web-dev-qa-db-fra.com

Remote PowerShell, échecs WinRM: WinRM ne peut pas terminer l'opération

Lorsque vous exécutez Enter-PSSession COMPUTERNAME Avec Enable-PSWSManCombinedTrace, Je vois les messages pertinents suivants dans le journal opérationnel de gestion à distance Windows:


Fonctionnement WSMAN Get Failed, code d'erreur 2150859046


WinRM ne peut pas terminer l'opération. Vérifiez que le nom de l'ordinateur spécifié est valide, que l'ordinateur est accessible via le réseau et qu'une exception de pare-feu pour le service WinRM est activée et permet un accès à cet ordinateur. Par défaut, l'exception de pare-feu WinRM pour les profils publics limite l'accès aux ordinateurs distants dans le même sous-réseau local.


L'opération de protocole WINRM a échoué en raison de l'erreur suivante: Les métadonnées n'ont pas pu être extraites du serveur, en raison de l'erreur suivante: WinRM ne peut pas terminer l'opération. Vérifiez que le nom de l'ordinateur spécifié est valide, que l'ordinateur est accessible via le réseau et qu'une exception de pare-feu pour le service WinRM est activée et permet un accès à cet ordinateur. Par défaut, l'exception de pare-feu WinRM pour les profils publics limite l'accès aux ordinateurs distants dans le même sous-réseau local. .


Et parfois:

Le client a eu un délai d'attente de la couche de réseau (error_winhttp_timeout)


COMPUTERNAME est un serveur Core R2 2012 sur le domaine, dans les mêmes stratégies de groupe que de nombreux autres serveurs pour lesquels Remote PowerShell, Server Manager, et al travailles bien. Je peux passer à ce système à ce système, je peux obtenir des données WMI à partir de celle-ci (par exemple Get-WmiObject -ComputerName COMPUTERNAME -Class Win32_OperatingSystem Retourne ce qu'il devrait) et, de toutes les autres voies, il semble fonctionner simplement bien.

Bien que cela soit défini via la stratégie de groupe déjà, j'ai déjà essayé (de nombreuses fois une manière) d'activer WinRM et Remote PowerShell, tels que Enable-PSRemoting, Ou appelez les étapes de l'assistant que cette commande s'exécute individuellement.

J'ai changé en une interface réseau différente, j'ai assuré d'autres systèmes sur le même segment de réseau ne présentant pas ces symptômes, j'ai suivi les conseils de Get-Help about_Remote_Troubleshooting, Et j'ai sacrifié la chèvre requise à Baal. Rien n'aide.

Ces symptômes sont reproductibles de tout client de domaine à ce serveur ou si vous contactez le serveur par IP (après l'avoir mis en fiducies). Aucun autre serveur ne présente ce problème. Il n'y a pas de logiciel ou de configuration (toutes les règles de FW activées et fonctionnalités installées) qui ne sont pas sur au moins 2 autres serveurs de mon environnement.

Des idées?


résultats les plus récents :

netsh http show iplist Retourne 127.0.0.1 Sur le système de non-travail, mais ne renvoie rien sur les systèmes de travail.

Comme @ Out-Null a correctement souligné dans les commentaires, le fait que 5985 écoute le 127.0.0.1 est un problème. J'ai depuis exclu ce système à partir du GPO Configuration de nos paramètres WinRM et a créé manuellement l'auditeur:

winrm create winrm/config/Listener?Address=*+Transport=HTTP

Cependant, le résultat à NetStat est le même. Notez la sortie de winrm e Ci-dessous, où l'IP est répertorié comme un auditeur.

Toujours soulevé sur celui-ci ...


preuves originales/vérifications de santé mentale

$> winrm e winrm/config/listener
Listener [Source="GPO"]
    Address = *
    Transport = HTTP
    Port = 5985
    Hostname
    Enabled = true
    URLPrefix = wsman
    CertificateThumbprint
    ListeningOn = 10.11.10.117, 127.0.0.1, 169.254.34.30, 169.254.47.200, 169.254.236.165, ::1, fe80::5efe:10.115.63.10 7%16, fe80::5efe:169.254.34.30%45, fe80::28b8:be74:53c:2fc8%12, fe80::69a9:e404:12bd:63c0%15, fe80::7cf2:ec84:332f:221e%14, fe80::cdc6:5ca0:6ae2:eca5%13

$> netsh winhttp show proxy

Current WinHTTP proxy settings:
    Direct access (no proxy server).

$> Get-NetFirewallRule WINRM-HTTP-In-TCP | fl *


Name                    : WINRM-HTTP-In-TCP
ID                      : WINRM-HTTP-In-TCP
Group                   : @FirewallAPI.dll,-30267
Platform                : {}
LSM                     : False
DisplayName             : Windows Remote Management (HTTP-In)
Enabled                 : True
Profile                 : Domain, Private
Direction               : Inbound
Action                  : Allow
EdgeTraversalPolicy     : Block
PrimaryStatus           : OK
Status                  : The rule was parsed successfully from the store. (65536)
EnforcementStatus       : NotApplicable
PolicyStoreSourceType   : Local
Caption                 :
Description             : Inbound rule for Windows Remote Management via WS-Management. [TCP 5985]
ElementName             : @FirewallAPI.dll,-30253
InstanceID              : WINRM-HTTP-In-TCP
CommonName              :
PolicyKeywords          :
PolicyDecisionStrategy  : 2
PolicyRoles             :
ConditionListType       : 3
CreationClassName       : MSFT|FW|FirewallRule|WINRM-HTTP-In-TCP
ExecutionStrategy       : 2
Mandatory               :
PolicyRuleName          :
Priority                :
RuleUsage               :
SequencedActions        : 3
SystemCreationClassName :
SystemName              :
DisplayGroup            : Windows Remote Management
LocalOnlyMapping        : False
LooseSourceMapping      : False
Owner                   :
Platforms               : {}
PolicyStoreSource       : PersistentStore
Profiles                : 3
RuleGroup               : @FirewallAPI.dll,-30267
StatusCode              : 65536
PSComputerName          :
CimClass                : root/standardcimv2:MSFT_NetFirewallRule
CimInstanceProperties   : {Caption, Description, ElementName, InstanceID...}
CimSystemProperties     : Microsoft.Management.Infrastructure.CimSystemProperties

COMPUTERNAME$> netstat -anp tcp

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49152          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49153          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49154          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49155          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49174          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49178          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49191          0.0.0.0:0              LISTENING
  TCP    10.11.10.117:135      192.168.5.71:64570    ESTABLISHED
  TCP    10.11.10.117:135      192.168.5.71:64571    ESTABLISHED
  TCP    10.11.10.117:135      192.168.5.71:64572    ESTABLISHED
  TCP    10.11.10.117:139      0.0.0.0:0              LISTENING
  TCP    10.11.10.117:3389     10.1.1.2:57970     ESTABLISHED
  TCP    10.11.10.117:49153    10.1.1.2:58100     ESTABLISHED
  TCP    10.11.10.117:50601    192.168.5.111:8014     ESTABLISHED
  TCP    10.11.10.117:56508    192.168.5.177:445     ESTABLISHED
  TCP    127.0.0.1:5985         0.0.0.0:0              LISTENING
  TCP    127.0.0.1:47001        0.0.0.0:0              LISTENING
  TCP    169.254.34.30:139      0.0.0.0:0              LISTENING


SOME-WORKING-COMPUTER$> netstat -anp tcp

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:5985           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:47001          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49152          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49153          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49154          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49155          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49158          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49187          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49192          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49199          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49213          0.0.0.0:0              LISTENING
  TCP    192.168.5.11:139     0.0.0.0:0              LISTENING
  TCP    192.168.5.11:5985    10.1.1.2:58153     ESTABLISHED
  TCP    192.168.5.11:5985    10.1.1.2:58154     ESTABLISHED
  TCP    192.168.5.11:5985    10.1.1.2:58156     ESTABLISHED
  TCP    192.168.5.11:49203   192.168.5.177:49210   ESTABLISHED
  TCP    192.168.5.11:49213   192.168.5.177:52784   ESTABLISHED
  TCP    192.168.5.11:49213   192.168.5.177:54507   ESTABLISHED
  TCP    192.168.5.11:49213   192.168.5.177:59034   ESTABLISHED
  TCP    192.168.5.11:52905   192.168.5.177:49210   TIME_WAIT
  TCP    192.168.5.11:52906   192.168.5.177:49210   TIME_WAIT
  TCP    192.168.5.11:52907   192.168.5.111:8014     ESTABLISHED
  TCP    192.168.5.11:52910   192.168.5.177:49210   TIME_WAIT
  TCP    192.168.5.11:52915   192.168.5.177:49210   TIME_WAIT
  TCP    192.168.5.11:52918   192.168.5.177:49210   TIME_WAIT
  TCP    192.168.5.11:52920   192.168.5.177:49210   TIME_WAIT
  TCP    192.168.5.11:52922   192.168.5.177:49210   ESTABLISHED
  TCP    192.168.5.11:52923   192.168.5.177:49210   ESTABLISHED
  TCP    192.168.5.11:52924   192.168.5.177:49210   ESTABLISHED
  TCP    192.168.5.11:52925   192.168.5.177:49210   ESTABLISHED
  TCP    192.168.5.11:52926   192.168.5.177:49210   ESTABLISHED
  TCP    192.168.5.11:52927   192.168.5.177:49210   ESTABLISHED
  TCP    192.168.5.11:54938   192.168.6.8:49157     ESTABLISHED
  TCP    192.168.5.11:62632   192.168.5.177:49210   ESTABLISHED
  TCP    192.168.5.11:64307   192.168.6.8:389       ESTABLISHED
6
Tohuw

Enfin résolu, a contribué à la preuve que j'ai récemment ajoutée à la question:

netsh http show iplist

IP addresses present in the IP listen list:
-------------------------------------------

127.0.0.1

Sur les systèmes où cela fonctionnait, cette liste était vide. Cela semblait plutôt contre-intuitif pour moi au début. Néanmoins, j'ai donné ça un coup:

> netsh http delete iplisten ipaddress=127.0.0.1

Immédiatement après, je remarque cette sortie de netstat:

>netstat -anp tcp

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:5985           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:47001          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49152          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49153          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49154          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49155          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49175          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49179          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49190          0.0.0.0:0              LISTENING
  TCP    10.115.63.107:139      0.0.0.0:0              LISTENING
  TCP    10.115.63.107:3389     10.115.13.25:64873     ESTABLISHED
  TCP    10.115.63.107:49235    192.168.40.146:445     ESTABLISHED
  TCP    10.115.63.107:49291    192.168.40.45:8014     ESTABLISHED
  TCP    169.254.34.30:139      0.0.0.0:0              LISTENING

Et en effet, WinRM fonctionne comme si cela devrait.

Je suppose, via des tests, que si aucun écouteur HTTP n'est configuré, tous les écouteurs HTTP se lieront à l'entité par défaut: 0.0.0.0. Étant donné qu'une adresse de bouclage a été configurée en tant qu'adresse d'auditeur, l'auditeur était lié à cette adresse.

À un moment donné, j'ai dû prendre des mesures qui ont causé cette configuration, bien que je ne sais pas comment. En tout cas, ça fonctionne bien maintenant. Merci a tous.

1
Tohuw