ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows server workstation displaying PowerShell remoting and WinRM authentication diagnostic screens
Event ID 8230ErrorMicrosoft-Windows-WinRMWindows

ID d'événement Windows 8230 – WinRM : Erreur d'authentification du service WS-Management

L'ID d'événement 8230 indique un échec d'authentification de la gestion à distance de Windows (WinRM) lorsque les clients tentent de se connecter au service WS-Management en utilisant des identifiants invalides ou des méthodes d'authentification non prises en charge.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 8230Microsoft-Windows-WinRM 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 8230 représente une défaillance critique d'authentification au sein de l'infrastructure WinRM, ciblant spécifiquement le service WS-Management qui sous-tend la gestion à distance PowerShell et divers protocoles de gestion Windows. Lorsque cet événement se produit, il indique qu'un client a tenté d'établir une connexion à distance mais a échoué lors de la phase d'authentification, empêchant l'établissement d'une session de gestion sécurisée.

L'événement contient généralement des informations détaillées sur la tentative d'authentification échouée, y compris l'adresse IP source du client connectant, la méthode d'authentification qui a été tentée (telle que Kerberos, NTLM ou Basic), et des codes d'erreur spécifiques qui fournissent un aperçu de la cause profonde. Ces informations granulaires rendent l'ID d'événement 8230 particulièrement précieux pour le dépannage des problèmes de connectivité de gestion à distance.

Dans les environnements Windows modernes, cet événement est devenu de plus en plus important à mesure que les organisations adoptent des pratiques d'Infrastructure as Code, des pipelines de déploiement automatisés et des solutions de gestion centralisées. L'événement est souvent corrélé à des problèmes plus larges d'infrastructure d'authentification, tels que des problèmes de connectivité du contrôleur de domaine, des problèmes de synchronisation temporelle ou des changements de politique de sécurité qui affectent les mécanismes d'authentification à distance.

Le moment et la fréquence des occurrences de l'ID d'événement 8230 peuvent également indiquer des préoccupations de sécurité potentielles, car des échecs d'authentification répétés à partir d'adresses IP spécifiques pourraient suggérer des attaques par force brute ou des identifiants compromis tentant d'accéder de manière non autorisée aux interfaces de gestion à distance.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Identifiants utilisateur invalides ou expirés fournis lors de l'authentification WinRM
  • Échecs d'authentification Kerberos dus à des problèmes de synchronisation temporelle entre le client et le serveur
  • Authentification NTLM bloquée par des politiques de sécurité ou des méthodes d'authentification désactivées
  • Client tentant de se connecter depuis un domaine non fiable ou un environnement de groupe de travail
  • Configuration du service WinRM restreignant les méthodes d'authentification ou les utilisateurs autorisés
  • Problèmes de connectivité réseau empêchant la bonne réalisation de la poignée de main d'authentification
  • Échecs d'authentification basés sur des certificats en raison de certificats expirés ou invalides
  • Paramètres de stratégie de groupe bloquant l'accès à la gestion à distance pour des comptes d'utilisateur spécifiques
  • Règles de pare-feu interférant avec le trafic d'authentification sur les ports WinRM (5985/5986)
  • Indisponibilité du contrôleur de domaine empêchant la validation des tickets Kerberos
Méthodes de résolution

Étapes de dépannage

01

Vérifier les événements d'authentification WinRM dans le Visualiseur d'événements

Commencez par examiner les détails complets de l'échec d'authentification dans le Visualiseur d'événements pour comprendre le contexte d'erreur spécifique.

  1. Ouvrez Visualiseur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux des applications et servicesMicrosoftWindowsWinRMOpérationnel
  3. Filtrez pour l'ID d'événement 8230 en cliquant avec le bouton droit sur le journal et en sélectionnant Filtrer le journal actuel
  4. Examinez les détails de l'événement, en notant l'adresse IP du client, la méthode d'authentification et le code d'erreur
  5. Faites une référence croisée avec les journaux de sécurité en accédant à Journaux WindowsSécurité et en filtrant pour les ID d'événement 4624 (connexion réussie) et 4625 (connexion échouée) de la même période
# Commande PowerShell pour récupérer les détails de l'ID d'événement 8230
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-WinRM/Operational'; Id=8230} -MaxEvents 10 | Format-List TimeCreated, Id, LevelDisplayName, Message
Astuce pro : Faites attention à la méthode d'authentification mentionnée dans la description de l'événement - cela guidera votre approche de dépannage.
02

Tester la connectivité WinRM et les méthodes d'authentification

Vérifiez l'état du service WinRM et testez l'authentification depuis le côté client pour isoler le problème de connexion.

  1. Sur le serveur cible, vérifiez l'état et la configuration du service WinRM :
# Vérifier l'état du service WinRM
Get-Service WinRM

# Afficher la configuration actuelle de WinRM
winrm get winrm/config

# Vérifier les méthodes d'authentification activées
winrm get winrm/config/service/auth
  1. Depuis la machine cliente, testez la connectivité de base au service WinRM :
# Tester la connectivité WinRM (remplacez SERVER-NAME par le serveur réel)
Test-WSMan -ComputerName SERVER-NAME

# Tester avec une authentification spécifique
Test-WSMan -ComputerName SERVER-NAME -Authentication Kerberos

# Tenter une session de télécommande PowerShell
Enter-PSSession -ComputerName SERVER-NAME -Credential (Get-Credential)
  1. Si l'authentification échoue, activez la journalisation WinRM pour des diagnostics détaillés :
# Activer la journalisation analytique WinRM
wevtutil sl Microsoft-Windows-WinRM/Analytic /e:true

# Reproduire le problème, puis vérifier les journaux analytiques
Get-WinEvent -LogName 'Microsoft-Windows-WinRM/Analytic' -MaxEvents 20
Avertissement : La journalisation analytique génère un volume de journaux important - désactivez-la après le dépannage pour éviter les problèmes d'espace disque.
03

Configurer les paramètres d'authentification WinRM et les hôtes de confiance

Ajustez la configuration d'authentification WinRM pour résoudre les problèmes de compatibilité et établir des relations de confiance appropriées.

  1. Configurez WinRM pour autoriser les méthodes d'authentification requises :
# Activer l'authentification de base (à utiliser avec prudence en production)
winrm set winrm/config/service/auth @{Basic="true"}

# Activer l'authentification Kerberos
winrm set winrm/config/service/auth @{Kerberos="true"}

# Activer l'authentification NTLM
winrm set winrm/config/service/auth @{Negotiate="true"}
  1. Configurez les hôtes de confiance pour les scénarios de groupe de travail ou inter-domaines :
# Ajouter un hôte spécifique à la liste des hôtes de confiance
winrm set winrm/config/client @{TrustedHosts="SERVER-NAME"}

# Ajouter plusieurs hôtes ou utiliser des jokers (moins sécurisé)
winrm set winrm/config/client @{TrustedHosts="SERVER1,SERVER2,*.domain.com"}

# Voir la configuration actuelle des hôtes de confiance
winrm get winrm/config/client
  1. Redémarrez le service WinRM pour appliquer les modifications de configuration :
# Redémarrer le service WinRM
Restart-Service WinRM -Force

# Vérifier que le service fonctionne et écoute
Get-Service WinRM
netstat -an | findstr :5985
  1. Testez à nouveau la connexion avec une sortie détaillée :
# Tester avec une sortie détaillée pour voir les détails d'authentification
$PSSessionOption = New-PSSessionOption -IncludePortInSPN
Enter-PSSession -ComputerName SERVER-NAME -SessionOption $PSSessionOption -Credential (Get-Credential)
04

Résoudre les problèmes d'authentification Kerberos

Résoudre les problèmes d'authentification spécifiques à Kerberos qui causent couramment l'ID d'événement 8230 dans les environnements de domaine.

  1. Vérifiez la synchronisation de l'heure entre le client et le serveur (critique pour Kerberos) :
# Vérifiez l'heure actuelle et la source de l'heure
w32tm /query /status
w32tm /query /peers

# Forcer la synchronisation de l'heure avec le contrôleur de domaine
w32tm /resync /force
  1. Effacer et régénérer les tickets Kerberos :
# Afficher les tickets Kerberos actuels
klist

# Purger tous les tickets Kerberos
klist purge

# Demander un nouveau ticket pour le serveur cible
klist get krbtgt
klist get HOST/SERVER-NAME
  1. Vérifiez et configurez les noms principaux de service (SPN) pour WinRM :
# Vérifiez les SPN existants pour le serveur
setspn -L SERVER-NAME

# Ajouter les SPN WinRM s'ils manquent (exécuter en tant qu'administrateur de domaine)
setspn -A WSMAN/SERVER-NAME SERVER-NAME
setspn -A WSMAN/SERVER-NAME.domain.com SERVER-NAME
  1. Vérifiez la connectivité du contrôleur de domaine et la résolution DNS :
# Tester la connectivité du contrôleur de domaine
nltest /dsgetdc:domain.com

# Vérifiez la résolution DNS pour le serveur cible
nslookup SERVER-NAME
nslookup SERVER-NAME.domain.com

# Tester la connectivité LDAP au contrôleur de domaine
ldp.exe
Conseil pro : L'authentification Kerberos nécessite une synchronisation précise de l'heure dans les 5 minutes entre tous les systèmes participants.
05

Dépannage avancé avec des traces réseau et analyse du registre

Effectuer une analyse approfondie à l'aide de captures réseau et d'examens du registre pour des scénarios d'authentification complexes.

  1. Activer la journalisation de débogage WinRM via la modification du registre :
# Activer la journalisation de débogage WinRM (nécessite un redémarrage)
New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service" -Name "LogLevel" -Value 65535 -PropertyType DWord -Force

# Définir l'emplacement du fichier journal
New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service" -Name "LogFile" -Value "C:\Windows\Temp\WinRM.log" -PropertyType String -Force
  1. Capturer le trafic réseau lors des tentatives d'authentification :
# Démarrer la capture réseau à l'aide de netsh (exécuter en tant qu'administrateur)
netsh trace start capture=yes tracefile=C:\temp\winrm_auth.etl provider=Microsoft-Windows-WinRM

# Reproduire l'échec d'authentification
# Arrêter la trace
netsh trace stop

# Convertir ETL en format lisible
netsh trace convert input=C:\temp\winrm_auth.etl output=C:\temp\winrm_auth.txt
  1. Analyser les paramètres du registre liés à l'authentification :
# Vérifier les paramètres du registre du service WinRM
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service"

# Examiner les paramètres du fournisseur d'authentification
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Plugin\Microsoft.PowerShell"

# Vérifier les paramètres de la politique de sécurité locale affectant WinRM
secedit /export /cfg C:\temp\secpol.cfg
Get-Content C:\temp\secpol.cfg | Select-String -Pattern "SeDenyNetworkLogonRight|SeNetworkLogonRight"
  1. Utiliser PowerShell Desired State Configuration (DSC) pour garantir une configuration WinRM cohérente :
# Créer une configuration DSC pour les paramètres WinRM
Configuration WinRMConfig {
    Node localhost {
        Service WinRM {
            Name = "WinRM"
            State = "Running"
            StartupType = "Automatic"
        }
        
        Registry WinRMAuth {
            Key = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service"
            ValueName = "AllowUnencrypted"
            ValueData = "0"
            ValueType = "Dword"
        }
    }
}

# Appliquer la configuration
WinRMConfig
Start-DscConfiguration -Path .\WinRMConfig -Wait -Verbose
Avertissement : La journalisation de débogage et les traces réseau peuvent exposer des informations d'authentification sensibles - sécurisez et supprimez ces fichiers après analyse.

Aperçu

L'ID d'événement 8230 se déclenche lorsque le service Windows Remote Management (WinRM) rencontre des échecs d'authentification lors des tentatives de connexion client. Cet événement apparaît généralement dans le journal Microsoft-Windows-WinRM/Operational lorsque les sessions PowerShell à distance, les requêtes WMI ou d'autres opérations WS-Management échouent en raison de problèmes d'identification. L'événement devient particulièrement pertinent dans les environnements d'entreprise où l'administration à distance via PowerShell, System Center Operations Manager (SCOM) ou d'autres outils de gestion reposent sur WinRM.

Cet échec d'authentification se produit couramment lors de la configuration initiale de l'administration à distance PowerShell, lors de la configuration des hôtes de confiance ou lorsque les politiques d'authentification de domaine changent. L'événement fournit des informations de diagnostic cruciales, y compris l'adresse IP du client, la méthode d'authentification tentée et les codes d'erreur spécifiques qui aident les administrateurs à identifier si le problème provient de problèmes d'identification, de la configuration Kerberos ou des paramètres du service WinRM.

Comprendre l'ID d'événement 8230 est essentiel pour maintenir des capacités de gestion à distance fiables dans les environnements Windows, surtout à mesure que les organisations dépendent de plus en plus des outils d'automatisation et d'administration à distance dans le paysage de travail hybride de 2026.

Questions Fréquentes

Que signifie spécifiquement l'ID d'événement 8230 dans les environnements Windows ?+
L'ID d'événement 8230 indique que le service Windows Remote Management (WinRM) a rencontré un échec d'authentification lorsqu'un client a tenté d'établir une connexion à distance. Cet événement se déclenche lorsque le service WS-Management ne peut pas valider les identifiants ou la méthode d'authentification fournis par le client connecté. L'événement inclut généralement des détails sur l'adresse IP du client, la méthode d'authentification tentée (Kerberos, NTLM ou Basic), et des codes d'erreur spécifiques qui aident à identifier si le problème est lié à des identifiants invalides, des méthodes d'authentification non prises en charge, ou des problèmes d'infrastructure sous-jacents comme la connectivité du contrôleur de domaine ou des problèmes de synchronisation temporelle.
Comment puis-je déterminer quelle méthode d'authentification échoue lorsque l'ID d'événement 8230 se produit ?+
Pour identifier la méthode d'authentification défaillante, examinez les détails de l'ID d'événement 8230 dans le Visualiseur d'événements sous Journaux des applications et services → Microsoft → Windows → WinRM → Opérationnel. La description de l'événement spécifiera quelle méthode d'authentification a été tentée (Kerberos, NTLM, Négocier ou Basique). Vous pouvez également utiliser PowerShell pour interroger l'événement : Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-WinRM/Operational'; Id=8230} | Format-List Message. De plus, vérifiez la configuration actuelle de l'authentification WinRM en utilisant 'winrm get winrm/config/service/auth' pour voir quelles méthodes sont activées côté serveur.
Pourquoi vois-je des erreurs d'ID d'événement 8230 lorsque j'essaie d'utiliser la télécommande PowerShell dans un environnement de groupe de travail ?+
L'ID d'événement 8230 se produit couramment dans les environnements de groupe de travail car l'accès à distance PowerShell utilise par défaut l'authentification Kerberos, qui nécessite une infrastructure Active Directory. Dans les scénarios de groupe de travail, vous devez configurer WinRM pour utiliser l'authentification NTLM ou Basic et établir des relations d'hôtes de confiance. Activez l'authentification NTLM avec 'winrm set winrm/config/service/auth @{Negotiate="true"}' et ajoutez la machine cible aux hôtes de confiance en utilisant 'winrm set winrm/config/client @{TrustedHosts="TARGET-MACHINE"}'. Pour l'authentification Basic via HTTPS, vous devrez également configurer des certificats SSL et activer l'authentification Basic à la fois sur le client et le serveur.
L'ID d'événement 8230 peut-il indiquer une menace de sécurité potentielle ou une tentative d'attaque ?+
Oui, des occurrences répétées de l'ID d'événement 8230 provenant de la même adresse IP ou de plusieurs adresses IP dans un court laps de temps peuvent indiquer des attaques par force brute potentielles ou des tentatives d'accès non autorisées contre votre service WinRM. Surveillez la fréquence et la source de ces événements - les échecs d'authentification légitimes sont généralement sporadiques et proviennent de sources administratives connues, tandis que les schémas d'attaque montrent des tentatives rapides et répétées provenant d'adresses IP externes ou suspectes. Mettez en œuvre des politiques de verrouillage de compte, surveillez les événements d'authentification échoués dans le journal de sécurité (ID d'événement 4625), et envisagez de restreindre l'accès WinRM à des plages d'IP spécifiques ou d'utiliser l'authentification basée sur des certificats pour une sécurité renforcée.
Comment résoudre l'ID d'événement 8230 lorsqu'il est causé par des échecs d'authentification Kerberos dans un environnement de domaine ?+
Les erreurs d'ID d'événement 8230 liées à Kerberos proviennent généralement de problèmes de synchronisation de l'heure, de noms principaux de service (SPN) manquants ou de problèmes de connectivité avec le contrôleur de domaine. Tout d'abord, assurez-vous que la synchronisation de l'heure est dans les 5 minutes entre le client et le serveur en utilisant 'w32tm /resync /force'. Effacez les tickets Kerberos existants avec 'klist purge' et demandez-en de nouveaux. Vérifiez que les SPN WinRM existent pour le serveur cible en utilisant 'setspn -L NOM-DU-SERVEUR' et ajoutez-les s'ils manquent avec 'setspn -A WSMAN/NOM-DU-SERVEUR NOM-DU-SERVEUR'. Vérifiez la connectivité du contrôleur de domaine avec 'nltest /dsgetdc:domain.com' et vérifiez la résolution DNS. Si les problèmes persistent, activez la journalisation des événements Kerberos et examinez l'ID d'événement 4 dans le journal Système pour des informations détaillées sur les erreurs Kerberos.
Documentation

Références (2)

1
Microsoft Learn - Windows Remote Management ArchitectureComprehensive documentation covering WinRM architecture, authentication methods, and configuration options for remote management scenarios.https://learn.microsoft.com/en-us/windows/win32/winrm/winrm-architecture
2
Microsoft Docs - PowerShell Remoting Security ConsiderationsSecurity best practices and authentication configuration guidance for PowerShell remoting and WinRM services.https://learn.microsoft.com/en-us/powershell/scripting/learn/remoting/winrmsecurity
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#winrm-authentication#powershell-remoting#event-id-8230

Événements Windows associés

Windows server administration workspace showing PowerShell and Event Viewer for WinRM troubleshooting
Event 11707
Microsoft-Windows-WinRM
Windows EventError

ID d'événement Windows 11707 – Microsoft-Windows-WinRM : Erreur de configuration du service WinRM

L'ID d'événement 11707 indique des erreurs de configuration du service Windows Remote Management (WinRM), se produisant généralement lors du démarrage du service ou lorsque les paramètres d'authentification sont mal configurés.

18 mars12 min
Windows administrator workstation showing PowerShell remoting and WinRM authentication troubleshooting interface
Event 3603
Microsoft-Windows-WinRM
Windows EventError

ID d'événement Windows 3603 – WinRM : Erreur d'authentification du service de gestion à distance

L'ID d'événement 3603 indique des échecs d'authentification de Windows Remote Management (WinRM) lorsque des clients tentent de se connecter à des systèmes distants en utilisant l'administration à distance PowerShell ou d'autres services basés sur WinRM.

18 mars12 min
Windows server management dashboard showing Event Viewer and remote management configuration
Event 1040
Microsoft-Windows-WinRM
Windows EventInformation

ID d'événement Windows 1040 – Microsoft-Windows-WinRM : Service WinRM démarré avec succès

L'ID d'événement 1040 indique que le service Windows Remote Management (WinRM) a démarré avec succès. Cet événement informatif confirme que WinRM est opérationnel et prêt à accepter des connexions à distance.

18 mars9 min
Windows server administration workspace showing PowerShell remoting and WinRM authentication configuration
Event 3065
Microsoft-Windows-WinRM
Windows EventError

ID d'événement Windows 3065 – WinRM : Erreur d'authentification du service WS-Management

L'ID d'événement 3065 indique des échecs d'authentification WinRM lorsque les clients tentent de se connecter au service WS-Management, généralement en raison de problèmes d'identification ou de configuration.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...