ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows server administration workspace showing PowerShell remoting and WinRM authentication configuration
Event ID 3065ErrorMicrosoft-Windows-WinRMWindows

ID d'événement Windows 3065 – WinRM : Erreur d'authentification du service WS-Management

L'ID d'événement 3065 indique des échecs d'authentification WinRM lorsque les clients tentent de se connecter au service WS-Management, généralement en raison de problèmes d'identification ou de configuration.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 3065Microsoft-Windows-WinRM 5 méthodes 9 min
Référence événement

Signification de cet événement

Windows Remote Management (WinRM) est l'implémentation par Microsoft du protocole WS-Management, permettant la gestion à distance des systèmes Windows via PowerShell, WMI et d'autres outils administratifs. L'ID d'événement 3065 suit spécifiquement les échecs d'authentification qui se produisent lorsque les clients tentent d'établir des connexions au service WinRM.

Le processus d'authentification dans WinRM implique plusieurs couches, y compris la sécurité de transport (HTTPS/HTTP), les protocoles d'authentification (Kerberos, NTLM, basé sur des certificats) et les vérifications d'autorisation. Lorsque l'une de ces couches échoue, l'ID d'événement 3065 est enregistré avec des codes d'erreur spécifiques qui aident à identifier la cause principale. Les données de l'événement incluent généralement l'adresse IP du client, la méthode d'authentification demandée et des informations d'erreur détaillées.

Dans Windows Server 2025 et Windows 11 24H2, Microsoft a amélioré la journalisation de WinRM pour fournir des détails plus granulaires sur les échecs d'authentification, y compris les erreurs de validation de la chaîne de certificats et les résultats de l'inspection des tickets Kerberos. Ces améliorations rendent l'ID d'événement 3065 plus précieux pour le dépannage de scénarios d'authentification complexes dans des environnements cloud hybrides.

L'événement est particulièrement important dans les environnements utilisant PowerShell Desired State Configuration (DSC), System Center Operations Manager ou des outils de surveillance tiers qui dépendent de WinRM pour la connectivité à distance. Les échecs d'authentification peuvent entraîner des problèmes de gestion du système plus larges s'ils ne sont pas résolus rapidement.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Certificats SSL expirés ou invalides utilisés pour les écouteurs HTTPS WinRM
  • Nom d'utilisateur ou mot de passe incorrect fourni par le client
  • Échecs d'authentification Kerberos dus à des problèmes de synchronisation temporelle ou de SPN
  • Authentification NTLM bloquée par des politiques de sécurité ou des paramètres de domaine
  • Échecs d'authentification par certificat client lors de l'utilisation de l'authentification basée sur le certificat
  • Problèmes de connectivité réseau empêchant une poignée de main d'authentification correcte
  • Modifications de la configuration du service WinRM qui affectent les méthodes d'authentification
  • Problèmes de relation de confiance de domaine dans des environnements multi-domaines
  • Règles de pare-feu bloquant le trafic d'authentification sur les ports requis
  • Paramètres de stratégie de groupe qui restreignent l'authentification de gestion à distance
Méthodes de résolution

Étapes de dépannage

01

Vérifier les journaux d'événements WinRM et la configuration

Commencez par examiner les informations détaillées sur l'événement et la configuration actuelle de WinRM :

  1. Ouvrez Observateur d'événementsJournaux des applications et des servicesMicrosoftWindowsWinRMOpérationnel
  2. Localisez l'ID d'événement 3065 et notez le code d'erreur, l'IP du client et la méthode d'authentification
  3. Vérifiez la configuration actuelle de WinRM :
winrm get winrm/config
winrm enumerate winrm/config/listener
  1. Vérifiez l'état du service WinRM :
Get-Service WinRM
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-WinRM/Operational'; Id=3065} -MaxEvents 10
  1. Examinez les méthodes d'authentification activées :
winrm get winrm/config/service/auth
02

Tester la connectivité à distance et les identifiants

Vérifiez que les connexions à distance fonctionnent avec des identifiants connus :

  1. Testez la connectivité de base WinRM depuis la machine cliente :
Test-WSMan -ComputerName [TargetServer] -Port 5985
Test-WSMan -ComputerName [TargetServer] -Port 5986 -UseSSL
  1. Tentez une session à distance PowerShell avec des identifiants explicites :
$cred = Get-Credential
Enter-PSSession -ComputerName [TargetServer] -Credential $cred
  1. Vérifiez si le problème est spécifique à certaines méthodes d'authentification :
Enter-PSSession -ComputerName [TargetServer] -Authentication Kerberos
Enter-PSSession -ComputerName [TargetServer] -Authentication NTLM
  1. Vérifiez la synchronisation de l'heure entre le client et le serveur :
w32tm /query /status
w32tm /resync
03

Examiner le certificat SSL et la configuration HTTPS

Si vous utilisez des écouteurs HTTPS, vérifiez la validité et la configuration du certificat :

  1. Vérifiez la liaison du certificat SSL pour WinRM :
netsh http show sslcert
winrm enumerate winrm/config/listener
  1. Vérifiez la validité et la chaîne du certificat :
Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Subject -like "*[ServerName]*"}
$cert = Get-ChildItem Cert:\LocalMachine\My\[Thumbprint]
$cert | Format-List *
  1. Testez la validation de la chaîne de certificats :
$chain = New-Object System.Security.Cryptography.X509Certificates.X509Chain
$chain.Build($cert)
  1. Si le certificat est expiré ou invalide, créez un nouvel écouteur HTTPS :
winrm delete winrm/config/listener?Address=*+Transport=HTTPS
$cert = New-SelfSignedCertificate -DnsName [ServerFQDN] -CertStoreLocation Cert:\LocalMachine\My
winrm create winrm/config/listener?Address=*+Transport=HTTPS @{Hostname="[ServerFQDN]"; CertificateThumbprint="$($cert.Thumbprint)"}
04

Résoudre les problèmes d'authentification Kerberos

Résoudre les problèmes d'authentification spécifiques à Kerberos :

  1. Vérifiez les noms principaux de service (SPN) pour le serveur cible :
setspn -L [ServerName]
setspn -Q HTTP/[ServerFQDN]
  1. Vérifiez le cache des tickets Kerberos sur le client :
klist
klist purge
  1. Vérifiez la connectivité du contrôleur de domaine et la synchronisation de l'heure :
nltest /dsgetdc:[DomainName]
w32tm /query /peers
  1. Activez la journalisation Kerberos pour un dépannage détaillé :
auditpol /set /subcategory:"Kerberos Authentication Service" /success:enable /failure:enable
auditpol /set /subcategory:"Kerberos Service Ticket Operations" /success:enable /failure:enable
  1. Enregistrez les SPN manquants si nécessaire :
setspn -S HTTP/[ServerFQDN] [ServerName]
setspn -S HTTP/[ServerName] [ServerName]
05

Dépannage avancé avec des traces réseau

Effectuer une analyse approfondie du réseau pour des problèmes d'authentification complexes :

  1. Activer la journalisation analytique et de débogage de WinRM :
wevtutil sl Microsoft-Windows-WinRM/Analytic /e:true
wevtutil sl Microsoft-Windows-WinRM/Debug /e:true
  1. Capturer le trafic réseau lors des tentatives d'authentification :
netsh trace start capture=yes tracefile=winrm_auth.etl provider=Microsoft-Windows-WinRM
# Reproduire l'échec de l'authentification
netsh trace stop
  1. Analyser le flux d'authentification avec les cmdlets PowerShell :
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-WinRM/Analytic'} | Where-Object {$_.Id -eq 3065}
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625} | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-1)}
  1. Vérifier les paramètres du registre pour le comportement d'authentification :
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service" -Name auth_*
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client" -Name auth_*
  1. Réinitialiser la configuration WinRM si tout le reste échoue :
winrm invoke restore winrm/config @{}
Enable-PSRemoting -Force
Restart-Service WinRM

Aperçu

L'ID d'événement 3065 se déclenche lorsque le service Windows Remote Management (WinRM) rencontre des échecs d'authentification lors des tentatives de connexion client. Cet événement apparaît dans le journal Microsoft-Windows-WinRM/Operational lorsque le service WS-Management ne peut pas authentifier les requêtes entrantes, que ce soit depuis PowerShell remoting, Windows Admin Center ou d'autres outils de gestion.

L'événement inclut généralement des détails sur la méthode d'authentification tentée, l'adresse IP du client et le code d'erreur spécifique qui a causé l'échec. Les scénarios courants incluent des certificats expirés, des identifiants incorrects, des problèmes d'authentification Kerberos ou des écouteurs WinRM mal configurés. Cet événement est crucial pour diagnostiquer les problèmes de connectivité de gestion à distance dans les environnements d'entreprise.

Les erreurs d'authentification WinRM peuvent impacter les scripts automatisés, les systèmes de surveillance et les flux de travail administratifs qui dépendent des sessions PowerShell à distance ou des connexions WMI. L'événement est souvent corrélé à des problèmes de connectivité réseau, des problèmes de confiance de domaine ou des changements de politique de sécurité qui affectent les mécanismes d'authentification à distance.

Questions Fréquentes

Que signifie l'ID d'événement 3065 dans Windows ?+
L'ID d'événement 3065 indique que le service Windows Remote Management (WinRM) a rencontré un échec d'authentification lorsqu'un client a tenté de se connecter. Cette erreur se produit lorsque les identifiants sont invalides, les certificats sont expirés, ou que les protocoles d'authentification comme Kerberos ou NTLM échouent lors de la poignée de main de connexion. L'événement fournit des codes d'erreur spécifiques et des informations sur le client pour aider à diagnostiquer la cause principale du problème d'authentification.
Comment puis-je corriger les erreurs d'authentification WinRM causant l'ID d'événement 3065 ?+
Commencez par vérifier les identifiants utilisés et vérifier la configuration WinRM avec 'winrm get winrm/config'. Testez la connectivité en utilisant Test-WSMan et assurez la synchronisation temporelle entre le client et le serveur. Pour les connexions HTTPS, vérifiez la validité du certificat SSL. Vérifiez les SPN Kerberos avec 'setspn -L [ServerName]' et assurez-vous des relations de confiance de domaine appropriées. Activez la journalisation détaillée de WinRM pour identifier les échecs spécifiques des méthodes d'authentification.
Les certificats SSL expirés peuvent-ils causer l'ID d'événement 3065 ?+
Oui, les certificats SSL expirés ou invalides sont une cause fréquente de l'ID d'événement 3065 lors de l'utilisation d'écouteurs WinRM HTTPS. Le processus d'authentification échoue pendant la phase de poignée de main SSL avant que les identifiants puissent être validés. Vérifiez la validité du certificat avec 'Get-ChildItem Cert:\LocalMachine\My' et vérifiez la liaison du certificat avec 'netsh http show sslcert'. Remplacez les certificats expirés et mettez à jour la configuration de l'écouteur WinRM HTTPS en conséquence.
Pourquoi l'ID d'événement 3065 se produit-il avec la télécommande PowerShell ?+
La communication à distance PowerShell repose sur WinRM pour le transport, donc l'ID d'événement 3065 apparaît lorsque Enter-PSSession ou Invoke-Command échouent à s'authentifier. Les causes courantes incluent des identifiants incorrects, des problèmes de ticket Kerberos ou des méthodes d'authentification désactivées. L'erreur se produit souvent dans des scénarios inter-domaines ou lors de l'utilisation d'adresses IP au lieu de FQDN. Activez l'authentification CredSSP ou utilisez des identifiants explicites avec Get-Credential pour résoudre de nombreux problèmes d'authentification à distance PowerShell.
Comment puis-je empêcher l'ID d'événement 3065 de se reproduire ?+
Mettre en œuvre une gestion appropriée du cycle de vie des certificats pour les auditeurs HTTPS, assurer une synchronisation temporelle cohérente sur tous les systèmes et maintenir une enregistrement correct des SPN Kerberos. Configurer les paramètres de stratégie de groupe pour standardiser les méthodes d'authentification WinRM et auditer régulièrement les relations de confiance de domaine. Utiliser des scripts de surveillance pour vérifier les dates d'expiration des certificats et automatiser la rotation des identifiants pour les comptes de service. Envisager de mettre en œuvre une authentification basée sur les certificats pour une sécurité renforcée et une réduction des échecs liés aux mots de passe.
Documentation

Références (2)

1
Windows Remote Management ConfigurationOfficial Microsoft documentation covering WinRM installation, configuration, and troubleshooting authentication issues.https://docs.microsoft.com/en-us/windows/win32/winrm/installation-and-configuration-for-windows-remote-management
2
PowerShell Remoting Security ConsiderationsMicrosoft Learn guide covering PowerShell remoting security, authentication methods, and best practices for WinRM configuration.https://docs.microsoft.com/en-us/powershell/scripting/learn/remoting/winrmsecurity
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#event-id-3065#winrm-authentication#powershell-remoting

Événements Windows associés

Windows server administration workspace showing PowerShell and Event Viewer for WinRM troubleshooting
Event 11707
Microsoft-Windows-WinRM
Windows EventError

ID d'événement Windows 11707 – Microsoft-Windows-WinRM : Erreur de configuration du service WinRM

L'ID d'événement 11707 indique des erreurs de configuration du service Windows Remote Management (WinRM), se produisant généralement lors du démarrage du service ou lorsque les paramètres d'authentification sont mal configurés.

18 mars12 min
Windows server workstation displaying PowerShell remoting and WinRM authentication diagnostic screens
Event 8230
Microsoft-Windows-WinRM
Windows EventError

ID d'événement Windows 8230 – WinRM : Erreur d'authentification du service WS-Management

L'ID d'événement 8230 indique un échec d'authentification de la gestion à distance de Windows (WinRM) lorsque les clients tentent de se connecter au service WS-Management en utilisant des identifiants invalides ou des méthodes d'authentification non prises en charge.

18 mars12 min
Windows administrator workstation showing PowerShell remoting and WinRM authentication troubleshooting interface
Event 3603
Microsoft-Windows-WinRM
Windows EventError

ID d'événement Windows 3603 – WinRM : Erreur d'authentification du service de gestion à distance

L'ID d'événement 3603 indique des échecs d'authentification de Windows Remote Management (WinRM) lorsque des clients tentent de se connecter à des systèmes distants en utilisant l'administration à distance PowerShell ou d'autres services basés sur WinRM.

18 mars12 min
Windows server management dashboard showing Event Viewer and remote management configuration
Event 1040
Microsoft-Windows-WinRM
Windows EventInformation

ID d'événement Windows 1040 – Microsoft-Windows-WinRM : Service WinRM démarré avec succès

L'ID d'événement 1040 indique que le service Windows Remote Management (WinRM) a démarré avec succès. Cet événement informatif confirme que WinRM est opérationnel et prêt à accepter des connexions à distance.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...