Jak włączyć negocjowanie uwierzytelnienia dla winrm

Wyłączyłem negocjowanie uwierzytelniania dla usługi winrm na moim serwerze, wykonując:

winrm put winrm/config/service/Auth @{Negotiate="false"}

A teraz mogę wykonać dowolną operację za pomocą winrm. Dostaję błąd:

    Message = The WinRM client cannot process the request. The WinRM client trie
d to use Negotiate authentication mechanism, but the destination computer (local
host:47001) returned an 'access denied' error. Change the configuration to allow
 Negotiate authentication mechanism to be used or specify one of the authenticat
ion mechanisms supported by the server. To use Kerberos, specify the local compu
ter name as the remote destination. Also verify that the client computer and the
 destination computer are joined to a domain. To use Basic, specify the local co
mputer name as the remote destination, specify Basic authentication and provide
user name and password. Possible authentication mechanisms reported by server:

Rozumiem błąd, ale problem polega na tym, że jedynym sposobem na znalezienie w Internecie włączenia uwierzytelnienia negocjacyjnego jest wykonanie:

winrm put winrm/config/service/Auth @{Negotiate="true"}

Co oczywiście daje błąd powyżej. Czy istnieje inny sposób włączenia uwierzytelniania negocjacyjnego?

Użyj zasad grupy:

Komputer> Zasady> Szablony administracyjne> Składniki systemu Windows> Zdalne zarządzanie systemem Windows> Usługa WinRM:
Nie zezwalaj na negocjowanie uwierzytelnienia: Wyłączone.

Edytuj klucz rejestru HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WSMAN \ Client.

Ustaw auth_kerberos i auth_negotiate na 1.

Uruchom ponownie usługę.

Jak sugerowano w tej odpowiedzi , ale usługa, a nie klient:

1. Edytuj klucz rejestru HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service.

2. Ustaw auth_kerberosi auth_negotiatena 1 .

3. Uruchom ponownie usługę Windows Remote Management (WS-Management).

Na naszym serwerze 2012 / Exchange 2010 mieliśmy ten błąd podczas próby użycia oprogramowania do tworzenia kopii zapasowych AVG.

Znalazłem usunięcie obu maxenvelopesizei trusted_hostspod tym kluczem załatwiłem sprawę

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client]
"maxEnvelopeSize"=dword:000007d0
"trusted_hosts"="*"

Miałem jeden serwer działający, a inny nie. Nie mogłem znaleźć problemu. W końcu to rozgryzłem.

Na serwerze wysyłającym: ustaw lokalne zasady Konfiguracja komputera \ Szablony administracyjne \ System \ Referencje Delegacja \ Zezwalaj na delegowanie świeżych referencji. Tam ustaw WSMAN * na liście Dodaj serwery do listy (zaznacz także pole wyboru Domyślne połączenie systemu operacyjnego)

Na serwerze odbierającym (utwórz plik .reg z następującymi :):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client] 
"auth_credssp"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service]
"auth_credssp"=dword:00000001

pracuje dla mnie

Należy pamiętać, że jeśli komputer (serwer) jest członkiem domeny lub sam jest kontrolerem domeny (w moim przypadku Windows Server 2019), zasady grupy można zastosować z zasad grupy domeny.
Sugeruję więc (w takich przypadkach) skorzystanie z poniższego polecenia i sprawdzenie zwycięskiej wartości zasad „Nie zezwalaj na negocjowanie uwierzytelnienia”.

C:\Temp\gpresult /h rep.htm

Można go zastosować z „Domyślnych zasad kontrolerów domeny” !!