none
Windows Server 2016 - Event Forwarding - erreur lors de l'injection de l'abonnement RRS feed

  • Discussion générale

  • Bonjour,

    Je rencontre une problématique sur un Windows Server 2016 : j'essaie de mettre en place un système de collecte d'évènements via le transfert d'évènements Windows, avec un serveur collecteur Windows server 2016 et plusieurs autres serveurs Windows connectés. Je rencontre un problème spécifique lors de l'injection de l'abonnement voulu via l'utilitaire wecutil.exe. En effet, la commande "wecutil.exe cs <abonnement>" réussit à créer l'abonnement dans mon collecteur, mais le met automatiquement en désactivé.

    Lorsque je tente de vérifier l'état de l'abonnement, j'ai un message d'erreur m'indiquant qu'il est impossible de vérifier l'état du pare-feu Windows.



    Impossible d'activer l'abonnement même en utilisant "wecutil rs <abonnement>", je me prend un message d'erreur indiquant qu'un fichier est manquant.



    La particularité est que mon serveur Windows 2016 est un serveur venant d'une ISO anglaise sur laquelle le pack de langue MUI français a été appliqué. Or, si je change une clé de registre précise ("HKLM\SOFTWARE\Policies\Microsoft\MUI\Settings") en la passant de "fr-FR" à "en-US", l'injection de l'abonnement se déroule alors sans rencontrer d'erreurs, et l'abonnement devient bien actif.

    alors qu'en français :



    De plus, si je redémarre le service winRM ou le service de collecte d'évènements lorsque le système est en français ou que la clé de registre modifiée vaut "fr-FR", l'abonnement retombe alors en erreur. Je suis obligé de repasser le système en anglais le temps de réactiver l'abonnement et de redémarrer ces services.

    Ce problème est-il connu ? Y-a-t'il un contournement identifié ? Je dois garder les machines en question en français, y compris lors de leur redémarrage.

    Cordialement,

    mardi 20 octobre 2020 12:37

Toutes les réponses

  • Bonjour,

    Se problème n'est pas connu, ressaies sur un autre serveur tierces, ceci arrives pour tous les autres serveurs ou un spécifique ?

    Essaies winrm à distance avec powershell pour voir si tu peux récupérer les événements des logs enter-pssession

    Regardes si tu peux ajouter les serveurs à partir du gestionnaire manager 


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    mardi 20 octobre 2020 13:43
  • Bonjour,

    Ce problème se pose sur tous les serveurs du même type (Windows Server 2016 EN avec pack FR MUI). J'ai ré-instancié de nouveaux serveurs et le problème se pose de manière identique.

    Le WinRM à distance fonctionne sans problèmes sur le serveur en question.

    Cordialement,

    jeudi 22 octobre 2020 14:35
  • avec le Winrm tu arrives à lire les events ?? regardes coté parfeu, et regarde les logs cotés deux serveurs ce qu'ils disent

    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    lundi 26 octobre 2020 12:47