3 votos

WinRM no se conecta al ordenador remoto en mi dominio

Estoy intentando ejecutar un script que instala un programa de forma remota para un usuario de mi dominio. Puedo ejecutar el script bien en mi propio ordenador, pero cuando ejecuto el script para un ordenador diferente en el dominio obtengo el error de

La conexión con el servidor remoto (computername) falló con el siguiente mensaje de error: WinRM no puede completar la operación. Compruebe que el nombre del ordenador especificado es válido, que el ordenador es accesible a través de la red, y que una excepción del cortafuegos para el servicio WinRM está activada y permite el acceso desde este ordenador. En Por defecto, la excepción del cortafuegos de WinRM para los perfiles públicos limita el acceso a los ordenadores remotos dentro de la misma subred local. subred local. Para obtener más información, consulte el tema de ayuda about_Remote_Troubleshooting

He configurado winRM y la GPO de winRM, he desactivado el firewall y sin embargo me sigue dando el mismo error. Creo que he agotado todas las opciones, así que me gustaría recibir ayuda.

Cosas que he probado:

  • Comprobado si el Firewall estaba bloqueando el puerto

  • Configurado winRM a través de un GPO en el dominio, ipv4 e ipv6 están escuchando en *

  • He ejecutado Enable-PSRemoting -Force y winrm /quickconfig en ambos ordenadores

  • He ejecutado winrm id -r:(mymachine) que funciona en el mío, pero no en el ordenador al que estoy intentando acceder de forma remota, ya que me da el error:

    WSManFault Message = WinRM cannot complete the operation. Verify that the specified computer name is valid, that the computer is accessible over the network, and that a firewall exception for the WinRM service is enabled and allows access from this computer. By default, the WinRM firewall exception for public profiles limits access to remote computers within the same local subnet.

    Error number: -2144108250 0x80338126 WinRM cannot complete the operation. Verify that the specified computer name is valid, that the computer is accessible over the network, and that a firewall exception for the WinRM service is enabled and allows access from this computer. By default, the WinRM firewall exception for public profiles limits access to remote computers within the same local subnet.

  • La ejecución de telnet (TargetMachine) 5985 falla con el error Connecting To (ComputerName)...No se pudo abrir la conexión con el host, en el puerto 5985: La conexión ha fallado

  • Cuando ejecuto 'winrm get winrm/config' y 'winrm get wmicimv2/Win32_Service?Name=WinRM' obtengo una salida de:

    Config MaxEnvelopeSizekb = 500 MaxTimeoutms = 60000 MaxBatchItems = 32000 MaxProviderRequests = 4294967295 Client NetworkDelayms = 5000 URLPrefix = wsman AllowUnencrypted = false Auth Basic = true Digest = true Kerberos = true Negotiate = true Certificate = true CredSSP = false DefaultPorts HTTP = 5985 HTTPS = 5986 TrustedHosts = ()ComputerName) Service RootSDDL = O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;IU)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD) MaxConcurrentOperations = 4294967295 MaxConcurrentOperationsPerUser = 1500 EnumerationTimeoutms = 240000 MaxConnections = 300 MaxPacketRetrievalTimeSeconds = 120 AllowUnencrypted = false Auth Basic = false Kerberos = true Negotiate = true Certificate = false CredSSP = false CbtHardeningLevel = Relaxed DefaultPorts HTTP = 5985 HTTPS = 5986 IPv4Filter = [Source="GPO"] IPv6Filter = [Source="GPO"] EnableCompatibilityHttpListener = false EnableCompatibilityHttpsListener = false CertificateThumbprint AllowRemoteAccess = true [Source="GPO"] Winrs AllowRemoteShellAccess = true IdleTimeout = 7200000 MaxConcurrentUsers = 2147483647 MaxShellRunTime = 2147483647 MaxProcessesPerShell = 2147483647 MaxMemoryPerShellMB = 2147483647 MaxShellsPerUser = 2147483647

    Win32_Service AcceptPause = false AcceptStop = true Caption = Windows Remote Management (WS-Management) CheckPoint = 0 CreationClassName = Win32_Service DelayedAutoStart = null Description = Windows Remote Management (WinRM) service implements the WS-Management protocol for remote management. WS-Management is a standard web services protocol used for remote software and hardware management. The WinRM service listens on the network for WS-Management requests and processes them. The WinRM Service needs to be configured with a listener using winrm.cmd command line tool or through Group Policy in order for it to listen over the network. The WinRM service provides access to WMI data and enables event collection. Event collection and subscription to events require that the service is running. WinRM messages use HTTP and HTTPS as transports. The WinRM service does not depend on IIS but is preconfigured to share a port with IIS on the same machine. The WinRM service reserves the /wsman URL prefix. To prevent conflicts with IIS, administrators should ensure that any websites hosted on IIS do not use the /wsman URL prefix. DesktopInteract = false DisplayName = Windows Remote Management (WS-Management) ErrorControl = Normal ExitCode = 0 InstallDate = null Name = WinRM PathName = C:\WINDOWS\System32\svchost.exe -k NetworkService -p ProcessId = 15760 ServiceSpecificExitCode = 0 ServiceType = Share Process Started = true StartMode = Auto StartName = NT AUTHORITY\NetworkService State = Running Status = OK SystemCreationClassName = Win32_ComputerSystem SystemName = (ComputerName) TagId = 0 WaitHint = 0

  • También puedo hacer cosas como crear una carpeta en el ordenador de destino. Pero realizar una instalación de un programa en el ordenador de destino falla.

No puedo recordar en este momento cada pequeña cosa exacta que he probado, pero si sugieres algo puedo verificar que lo he probado.

He seguido muchas sugerencias en línea que incluyen PowerShell remoto, fallos de WinRM: WinRM no puede completar la operación

pero aún así nada.

0 votos

¿Puede enumerar algunas de las opciones que ha probado y los resultados? Es más probable que obtenga una respuesta si lo hace en lugar de que la gente sugiera cosas al azar como, ¿ha intentado ejecutar winrm /quickconfig en la máquina? docs.microsoft.com/es-us/Windows/win32/winrm/

0 votos

@Citizen Vale he actualizado mi pregunta. Y sí tengo

0 votos

Debe especificar si puede conectarse a tcp/5985, eso validaría la conectividad de la red. También debe especificar si puede realizar un ping remoto: winrm id -r:machinename

2voto

Greg Askew Puntos 17236

Si no ha configurado su lista de direcciones de red permitidas/hosts de confianza en la Política de Grupo/Política Local, esa puede ser una razón.

Plantillas administrativas > Componentes de Windows > Administración remota de Windows > Servicio WinRM

Permitir la gestión remota del servidor a través de WinRM

Esta configuración de directiva le permite administrar si el servicio de Administración remota de Windows (WinRM) escucha automáticamente en la red las solicitudes en el transporte HTTP a través del puerto HTTP predeterminado.

Si habilita esta configuración de directiva, el servicio WinRM escucha automáticamente en la red las solicitudes en el transporte HTTP a través del puerto HTTP predeterminado.

Para permitir que el servicio WinRM reciba peticiones a través de la red, configure la política del Firewall de Windows con excepciones para el puerto 5985 (puerto por defecto para HTTP).

Si deshabilita o no configura esta configuración de directiva, el servicio WinRM no responderá a las solicitudes de un equipo remoto, independientemente de que se haya configurado algún oyente de WinRM.

El servicio escucha en las direcciones especificadas por los filtros IPv4 e IPv6. El filtro IPv4 especifica uno o más rangos de direcciones IPv4, y el filtro IPv6 especifica uno o más rangos de direcciones IPv6. Si se especifica, el servicio enumera las direcciones IP disponibles en el ordenador y utiliza sólo las direcciones que están dentro de uno de los rangos del filtro.

Debe utilizar un asterisco (*) para indicar que el servicio escucha en todas las direcciones IP disponibles en el ordenador. Cuando se usa *, se ignoran otros rangos en el filtro. Si el filtro se deja en blanco, el servicio no escucha en ninguna dirección.

Por ejemplo, si quiere que el servicio escuche sólo en direcciones IPv4, deje vacío el filtro IPv6.

Los rangos se especifican utilizando la sintaxis IP1-IP2. Los rangos múltiples se separan utilizando "," (coma) como delimitador.

Ejemplo de filtros IPv4: \n2.0.0.1 -2.0.0.20, 24.0.0.1-24.0.0.22 Ejemplo de filtros IPv6: \n3FFE :FFFF:7654:FEDA:1245:BA98:0000:0000-3FFE:FFFF:7654:FEDA:1245:BA98:3210:4562

WinRM Service Trusted Networks

Plantillas administrativas > Componentes de Windows > Administración remota de Windows > Cliente WinRM

Anfitriones de confianza

Esta configuración de directiva permite administrar si el cliente de Administración remota de Windows (WinRM) utiliza la lista especificada en Lista de hosts de confianza para determinar si el host de destino es una entidad de confianza.

Si habilita esta configuración de directiva, el cliente WinRM utiliza la lista especificada en Lista de hosts de confianza para determinar si el host de destino es una entidad de confianza. El cliente WinRM utiliza esta lista cuando no se utilizan ni HTTPS ni Kerberos para autenticar la identidad del host.

Si deshabilita o no configura esta configuración de directiva y el cliente WinRM necesita utilizar la lista de hosts de confianza, debe configurar la lista de hosts de confianza localmente en cada equipo.

WinRM Client Trusted Hosts

0 votos

Gracias por la detallada respuesta. Desgraciadamente ya he probado las dos cosas que has sugerido y sigue fallando.

0 votos

@josh: Oh, espera. Si usted declaró que tcp/5985 no está respondiendo. Prueba en el ordenador de destino: winrm get winrm/config y winrm get wmicimv2/Win32_Service?Name=WinRM . Asegúrese también de que el servicio de cortafuegos no está detenido y compruebe el registro de eventos de la administración remota de Windows en busca de errores y advertencias.

0 votos

He actualizado mi pregunta para proporcionar los resultados cuando ejecute esos comandos en el ordenador de destino. También nuestro Firewall está siendo gestionado a través de ESET. Pero pongo en pausa el firewall y ejecuto el mismo comando y sigue fallando. El registro de eventos de WinRM me da el mismo mensaje de error que me da powershell que he indicado al principio de mi pregunta

0voto

jschmitter Puntos 106

Dado que puede hacer cosas como crear una carpeta, pero no puede instalar un programa, es posible que tenga que cambiar la política de ejecución.

Set-ExecutionPolicy RemoteSigned -force

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: