Как устранить неполадки Winrm через SSL-соединение

Question

Как устранить неполадки Winrm через SSL-соединение

У меня возникают трудности с установлением соединения Winrm, хотя, похоже, все настроено правильно.

Я в растерянности, так как кажется

Служба прослушивает порт 5986 и привязана к сертификату с правильным именем хоста
Промежуточные и корневые сертификаты сертификата устанавливаются как на сервере, так и на клиенте.
Я, кажется, в состоянии достигнуть порта сервера 5986 от клиента
Test-Wsman, без SSL, работает при исполнении с Клиента
Test-Wsman с SSL выдает исключение при выполнении с Клиента, но работает при выполнении с самого Сервера

Есть ли что-то, чего мне не хватает, и есть ли другой способ отследить проблему?

Моя установка выглядит следующим образом:

НА СЕРВЕРЕ

Настройка службы Winrm

 RootSDDL = O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;IU)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)
 MaxConcurrentOperations = 4294967295
 MaxConcurrentOperationsPerUser = 1500
 EnumerationTimeoutms = 240000
 MaxConnections = 300
 MaxPacketRetrievalTimeSeconds = 120
 AllowUnencrypted = false [Source="GPO"]
 Auth
     Basic = false [Source="GPO"]
     Kerberos = true
     Negotiate = true
     Certificate = true
     CredSSP = true
     CbtHardeningLevel = Relaxed
 DefaultPorts
     HTTP = 5985
     HTTPS = 5986
 IPv4Filter = *
 IPv6Filter = *
 EnableCompatibilityHttpListener = false
 EnableCompatibilityHttpsListener = true
 CertificateThumbprint
 AllowRemoteAccess = true

Listener
    Address = *
    Transport = HTTPS
    Port = 5986
    Hostname = myserver.internal.mycompany.co.uk
    Enabled = true
    URLPrefix = wsman
    CertificateThumbprint = ce11084a063c718b49c5ec8d019ba2ff92bd71f1
    ListeningOn = 10.0.13.64, 127.0.0.1, 169.254.98.150, 169.254.217.1, ::1, fe80::5efe:10.0.13.64%14, fe80::5efe:169.25
4.217.1%16, fe80::4508:f68f:aa01:bb7e%17, fe80::5982:db60:aa3b:d901%15, fe80::c03f:6876:a635:6296%13

Личные сертификаты

Valid From: ‎18 ‎January ‎2018 14:20:08
Valid To: ‎18 ‎January ‎2020 14:20:08
Subject: CN = myserver.internal.mycompany.co.uk
Thumbprint algorithm: sha1
Thumbprint: ‎ce 11 08 4a 06 3c 71 8b 49 c5 ec 8d 01 9b a2 ff 92 bd 71 f1
Subject Alternate Name: DNS Name=myserver.internal.mycompany.co.uk
Issuer: CN = MCCA1, DC = internal, DC = mycompany, DC = co, DC = uk

Промежуточный центр сертификации

Subject: CN = MCCA1, DC = internal, DC = mycompany, DC = co, DC = uk
Issuer: CN = ROOT-MCCA1

Доверенный корневой центр сертификации

Subject: CN = ROOT-MCCA1
Issuer: CN = ROOT-MCCA1

Test-WSMan https://myserver.internal.mycompany.co.uk:5986/wsman -UseSSL

wsmid           : http://schemas.dmtf.org/wbem/wsman/identity/1/wsmanidentity.xsd
ProtocolVersion : http://schemas.dmtf.org/wbem/wsman/1/wsman.xsd
ProductVendor   : Microsoft Corporation
ProductVersion  : OS: 0.0.0 SP: 0.0 Stack: 3.0

НА КЛИЕНТА

Конфигурация WinRm Client

NetworkDelayms = 5000
URLPrefix = wsman
AllowUnencrypted = false
Auth
    Basic = true
    Digest = true
    Kerberos = true
    Negotiate = true
    Certificate = true
    CredSSP = true
DefaultPorts
    HTTP = 5985
    HTTPS = 5986
TrustedHosts

Промежуточный центр сертификации

Subject: CN = MCCA1, DC = internal, DC = mycompany, DC = co, DC = uk
Issuer: CN = ROOT-MCCA1

Доверенный корневой центр сертификации

Subject: CN = ROOT-MCCA1
Issuer: CN = ROOT-MCCA1

Test-WSMan https://myserver.internal.mycompany.co.uk:5986/wsman -UseSSL

[ERROR] Test-WSMan : <f:WSManFault xmlns:f="http://schemas.microsoft.com/wbem/wsman/1/wsmanfault" 
[ERROR] Code="2150859194" Machine="mymachine.internal.mycompany.co.uk"><f:Message>The SSL connection cannot 
[ERROR] be established. Verify that the service on the remote host is properly configured to listen for HTTPS 
[ERROR] requests.

portqry -n myserver.internal.mycompany.co.uk -e 5986

Querying target system called:

 meserver.internal.mycompany.co.uk

Attempting to resolve the name to IP address...


Name resolved to 10.0.13.64

querying...

TCP port 5986 (unknown service): LISTENING

tracert myserver.internal.mycompany.co.uk

Трассировка маршрута до myserver.internal.mycompany.co.uk [10.0.13.64] в течение максимум 30 прыжков:

  1     1 ms     4 ms     3 ms  10.12.15.254
  2     1 ms    <1 ms    <1 ms  10.12.0.1
  3     3 ms     2 ms     2 ms  192.168.12.2
  4     1 ms     1 ms     1 ms  192.168.2.253
  5     1 ms     1 ms     2 ms  192.168.2.49
  6     1 ms     1 ms     2 ms  10.0.0.253
  7     1 ms     1 ms     1 ms  myserver.internal.mycompany.co.uk

Большое спасибо за любую помощь, которую вы можете предоставить

0

ssl certificate winrm wsman

Источник

user6208806 19 янв '18 в 11:50

0 ответов

Другие вопросы по тегам ssl certificate winrm wsman