决方案,但可以通过添加https://login.microsoftonline.comhttps://login.live.com网关的 URL 作为受信任的站点,并允许站点在客户端浏览器中使用弹出阻止程序设置来解决此问题。
有关详细信息,请参阅故障排除指南。
Google Chrome
在版本 70 之前,Chrome 有一个 影响 WebSocket 协议和 Windows 新技术局域网管理器(NTLM)身份验证的 bug 。 此 bug 还影响以下程序:
Windows 事件
PowerShell
远程桌面
使用 Chrome 时,可能会显示许多凭据提示,尤其是在工作组环境中添加连接时。
如果已将 Windows Admin Center 部署为服务,则必须从网关 URL 启用弹出窗口才能使用 Azure 集成。
Mozilla Firefox
未用 Mozilla Firefox 对 Windows Admin Center 进行测试,但大多数功能应该会正常工作。
如果使用 Windows 10,则需要将 Windows Admin Center 客户端证书导入 Firefox 以使用 Windows Admin Center。
使用代理服务时的 WebSocket 兼容性
将 Windows Admin Center 与代理服务配合使用的方案通常不支持 WebSocket 协议,这可能会影响以下程序:
远程桌面
PowerShell
数据包监视
Windows 事件
事件
导出大型日志文件时,有时可能会收到有关数据包大小的错误消息。
若要解决此问题,请执行下列操作:
在网关计算机上打开提升的命令提示符。
运行下面的命令:
winrm set winrm/config @{MaxEnvelopeSizekb="8192"}
远程桌面
将 Windows Admin Center 部署为服务时,远程桌面工具有时会在 Windows Admin Center 服务更新到新版本后加载。 若要解决此问题,请清除浏览器缓存。
管理 Windows Server 2012 时,远程桌面工具有时不会连接。
使用远程桌面连接到未加入域的计算机时,必须使用语法输入帐户
MACHINENAME\USERNAME。某些配置可以使用组策略阻止 Windows Admin Center 的远程桌面客户端。 如果此问题被阻止,请打开 本地组策略编辑器 并重新配置 计算机配置\管理模板\Windows 组件\远程桌面服务\远程桌面会话主机\连接 组策略对象(GPO)。
远程桌面工具目前不支持本地桌面和远程会话之间的任何文本、图像或文件复制和粘贴。
可以通过右键单击并选择“复制”或按 Ctrl+C 键来复制文本,但只能通过右键单击并选择“粘贴”来复制文本。
远程会话不支持以下键和键盘快捷方式:
Alt+Tab
功能键
Windows 键
PrtScn
使用远程桌面连接到计算机时,键盘语言映射可能无法正常工作。
支持 Windows Server 2012 R2、2012 和 2008 R2
Windows Admin Center 需要 Windows Server 2012 R2、2012 或 2008 R2 中不包含的 PowerShell 功能。 如果计划使用 Windows Admin Center 管理 Windows Server,则必须在这些服务器上安装 Windows Management Framework 5.1 或更高版本。
安装 WMF:
打开提升权限的 PowerShell 窗口。
输入
$PSVersiontable以验证是否已安装 WMF 并检查版本号。下载并安装 WMF (如果尚未安装)。
基于角色的访问控制 (RBAC)
RBAC 无法在配置为使用 Windows Defender 应用程序控制(WDAC)的计算机上部署。
要在群集中使用 RBAC,必须将配置单独部署到每个成员节点。
部署 RBAC 时,可能会错误地将未经授权的错误归因于 RBAC 配置。
服务器管理器解决方案
本部分介绍在 Windows Admin Center 上的 服务器管理器中可能会遇到的常见问题。
Certificates
Windows Admin Center 上的服务器管理器当前不支持导入 。PFX 加密证书进入当前用户存储。
文件
Windows Admin Center 目前不支持上传或下载大小超过 100 MB 的文件。
PowerShell
使用代理服务时 WebSocket 兼容性中介绍的问题会影响 PowerShell。
服务器管理器中的 PowerShell 不支持通过右键单击粘贴到窗口中。 若要粘贴到窗口中,需要右键单击并选择下拉菜单中的“粘贴”或使用 Ctrl+V 快捷方式。
服务器管理器中的 PowerShell 不支持将内容复制到剪贴板的 Ctrl+C 快捷方式。 若要复制内容,请突出显示文本,右键单击它,然后选择“ 复制”。
使 Windows Admin Center 窗口更小时,终端内容会调整以适应新的窗口大小。 将窗口返回到其原始大小时,内容可能不会返回到其原始状态。 可以使用命令还原文本
Clear-Host,或使用终端上方的按钮断开连接并重新连接。
注册表编辑器
适用于 Windows Server 的 Windows Admin Center 的注册表编辑器尚未实现搜索功能。
角色和功能
选择没有可用安装源的角色或功能时,系统会跳过它们。
如果选择在安装角色后不自动重启,则不会再看到要求重启的通知消息。
如果选择自动重新启动,则状态栏达到 100% 之前将重新启动。
存储
DVD、CD 和软盘驱动器不显示为下层卷。
卷和磁盘中的某些属性在“详细信息”面板中显示为未知或空白,因为它们在下层存储中不可用。
如果要创建新的弹性文件系统(ReFS)卷,ReFS 仅支持 Windows 2012 和 2012 R2 计算机上的分配单元大小为 64K。 如果在下层目标上创建分配单元大小较小的 ReFS 卷,则文件系统格式不起作用,使新卷不可用。 若要解决此问题,请删除不可用的卷,然后创建一个具有 64K 分配单元大小的新卷。
更新
系统安装更新后,它有时会缓存安装状态,并需要浏览器刷新。 如果在尝试设置 Azure 更新管理时看到一条错误消息,指出“密钥集不存在”,请在托管节点上按照以下说明操作:
停止加密服务服务。
根据需要更改文件夹选项以显示隐藏的文件。
转到“%allusersprofile%\Microsoft\Crypto\RSA\S-1-5-18”文件夹并删除其中所有内容。
重启加密服务服务。
使用 Windows Admin Center 重新安装更新管理。
虚拟机
如果要在 Windows Server 2012 会话主机上管理虚拟机(VM),则浏览器内 VMConnect 工具无法连接到 VM。 可以通过下载 .rdp 文件以连接到 VM 来解决此问题。
如果在 Windows Admin Center 外部的主机上设置了 Azure Site Recovery,则无法保护 VM 在 Windows Admin Center 内部。
Windows Admin Center 目前不支持 Hyper-V 管理器中提供的高级功能,例如虚拟 SAN 管理器、移动 VM、导出 VM 和 VM 复制。
虚拟交换机
将网络接口控制器(NIC)添加到用于交换机嵌入式组合(SET)的团队时,必须确保它们位于同一子网上。
计算机管理解决方案
计算机管理解决方案包含一些服务器管理器工具,因此适用于此处服务器管理器的相同已知问题。 我们了解了以下特定于计算机管理解决方案的问题:
如果使用Microsoft帐户(MSA)或Microsoft Entra ID 登录到 Windows 10 设备,则必须使用 manage-as 为本地管理员帐户提供凭据。
尝试管理本地主机时,将显示一条消息,告知你提升网关进程。 如果在显示的“用户帐户控制”窗口中选择 “否 ”,则必须取消连接尝试并启动。
默认情况下,Windows 10 已禁用 WinRM 和 PowerShell 远程处理。
若要启用 Windows 10 客户端的管理,请打开提升的 PowerShell 提示符并运行
Enable-PSRemotingcmdlet。还应通过运行
Set-NetFirewallRule -Name WINRM-HTTP-In-TCP -RemoteAddress Any来更新防火墙,以允许从本地子网外部建立连接。 有关如何在限制性更高的网络方案中更新防火墙的详细信息,请参阅 “启用 PSRemoting”。
群集部署
本部分介绍影响群集部署的已知问题。
将服务器添加到群集组
添加服务器时,Windows Admin Center 目前不支持混合工作组计算机的方案。 添加到群集组的所有计算机都必须属于同一个工作组。 如果不是,将显示一条错误消息,指出“无法创建具有不同 Active Directory 域中服务器的群集。 验证服务器名称是否正确。 将所有服务器移到同一个域中,然后重试。除非使用相同的工作组中的计算机,否则无法继续设置群集。
在 VM 上启用 Hyper-V
只能在运行 Azure Stack HCI 的 VM 上安装和启用 Hyper-V。 尝试在没有 Azure Stack HCI 的 VM 上启用 Hyper-V 会生成一条错误消息,指出“Hyper-V 功能的先决条件检查失败”,如以下屏幕截图所示。
若要在运行 Azure Stack HCI 的 VM 上安装 Hyper-V,请打开提升的 PowerShell 提示符并运行以下命令:
Enable-WindowsOptionalFeature -Online -FeatureName 'Microsoft-Hyper-V'
更新后服务器重启时间
有时,在安装更新后,服务器可能需要的时间比预期重启的时间长。 若要确定服务器是否已成功重启,Windows Admin Center 群集部署向导会定期检查服务器的重启状态。 但是,如果用户在向导外部手动重启服务器,向导将无法以适当的方式捕获服务器状态。
若要解决此问题,请在手动重启服务器之前关闭群集部署向导。 重启服务器后,可以再次打开群集部署向导。
删除群集后出现存储错误
如果删除群集,如果尚未从已删除的群集中清除存储池,则可能会遇到错误。 已删除的群集对象锁定存储池,因此必须手动清除池。
如果已收到此错误消息,下面介绍如何从存储池中清除已删除的群集对象:
打开提升权限的 PowerShell 窗口。
在所有节点上运行以下命令:
Clear-ClusterNode接下来,通过运行以下命令删除所有以前的存储池:
Get-StoragePool -IsPrimordial 0 | Remove-StoragePool如果已将存储池配置为只读,则必须先将存储池更改为写入模式,然后再运行以下命令将其删除:
Get-StoragePool <PoolName> | Set-StoragePool -IsReadOnly $false
如果尚未遇到此错误,但想要避免此错误,请按照以下说明操作。
打开提升权限的 PowerShell 窗口。
运行以下命令以删除虚拟磁盘:
Get-VirtualDisk | Remove-VirtualDisk接下来,运行以下命令以删除存储池:
Get-StoragePool -IsPrimordial 0 | Remove-StoragePool之后,运行以下命令以删除与群集关联的资源:
Get-ClusterResource | ? ResourceType -eq "virtual machine" | Remove-ClusterResource Get-ClusterResource | ? ResourceType -like "*virtual machine*" | Remove-ClusterResource现在,运行以下命令以清理:
Remove-Cluster -CleanupAD最后,在所有节点上运行以下命令:
Clear-ClusterNode
创建拉伸群集
建议在创建拉伸群集时使用已加入域的服务器。 由于 WinRM 限制,在部署拉伸群集时尝试使用工作组计算机时,可能会遇到网络分段问题。
撤消并重新启动
在部署群集时重复使用同一台计算机时,需要定期清理该组计算机。 有关如何在群集上运行清理进程的详细信息,请参阅 部署超融合基础结构。
群集创建中的 CredSSP
Windows Admin Center 群集部署向导使用 CredSSP。 有时,CredSSP 可能会导致一条错误消息,指出“验证期间出错。 查看错误,并在验证群集时重试“,如以下屏幕截图所示。
若要解决此问题,请执行下列操作:
打开提升权限的 PowerShell 窗口。
在所有节点和 Windows Admin Center 网关计算机上禁用 CredSSP 设置。
在网关计算机上运行以下命令:
Disable-WSManCredSSP -Role Client在群集中的所有节点上运行以下命令:
Disable-WSManCredSSP -Role Server
在所有节点上运行以下命令以修复其信任。
Test-ComputerSecureChannel -Verbose -Repair -Credential <account name>接下来,打开命令提示符并在所有节点上运行以下命令以重置组策略传播的数据:
gpupdate /force重新启动每个节点。
重新启动节点后,再次打开 PowerShell 并运行以下命令以测试网关计算机与目标节点之间的连接。
Enter-PSSession -ComputerName <node fqdn>
CredSSP
使用更新工具时,有时会看到一条错误消息,指出“在未启用 CredSSP 的情况下无法使用群集感知更新工具,并在尝试更新新群集时提供显式凭据”,如以下屏幕截图所示。
若要解决此问题,请将 Windows Admin Center 更新到版本 2110 或更高版本。
CredSSP 会话终结点权限问题是 Windows Admin Center 在 Windows 客户端计算机上运行时出现的常见 CredSSP 错误。 若要解决此问题,应将受影响的用户添加到 Windows Admin Center CredSSP 管理员组,然后要求用户重新登录到运行 Windows Admin Center 的台式计算机。
嵌套虚拟化
在 VM 上验证 Azure Stack HCI 群集部署时,必须先在 PowerShell 中运行以下命令来启用嵌套虚拟化,然后才能启用角色或功能:
Set-VMProcessor -VMName <VMName> -ExposeVirtualizationExtensions $true
如果在 VM 环境中使用虚拟交换机组合,则还需要在创建 VM 后在会话主机上运行以下命令:
Get-VM | %{ Set-VMNetworkAdapter -VMName $_.Name -MacAddressSpoofing On -AllowTeaming On }
如果要使用 Azure Stack HCI OS 部署群集,需要额外的要求。 VM 启动虚拟硬盘驱动器必须预安装 Hyper-V 功能。 若要预安装这些功能,请在创建 VM 之前运行以下命令:
Install-WindowsFeature –VHD <Path to the VHD> -Name Hyper-V, RSAT-Hyper-V-Tools, Hyper-V-PowerShell
远程直接内存访问支持
Windows Admin Center 2007 中的群集部署功能不支持远程直接内存访问(RDMA)配置。 若要解决此问题,请更新到更高版本的 Windows Admin Center。
故障转移群集管理器解决方案
管理超聚合群集或传统群集时,有时会看到一条错误消息,指出“找不到 Shell”。可以执行以下操作之一来解决此问题:
- 重新加载浏览器
- 转到另一个工具,然后返回到故障转移群集管理器
有时,使用不完整的配置管理下层群集时,可能会遇到问题。 若要解决此问题,请确保群集已安装 RSAT-Clustering-PowerShell 功能并在每个成员节点上启用。 如果没有,请打开 PowerShell 并在每个群集节点上输入以下命令:
Install-WindowsFeature -Name RSAT-Clustering-PowerShell如果 Windows Admin Center 无法发现群集,请尝试使用整个完全限定的域名(FQDN)进行添加。
在使用用户名和密码进行身份验证时,使用安装为网关的 Windows Admin Center 连接到群集时,必须为所有连接选择“使用这些凭据”,以便使凭据可用于查询成员节点。
超聚合群集管理器解决方案
Windows Admin Center 已禁用某些命令,例如 驱动器 - 更新固件、 服务器 - 删除 和 卷 - 打开,因为它当前不支持它们。
Azure 服务
以下部分介绍在 Windows Admin Center 中使用 Azure 服务时可能会遇到的问题。
Azure 登录和网关注册
尝试在版本 2211 中注册 Azure 中国世纪互联或 Azure US Gov 云域的 Windows Admin Center 网关时,网关有时会将你重定向到 Azure 全局登录体验。 若要解决此问题,请使用早期版本的 Windows Admin Center。
在 2009 版本中,可以遇到登录到 Azure 或向 Azure 注册 Windows Admin Center 网关时出现问题。 请尝试执行以下操作来排查问题:
在 Windows Admin Center 中使用任何 Azure 功能(包括网关注册)之前,请确保已在其他选项卡或窗口中登录到 Azure 帐户。 建议通过Azure 门户登录。
如果在网关注册期间成功登录到 Azure,但在 Windows Admin Center 设置的 Azure 页上看不到视觉确认,请转到另一页刷新页面,然后返回。
如果你已在门户中为 Windows Admin Center 授予管理员批准,但仍看到一条错误消息,指出“需要管理员批准”,请尝试使用 Windows Admin Center 周围的横幅登录 Azure,而不是转到“设置”页。
如果代理配置错误,则可以看到一条错误消息,指出“错误:值不能为 null。 参数名称:httpClientFactory。”若要解决此问题,请转到 “设置” 页,将设置调整为正确的配置。
Azure 文件同步权限
Azure 文件同步要求在 Azure 中,Windows Admin Center 在版本 1910 之前未提供的权限。 如果使用低于 1910 的版本向 Azure 注册了 Windows Admin Center 网关,则必须更新 Microsoft Entra 应用程序,以便在最新版本的 Windows Admin Center 中使用Azure 文件同步。 额外的权限允许Azure 文件同步自动配置存储帐户访问权限,如确保Azure 文件同步有权访问存储帐户中所述。
可通过两种方式更新 Microsoft Entra ID。
若要使用注册方法进行更新,请执行以下操作:
转到“设置 Azure>注销”>
再次将 Windows Admin Center 注册到 Azure,确保选择创建新的 Microsoft Entra 应用程序。
使用 Azure 进行更新:
打开 Microsoft Entra ID。
转到 “应用注册”,选择要更新的应用程序的名称以打开其概述页。
进入应用程序概述页后,转到 API 权限。
选择“添加权限”。
选中Microsoft Graph>委派权限>目录,然后选择 Directory.AccessAsUser.All 复选框。
最后,选择“ 添加权限 ”以保存对应用所做的更改。
用于设置 Azure 管理服务的选项
Azure 管理服务(包括 Azure Monitor、Azure 更新管理和Azure 安全中心)都对本地服务器使用Microsoft监视代理。 Azure 更新管理支持有限的区域,并且需要链接到Azure 自动化帐户的 Log Analytics 工作区。 如果要在 Windows Admin Center 中设置多个服务,首先需要设置 Azure 更新管理,然后Azure 安全中心或 Azure Monitor。
如果已在尝试在 Windows Admin Center 中使用 Azure 更新管理之前配置了使用 Microsoft Monitoring Agent 的 Azure 管理服务,则该服务仅允许在链接到 Microsoft Monitoring Agent 的现有资源支持 Azure 更新管理时配置 Azure 更新管理。
如果链接的资源不支持 Azure 更新管理,可通过两种方式解决此问题。
若要使用 控制面板解决此问题,请执行以下操作:
在开始菜单上,转到控制面板>Microsoft监视代理。
按照如何实现阻止代理与 Log Analytics 通信,以断开服务器与当前正在使用的 Azure Monitor、Azure 安全中心或其他 Azure 管理解决方案的连接。
在 Windows Admin Center 中配置 Azure 更新管理。
重新连接到在步骤 2 中断开连接的 Azure 管理解决方案。
若要使用 Azure 更新管理解决此问题,请执行以下操作:
按照更新管理概述中的说明手动设置 Azure 更新管理所需的 Azure 资源。
按照添加或删除工作区中的说明,在 Windows Admin Center 外部手动更新Microsoft监视代理,并为要使用的更新管理解决方案添加新工作区。
Windows 远程管理错误
使用 Windows 远程管理时,可能会遇到以下错误消息。
一般连接错误
遇到此错误时,将显示以下错误消息:
Cluster wasn't created Connecting to remote server tk5-3wp13r1131.cfdev.nttest.microsoft.com failed
with the following error message:
WinRM cannot complete the operation. Verify that the specified computer name is valid, that the
computer is accessible over the network, and that a firewall exception for the WinRM service is
enabled and allows access from this computer. By default, the WinRM firewall exception for public
profiles limits access to remote computers within the same local subnet. For more information, see
the about_Remote_Troubleshooting Help topic.
尝试使用 WinRM 进行连接时,通常会显示此错误。 原因如下:
如果服务无法解析 DNS,请确保输入了正确的服务器名称。
如果服务根本无法访问服务器名称,这可能是由于网络连接问题(例如网络中断)。
如果未为 WinRM 服务配置防火墙规则,则必须为域和专用配置文件重新配置这些规则。
如果 WinRM 服务未运行或禁用,请启用该服务并确保它继续运行。
身份验证错误
遇到此错误时,将显示以下错误消息:
Connecting to remote server ack failed with the following error message:
WinRM cannot process the request. The following error with error code 0x8009030e occurred while
using Negotiate authentication: A specified logon session does not exist. It may already have been
terminated. \r\n This can occur if the provided credentials are not valid on the target server, or
if the server identity could not be verified. If you trust the server identity add the server name
to the TrustedHosts list, and then retry the request. User winrm.cmd to view or edit the
TrustedHosts list. Note that computers in the TrustedHosts list might not be authenticated. For
more information about how to edit the TrustedHosts list, run the following command: winrm help
config. For more information, see the about_Remote_Troubleshooting Help topic.
当 WinRM 由于以下原因而无法连接时,群集连接通常会发生此错误:
用户尝试在以本地用户管理员帐户身份登录时远程连接到已连接域的计算机。
尝试登录的用户位于域中,但即使他们可以访问服务器,也不能联系域。 发生这种情况时,WinRM 会将用户视为不在域中,而是连接到域帐户。
可以尝试以下方法来解决此问题:
确保用户始终可以联系域,尤其是在网络操作之后。
应添加连接到受信任主机(FQDNS)的所有计算机,例如
@{TrustedHosts="VS1.contoso.com,VS2.contoso.com,my2012cluster.contoso.com"}。常规连接错误应通过所有验证。
WinRM 服务
遇到此错误时,将显示以下错误消息:
We cannot display the changes right now:
Connecting to remote server localhost failed with the
following error message : The client cannot connect to the destination specified in the request.
Verify that the service on the destination is running and is accepting requests. Consult the logs
and documentation for the WS-Management services running on the destination, mostly commonly IIS or
WinRM. If the destination is the WinRM service, run the following command on the destination to
analyze and configure the WinRM service: "winrm quickconfig". For more information, see the
about_Remote_Troubleshooting Help topic.
由于以下原因,可能会遇到此错误:
WinRM 服务未运行。 服务可以暂时禁用或完全关闭。 若要解决此问题,请确保 WinRM 服务始终正在运行。
未配置 WinRM 侦听器或已损坏。 解决此问题的最快方法是在 PowerShell 中运行
WinRM quickconfig,这将创建侦听器。 WinRM 还具有两个用于 HTTPS 和 HTTP 连接的内置侦听器。 HTTPS 服务器和客户端应具有相同的有效证书。
安全性错误
遇到此错误时,将显示以下错误消息:
Connecting to remote server dc1.root.contoso.com failed with the following error message:
WinRM cannot process the request. The following error with errorcode 0x80090322 occurred while
using Kerberos authentication. An unknown security error occurred. At line:1 char:1 +
Enter-PSSession dc1.root.contoso.com + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo
:InvalidArgument:(dc1.root.contoso.com:String)[Enter-PSSession], PSRemotingTransportException +
FullyQualifiedErrorId : CreateRemoteRunspaceFailed
这个错误比较少见。 帐户尝试创建远程连接时,通常会遇到此区域。 在大多数情况下,一个或多个默认 HTTP SPN 注册到了服务帐户,导致 Kerberos 身份验证失败。 此问题通常是因为服务器上安装的某些软件需要一个或多个 SPN 才能正常运行,例如 SQL Server Reporting Services、Microsoft Dynamics、SharePoint 等。
在某些情况下,其中一个 SPN 注册到服务帐户,而另一个不是。 在这种情况下,当尝试使用服务器名称启动会话时,WinRM 连接会成功,但在尝试使用 FQDN 启动会话时失败。
若要解决此问题,请在 PowerShell 中运行以下命令,检查是否已将一个或多个默认 HTTP SPN 注册到服务帐户:
setspn -q HTTP/servername.or.fqdn
如果服务找到 SPN,但服务器名称不在错误消息的突出显示字段中,请运行以下命令,通过指定端口号和计算机帐户为 WinRM 设置专用 SPN:
setspn -s HTTP/servername.or.fqdn:5985 servername
如果要使用 PowerShell 远程连接,请确保也使用 IncludePortInSPN 参数,如以下示例命令中所示:
Enter-PSSession -ComputerName servername.or.fqdn -SessionOption (New-PSSessionOption -IncludePortInSPN)
WinRM 状态 500
遇到此错误时,将显示以下错误消息:
Error: Connecting to remote server YAZSHCISIIH01.ad.yara.com failed with the following error message:
The WinRM client received an HTTP server error status (500), but the remote service did not include
any other information about the cause of the failure. For more information, see the
about_Remote_Troubleshooting Help topic.
此错误非常罕见。 看到此错误消息时,通常意味着 WinRM 无法处理请求。 此错误出现的原因因上下文而异。
若要解决此问题,请确保已启用远程处理,并将 WinRM 侦听器配置为接受请求。 我们还建议检查事件日志中是否存在其他错误,例如,由于文件仅具有读取权限,WinRM 无法访问文件系统中的某些文件。