Windows 11 远程管理 Windows Server Hyper-V 配置指南
|
1,840
|
0
|
Windows

2452 字
|
11 分钟

本文详细记录了在局域网下使用 Windows 11 远程连接 Windows Server 2022 中 Hyper-V 的配置步骤。文章内容包括 WinRM 服务 初始化、 TrustedHosts 设置及 CredSSP 凭据 分配,并针对连接过程中出现的常见报错提供相应的解决方法。

前言 (Preface)

我安装了 Windows Server 2022 作为 NAS 底层系统,并启用 Hyper-V 服务来运行虚拟机和部署一些应用。

为了在本地 Windows 11 系统直接管理远程虚拟机,我需要连接远程 NAS 服务器的 Hyper-V 虚拟机服务。

配置 Hyper-V 远程连接 的重点是设置 WinRM 服务TrustedHosts 受信任列表 ,以及 组策略凭据分配

若 Hyper-V 连接失败则建议检查系统 VBSCRIPT 可选功能是否正常, 防火墙 是否拦截了 WinRM 的流量。

本文提供了配置 Hyper-V 远程连接的完整步骤,并汇总了一些常见的报错和解决方法。

重要提示:文中涉及的命令都是在 PowerShell 窗口中执行

远程管理环境配置流程

本部分介绍如何在局域网内的远程服务器和本地电脑之间配置信任关系和凭据分配,最后实现 Hyper-V 远程连接。

1. 远程服务器端配置 (Remote Server)

远程服务器需要启用 Hyper-V 功能、初始化 WinRM 服务、配置 TrustedHosts 受信任列表,最后开启 CredSSP 服务即可。

  1. 执行 PowerShell 命令安装 Hyper-V 核心组件及管理工具。 
    Install-WindowsFeature -Name Hyper-V -IncludeManagementTools -Restart

    提示:若仅需内核功能而无需 Hyper-V 管理面板,可以移除 -IncludeManagementTools 参数。

  2. 执行 winrm quickconfig -Force 命令快速启动并配置 WinRM 远程管理服务。 
    winrm quickconfig -Force
  3. 将本地管理主机的 IP 地址添加到远程服务器的 TrustedHosts 受信任列表。 
    Set-Item WSMan:\localhost\Client\TrustedHosts -Value "192.168.1.99" -Force

    需要将命令中的 192.168.1.99 替换为本地管理主机的实际 IP 地址。

  4. 开启 CredSSP 角色,让服务器能够接受来自管理端的凭据分配。 
    Enable-WSManCredSSP -Role Server -Force

2. 本地管理端配置 (Local Host)

本地电脑需要配置 hosts 映射、初始化 WinRM 服务、配置 TrustedHosts 受信任列表,最后设置组策略凭据分配即可。

  1. 在本地 hosts 文件中添加远程服务器的 IP 地址与主机名映射记录,确保服务器名称能正常解析。 
    Add-Content -Path $env:windir\System32\Drivers\etc\hosts -Value "`n192.168.1.199 HOME-SERVER"

    需要将命令中的 192.168.1.199 替换为远程服务器主机的实际 IP 地址。
    需要将命令中的 HOME-SERVER 替换为远程服务器主机的实际计算机名称。

  2. 执行 Get-Content 命令检查和确认 hosts 静态解析记录已正确写入系统文件。 
    Get-Content $env:windir\System32\Drivers\etc\hosts
  3. 执行 winrm quickconfig -Force 命令初始化本地计算机的远程管理基础环境。 
    winrm quickconfig -Force
  4. 将远程服务器的 IP 地址添加到本地主机的 TrustedHosts 受信任列表。 
    Set-Item WSMan:\localhost\Client\TrustedHosts -Value "192.168.1.199" -Force

    需要将命令中的 192.168.1.199 替换为远程服务器主机的实际 IP 地址。

  5. 执行 Enable-WSManCredSSP 命令开启客户端角色,这将允许本地管理凭据转发到指定的远程主机。 
    Enable-WSManCredSSP -Role Client -DelegateComputer "192.168.1.199" -Force

    需要将命令中的 192.168.1.199 替换为远程服务器主机的实际 IP 地址。

  6. 在组策略 允许分配新的凭据 中启用策略,并配置符合 WSMAN 规范的服务器 SPN。
    • 路径: 计算机配置 > 管理模板 > 系统 > 凭据分配 > 允许分配新的凭据
    • 操作:点击 显示 ,添加值为 wsman/* 的服务器记录(也可以指定具体主机名)。
      Windows 组策略设置 WinRM 凭据委派 wsman SPN 配置界面
  7. 在组策略中启用 允许分配新的凭据用于仅 NTLM 服务器身份验证 并执行相同配置。
    • 路径: 计算机配置 > 管理模板 > 系统 > 凭据分配 > 允许分配新的凭据用于仅 NTLM 服务器身份验证
    • 操作:点击 显示 ,添加值为 wsman/* 的服务器记录(也可以指定具体主机名)。
    • 此步骤确保在工作组环境下,通过 NTLM 协议也能安全传递身份凭据。
      设置 Hyper-V 远程管理中的 NTLM 服务器身份验证凭据委派策略截图
  8. 执行 gpupdate /force 组策略刷新命令使上述配置立即生效。 
    gpupdate /force

建立远程连接与身份验证

所有环境配置都完成后,在本地 Hyper-V 管理工具中输入远程服务器信息和凭据就可以连接 Hyper-V 远程服务。

  1. 启动本地 Hyper-V 管理器并选择 连接到服务器 选项。
  2. 输入远程主机的 IP 地址或 hosts 文件里定义的 主机名称
  3. 使用 主机名\用户名 格式(例如 HOME-SERVER\Admin )输入凭据进行连接。

常见问题 (FAQ)

针对连接 Hyper-V 远程服务过程中可能出现的 WinRM 验证、凭据分配或权限报错等问题,可参照以下方案进行排查和解决。

Q1:提示“此计算机未配置为允许委派用户凭据”?
现象:连接时弹出提示框 “要启用用户凭据委派吗?此计算机未配置为允许委派用户凭据。”

在 Windows 组策略中开启 Hyper-V 凭据委派授权提示界面

A:这代表组策略 允许分配新的凭据 策略未配置。需要配置该策略并添加 SPN 值,建议添加 wsman/* 的值。

Q2:提示“计算机策略不允许向目标计算机委派用户凭据”?
现象:连接时弹出提示框 “WinRM 客户端无法处理该请求。计算机策略不允许向目标计算机委派用户凭据。”

WinRM 客户端因组策略限制无法委派凭据的错误信息截图

A:这代表组策略 允许分配新的凭据 策略中 SPN 的值不符合要求。建议向该策略中添加 wsman/* 的值。

Q3:提示“计算机策略不允许向目标计算机委派用户凭据,因为该计算机不受信任”?
现象:连接时弹出提示框 “CredSSP 无法使用 Kerberos 验证目标计算机的标识。”

Hyper-V 远程管理中因计算机不受信任导致的 NTLM 验证报错

A:这代表组策略 允许分配新的凭据用于仅 NTLM 服务器身份验证 策略中 SPN 的值不符合要求。建议向该策略中添加 wsman/* 的值。

Q4:提示“WinRM 客户端无法处理请求,因为无法解析该服务器名称”?
现象:连接时弹出提示框 “WinRM 客户端无法处理请求,因为无法解析该服务器名称。”

WinRM 远程连接因 DNS 名称解析失败导致的报错截图

A:这表示本地管理主机无法通过 DNS 识别远程服务器。只需向本地管理主机的 host 文件中添加远程服务器主机的映射记录即可。

Q5:提示“你没有完成此任务所需的权限”?
现象:连接时弹出提示框 “你没有完成此任务所需的权限。请与计算机XXX授权策略的管理员联系。”

Hyper-V 远程管理因权限不足或凭据错误导致的拒绝访问报错

A:这表示连接的远程服务器账户权限不足。需要使用 主机名\用户名 的账户名格式并确认该账户在远程主机上有 Administrator 管理员权限。

Q6:执行 winrm quickconfig -Force 命令报错“没有文件扩展 .vbs 的脚本引擎”?
A:WinRM 依赖 VBSCRIPT 运行环境,如果 VBSCRIPT 组件被移除则需要重新添加。打开设置进入 可选功能 设置页面重新添加 VBSCRIPT 组件即可。

Q7:执行 winrm quickconfig -Force 命令提示“WinRM 防火墙异常”或“网络类型为公用”?
A:WinRM 服务不能在公用(Public)网络下开启。需要手动将网络配置改为专用,然后重新执行 winrm quickconfig -Force 命令即可。

Q8:执行 winrm quickconfig -Force 命令报错“无法检查防火墙的状态” (错误代码 0x80070002)?
A:大概率是 Windows Firewall 服务未启动、防火墙规则库被损坏。可以执行 netsh advfirewall reset 命令重置防火墙规则然后重试。

Q9:如何从 Hyper-V 管理面板中彻底移除远程服务器?
A:按下 Win + S 组合键,搜索进入 凭据管理器 设置页面,选择 Windows 凭据 ,删除包含 HyperManager 名称的记录。

总结 (Summary)

在局域网内远程管理 Hyper-V 服务,关键在于配置 WinRM 服务、CredSSP 验证和组策略凭据分配。

为了确保连接顺畅,有几个细节需要注意:

  • 脚本环境:WinRM 服务依赖 VBSCRIPT 功能,出现报错则前往 系统设置 里的 可选功能 检查组件是否存在。
  • 网络属性:WinRM 服务无法在 “公用” 网络下开启,需要先将网络连接切换为 “专用” 模式。
  • 填法准确:组策略的凭据分配可以直接填 wsman/* 的值,这能配合 hosts 文件确保服务器名称能正常解析。
  • 防火墙状态:如果 WinRM 服务初始化失败,可以尝试重置防火墙规则然后再重新初始化。
  • 登录格式:连接时一定要用 主机名\用户名 的格式输入凭据,否则很容易出现用户权限报错的问题。

参考链接 (References)

暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																					

							
							
						

										
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇