排查 Windows Admin Center 问题

本文介绍如何诊断和解决 Windows Admin Center 中的问题。 如果你遇到特定工具的问题,请检查该问题是否是已知问题

安装程序失败并出现消息:无法加载模块“Microsoft.PowerShell.LocalAccounts”。

如果修改或删除了默认 PowerShell 模块路径,则可能会发生这种失败。 若要解决此问题,请确保 %SystemRoot%\system32\WindowsPowerShell\v1.0\Modules 是 PSModulePath 环境变量中的第一个项。 为此,可以使用以下 PowerShell 命令行:

[Environment]::SetEnvironmentVariable("PSModulePath","%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules;" + ([Environment]::GetEnvironmentVariable("PSModulePath","User")),"User")

我在 Web 浏览器中收到了无法访问此站点/页面错误消息

如果你安装了 Windows Admin Center 作为 Windows 10 上的应用

  • 请检查 Windows Admin Center 是否正在运行。 查看系统托盘中是否有 Windows Admin Center 图标 Windows Admin Center 图标,或在任务管理器中查找“Windows Admin Center 桌面/SmeDesktop.exe”。 如果未找到,请从“开始”菜单启动“Windows Admin Center”。

注意

重新启动后,必须从“开始”菜单启动 Windows Admin Center。

  • 检查 Windows 版本

  • 确保使用 Microsoft Edge 或 Google Chrome 作为 Web 浏览器。

  • 首次启动时是否选择了正确的证书?

    • 请尝试在私人会话中打开浏览器 - 如果可行,你将需要清除缓存。
  • 最近是否已将 Windows 10 升级到新的内部版本或版本?

如果你安装了 Windows Admin Center 作为 Windows Server 上的网关

  • 请检查客户端和服务器的 Windows 版本

  • 请确保使用 Microsoft Edge 或 Google Chrome 作为 Web 浏览器。

  • 在服务器上,打开“任务管理器”“服务”并确保“ServerManagementGateway”或“Windows Admin Center”正在运行>

    任务管理器 -“服务”选项卡

  • 测试网关的网络连接(请将 <values> 替换为你的部署信息)

    Test-NetConnection -Port <port> -ComputerName <gateway> -InformationLevel Detailed
    

如果在 Azure Windows Server VM 中安装了 Windows Admin Center

请检查 Windows 版本

若要检查 Windows 版本,请执行以下操作:

  1. 打开运行对话框 (Windows 键 + R) 并启动 winver

  2. 在“关于 Windows”窗口中检查版本。

    • Windows 10 版本 1703 或更低版本中的 Microsoft Edge 不支持 Windows Admin Center。 请升级到最新版本的 Windows 10 或使用 Google Chrome。

    • 如果你使用的是内部版本为 17134 至 17637 的预览体验版 Windows 10 或 Server,请注意 Windows 中的一个 bug 会导致 Windows Admin Center 失败。 请使用当前受支持的 Windows 版本来解决此问题。

确保 Windows 远程管理 (WinRM) 服务正在网关计算机和托管节点上运行

  1. 按 Windows 键 + R 打开运行对话框。

  2. 键入 services.msc,然后按 Enter。

  3. 在打开的窗口中找到 Windows 远程管理 (WinRM),确保它正在运行并设置为自动启动。

如果在 Windows Admin Center 中管理服务器时收到 WinRM 错误消息

WinRM 默认不允许凭据委托。 若要允许委派,计算机需要暂时启用凭据安全支持提供程序 (CredSSP)。

如果你收到了 WinRM 错误消息,请尝试使用排查 CredSSP 问题手动故障排除部分中的验证步骤来解决问题。

是否已将服务器从版本 2016 升级到 2019?

升级过程可能清除了受信任的 hosts 设置。 按照这些说明更新受信任的 hosts 设置

我收到了消息:“无法安全连接到此页面。 这可能是因为站点使用了过时或不安全的 TLS 安全设置。”

你的计算机只能使用 HTTP/2 连接。 Windows Admin Center 使用集成的 Windows 身份验证,这在 HTTP/2 中不受支持。 在运行浏览器的计算机上的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Http\Parameters 项下添加以下两个注册表值以消除 HTTP/2 限制:

EnableHttp2Cleartext=dword:00000000
EnableHttp2Tls=dword:00000000

使用远程桌面、事件和 PowerShell 工具时遇到问题。

这三个工具需要 Websocket 协议,而代理服务器和防火墙通常会阻止该协议。 如果你使用的是 Google Chrome,请注意 Websocket 和 NTLM 身份验证存在一个已知问题

我只能连接到部分服务器

  • 在本地登录到网关计算机并尝试在 PowerShell 中运行 Enter-PSSession <machine name>(其中 <machine name> 应替换为你尝试在 Windows Admin Center 中管理的计算机名称)。

  • 如果你的环境使用的是工作组而不是域,请参阅在工作组中使用 Windows Admin Center

  • 使用本地管理员帐户:如果你使用的是本地用户帐户而不是内置管理员帐户,则你将需要在目标计算机上启用策略,方法是在目标计算机上以管理员身份在 PowerShell 中或在命令提示符中运行以下命令:

    REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1
    

我收到以下消息:“你无权查看此页面。 如果你最近更新了 Windows Admin Center,可能需要重启浏览器,然后刷新页面。”

确保在首次启动期间出现提示时选择“Windows Admin Center 客户端”证书,而不是任何其他证书。 如果选择任何其他证书,则会收到此错误消息。 若要解决此错误,请重启浏览器并刷新页面,然后选择“Windows Admin Center 客户端”证书。 如果还是出现这一错误,请尝试清除浏览器缓存或改用其他浏览器。 如果这些故障排除步骤均无法解决问题,你可能需要卸载并重新安装 Windows Admin Center,然后重启它。

在工作组中使用 Windows Admin Center

你使用的是哪个帐户?

请确保使用的凭据是目标服务器的本地管理员组成员。 在某些情况下,WinRM 还需要远程管理用户组成员身份。 如果你使用的是本地用户帐户而不是内置 Administrator 帐户,则需要在目标计算机上启用策略,方法是在目标计算机上以管理员身份在 PowerShell 中或在命令提示符中运行以下命令:

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1

连接的是否为其他子网中的工作组计算机?

若要连接与网关不在同一个子网的工作组计算机,请确保 WinRM (TCP 5985) 的防火墙端口允许目标计算机上的入站流量。 你可以在目标计算机上以管理员身份在 PowerShell 中或在命令提示符中运行以下命令,以创建此防火墙规则:

  • Windows Server

    Set-NetFirewallRule -Name WINRM-HTTP-In-TCP-PUBLIC -RemoteAddress Any
    
  • Windows 10

    Set-NetFirewallRule -Name WINRM-HTTP-In-TCP -RemoteAddress Any
    

配置 TrustedHosts

安装 Windows Admin Center 时,你可以选择允许 Windows Admin Center 管理网关的 TrustedHosts 设置。 在工作组环境中,或在域中使用本地管理员凭据时需要进行此设置。 如果你选择放弃此设置,则必须手动配置 TrustedHosts。

使用 PowerShell 命令修改 TrustedHosts:

  1. 打开管理员 PowerShell 会话。

  2. 查看你的当前 TrustedHosts 设置:

    Get-Item WSMan:\localhost\Client\TrustedHosts
    

    警告

    如果你当前已有 TrustedHosts 设置,则以下命令将覆盖你的设置。 我们建议你通过以下命令将当前设置保存到文本文件,以便在需要时恢复设置。

    Get-Item WSMan:localhost\Client\TrustedHosts | Out-File C:\OldTrustedHosts.txt

  3. 将想要管理的计算机的 TrustedHosts 设置为 NetBIOS、IP 或 FQDN:

    Set-Item WSMan:localhost\Client\TrustedHosts -Value '192.168.1.1,server01.contoso.com,server02'
    

    提示

    为简便起见,你可以利用通配符一次性设置所有 TrustedHosts。

    Set-Item WSMan:\localhost\Client\TrustedHosts -Value '*'
    
  4. 完成测试后,你可以从提升的 PowerShell 会话中发出以下命令来清除 TrustedHosts 设置:

    Clear-Item WSMan:localhost\Client\TrustedHosts
    
  5. 如果你之前导出了设置,请打开文件,复制值,然后使用此命令:

    Set-Item WSMan:localhost\Client\TrustedHosts -Value '<paste values from text file>'
    

我以前安装了 Windows Admin Center,但现在其他组件都不能相同的 TCP/IP 端口

在提升的命令提示符下手动运行以下两个命令:

netsh http delete sslcert ipport=0.0.0.0:443
netsh http delete urlacl url=https://+:443/

Azure 功能在 Microsoft Edge 中无法正常工作

Microsoft Edge 中与安全区域相关的已知问题会影响 Windows Admin Center 中的 Azure 登录。

如果你在使用 Microsoft Edge 时遇到 Azure 功能问题,请执行以下步骤以添加所需的 URL:

  1. 在 Windows“开始”菜单中搜索“Internet 选项”。

  2. 转到“安全”选项卡。

  3. 在“受信任的站点”选项下单击“站点”按钮,然后在打开的对话框中添加以下 URL:

    • 你的网关 URL
    • https://login.microsoftonline.com
    • https://login.live.com
  4. 单击“关闭”,然后单击“确定”。

  5. 更新 Microsoft Edge 中的“弹出窗口阻止程序”设置:

    1. 浏览到 edge://settings/content/popups?search=pop-up。

    2. 在“允许”部分下添加以下 URL:

    • 你的网关 URL
    • https://login.microsoftonline.com
    • https://login.live.com

请通过 wacFeedbackAzure@microsoft.com 向我们发送电子邮件并在其中包含以下信息:

  • 下面列出的问题中描述的一般问题信息。
  • 描述问题,以及为重现该问题所采取的步骤。
  • 你以前是否已使用可下载的 New-AadApp.ps1 脚本将网关注册到 Azure,然后升级到了版本 1807? 或者,你是否使用 UI 通过网关的“设置”>“Azure”将网关注册到了 Azure?
  • 你的 Azure 帐户是否与多个目录/租户相关联? 如果是,在将 Microsoft Entra 应用程序注册到 Windows Admin Center 时,使用的目录是否为 Azure 中的默认目录?
  • 你的 Azure 帐户是否有权访问多个订阅?
  • 你使用的订阅是否附有计费?
  • 在遇到问题时你是否已登录到多个 Azure 帐户?
  • 你的 Azure 帐户是否需要多重身份验证?
  • 你尝试管理的计算机是否为 Azure VM?
  • Windows Admin Center 是否安装在 Azure VM 上?

收集 HAR 文件

HTTP 存档格式 (HAR) 文件是 Web 浏览器与站点交互的日志。 此信息对于故障排除和调试至关重要。

若要在 Microsoft Edge 或 Google Chrome 中收集 HAR 文件,请执行以下步骤:

  1. 按 F12 打开“开发人员工具”窗口,然后单击“网络”选项卡。

  2. 选择“清除”图标以清理网络日志。

  3. 单击“保留日志”复选框以将其选中。

  4. 重现问题。

  5. 重现问题后,单击“导出 HAR”。

  6. 指定保存日志的位置,然后单击“保存”。

    显示用户必须单击哪几个位置来收集 HAR 文件,并用项目编号突出显示了单击顺序。

警告

在与 Microsoft 共享 HAR 文件之前,请确保删除或模糊处理任何敏感信息,例如密码。

提供有关问题的反馈

转到“事件查看器”>“应用程序和服务”>“Microsoft-ServerManagementExperience”,查找所有错误或警告。

GitHub 上提交 bug 并在其中描述问题。

包含你在事件日志中找到的所有错误或警告,以及以下信息:

  • 安装 Windows Admin Center 的平台(Windows 10 或 Windows Server):
    • 如果它安装在 Windows Server 上,运行用于访问 Windows Admin Center 的浏览器的计算机的 Windows 版本是什么:
    • 是否使用了安装程序创建的自签名证书?
    • 如果你使用了自己的证书,使用者名称是否与计算机匹配?
    • 如果你使用了自己的证书,该证书是否指定了备用使用者名称?
  • 安装时是否使用了默认端口设置?
    • 如果不是,那么你指定的是哪个端口?
  • 安装 Windows Admin Center 的计算机是否加入了域?
  • 安装 Windows Admin Center 的 Windows 版本
  • 你尝试管理的计算机是否加入了域?
  • 你尝试管理的计算机的 Windows 版本
  • 你使用什么浏览器?
    • 如果使用的是 Google Chrome,其版本是什么? (“帮助”>“关于 Google Chrome”)