工作组中使用 Windows Admin Center，连接其它网段的服务器，提示 WinRM 错误

连接的是否为其他子网中的工作组计算机

若要连接与网关不在同一个子网的工作组计算机，请确保 WinRM (TCP 5985) 的防火墙端口允许目标计算机上的入站流量。 你可以在目标计算机上以管理员身份在 PowerShell 中或在命令提示符中运行以下命令，以创建此防火墙规则：

• Windows Server

   

  Set-NetFirewallRule -Name WINRM-HTTP-In-TCP-PUBLIC -RemoteAddress Any
  

• Windows 10

   

  Set-NetFirewallRule -Name WINRM-HTTP-In-TCP -RemoteAddress Any

 如果是提示    TrustedHosts winRM 不能认证。请执行下面代码

Set-Item WSMan:\localhost\Client\TrustedHosts -Value '*'

 

 

微软KB

 

 

我在 Web 浏览器中收到了 无法访问此站点/页面 错误消息

如果你安装了 Windows Admin Center 作为 Windows 10 上的应用

• 请检查 Windows Admin Center 是否正在运行。 在  任务管理器中的系统托盘或 windows 管理中心桌面/SmeDesktop.exe 中，查找 Windows 管理中心图标 windows 管理中心图标。 如果没有安装，请从“开始”菜单启动 Windows Admin Center。

 备注

重新启动后，你必须从“开始”菜单启动 Windows Admin Center。

• 请检查 Windows 版本

• 请确保使用 Microsoft Edge 或 Google Chrome 作为 Web 浏览器。

• 你在首次启动时是否选择了正确的证书？

  • 请尝试在私人会话中打开浏览器 - 如果可行，你将需要清除缓存。

• 你最近是否将 Windows 10 升级到新的生成或版本？

  • 这可能已清除了受信任的主机设置。 按照以下说明更新受信任的主机设置。

如果你安装了 Windows Admin Center 作为 Windows Server 上的网关

• 请检查客户端和服务器的 Windows 版本。

• 请确保使用 Microsoft Edge 或 Google Chrome 作为 Web 浏览器。

• 在服务器上，打开 "任务管理器" > 服务 "，并确保 ServerManagementGateway/Windows 管理中心 正在运行。

  

• 测试网关的网络连接 (将替换为 <values> 部署中的信息)

  PowerShell复制

   

  Test-NetConnection -Port <port> -ComputerName <gateway> -InformationLevel Detailed
  

如果已在 Azure Windows Server VM 中安装 Windows 管理中心

• 请检查 Windows 版本
• 你是否针对 HTTPS 添加了入站端口规则？
• 了解有关在 Azure VM 中安装 Windows Admin Center 的详细信息

请检查 Windows 版本

• 打开运行对话框 (Windows 键 + R) 并启动 winver。

• Windows 10 版本 1703 或更低版本中的 Microsoft Edge 不支持 Windows Admin Center。 请升级到最新版本的 Windows 10 或使用 Chrome。

• 如果你使用的是 Windows 10 或服务器的内部版预览版本（版本为17134和17637之间的版本），则 Windows 将出现导致 Windows 管理中心失败的 bug。 请使用当前支持的 Windows 版本。

请确保 Windows 远程管理 (WinRM) 服务正在网关计算机和托管节点上运行

• 用 WindowsKey + R 打开 "运行" 对话框
• 键入 services.msc ，然后按 enter
• 在打开的窗口中，查找 Windows 远程管理 (WinRM) ，确保其正在运行，并设置为自动启动

如果在 Windows 管理中心管理服务器时收到 WinRM 错误消息

默认情况下，WinRM 不允许凭据委托。 若要允许委派，计算机需要暂时启用凭据安全支持提供程序 (CredSSP)。

如果你正在接收 WinRM 错误消息，请尝试使用用于解决CredSSP 的故障排除部分中的验证步骤来解决这些错误消息。

是否将服务器从2016升级到2019？

• 这可能已清除了受信任的主机设置。 按照以下说明更新受信任的主机设置。

收到以下消息： "无法安全地连接到此页。 这可能是因为该站点使用过时或不安全的 TLS 安全设置。

你的计算机仅限 HTTP/2 连接。 Windows 管理中心使用 HTTP/2 不支持的集成 Windows 身份验证。 在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Http\Parameters 运行浏览器的计算机 上的项下添加以下两个注册表值，以删除 HTTP/2 限制：

复制

 

EnableHttp2Cleartext=dword:00000000
EnableHttp2Tls=dword:00000000

远程桌面、事件和 PowerShell 工具遇到问题。

这三个工具需要 websocket 协议，后者通常由代理服务器和防火墙阻止。 如果你使用的是 Google Chrome，则存在与 websocket 和 NTLM 身份验证有关的 已知问题 。

我只能连接到部分服务器

• 在本地登录到网关计算机，尝试 Enter-PSSession <machine name> 在 PowerShell 中，将替换为 <machine name> 你在 Windows 管理中心中尝试管理的计算机的名称。

• 如果你的环境使用的是工作组而不是域，请参阅在工作组中使用 Windows Admin Center。

• 使用本地管理员帐户： 如果你使用的是本地用户帐户而不是内置 Administrator 帐户，则你将需要在目标计算机上启用策略，方法是在目标计算机上以管理员身份在 PowerShell 中或在命令提示符中运行以下命令：

  复制

   

  REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1
  

在工作组中使用 Windows Admin Center

你使用的是哪个帐户？

请确保你使用的凭据是目标服务器的本地管理员组成员。 在某些情况下，WinRM 还需要远程管理用户组成员身份。 如果你使用的是本地用户帐户而 不是内置 Administrator 帐户，则你将需要在目标计算机上启用策略，方法是在目标计算机上以管理员身份在 PowerShell 中或在命令提示符中运行以下命令：

cmd复制

 

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1

连接的是否为其他子网中的工作组计算机？

若要连接与网关不在同一个子网的工作组计算机，请确保 WinRM (TCP 5985) 的防火墙端口允许目标计算机上的入站流量。 你可以在目标计算机上以管理员身份在 PowerShell 中或在命令提示符中运行以下命令，以创建此防火墙规则：

• Windows Server

  PowerShell复制

   

  Set-NetFirewallRule -Name WINRM-HTTP-In-TCP-PUBLIC -RemoteAddress Any
  

• Windows 10

  PowerShell复制

   

  Set-NetFirewallRule -Name WINRM-HTTP-In-TCP -RemoteAddress Any
  

配置 TrustedHosts

安装 Windows Admin Center 时，你可以选择允许 Windows Admin Center 管理网关的 TrustedHosts 设置。 在工作组环境中，或在域中使用本地管理员凭据时需要进行此设置。 如果你选择放弃此设置，则必须手动配置 TrustedHosts。

使用 PowerShell 命令修改 TrustedHosts：

1. 打开管理员 PowerShell 会话。

2. 查看你的当前 TrustedHosts 设置：

   PowerShell复制

    

   Get-Item WSMan:\localhost\Client\TrustedHosts
   

    警告

   如果你当前已有 TrustedHosts 设置，则以下命令将覆盖你的设置。 我们建议你通过以下命令将当前设置保存到文本文件，以便在需要时恢复设置。

   Get-Item WSMan:localhost\Client\TrustedHosts | Out-File C:\OldTrustedHosts.txt

3. 将想要管理的计算机的 TrustedHosts 设置为 NetBIOS、IP 或 FQDN：

   PowerShell复制

    

   Set-Item WSMan:localhost\Client\TrustedHosts -Value '192.168.1.1,server01.contoso.com,server02'
   

    提示

   为简便起见，你可以利用通配符一次性设置所有 TrustedHosts。

   PowerShell复制

    

   Set-Item WSMan:\localhost\Client\TrustedHosts -Value '*'
   

4. 完成测试后，你可以从提升的 PowerShell 会话中发出以下命令来清除 TrustedHosts 设置：

   PowerShell复制

    

   Clear-Item WSMan:localhost\Client\TrustedHosts
   

5. 如果你之前导出了设置，请打开文件，复制值，然后使用此命令：

   PowerShell复制

    

   Set-Item WSMan:localhost\Client\TrustedHosts -Value '<paste values from text file>'
   

我以前安装了 Windows 管理中心，现在不能使用相同的 TCP/IP 端口

在提升的命令提示符下手动运行这两个命令：

cmd复制

 

netsh http delete sslcert ipport=0.0.0.0:443
netsh http delete urlacl url=https://+:443/

Azure 功能在边缘中无法正常工作

边缘具有与安全区域相关的 已知问题 ，这些问题会影响 Windows 管理中心中的 Azure 登录。 如果使用边缘时使用 Azure 功能时遇到问题，请尝试将 https://login.microsoftonline.com https://login.live.com 网关的 URL 添加为受信任的站点，并将其 URL 添加到客户端浏览器上的允许的边缘弹出窗口阻止程序设置。

要执行此操作：

1. 在 Windows "开始" 菜单中搜索 Internet 选项
2. 中转到 " 安全 " 选项卡
3. 在“受信任的站点”选项下，单击“站点”按钮，然后在打开的对话框中添加 URL。 需要添加网关 URL 以及 https://login.microsoftonline.com 和 https://login.live.com 。
4. 中转到 " 隐私 " 选项卡
5. 在 " 弹出窗口阻止 程序" 部分下，单击 " 设置 " 按钮，然后在打开的对话框中添加 url。 需要添加网关 URL 以及 https://login.microsoftonline.com 和 https://login.live.com 。