I’ve installed WAC on Windows Server 2019 and have read what little documentation there is and I have yet to get it to connect to anything. At first I thought it was a firewall thing, but I’ve turned off the entire firewall for this particular endpoint and it makes it to the authentication stage, but doesn’t authenticate and displays the following error:
Text
The client cannot connect to the destination specified in the request. Verify that the service on the destination is running and is accepting requests. Consult the logs and documentation for the WS-Management service running on the destination, most commonly IIS or WinRM. If the destination is the WinRM service, run the following command on the destination to analyze and configure the WinRM service: "winrm quickconfig".
Nothing in the documentation about that and I’m using my domain admin account to attempt to connect (actually back to the server it’s installed on does the same). I’ve run the «winrm quickconfig» and that simply says that the service is already running and that everything «should» be fine.
- Remove From My Forums
-
Вопрос
-
Добрый день, коллеги!
Пытаюсь настроить работу WAC (2009) WinRM for HTTPS, провел подготовительные работы на удаленном ПК согласно
статье. Но при попытке подключиться выходит следующая ошибка и не могу понять почему:
Connecting to remote server srv01.contoso.local failed with the following error message : The server certificate on the destination computer (srv1.contoso.local:5986) has the following errors: The SSL certificate could not be checked for revocation. The server used to check for revocation might be unreachable. For more information, see the about_Remote_Troubleshooting Help topic.
Проверил CRL доступны, в Enterprise PKI тоже все ОК, в чем проблема не могу понять, есть у кого соображения по этому поводу?
Даже сам на себя через WAC не получается зайти :-(, когда-то пробовал данный функционал все без проблем работало, может глюк новой версии?
Ответы
-
Действительно как только я настроил OCSP и выпустил новый сертификат все заработало.
-
Помечено в качестве ответа
30 декабря 2020 г. 13:10
-
Помечено в качестве ответа
Cправка — Google Chrome
Войти
Справка Google
- Справочный центр
- Сообщество
- Google Chrome
- Политика конфиденциальности
- Условия предоставления услуг
- Отправить отзыв
Тема отзыва
Информация в текущем разделе Справочного центра
Общие впечатления о Справочном центре Google
- Справочный центр
- Сообщество
Google Chrome
Содержание
- Windows admin center не запускается
- Вопрос
- Ответы
- Все ответы
- 21 Replies
- Windows Admin Center — известные проблемы
- Установщик
- Общие сведения
- диспетчер расширений
- Проблемы с расширением партнера
- Проблемы, связанные с браузером
- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Совместимость WebSocket при использовании службы прокси-сервера
- поддержка версий Windows Server до 2016 (2012 r2, 2012, 2008 r2)
- Контроль доступа на основе ролей (RBAC)
- Решение «Диспетчер серверов»
- Сертификаты
- События
- Файлы
- PowerShell
- Редактор реестра
- Удаленный рабочий стол
- Роли и компоненты
- Память
- Обновления
- Виртуальные машины
- Виртуальные коммутаторы
- Решение «Управление компьютерами»
- Развертывание кластера
- Шаг 1,2
- Шаг 1,4
- Шаг 1,7
- Создание кластера Stretch
- Отменить и начать заново
- CredSSP
- Вложенная виртуализация
- Поддержка RDMA
- Решение «Диспетчер отказоустойчивости кластеров»
- Решение «Диспетчер гиперконвергентных кластеров»
- Службы Azure
- Вход в Azure и регистрация шлюза
- Синхронизация файлов Azure разрешения
- Параметры для настройки служб управления Azure
Windows admin center не запускается
Вопрос
Добрый день, коллеги!
Пытаюсь настроить работу WAC ( 2009 ) WinRM for HTTPS, провел подготовительные работы на удаленном ПК согласно статье. Но при попытке подключиться выходит следующая ошибка и не могу понять почему:
Проверил CRL доступны, в Enterprise PKI тоже все ОК, в чем проблема не могу понять, есть у кого соображения по этому поводу?
Даже сам на себя через WAC не получается зайти :-(, когда-то пробовал данный функционал все без проблем работало, может глюк новой версии?
Ответы
Все ответы
В конце статьи есть информация «More Infromation» про сертификат, посмотрите инструкцию и проверьте:
By default WinRM HTTPS uses port 443. On Windows 7 and higher the default port is 5986.
To confirm WinRM is listening on HTTPS type the following:
To confirm a computer certificate has been installed use the Certificates MMC add-in or type the following:
If you get the following error message:
To be used for SSL, a certificate must have a CN matching the hostname, be appropriate for Server Authentication, and not be expired, revoked, or self-signed.
Open the certificates MMC add-in and confirm the following attributes are correct:
If you have more than one local computer account server certificate installed, confirm the Certificate Thumbprint displayed by Winrm enumerate winrm/config/listener is the same Thumbprint on the Details tab of the certificate.
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.
Источник
I’ve installed WAC on Windows Server 2019 and have read what little documentation there is and I have yet to get it to connect to anything. At first I thought it was a firewall thing, but I’ve turned off the entire firewall for this particular endpoint and it makes it to the authentication stage, but doesn’t authenticate and displays the following error:
Nothing in the documentation about that and I’m using my domain admin account to attempt to connect (actually back to the server it’s installed on does the same). I’ve run the «winrm quickconfig» and that simply says that the service is already running and that everything «should» be fine.
I had similar trouble because I was not using an administrator account to connect to the server which I wanted to monitor. Once I used an account with appropriate permissions I was able to connect. WAC is very nice to use especially when dealing with core servers. Good luck.
I’m logged in as a Domain Admin and have full administrator access to every computer on the domain. How did you get past the firewall issue? These are brand-new out of the box Windows 10 Professional PCs that I’m dealing with and no custom configuration has been applied, so the documentation doesn’t say what I need to do to them to be able to connect. I’m not disabling the firewall for every PC on the domain, so that’s not an option. That’s another issue I have while dealing with all of this.
For the firewall you either disable domain firewall or add a exception for WAC.
I’ve done both. Still doesn’t connect. I have disabled firewall completely, and get the error that’s posted in my original post.
With WAC installed on a 2019 Server, I am able to verify the error when trying to connect to a Windows 10 desktop.
Problem does NOT exist with WAC run from another Windows 10 desktop.
Will post more info if I find cause.
Windows 10 does not have WinRM/PowerShell remoting on by default
To enable management of the Windows 10 Client, you must issue the command Enable-PSRemoting from an elevated PowerShell prompt.
I tested » Enable-PSRemoting» just abit ago on the client machine. It showed some services starting then stated that PS remoting was already enabled.
Went back to WAC on the server and attempted connection again, was presented with new connection prompt and had to re-enter admin credentials, I did NOT check the «use for all connections» box. Remote connection was established with no further errors.
The spot I’m stuck at is the login. I use a domain admin account which all client machine Administrators group have the Domain Admins added by default in our GPO, so I know it’s not a permissions thing (or is it?). I’ll give the Enable-PSRemoting command a try and see where that gets me.
Are you connecting to a workgroup machine on a different subnet?
To connect to a workgroup machine that is not on the same subnet as the gateway, make sure the firewall port for WinRM (TCP 5985) allows inbound traffic on the target machine. You can run the following command in PowerShell or at a Command Prompt as Administrator on the target machine to create this firewall rule:
Both machines are connected to the same domain. I tried running those commands and it still didn’t work. Same failed connection message.
I’m out of idea’s, uninstall and re-install latest version of WAC.
I may just give up. I created a new VM server (2019) today and tried again with no luck. Has to be something in our GPO that’s changing a setting or something on the firewall for it not to be able to connect and then I’m not completely sure why it won’t authenticate when I disable the firewall. Maybe there will be better documentation in the future that will help me get past this. Thanks for all the help.
I have the same issu. VM server 2019, domain joinned. WAC 1909, Won`t connet to anything, not even itself. I turned off the firewall, can`t see any particular error. winrm is configured and running, remote ps session works just fine in poweshell. I am going to subscribe to this thread. Maybe someone will figure it out.
maybe this could help or not. I recently installed WAC on Server 2019 and I was unable to connect even to manage itself.
I configured winrm https listener with self signed certificate but insted hosname I put CN name
view this screenshot
and finally I can manage wac server from wac GUI
mgaytan , some questions for you:
did you run this powershell command on the WAC server??
and how/where did you get the certificate thumbprint??
did you create your own internal self-signed certificate for WAC?? i ask because wac connects fine to servers but not to Win10 boxes.
we have symantec endpoint protection (SEP) on all our computers, which I think already disables windows firewall on the win10 PCs??
maybe i must tell SEP to allow WinRM?? i will research this, but all the servers also have SEP and I can manage the servers with WAC, the servers therefore have WinRM set up and running, but I don’t easily have any way to test WinRM on the Win10 boxes
did you run this powershell command on the WAC server??
yes, the comand was executed on wac server to manage itself, next step is configure this winrm https listerner on servers to be managed but I can’t export self signed certificate from wac server to managed servers, i’m stuck there
and how/where did you get the certificate thumbprint??
on wac server open mmc and load certificates plugin and select your self signed certificate
symantec endpoint protection (SEP) on all our computers, which I think already disables windows firewall on the win10 PCs?? I don’t know such thing but i believe SEP takes control over windows firewall and copy his default rule to them.
maybe i must tell SEP to allow WinRM??
this i very probably
i hope this help you, if not yo can ask again.
I’m having very similar issues.
I’ve installed windows admin center on a 2019 server using a real ssl cert. The console starts up fine, however, I’m not able to connect to my own server or any remote servers. Firewalls have been checked.
I installled the application as a domain admin. I’ve added my account to the local administrators group. All services are running.
Event viewer is clean.
I’ve spent hours on this and can get it to work. I’ve tried using local admin creds and nothing works.
Источник
Windows Admin Center — известные проблемы
Применяется к: Windows Admin Center, ознакомительная версия Windows Admin Center
Если возникнет проблема, не описанная на этой странице, свяжитесь с нами.
Установщик
При установке Windows Admin Center с использованием собственного сертификата следует помнить, что если вы скопируете отпечаток из средства MMC для управления сертификатами, он будет содержать недопустимый символ в начале. В качестве решения введите первый символ отпечатка и скопируйте/вставьте остальные символы.
Использование порта, приведенного ниже 1024, не поддерживается. В режиме обслуживания при необходимости можно настроить порт 80 для перенаправления на указанный порт.
Общие сведения
в выпуске Windows центра администрирования 1910,2 может отсутствовать возможность подключения к серверам Hyper-V на определенном оборудовании. Если вы блокируете эту ошибку, Скачайте предыдущую сборку.
если в качестве шлюза установлен Windows центр администрирования, а список подключений поврежден, выполните следующие действия.
это приведет к удалению списка подключений и параметров для всех пользователей Windows центра администрирования на шлюзе.
Если не закрыть средство и не пользоваться им в течение длительного периода времени, может возникнуть несколько ошибок Ошибка: недопустимое состояние пространства выполнения этой операции. В этом случае обновите окно браузера. Если вы столкнетесь с этим, отправьте нам отзыв.
между номерами версий ос, работающих в Windows модулях администрирования, может быть незначительная дисперсия, а также информация, которая содержится в указании стороннего программного обеспечения.
диспетчер расширений
Проблемы с расширением партнера
Проблемы, связанные с браузером
Microsoft Edge
Google Chrome
Chrome может отобразить несколько запросов на ввод учетных данных, в частности, во время добавления подключения в среде рабочей группы (не входящей в домен).
если у вас есть Windows центр администрирования, развернутый в качестве службы, для работы функций интеграции с Azure должны быть включены всплывающие окна из URL-адреса шлюза.
Mozilla Firefox
Платформа Windows Admin Center не тестировалась с Mozilla Firefox, однако большинство функций должны работать.
Совместимость WebSocket при использовании службы прокси-сервера
Модули «Удаленный рабочий стол», PowerShell и «События» в Windows Admin Center используют протокол WebSocket, который часто не поддерживается при использовании службы прокси-сервера.
поддержка версий Windows Server до 2016 (2012 r2, 2012, 2008 r2)
Windows для центра администрирования требуются функции PowerShell, которые не включены в Windows Server 2012 R2, 2012 или 2008 r2. если вы планируете управлять Windows Server с помощью Windows центра администрирования, необходимо установить WMF версии 5,1 или выше на этих серверах.
Если она не установлена, можно скачать и установить WMF 5.1.
Контроль доступа на основе ролей (RBAC)
Развертывание RBAC не будет выполнено на компьютерах, которые настроены на использование функции управления приложениями в Защитнике Windows (WDAC, ранее эта функция называлась «Целостность кода».)[16568455]
Чтобы использовать RBAC в кластере, необходимо развернуть конфигурацию на каждом элементе узла по отдельности.
При развертывании RBAC могут возникнуть неавторизованные ошибки, которые неправильно связаны с конфигурацией RBAC. [16369238]
Решение «Диспетчер серверов»
Сертификаты
События
Возможна ошибка, ссылающаяся на «размер пакета» при экспорте больших файлов журнала.
Файлы
предел 100 МБ) [12524234]
PowerShell
Вставка с помощью одного щелчка правой кнопкой мыши, как в консоли PowerShell рабочего стола, не работает. Вместо этого откроется контекстное меню браузера, в котором можно выбрать команду «Вставить». Сочетание клавиш CTRL + V также работает.
Сочетание клавиш CTRL + C для копирования не работает. При его использовании отправляется команда BREAK на консоль. Команда «Копировать» из контекстного меню, вызываемого правой кнопкой мыши, работает.
При уменьшении окна Windows Admin Center содержимое терминала переформатируется, однако при его обратном увеличении содержимое может не вернуться в прежнее состояние. При перемешивании элементов содержимого можно попробовать выполнить команду Clear-Host или отключиться и повторно подключиться, используя кнопку над терминалом.
Редактор реестра
Удаленный рабочий стол
при развертывании Windows центра администрирования в качестве службы средство удаленный рабочий стол может не загрузиться после обновления службы Windows центра администрирования до новой версии. Чтобы обойти эту ошибку, очистите кэш браузера. [23824194]
При управлении Windows Server 2012 может произойти сбой подключения средства удаленный рабочий стол. [20258278]
При использовании удаленный рабочий стол для подключения к компьютеру, который не присоединен к домену, необходимо ввести учетную запись в MACHINENAMEUSERNAME формате.
некоторые конфигурации могут блокировать клиент удаленного рабочего стола центра администрирования Windows с помощью групповой политики. Если вы столкнулись с этим, включите Allow users to connect remotely by using Remote Desktop Services в разделе Computer Configuration/Policies/Administrative Templates/Windows Components/Remote Desktop Services/Remote Desktop Session Host/Connections
Удаленный рабочий стол влияет на Совместимость WebSocket.
Средство «Удаленный рабочий стол» в настоящий момент не поддерживает копирование/вставку любого текста, изображения или файла между локальным рабочим столом и удаленным сеансом.
Чтобы выполнить операцию копирования/вставки в рамках удаленного сеанса, можно выполнить стандартную операцию копирования (правая кнопка мыши + «Копировать» или сочетание клавиш Ctrl + C), но чтобы вставить скопированный элемент, необходимо щелкнуть правой кнопкой мыши и выбрать «Вставить» (сочетание клавиш Ctrl + V НЕ РАБОТАЕТ).
Следующие сочетания клавиш нельзя использовать в удаленном сеансе
Роли и компоненты
При выборе ролей и компонентов с источниками, недоступным для установки, они пропускаются. [12946914]
Если вы решаете не выполнять автоматическую перезагрузку после установки роли, новый запрос на это действие не отображается. [13098852]
При выборе автоматической перезагрузки она произойдет до того, как состояние обновится до 100%. [13098852]
Память
Нижний уровень: DVD-диски, компакт-диски или гибкие диски не отображаются в виде тома на нижнем уровне.
Нижний уровень: некоторые свойства томов и дисков недоступны на нижнем уровне, поэтому они отображаются как неизвестные или пустые в области сведений.
Нижний уровень: при создании нового тома файловая система ReFS поддерживает только размер кластера в 64 КБ на компьютерах с Windows 2012 и 2012 R2 При создании тома ReFS с меньшим размером кластера на целевых компьютерах нижнего уровня форматирование файловой системы заканчивается сбоем. Использовать новый том будет невозможно. Решение: удалите том и используйте кластер размером 64 КБ.
Обновления
После установки обновлений состояние установки может кэшироваться и требовать обновления браузера.
При попытке настроить управление обновлениями Azure может возникнуть ошибка: «набор ключей не существует». В этом случае выполните следующие действия по исправлению на управляемом узле —
Виртуальные машины
при управлении виртуальными машинами на Windows Server 2012 узле средство подключения виртуальной машины в браузере не сможет подключиться к виртуальной машине. Загрузка RDP-файла для подключения к виртуальной машине должна продолжать работать. [20258278]
Azure Site Recovery — если ASR настроен на узле за пределами ВАК, вы не сможете защитить виртуальную машину в ВАК [18972276].
Дополнительные функции, доступные в диспетчере Hyper-V, такие как «Диспетчер виртуальной SAN», «Перемещение виртуальных машин», «Экспорт виртуальных машин», «Репликация виртуальных машин», в настоящее время не поддерживаются.
Виртуальные коммутаторы
Решение «Управление компьютерами»
Решение «Управление компьютерами» содержит набор средств из решения «Диспетчер серверов», поэтому к нему относятся те же известные проблемы, а также следующие конкретные проблемы, характерные только для этого решения.
если вы используете учетную запись майкрософт (MSA) или используете Azure Active Directory (AAD) для входа в систему Windows 10 машины, необходимо использовать команду «управление как», чтобы предоставить учетные данные для учетной записи локального администратора [16568455].
по умолчанию у Windows 10 нет удаленного взаимодействия WinRM или PowerShell.
Чтобы включить управление клиентом Windows 10, необходимо выполнить команду Enable-PSRemoting из командной строки PowerShell с повышенными привилегиями.
Развертывание кластера
Шаг 1,2
В настоящее время смешанные компьютеры рабочей группы не поддерживаются при добавлении серверов. Все компьютеры, используемые для кластеризации, должны принадлежать к одной рабочей группе. В противном случае кнопка Далее будет отключена, и появится следующая ошибка: «не удается создать кластер с серверами в разных Active Directory доменах. Проверьте правильность имен серверов. Переместите все серверы в один домен и повторите попытку. «
Шаг 1,4
Hyper-V необходимо установить на виртуальных машинах под управлением Azure Stack ХЦИ ОС. Попытка включить компонент Hyper-V для этих виртуальных машин завершится ошибкой из-за следующей ошибки:
Чтобы установить Hyper-V на виртуальных машинах под управлением Azure Stack ХЦИ ОС, выполните следующую команду:
Шаг 1,7
Иногда после установки обновлений серверы занимают больше времени, чем ожидалось. мастер развертывания кластера Windows центра администрирования будет периодически проверять состояние перезапуска сервера, чтобы узнать, успешно ли был перезагружен сервер. Однако если пользователь перезапускает сервер за пределами мастера вручную, то мастер не будет использовать способ записи состояния сервера соответствующим образом.
Если вы хотите перезапустить сервер вручную, Завершите текущий сеанс работы мастера. После перезагрузки сервера вы можете перезапустить мастер.
Создание кластера Stretch
При создании кластера Stretch рекомендуется использовать серверы, присоединенные к домену. При попытке использовать компьютеры рабочей группы для растягивания развертывания кластера с ограничениями WinRM возникает ошибка сегментации сети.
Отменить и начать заново
При многократном использовании одних и тех же компьютеров для развертывания кластера, очистка предыдущих сущностей кластера важна для успешного развертывания кластера в том же наборе компьютеров. Инструкции по очистке кластера см. на странице Развертывание инфраструктуры с разделением Hyper- in.
CredSSP
мастер развертывания кластера Windows центра администрирования использует CredSSP в нескольких местах. Это сообщение об ошибке выводится во время работы мастера (чаще всего это происходит на шаге проверка кластера).
Для устранения неполадок можно выполнить следующие действия.
Вложенная виртуализация
При проверке Azure Stack развертывания кластера ОС ХЦИ на виртуальных машинах необходимо включить вложенную виртуализацию перед включением ролей и функций с помощью следующей команды PowerShell:
Для успешного объединения виртуальных коммутаторов в среде виртуальной машины необходимо запустить следующую команду в PowerShell на узле вскоре после создания виртуальных машин: Get-VM | %
Если вы развертываете кластер с помощью Azure Stack ХЦИ OS, это дополнительное требование. Виртуальный жесткий диск виртуальной машины должен быть предварительно установлен с компонентами Hyper-V. Для этого перед созданием виртуальных машин выполните следующую команду:
Поддержка RDMA
мастер развертывания кластера в Windows центре администрирования версии 2007 не обеспечивает поддержку конфигурации RDMA.
Решение «Диспетчер отказоустойчивости кластеров»
При управлении кластером (гиперконвергентным или традиционным) может возникнуть ошибка Оболочка не найдена. В этом случае перезагрузите браузер либо перейдите к другому инструменту и обратно. [13882442]
Может потребоваться добавить кластер с полным доменным именем, чтобы его можно было правильно обнаружить.
При подключении к кластеру с помощью платформы Windows Admin Center, установленной в качестве шлюза, и предоставлении явных имени пользователя/пароля для проверки подлинности необходимо выбрать пункт Использовать эти учетные данные для всех подключений, чтобы учетные данные могли опрашивать элементы узлов.
Решение «Диспетчер гиперконвергентных кластеров»
Службы Azure
Вход в Azure и регистрация шлюза
в выпуске 2009 вы можете столкнуться с проблемами входа в azure или регистрации шлюза центра администрирования Windows в azure. Приведенные ниже рекомендации помогут устранить эти проблемы.
прежде чем использовать возможности Azure в центре администрирования Windows, включая регистрацию шлюза, убедитесь, что вы вошли в учетную запись Azure на другой вкладке или в окне. Мы рекомендуем войти на портал Azure.
всплывающее окно входа в систему Azure может чаще появляться в этой сборке и может потребовать от администраторов более часто предоставлять Windows разрешения центра администрирования.
Синхронизация файлов Azure разрешения
для Синхронизация файлов Azure требуются разрешения в Azure, которые Windows центре администрирования не были предоставлены до версии 1910. если вы зарегистрировали шлюз центра администрирования Windows в Azure с использованием более ранней версии, чем Windows центра администрирования версии 1910, необходимо обновить приложение Azure Active Directory, чтобы получить правильные разрешения на использование Синхронизация файлов Azure в последней версии центра администрирования Windows. Дополнительное разрешение позволяет Синхронизация файлов Azure выполнять автоматическую настройку доступа к учетной записи хранения, как описано в этой статье. Убедитесь, что у синхронизация файлов Azure есть доступ к учетной записи хранения.
чтобы обновить приложение Azure Active Directory, можно выполнить одно из двух действий.
Параметры для настройки служб управления Azure
Службы управления Azure, в том числе Azure Monitor, Управление обновлениями Azure и центр безопасности Azure, используют один и тот же агент для локального сервера: Microsoft Monitoring Agent. Управление обновлениями Azure имеет ограниченный набор поддерживаемых регионов, и для нее требуется связать Log Analytics рабочую область с учетной записью службы автоматизации Azure. из-за этого ограничения, если вы хотите настроить несколько служб в Windows центре администрирования, сначала необходимо настроить azure Управление обновлениями, а затем — центр безопасности azure или Azure Monitor. если вы настроили какие бы то ни было службы управления azure, использующие Microsoft Monitoring Agent, а затем пытаетесь настроить azure Управление обновлениями с помощью Windows центра администрирования, Windows центр администрирования позволит вам настроить только Управление обновлениями azure, если существующие ресурсы, связанные с Microsoft Monitoring Agent, поддерживают Управление обновлениями azure. Если это не так, вы можете использовать два варианта:
Источник