Supposons le scénario suivant :
- Une rôle Windows concernant les services de certificats Active Directory (autorité de certification, service d'enregistrement des périphériques réseau (NDES), enregistrement Web des autorités de certification (CAWE), services Web d'enregistrement des certificats (CEP, CES) ou répondeur en ligne (OCSP)) doit être installé ou désinstallé.
- L'installation ou la désinstallation échoue avec le message d'erreur suivant :
The status of the role services on the target machine cannot be determined. Please retry. The error is The WS-Management service cannot process the request. The service is configured to not accept any remote shell requests.
Lors d'une installation, l'erreur ne se produit que si le gestionnaire de serveur est utilisé. Lors d'une désinstallation, peu importe si elle est effectuée via le Server Manager ou Windows PowerShell.
Dans le Server Manager, on voit que le statut pour „Remote Management“ est „Unknown“.
En cliquant sur le statut, on obtient un message d'erreur.
L'erreur peut être isolée via la ligne de commande à l'aide de la commande suivante :
winrm enumerate winrm/config/listener
Causes
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Souvent, la cause sous-jacente est une mesure de durcissement qui, dans ce cas, présente des effets secondaires indésirables.
L'erreur peut avoir les causes suivantes :
- Aucune connexion Remote Shell n'est acceptée
- L'authentification Negotiate est désactivée pour le client WinRM
- L'authentification Negotiate est désactivée pour le serveur WinRM.
Détails : aucune connexion Remote Shell n'est acceptée
Ce paramètre peut être défini via les stratégies de groupe. Il se trouve sous „Computer Configuration“ - „Administrative Templates“ - „Windows Components“ - „Windows Remote Shell“.
L'option „Allow Remote Shell Access“ doit être définie sur „Enabled“ (ou „Not configured“).
Dans le registre, le réglage est représenté par le chemin suivant :
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\WinRS] "AllowRemoteShellAccess"=dword:00000001
Détails : L'authentification Negotiate est désactivée pour le client WinRM.
Le paramètre peut être défini via les stratégies de groupe. Il se trouve sous “Computer Configuration“ - „Administrative Templates“ - „Windows Components“ - „Windows Remote Management (WinRM)“ - „Client“.
L'option „Disallow Negotiate Authentication“ doit être définie sur „Disabled“ (ou „Not configured“).
Dans le registre, le réglage est représenté par le chemin suivant :
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WinRM\Client] "AllowNegotiate"=dword:00000001
Détails : L'authentification Negotiate est désactivée pour le service WinRM.
Ce paramètre peut être défini via les stratégies de groupe. Il se trouve sous „Computer Configuration“ - „Administrative Templates“ - „Windows Components“ - „Windows Remote Management (WinRM)“ - „Service“.
L'option „Disallow Negotiate Authentication“ doit être définie sur „Disabled“ (ou „Not configured“).
Dans le registre, le réglage est représenté par le chemin suivant :
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WinRM\Service] "AllowNegotiate"=dword:00000001
Après modification via le registre, un redémarrage du service Windows Remote Management est nécessaire.
Restart-Service WinRM
Français 
Deutsch 
English