Windows

訪問被拒絕 WinRM 錯誤程式碼 5

  • September 1, 2020

我們正在嘗試在我們的環境中設置 Windows 事件轉發 (WEF),但遇到了一些問題。我們設置了一個 GPO(如下所示)以啟用將事件轉發到本地收集伺服器,並且我們配置了連接伺服器。收集器機器顯示為已正確訂閱,但我們正在測試的另一台機器未連接到收集伺服器。

在無法轉發日誌的源機器上,我們在Application and Services Logs -> Microsoft -> Windows -> Eventlog ForwardingPlugin下看到以下錯誤

The forwarder is having a problem communicating with subscription manager at address 
http://Collector.corp.company.com:5985/wsman/SubscriptionManager/WEC.  
Error code is 5 and Error Message is 
<f:WSManFault xmlns:f="http://schemas.microsoft.com/wbem/wsman/1/wsmanfault" Code="5"
Machine="SourceMachine.corp.company.com"><f:Message>Access is denied. </f:Message></f:WSManFault>.

在收集器機器上,我們在Application and Services Logs -> Microsoft -> Windows -> Windows Remote Management -> Operational下看到以下錯誤

The authorization of the user failed with error 5

有關收集器伺服器錯誤的更多詳細資訊:

Source: Windows Remote Managment
Event ID: 192
Level: Information       Task Category: User Authorization
User: Network Service    Keywords: Security,Server
OpCode: Informational    Computer: Collector.corp.company.com

正在申請的 GPO: 總局圖像 1 總局圖像 2 總局圖像 3

好的,經過大量閱讀和研究,我似乎發現了一些有用的東西。具體來說,問題在於正在使用的頻道訪問令牌。此令牌的值應為:

O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x1;;;BO)(A;;0x1;;;SO)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)

應該為Computer Configuration -> Administrative Templates -> Windows Components -> Event Log Service -> Security設置此值。在我們的例子中,我在上面顯示的系統資料庫設置中使用了相同的值。

關鍵是添加(A;;0x1;;;S-1-5-20)到末尾而不是(A;;0x1;;;NS)

以下是我發現/用於使其正常工作的一些有用連結:

希望這會幫助其他一些人,因為這對我們來說是一種痛苦。

引用自:https://serverfault.com/questions/1017872