Come abilitare l'autenticazione di negoziazione per winrm

Ho disabilitato l'autenticazione di negoziazione per il servizio winrm sul mio server eseguendo:

winrm put winrm/config/service/Auth @{Negotiate="false"}

E ora posso eseguire qualsiasi operazione con winrm. Ottengo l'errore:

    Message = The WinRM client cannot process the request. The WinRM client trie
d to use Negotiate authentication mechanism, but the destination computer (local
host:47001) returned an 'access denied' error. Change the configuration to allow
 Negotiate authentication mechanism to be used or specify one of the authenticat
ion mechanisms supported by the server. To use Kerberos, specify the local compu
ter name as the remote destination. Also verify that the client computer and the
 destination computer are joined to a domain. To use Basic, specify the local co
mputer name as the remote destination, specify Basic authentication and provide
user name and password. Possible authentication mechanisms reported by server:

Capisco l'errore, ma il problema è che l'unico modo che trovo sul web per abilitare l'autenticazione di negoziazione è eseguendo:

winrm put winrm/config/service/Auth @{Negotiate="true"}

Che ovviamente dà l'errore sopra. Esiste un altro modo per abilitare l'autenticazione di negoziazione?

Usa criteri di gruppo:

Computer> Politiche> Modelli amministrativi> Componenti di Windows> Gestione remota di Windows> Servizio WinRM:
Non consentire autenticazione di negoziazione: disabilitata.

Modificare la chiave di registro HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WSMAN \ Client.

Impostare auth_kerberos e auth_negotiate su 1.

Riavvia il servizio.

Come suggerito in questa risposta , ma servizio, non client:

1. Modifica la chiave di registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service.

2. Impostare auth_kerberose auth_negotiatesu 1 .

3. Riavviare il servizio di gestione remota di Windows (WS-Management).

Sul nostro server 2012 / Exchange 2010 abbiamo riscontrato questo errore durante il tentativo di utilizzare il software di backup AVG.

Ho trovato rimuovere entrambi maxenvelopesizee trusted_hostssotto questa chiave ha fatto il trucco

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client]
"maxEnvelopeSize"=dword:000007d0
"trusted_hosts"="*"

Avevo un server funzionante, un altro no. Non sono riuscito a trovare il problema. Alla fine l'ho capito.

Sul server mittente: impostare la politica locale Configurazione computer \ Modelli amministrativi \ Sistema \ Delega credenziali \ Consenti delega credenziali nuove. Lì, imposta WSMAN * nell'elenco Aggiungi server all'elenco (seleziona anche la casella Concatena i valori predefiniti del sistema operativo)

Sul server ricevente (creare un file .reg con il seguente :):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client] 
"auth_credssp"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service]
"auth_credssp"=dword:00000001

per me va bene

Si noti che se il computer (server) è un membro del dominio o è esso stesso un controller di dominio (nel mio caso Windows Server 2019), i Criteri di gruppo possono essere applicati dai criteri di gruppo del dominio.
Quindi suggerisco (in questi casi) di usare il comando seguente e controllare il valore vincente della politica "Non consentire negoziazione autenticazione".

C:\Temp\gpresult /h rep.htm

Può essere applicato dalla "Politica sui controller di dominio predefiniti" !!