visitoid
04-06-2019, 15:02
Добрый день, коллеги! Столкнулся со следующей проблемой, не могу настроить EventForward, получаю в итоге повторяющуся ошибку. В роли EventCollector выступает Windows Server 2016 Standart (в домене), в роли EventSource Windows Server 2012 R2 (не в домене), имеем два самоподписанных сертификата на сервера, на EventSource получаю ошибку,
http://forum.oszone.net/attachment.php?attachmentid=157718&stc=1&d=1559643927
по настройкам EvenSource:
1. Аутентификация по сертификату настроена.
http://forum.oszone.net/attachment.php?attachmentid=157719&stc=1&d=1559644319
2. FQDN cервера совпадает с CN в сертификате и у EventCollector, и у EventSource
3. Сертификат EventCollector импортирован в доверенные корневые центры сертификации на EventSource
4. Добавлены права на чтение ключевого контейнера для УЗ Network Service
http://forum.oszone.net/attachment.php?attachmentid=157720&stc=1&d=1559644758
5. Добавлен Network Service в EventLogReaders на EvenSource
http://forum.oszone.net/attachment.php?attachmentid=157721&stc=1&d=1559644928
6. Права у Network Service на чтение Security Log и установлены
wevtutil gl security
name: security
enabled: true
type: Admin
owningPublisher:
isolation: Custom
channelAccess: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)
logging:
logFileName: %SystemRoot%\System32\Winevt\Logs\security.evtx
retention: false
autoBackup: false
maxSize: 20971520
publishing:
fileMax: 1
7. Менеджер попдписки настроен
http://forum.oszone.net/attachment.php?attachmentid=157727&stc=1&d=1559649351
Ошибка сохраняется:
The forwarder is having a problem communicating with subscription manager at address HTTPS://EventCollector.local:5986/wsman/SubscriptionManager/WEC. Error code is 5 and Error Message is <f:WSManFault xmlns:f="http://schemas.microsoft.com/wbem/wsman/1/wsmanfault" Code="5" Machine="EventSource.local"><f:Message>The WinRM client cannot process the request. The destination computer (EventCollector:5986) returned an 'access denied' error. Specify one of the authentication mechanisms supported by the server. If Kerberos mechanism is used, verify that the client computer and the destination computer are joined to a domain. Possible authentication mechanisms reported by server: Negotiate Kerberos ClientCerts </f:Message></f:WSManFault>.
http://forum.oszone.net/attachment.php?attachmentid=157718&stc=1&d=1559643927
по настройкам EvenSource:
1. Аутентификация по сертификату настроена.
http://forum.oszone.net/attachment.php?attachmentid=157719&stc=1&d=1559644319
2. FQDN cервера совпадает с CN в сертификате и у EventCollector, и у EventSource
3. Сертификат EventCollector импортирован в доверенные корневые центры сертификации на EventSource
4. Добавлены права на чтение ключевого контейнера для УЗ Network Service
http://forum.oszone.net/attachment.php?attachmentid=157720&stc=1&d=1559644758
5. Добавлен Network Service в EventLogReaders на EvenSource
http://forum.oszone.net/attachment.php?attachmentid=157721&stc=1&d=1559644928
6. Права у Network Service на чтение Security Log и установлены
wevtutil gl security
name: security
enabled: true
type: Admin
owningPublisher:
isolation: Custom
channelAccess: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)
logging:
logFileName: %SystemRoot%\System32\Winevt\Logs\security.evtx
retention: false
autoBackup: false
maxSize: 20971520
publishing:
fileMax: 1
7. Менеджер попдписки настроен
http://forum.oszone.net/attachment.php?attachmentid=157727&stc=1&d=1559649351
Ошибка сохраняется:
The forwarder is having a problem communicating with subscription manager at address HTTPS://EventCollector.local:5986/wsman/SubscriptionManager/WEC. Error code is 5 and Error Message is <f:WSManFault xmlns:f="http://schemas.microsoft.com/wbem/wsman/1/wsmanfault" Code="5" Machine="EventSource.local"><f:Message>The WinRM client cannot process the request. The destination computer (EventCollector:5986) returned an 'access denied' error. Specify one of the authentication mechanisms supported by the server. If Kerberos mechanism is used, verify that the client computer and the destination computer are joined to a domain. Possible authentication mechanisms reported by server: Negotiate Kerberos ClientCerts </f:Message></f:WSManFault>.