none
winrm брандмауер RRS feed

  • Вопрос

  • Добрый день. 

    Есть несколько удалённых машин на win7x32

    Давно уже настроено удалённое управление через winrm. 

    Настраивал командой winrm qc или Enable-PSRemoting (точно не вспомню, да и команды вроде бы одинаковые)

    Брандмауер был отключён. 

    Недавно начал присваивать DNS-суффикс, настраивать и включать брандмауер.

    Разрешения для подключения winrm добавляю командой:

    netsh advfirewall firewall add rule name="WinRM 5985" protocol=TCP dir=in localport=5985 action=allow  enable=yes remoteip="my_ip"profile=any

    Настройки брандмауера импортировал и вручную забивал. 

    После применения всех настроек Enter-PSSession выдаёт ошибку подключения.

    После отключения брандмауера никаких ошибок. 

    Проблема не на каждой машине.

    В чём может быть дело?


    • Изменено esqado 9 января 2014 г. 13:41
    9 января 2014 г. 13:40

Ответы

  • Решено

    в своей настройке разрешения подключения:

    netsh advfirewall firewall add rule name="WinRM 5985" protocol=TCP dir=in localport=5985 action=allow  enable=yes remoteip="my_ip"profile=any

    в брандмауере исправил "my_ip" на "any" (любой адрес). 

    Странно, что в другой подсети всё работает.

    Буду изучать настройки оборудования. Возможно там кроется какая-то ерунда.

    • Предложено в качестве ответа Dmitriy Razbornov 10 января 2014 г. 9:55
    • Помечено в качестве ответа KazunEditor 10 января 2014 г. 11:03
    10 января 2014 г. 8:50

Все ответы

  • Подключитесь через брандмауэр у к удаленной машине и проверьте , применены ли выбранные правила.

    Достаточно включить стандартное, имхо. а не создавать свои кастомные для этого. Брандмауэр во время включения должен быть включен!

    9 января 2014 г. 13:58
  • Напомню так же, что все эти действия создаются и конфигурируются в одном ГПО )
    9 января 2014 г. 14:00

  • Достаточно включить стандартное, имхо. а не создавать свои кастомные для этого. 

    Это для того, чтобы только одна машина могла подключаться ко всем удалённым машинам. Подсети удалённые, бездомные.
    9 января 2014 г. 14:15
  • Бывает и так. Я просто напомнил Вам про это.

    И, кстати, НЕ ОТКЛЮЧАЙТЕ БРАНДМАУЭР ради фана, если Вы не читали статью :)

    9 января 2014 г. 15:14
  • Ситуация не изменилась. 

    PS C:\Users\esqado> Test-WSMan remote_host
    Test-WSMan : <f:WSManFault xmlns:f="http://schemas.microsoft.com/wbem/wsman/1/wsmanfault" Code="2150859046" Machine="my_comp"><f:Message>WinRM не удается выполнить операцию Убедитесь, что имя компьютера указано правильно, компьютер доступен по сети, а в брандмауэре задано исключение для службы WinRM, которое разрешает доступ к этому компьютеру. По умолчанию исключение брандмауэра для WinRM для общедоступных профилей ограничивает доступ к удаленным компьютерам в той же локальной подсети. </f:Message></f:WSManFault>
    строка:1 знак:1
    + Test-WSMan remote_host
    + ~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : InvalidOperation: (ap_03_dir:String) [Test-WSMan], InvalidOperationException
        + FullyQualifiedErrorId : WsManError,Microsoft.WSMan.Management.TestWSManCommand

    Подскажите пожалуйста, как должно быть правильно настроено исключение для WinRM в брандмауере?

    Отключение брандмауера для домашних или частных сетей решает проблему подключения.

    Как можно откатить все изменения для настройки удалённого управления, чтобы потом заново применить все настройки?

    10 января 2014 г. 6:41
  • правильно исключения просто прописываются дефолтной настройкой- winrm qc.

    http://msdn.microsoft.com/en-us/library/aa384372(VS.85).aspx

    Starting in WinRM 2.0, the default listener ports configured by Winrm quickconfig are port 5985 for HTTP transport and port 5986 for HTTPS. WinRM listeners can be configured on any arbitrary port.

    Попробуйте 80 добавить на проблемной машине.

    winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"}

    netsh firewall add portopening TCP 80 "Windows Remote Management"

    Можно также попробовать удалить  созданные прослушиватели, и опять запустить winrm qc.

    10 января 2014 г. 8:13
  • Решено

    в своей настройке разрешения подключения:

    netsh advfirewall firewall add rule name="WinRM 5985" protocol=TCP dir=in localport=5985 action=allow  enable=yes remoteip="my_ip"profile=any

    в брандмауере исправил "my_ip" на "any" (любой адрес). 

    Странно, что в другой подсети всё работает.

    Буду изучать настройки оборудования. Возможно там кроется какая-то ерунда.

    • Предложено в качестве ответа Dmitriy Razbornov 10 января 2014 г. 9:55
    • Помечено в качестве ответа KazunEditor 10 января 2014 г. 11:03
    10 января 2014 г. 8:50
  • J Отпишитесь, интересно...


    Тему я закрываю тогда, просто добавите здесь сообщение.
    10 января 2014 г. 9:55
  • Моя машина имеет два IP-адреса: 192.168.xxx.xxx и 192.168.yyy.yyy

    Не понятно, по какому принципу windows выбирает IP для подключения.

    Итог:

    Брандмауер должен работать априори. 

    Для удалённого взаимодействия (работы службы WinRM на приём запросов) достаточно стандартных настроек описанных в справке.

    Для разрешения подключения в брандмауере должно быть правило, с указанием порта, по которому будет устанавливаться подключение, и адреса (при необходимости), с которого будете устанавливаться подключение.

    Спасибо за помощь.


    • Изменено esqado 13 января 2014 г. 7:53
    13 января 2014 г. 7:42