Remote PowerShell, échecs WinRM: WinRM ne peut pas terminer l'opération
Lorsque vous exécutez Enter-PSSession COMPUTERNAME Avec Enable-PSWSManCombinedTrace, Je vois les messages pertinents suivants dans le journal opérationnel de gestion à distance Windows:
Fonctionnement WSMAN Get Failed, code d'erreur 2150859046
WinRM ne peut pas terminer l'opération. Vérifiez que le nom de l'ordinateur spécifié est valide, que l'ordinateur est accessible via le réseau et qu'une exception de pare-feu pour le service WinRM est activée et permet un accès à cet ordinateur. Par défaut, l'exception de pare-feu WinRM pour les profils publics limite l'accès aux ordinateurs distants dans le même sous-réseau local.
L'opération de protocole WINRM a échoué en raison de l'erreur suivante: Les métadonnées n'ont pas pu être extraites du serveur, en raison de l'erreur suivante: WinRM ne peut pas terminer l'opération. Vérifiez que le nom de l'ordinateur spécifié est valide, que l'ordinateur est accessible via le réseau et qu'une exception de pare-feu pour le service WinRM est activée et permet un accès à cet ordinateur. Par défaut, l'exception de pare-feu WinRM pour les profils publics limite l'accès aux ordinateurs distants dans le même sous-réseau local. .
Et parfois:
Le client a eu un délai d'attente de la couche de réseau (error_winhttp_timeout)
COMPUTERNAME est un serveur Core R2 2012 sur le domaine, dans les mêmes stratégies de groupe que de nombreux autres serveurs pour lesquels Remote PowerShell, Server Manager, et al travailles bien. Je peux passer à ce système à ce système, je peux obtenir des données WMI à partir de celle-ci (par exemple Get-WmiObject -ComputerName COMPUTERNAME -Class Win32_OperatingSystem Retourne ce qu'il devrait) et, de toutes les autres voies, il semble fonctionner simplement bien.
Bien que cela soit défini via la stratégie de groupe déjà, j'ai déjà essayé (de nombreuses fois une manière) d'activer WinRM et Remote PowerShell, tels que Enable-PSRemoting, Ou appelez les étapes de l'assistant que cette commande s'exécute individuellement.
J'ai changé en une interface réseau différente, j'ai assuré d'autres systèmes sur le même segment de réseau ne présentant pas ces symptômes, j'ai suivi les conseils de Get-Help about_Remote_Troubleshooting, Et j'ai sacrifié la chèvre requise à Baal. Rien n'aide.
Ces symptômes sont reproductibles de tout client de domaine à ce serveur ou si vous contactez le serveur par IP (après l'avoir mis en fiducies). Aucun autre serveur ne présente ce problème. Il n'y a pas de logiciel ou de configuration (toutes les règles de FW activées et fonctionnalités installées) qui ne sont pas sur au moins 2 autres serveurs de mon environnement.
Des idées?
résultats les plus récents :
netsh http show iplist Retourne 127.0.0.1 Sur le système de non-travail, mais ne renvoie rien sur les systèmes de travail.
Comme @ Out-Null a correctement souligné dans les commentaires, le fait que 5985 écoute le 127.0.0.1 est un problème. J'ai depuis exclu ce système à partir du GPO Configuration de nos paramètres WinRM et a créé manuellement l'auditeur:
winrm create winrm/config/Listener?Address=*+Transport=HTTP
Cependant, le résultat à NetStat est le même. Notez la sortie de winrm e Ci-dessous, où l'IP est répertorié comme un auditeur.
Toujours soulevé sur celui-ci ...
preuves originales/vérifications de santé mentale
$> winrm e winrm/config/listener
Listener [Source="GPO"]
Address = *
Transport = HTTP
Port = 5985
Hostname
Enabled = true
URLPrefix = wsman
CertificateThumbprint
ListeningOn = 10.11.10.117, 127.0.0.1, 169.254.34.30, 169.254.47.200, 169.254.236.165, ::1, fe80::5efe:10.115.63.10 7%16, fe80::5efe:169.254.34.30%45, fe80::28b8:be74:53c:2fc8%12, fe80::69a9:e404:12bd:63c0%15, fe80::7cf2:ec84:332f:221e%14, fe80::cdc6:5ca0:6ae2:eca5%13
$> netsh winhttp show proxy
Current WinHTTP proxy settings:
Direct access (no proxy server).
$> Get-NetFirewallRule WINRM-HTTP-In-TCP | fl *
Name : WINRM-HTTP-In-TCP
ID : WINRM-HTTP-In-TCP
Group : @FirewallAPI.dll,-30267
Platform : {}
LSM : False
DisplayName : Windows Remote Management (HTTP-In)
Enabled : True
Profile : Domain, Private
Direction : Inbound
Action : Allow
EdgeTraversalPolicy : Block
PrimaryStatus : OK
Status : The rule was parsed successfully from the store. (65536)
EnforcementStatus : NotApplicable
PolicyStoreSourceType : Local
Caption :
Description : Inbound rule for Windows Remote Management via WS-Management. [TCP 5985]
ElementName : @FirewallAPI.dll,-30253
InstanceID : WINRM-HTTP-In-TCP
CommonName :
PolicyKeywords :
PolicyDecisionStrategy : 2
PolicyRoles :
ConditionListType : 3
CreationClassName : MSFT|FW|FirewallRule|WINRM-HTTP-In-TCP
ExecutionStrategy : 2
Mandatory :
PolicyRuleName :
Priority :
RuleUsage :
SequencedActions : 3
SystemCreationClassName :
SystemName :
DisplayGroup : Windows Remote Management
LocalOnlyMapping : False
LooseSourceMapping : False
Owner :
Platforms : {}
PolicyStoreSource : PersistentStore
Profiles : 3
RuleGroup : @FirewallAPI.dll,-30267
StatusCode : 65536
PSComputerName :
CimClass : root/standardcimv2:MSFT_NetFirewallRule
CimInstanceProperties : {Caption, Description, ElementName, InstanceID...}
CimSystemProperties : Microsoft.Management.Infrastructure.CimSystemProperties
COMPUTERNAME$> netstat -anp tcp
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49152 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49154 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49155 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49174 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49178 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49191 0.0.0.0:0 LISTENING
TCP 10.11.10.117:135 192.168.5.71:64570 ESTABLISHED
TCP 10.11.10.117:135 192.168.5.71:64571 ESTABLISHED
TCP 10.11.10.117:135 192.168.5.71:64572 ESTABLISHED
TCP 10.11.10.117:139 0.0.0.0:0 LISTENING
TCP 10.11.10.117:3389 10.1.1.2:57970 ESTABLISHED
TCP 10.11.10.117:49153 10.1.1.2:58100 ESTABLISHED
TCP 10.11.10.117:50601 192.168.5.111:8014 ESTABLISHED
TCP 10.11.10.117:56508 192.168.5.177:445 ESTABLISHED
TCP 127.0.0.1:5985 0.0.0.0:0 LISTENING
TCP 127.0.0.1:47001 0.0.0.0:0 LISTENING
TCP 169.254.34.30:139 0.0.0.0:0 LISTENING
SOME-WORKING-COMPUTER$> netstat -anp tcp
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5985 0.0.0.0:0 LISTENING
TCP 0.0.0.0:47001 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49152 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49154 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49155 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49158 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49187 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49192 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49199 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49213 0.0.0.0:0 LISTENING
TCP 192.168.5.11:139 0.0.0.0:0 LISTENING
TCP 192.168.5.11:5985 10.1.1.2:58153 ESTABLISHED
TCP 192.168.5.11:5985 10.1.1.2:58154 ESTABLISHED
TCP 192.168.5.11:5985 10.1.1.2:58156 ESTABLISHED
TCP 192.168.5.11:49203 192.168.5.177:49210 ESTABLISHED
TCP 192.168.5.11:49213 192.168.5.177:52784 ESTABLISHED
TCP 192.168.5.11:49213 192.168.5.177:54507 ESTABLISHED
TCP 192.168.5.11:49213 192.168.5.177:59034 ESTABLISHED
TCP 192.168.5.11:52905 192.168.5.177:49210 TIME_WAIT
TCP 192.168.5.11:52906 192.168.5.177:49210 TIME_WAIT
TCP 192.168.5.11:52907 192.168.5.111:8014 ESTABLISHED
TCP 192.168.5.11:52910 192.168.5.177:49210 TIME_WAIT
TCP 192.168.5.11:52915 192.168.5.177:49210 TIME_WAIT
TCP 192.168.5.11:52918 192.168.5.177:49210 TIME_WAIT
TCP 192.168.5.11:52920 192.168.5.177:49210 TIME_WAIT
TCP 192.168.5.11:52922 192.168.5.177:49210 ESTABLISHED
TCP 192.168.5.11:52923 192.168.5.177:49210 ESTABLISHED
TCP 192.168.5.11:52924 192.168.5.177:49210 ESTABLISHED
TCP 192.168.5.11:52925 192.168.5.177:49210 ESTABLISHED
TCP 192.168.5.11:52926 192.168.5.177:49210 ESTABLISHED
TCP 192.168.5.11:52927 192.168.5.177:49210 ESTABLISHED
TCP 192.168.5.11:54938 192.168.6.8:49157 ESTABLISHED
TCP 192.168.5.11:62632 192.168.5.177:49210 ESTABLISHED
TCP 192.168.5.11:64307 192.168.6.8:389 ESTABLISHED
Enfin résolu, a contribué à la preuve que j'ai récemment ajoutée à la question:
netsh http show iplist
IP addresses present in the IP listen list:
-------------------------------------------
127.0.0.1
Sur les systèmes où cela fonctionnait, cette liste était vide. Cela semblait plutôt contre-intuitif pour moi au début. Néanmoins, j'ai donné ça un coup:
> netsh http delete iplisten ipaddress=127.0.0.1
Immédiatement après, je remarque cette sortie de netstat:
>netstat -anp tcp
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5985 0.0.0.0:0 LISTENING
TCP 0.0.0.0:47001 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49152 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49154 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49155 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49175 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49179 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49190 0.0.0.0:0 LISTENING
TCP 10.115.63.107:139 0.0.0.0:0 LISTENING
TCP 10.115.63.107:3389 10.115.13.25:64873 ESTABLISHED
TCP 10.115.63.107:49235 192.168.40.146:445 ESTABLISHED
TCP 10.115.63.107:49291 192.168.40.45:8014 ESTABLISHED
TCP 169.254.34.30:139 0.0.0.0:0 LISTENING
Et en effet, WinRM fonctionne comme si cela devrait.
Je suppose, via des tests, que si aucun écouteur HTTP n'est configuré, tous les écouteurs HTTP se lieront à l'entité par défaut: 0.0.0.0. Étant donné qu'une adresse de bouclage a été configurée en tant qu'adresse d'auditeur, l'auditeur était lié à cette adresse.
À un moment donné, j'ai dû prendre des mesures qui ont causé cette configuration, bien que je ne sais pas comment. En tout cas, ça fonctionne bien maintenant. Merci a tous.