Как правильно настроить управление Windows Server через WAC в домене?

Question

[Ивор Барханский]

Столкнулся с нетривиальным поведением всех служб удалённого управления внутри домена. Однажды без видимых причин Windows Admic Center потерял доступ ко всем удалённым машинам в домене и начал сыпать ошибкой:

Сбой подключения к удаленному серверу name.domainname. Сообщение об ошибке: WinRM не удается выполнить операцию Убедитесь, что имя компьютера указано правильно, компьютер доступен по сети, а в брандмауэре задано исключение для службы WinRM, которое разрешает доступ к этому компьютеру. По умолчанию исключение брандмауэра для WinRM для общедоступных профилей ограничивает доступ к удаленным компьютерам в той же локальной подсети. Подробности см. в разделе справки "about_Remote_Troubleshooting".

При этом, при попытке пробросить удалённый Powershell в некоторые машины проброс проходит, в иные сыпет ошибками, типа:

Enter-PSSession : Сбой подключения к удаленному серверу name.domainname. Сообщение об ошибке: Access is
denied. Подробности см. в разделе справки "about_Remote_Troubleshooting".
строка:1 знак:1
+ Enter-PSSession name.domainname
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidArgument: (name.domainname:String) [Enter-PSSession], PSRemotingTr
   ansportException
    + FullyQualifiedErrorId : CreateRemoteRunspaceFailed

Доходит до абсурда: есть два полностью идентичных по железу сервера, введённых в эксплуатацию одновременно, имеют на борту одну и ту же редакцию Windows Server Core установленную с одного и того же источника, воткнуты в соседние порты свитча, один доступен, второй нет.

Для того, чтобы избежать неверной настройки на хостах, в систему была закинута групповая политика, созданная по подобию этой: https://support.auvik.com/hc/en-us/articles/204424... с парой нюансов (не слушается ipv6, отложенный запуск службы WinRM вместо сиюминутного).

Правила были раскатаны по gpupate /force. Проверка winrm listener отдаёт вполне живые параметры:

winrm e winrm/config/listener
Listener [Source="GPO"]
    Address = *
    Transport = HTTP
    Port = 5985
    Hostname
    Enabled = true
    URLPrefix = wsman
    CertificateThumbprint
    ListeningOn = 127.0.0.1, %все другие локальные айпишники%

Можно было бы грешить на файрволлы, но я пробовал открывать всё, безуспешно:

Get-NetFirewallRule -DisplayName "Windows Remote Management*"


Name                          : WINRM-HTTP-In-TCP
DisplayName                   : Windows Remote Management (HTTP-In)
Description                   : Inbound rule for Windows Remote Management via WS-Management. [TCP 5985]
DisplayGroup                  : Windows Remote Management
Group                         : @FirewallAPI.dll,-30267
Enabled                       : True
Profile                       : Domain, Private
Platform                      : {}
Direction                     : Inbound
Action                        : Allow
EdgeTraversalPolicy           : Block
LooseSourceMapping            : False
LocalOnlyMapping              : False
Owner                         :
PrimaryStatus                 : OK
Status                        : The rule was parsed successfully from the store. (65536)
EnforcementStatus             : NotApplicable
PolicyStoreSource             : PersistentStore
PolicyStoreSourceType         : Local
RemoteDynamicKeywordAddresses : {}

Name                          : WINRM-HTTP-Compat-In-TCP
DisplayName                   : Windows Remote Management - Compatibility Mode (HTTP-In)
Description                   : Compatibility mode inbound rule for Windows Remote Management via WS-Management. [TCP 80]
DisplayGroup                  : Windows Remote Management (Compatibility)
Group                         : @FirewallAPI.dll,-30252
Enabled                       : False
Profile                       : Any
Platform                      : {}
Direction                     : Inbound
Action                        : Allow
EdgeTraversalPolicy           : Block
LooseSourceMapping            : False
LocalOnlyMapping              : False
Owner                         :
PrimaryStatus                 : OK
Status                        : The rule was parsed successfully from the store. (65536)
EnforcementStatus             : NotApplicable
PolicyStoreSource             : PersistentStore
PolicyStoreSourceType         : Local
RemoteDynamicKeywordAddresses : {}

Name                          : WINRM-HTTP-In-TCP-PUBLIC
DisplayName                   : Windows Remote Management (HTTP-In)
Description                   : Inbound rule for Windows Remote Management via WS-Management. [TCP 5985]
DisplayGroup                  : Windows Remote Management
Group                         : @FirewallAPI.dll,-30267
Enabled                       : True
Profile                       : Public
Platform                      : {}
Direction                     : Inbound
Action                        : Allow
EdgeTraversalPolicy           : Block
LooseSourceMapping            : False
LocalOnlyMapping              : False
Owner                         :
PrimaryStatus                 : OK
Status                        : The rule was parsed successfully from the store. (65536)
EnforcementStatus             : NotApplicable
PolicyStoreSource             : PersistentStore
PolicyStoreSourceType         : Local
RemoteDynamicKeywordAddresses : {}

Интернет пестрит идеями сделать winrm quickconnect на удалённых машинах, что не играет никакой роли, так как применена групповая политика, или обязательно либо разрешать прослушку ipv6 адресов, либо полностью их отключать на удалённой сетевой карте (пробовал оба варианта, безуспешно).

Оснастки MMC ведут себя диаметрально наоборот: они успешно подключаются к хостам, но добрая половина вкладок выбрасывает Access Denied, после чего процесс полностью зависает.

Единственным рабочим костылём оказывается установка Google Chrome на Windows Server Core и управление сервером из локального браузера, но это просто дичь, которую не хочется делать локальным стандартом.

ЧЯДНТ? Я уже извелся весь.

Comments

[Alexey Dmitriev]

Правильный путь настройки один - обеспечить работоспособность WinRM на компьютерах и возможность подключения через WinRM к ним с сервера с развернутым WAC.

Зачем вы приплели оснастки mmc, которые работают по RPC - не очень понятно.

[Ивор Барханский]

Alexey Dmitriev, "просто включите WinRM и работайте через WAC" - вообще топ-комментарий. Как же я сам не догадался, что так можно?

[Роман Безруков]

Игорь, если потыкать проблемные серверы командой

Test-WSMan -ComputerName $Srv -Credential $Cred -Authentication Default

- что в ответ?
на проблемных серверах Enable-PSRemoting -Force -SkipNetworkProfileCheck выполняется без ошибок?

[Alexey Dmitriev]

Игорь, предлагаю еще раз перечитать мой комментарий. Он означает что нужно проверить и восстановить работоспособность WinRM на каждом сервере локально, а потом проверить доступность с сервера WAC.
Если вы надеетесь, что кто-то за вас решит вашу проблему - вы не туда пришли.

[Ивор Барханский]

Alexey Dmitriev, локально, в смысле, выключить групповые политики, и на каждом сервере все настройки заводить строго вручную?

Роман Безруков,

что в ответ?

wsmid           : http://schemas.dmtf.org/wbem/wsman/identity/1/wsmanidentity.xsd
ProtocolVersion : http://schemas.dmtf.org/wbem/wsman/1/wsman.xsd
ProductVendor   : Microsoft Corporation
ProductVersion  : OS: 10.0.20348 SP: 0.0 Stack: 3.0

выполняется без ошибок?

Без ошибок.

[Роман Безруков]

Игорь, еще в порядке бреда: имя админа при подключении к серверам указывается как UPN (user@domain) или sAMAccountName (domain\user)?

[Ивор Барханский]

Роман Безруков, пробовал оба варианта. Обычно я везде использую UPN, но, относительно часто попадая на грабли strict sAMAccountName в самых неожиданных местах, привыкаешь проверять.