ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows administrator workstation showing PowerShell remoting and WinRM authentication troubleshooting interface
Event ID 3603ErrorMicrosoft-Windows-WinRMWindows

ID d'événement Windows 3603 – WinRM : Erreur d'authentification du service de gestion à distance

L'ID d'événement 3603 indique des échecs d'authentification de Windows Remote Management (WinRM) lorsque des clients tentent de se connecter à des systèmes distants en utilisant l'administration à distance PowerShell ou d'autres services basés sur WinRM.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 3603Microsoft-Windows-WinRM 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 3603 représente une défaillance critique d'authentification au sein de l'infrastructure du service de gestion à distance de Windows. Lorsque cet événement se produit, il indique qu'un client a tenté d'établir une connexion à distance mais a échoué lors de la phase d'authentification, empêchant l'établissement réussi d'une session WinRM.

Le service WinRM prend en charge plusieurs méthodes d'authentification, y compris Kerberos, NTLM, l'authentification basée sur des certificats et l'authentification de base. L'événement 3603 peut se produire avec l'une de ces méthodes lorsque le processus d'authentification rencontre des erreurs. Les détails de l'événement incluent généralement l'adresse IP du client, la méthode d'authentification demandée et des codes d'erreur spécifiques qui indiquent la raison de l'échec.

Dans les environnements de domaine, les échecs d'authentification Kerberos sont des causes courantes de cet événement, surtout lorsque les noms principaux de service (SPN) sont manquants ou mal configurés. Les échecs d'authentification basés sur des certificats sont souvent liés à des certificats expirés, des autorités de certification non fiables ou des problèmes de validation de la chaîne de certificats. Les échecs NTLM proviennent généralement de problèmes d'identifiants ou de politiques d'authentification NTLM désactivées.

L'événement impacte la gestion à distance PowerShell, le Centre d'administration Windows, le System Center Operations Manager et d'autres outils de gestion Microsoft qui dépendent de WinRM. Lorsque l'authentification échoue, ces outils ne peuvent pas établir de connexions à distance, perturbant les scripts automatisés, les systèmes de surveillance et les flux de travail administratifs. Résoudre l'événement 3603 est crucial pour maintenir l'efficacité opérationnelle dans les environnements Windows qui dépendent des capacités de gestion à distance.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Identifiants utilisateur invalides ou expirés fournis lors de l'authentification
  • Échecs d'authentification Kerberos dus à des noms de principal de service (SPN) manquants ou incorrects
  • Erreurs d'authentification basées sur des certificats expirés ou non fiables
  • Authentification NTLM désactivée par la stratégie de groupe ou les politiques de sécurité
  • Problèmes de connectivité réseau empêchant le trafic d'authentification
  • Problèmes de synchronisation temporelle entre le client et le serveur causant des échecs de validation de ticket Kerberos
  • Règles de pare-feu bloquant les ports d'authentification WinRM (5985/5986)
  • Problèmes de configuration du service WinRM ou méthodes d'authentification désactivées
  • Problèmes de relation de confiance de domaine dans des environnements multi-domaines
  • Permissions utilisateur insuffisantes pour les opérations de gestion à distance
Méthodes de résolution

Étapes de dépannage

01

Vérifier l'état du service WinRM et la configuration de base

Commencez par vérifier l'état du service WinRM et la configuration de base sur les systèmes client et cible.

Étape 1 : Ouvrez PowerShell en tant qu'administrateur et vérifiez l'état du service WinRM :

Get-Service WinRM
Get-WSManInstance -ResourceURI winrm/config

Étape 2 : Vérifiez que WinRM est correctement configuré pour la télécommande :

winrm quickconfig
winrm get winrm/config

Étape 3 : Vérifiez le Visualiseur d'événements pour des informations d'erreur détaillées :

Accédez à Visualiseur d'événementsJournaux des applications et des servicesMicrosoftWindowsWinRMOpérationnel

Étape 4 : Testez la connectivité de base au système cible :

Test-WSMan -ComputerName TargetServer
Test-NetConnection -ComputerName TargetServer -Port 5985
Astuce pro : Utilisez winrm enumerate winrm/config/listener pour vérifier que les écouteurs HTTP et HTTPS sont correctement configurés.
02

Enquêter sur les problèmes de méthode d'authentification et de justificatifs

Examinez la méthode d'authentification spécifique qui échoue et vérifiez la validité des identifiants.

Étape 1 : Vérifiez quelles méthodes d'authentification sont activées :

Get-WSManInstance -ResourceURI winrm/config/service/auth
Get-WSManInstance -ResourceURI winrm/config/client/auth

Étape 2 : Testez explicitement différentes méthodes d'authentification :

# Test avec des identifiants explicites
$cred = Get-Credential
Enter-PSSession -ComputerName TargetServer -Credential $cred -Authentication Kerberos

# Test de l'authentification NTLM
Enter-PSSession -ComputerName TargetServer -Credential $cred -Authentication NTLM

Étape 3 : Vérifiez la confiance de domaine et la synchronisation temporelle :

nltest /query /domain:YourDomain
w32tm /query /status
w32tm /resync

Étape 4 : Vérifiez les problèmes de ticket Kerberos :

klist
klist purge
# Ré-authentifiez-vous et testez à nouveau
Avertissement : La purge des tickets Kerberos affecte toutes les sessions authentifiées pour l'utilisateur actuel.
03

Résoudre les problèmes de Service Principal Name (SPN)

Résolvez les échecs d'authentification Kerberos en vérifiant et configurant les noms principaux de service.

Étape 1 : Vérifiez les SPN existants pour l'ordinateur cible :

setspn -L TargetServer$
setspn -Q HTTP/TargetServer
setspn -Q HTTP/TargetServer.domain.com

Étape 2 : Enregistrez les SPN manquants s'ils ne sont pas trouvés :

# Enregistrez les SPN pour le compte de l'ordinateur
setspn -S HTTP/TargetServer TargetServer$
setspn -S HTTP/TargetServer.domain.com TargetServer$
setspn -S WSMAN/TargetServer TargetServer$
setspn -S WSMAN/TargetServer.domain.com TargetServer$

Étape 3 : Vérifiez que l'enregistrement des SPN a réussi :

setspn -L TargetServer$
# Recherchez les entrées HTTP et WSMAN

Étape 4 : Testez l'authentification Kerberos après l'enregistrement des SPN :

Test-WSMan -ComputerName TargetServer -Authentication Kerberos
Enter-PSSession -ComputerName TargetServer -Authentication Kerberos

Étape 5 : Vérifiez les SPN en double qui pourraient causer des conflits :

setspn -X -F
Astuce pro : Utilisez setspn -Q HTTP/* pour trouver tous les SPN HTTP dans le domaine et identifier les doublons potentiels.
04

Configurer l'authentification basée sur les certificats

Résolvez les problèmes d'authentification des certificats en vérifiant la validité des certificats et les chaînes de confiance.

Étape 1 : Vérifiez la configuration de l'écouteur WinRM HTTPS :

winrm enumerate winrm/config/listener
# Recherchez les entrées de transport HTTPS

Étape 2 : Vérifiez le certificat dans le magasin de certificats de l'ordinateur local :

Get-ChildItem -Path Cert:\LocalMachine\My
# Vérifiez les certificats avec l'utilisation d'authentification serveur

Étape 3 : Créez un écouteur HTTPS si manquant :

# Trouvez l'empreinte numérique du certificat approprié
$cert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -like "*$env:COMPUTERNAME*"}

# Créez un écouteur HTTPS
winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="$env:COMPUTERNAME"; CertificateThumbprint="$($cert.Thumbprint)"}

Étape 4 : Testez la connectivité HTTPS :

Test-WSMan -ComputerName TargetServer -UseSSL
Test-NetConnection -ComputerName TargetServer -Port 5986

Étape 5 : Vérifiez la chaîne de confiance du certificat :

# Vérifiez la validation de la chaîne de certificats
$cert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Thumbprint -eq "YourCertThumbprint"}
$chain = New-Object System.Security.Cryptography.X509Certificates.X509Chain
$chain.Build($cert)
Avertissement : Les certificats auto-signés nécessitent une configuration client supplémentaire pour contourner les erreurs de validation des certificats.
05

Dépannage avancé avec la journalisation WinRM et l'analyse réseau

Activez la journalisation détaillée de WinRM et effectuez un dépannage au niveau du réseau pour des problèmes d'authentification complexes.

Étape 1 : Activez la journalisation analytique et de débogage de WinRM :

# Activer la journalisation opérationnelle de WinRM
wevtutil sl Microsoft-Windows-WinRM/Operational /e:true

# Activer la journalisation analytique pour un dépannage détaillé
wevtutil sl Microsoft-Windows-WinRM/Analytic /e:true
wevtutil sl Microsoft-Windows-WinRM/Debug /e:true

Étape 2 : Configurez la journalisation du client WinRM :

winrm set winrm/config/client @{LoggingLevel="Verbose"}
winrm set winrm/config/service @{LoggingLevel="Verbose"}

Étape 3 : Surveillez les tentatives d'authentification en temps réel :

# Surveiller les événements WinRM lors des tentatives d'authentification
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-WinRM/Operational'; StartTime=(Get-Date).AddMinutes(-5)} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Étape 4 : Analysez le trafic réseau avec netsh :

# Démarrer la trace réseau
netsh trace start capture=yes provider=Microsoft-Windows-WinRM tracefile=winrm_trace.etl

# Reproduire le problème d'authentification
# Arrêter la trace
netsh trace stop

Étape 5 : Vérifiez les paramètres de stratégie de groupe affectant WinRM :

Accédez à Éditeur de stratégie de groupeConfiguration de l'ordinateurModèles d'administrationComposants WindowsGestion à distance de Windows (WinRM)

# Interroger les clés de registre pertinentes
Get-ItemProperty -Path "HKLM\SOFTWARE\Policies\Microsoft\Windows\WinRM\Service" -ErrorAction SilentlyContinue
Get-ItemProperty -Path "HKLM\SOFTWARE\Policies\Microsoft\Windows\WinRM\Client" -ErrorAction SilentlyContinue
Conseil pro : Utilisez winrm get winrm/config/service/auth pour vérifier quelles méthodes d'authentification sont activées après l'application de la stratégie de groupe.

Aperçu

L'ID d'événement 3603 se déclenche lorsque Windows Remote Management (WinRM) rencontre des échecs d'authentification lors de tentatives de connexion à distance. Cet événement apparaît dans le journal Microsoft-Windows-WinRM/Operational lorsque les clients échouent à s'authentifier correctement avec le service WinRM sur les machines cibles. L'erreur se produit généralement lors de sessions de télécommande PowerShell, de connexions Windows Admin Center ou d'autres outils de gestion qui dépendent de WinRM pour l'administration à distance.

L'authentification WinRM peut échouer en raison de problèmes d'identifiants, de problèmes Kerberos, d'erreurs de validation de certificat ou de méthodes d'authentification mal configurées. L'événement fournit des détails cruciaux sur le mécanisme d'authentification qui a échoué et le client tentant la connexion. Les administrateurs système rencontrent fréquemment cet événement dans les environnements d'entreprise où la télécommande PowerShell est largement utilisée pour les tâches d'automatisation et de gestion à distance.

Les journaux d'événements contiennent des codes d'erreur spécifiques et des informations sur la méthode d'authentification qui aident à identifier la cause principale. Les scénarios courants incluent des problèmes de confiance de domaine, des certificats expirés, des protocoles d'authentification désactivés ou un pare-feu bloquant le trafic d'authentification. Comprendre cet événement est essentiel pour maintenir des capacités de gestion à distance fiables dans l'infrastructure Windows.

Questions Fréquentes

Que signifie l'ID d'événement 3603 et quand se produit-il ?+
L'ID d'événement 3603 indique un échec d'authentification de Windows Remote Management (WinRM). Il se produit lorsqu'un client tente de se connecter à un système distant en utilisant PowerShell remoting, Windows Admin Center ou d'autres outils basés sur WinRM, mais que le processus d'authentification échoue. L'événement fournit des détails sur la méthode d'authentification qui a échoué et le client tentant la connexion, aidant les administrateurs à identifier la cause spécifique de l'échec d'authentification.
Comment puis-je déterminer quelle méthode d'authentification échoue dans l'événement 3603 ?+
Vérifiez les détails de l'événement dans le Visualiseur d'événements sous le journal Microsoft-Windows-WinRM/Operational. La description de l'événement spécifiera la méthode d'authentification (Kerberos, NTLM, Certificat ou Basique) qui a échoué. Vous pouvez également utiliser PowerShell pour interroger les événements récents : Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-WinRM/Operational'; Id=3603} -MaxEvents 10 | Format-List. Les détails de l'événement montreront le schéma d'authentification et tous les codes d'erreur spécifiques indiquant la raison de l'échec.
Pourquoi l'authentification Kerberos échoue-t-elle avec l'événement 3603 dans les environnements de domaine ?+
Les échecs d'authentification Kerberos menant à l'événement 3603 se produisent couramment en raison de noms principaux de service (SPN) manquants ou incorrects, de problèmes de synchronisation temporelle entre le client et le serveur, ou de problèmes de confiance de domaine. Utilisez setspn -L ComputerName$ pour vérifier si les SPN HTTP et WSMAN sont enregistrés pour l'ordinateur cible. Un décalage temporel de plus de 5 minutes peut entraîner des échecs de validation des tickets Kerberos. Vérifiez la synchronisation temporelle avec w32tm /query /status et resynchronisez si nécessaire en utilisant w32tm /resync.
Comment puis-je corriger les erreurs d'authentification basées sur des certificats causant l'événement 3603 ?+
Les échecs d'authentification par certificat résultent généralement de certificats expirés, d'autorités de certification non fiables ou d'absence d'écouteurs HTTPS. Tout d'abord, vérifiez le certificat dans le magasin de l'ordinateur local en utilisant Get-ChildItem -Path Cert:\LocalMachine\My et vérifiez sa période de validité et son usage prévu. Assurez-vous qu'un écouteur HTTPS existe avec winrm enumerate winrm/config/listener. S'il manque, créez-en un en utilisant winrm create winrm/config/Listener?Address=*+Transport=HTTPS avec l'empreinte numérique du certificat appropriée. Pour les certificats auto-signés, configurez le client pour ignorer la validation du certificat ou ajoutez le certificat au magasin racine de confiance.
Quelles exigences de pare-feu et de réseau doivent être respectées pour prévenir l'événement 3603 ?+
WinRM nécessite que des ports réseau spécifiques soient ouverts pour que l'authentification réussisse. HTTP WinRM utilise le port 5985, tandis que HTTPS utilise le port 5986. Assurez-vous que ces ports sont ouverts dans le Pare-feu Windows et dans tous les pare-feux réseau entre le client et le serveur. Utilisez Test-NetConnection -ComputerName TargetServer -Port 5985 pour vérifier la connectivité. Pour l'authentification Kerberos, assurez-vous que le client peut atteindre les contrôleurs de domaine sur le port 88 pour les demandes de tickets. Dans des environnements réseau complexes, vérifiez que le trafic d'authentification n'est pas bloqué par des appareils de sécurité réseau ou des serveurs proxy qui pourraient interférer avec le processus d'authentification.
Documentation

Références (2)

1
Microsoft Learn - Windows Remote Management ArchitectureComprehensive documentation on WinRM architecture, authentication methods, and configuration options.https://learn.microsoft.com/en-us/windows/win32/winrm/windows-remote-management-architecture
2
Microsoft Docs - PowerShell Remoting Security ConsiderationsSecurity best practices and authentication configuration for PowerShell remoting and WinRM.https://learn.microsoft.com/en-us/powershell/scripting/learn/remoting/winrmsecurity
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#winrm-authentication#powershell-remoting#event-id-3603

Événements Windows associés

Windows server administration workspace showing PowerShell and Event Viewer for WinRM troubleshooting
Event 11707
Microsoft-Windows-WinRM
Windows EventError

ID d'événement Windows 11707 – Microsoft-Windows-WinRM : Erreur de configuration du service WinRM

L'ID d'événement 11707 indique des erreurs de configuration du service Windows Remote Management (WinRM), se produisant généralement lors du démarrage du service ou lorsque les paramètres d'authentification sont mal configurés.

18 mars12 min
Windows server workstation displaying PowerShell remoting and WinRM authentication diagnostic screens
Event 8230
Microsoft-Windows-WinRM
Windows EventError

ID d'événement Windows 8230 – WinRM : Erreur d'authentification du service WS-Management

L'ID d'événement 8230 indique un échec d'authentification de la gestion à distance de Windows (WinRM) lorsque les clients tentent de se connecter au service WS-Management en utilisant des identifiants invalides ou des méthodes d'authentification non prises en charge.

18 mars12 min
Windows server management dashboard showing Event Viewer and remote management configuration
Event 1040
Microsoft-Windows-WinRM
Windows EventInformation

ID d'événement Windows 1040 – Microsoft-Windows-WinRM : Service WinRM démarré avec succès

L'ID d'événement 1040 indique que le service Windows Remote Management (WinRM) a démarré avec succès. Cet événement informatif confirme que WinRM est opérationnel et prêt à accepter des connexions à distance.

18 mars9 min
Windows server administration workspace showing PowerShell remoting and WinRM authentication configuration
Event 3065
Microsoft-Windows-WinRM
Windows EventError

ID d'événement Windows 3065 – WinRM : Erreur d'authentification du service WS-Management

L'ID d'événement 3065 indique des échecs d'authentification WinRM lorsque les clients tentent de se connecter au service WS-Management, généralement en raison de problèmes d'identification ou de configuration.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...