Saat ini saya mencoba untuk mengaktifkan Windows Remote Management (khususnya, Powershell Remoting) antara 2 domain yang tidak dipercaya, dan tidak berhasil.
Deskripsi singkat tentang pengaturan saya:
- domain1 - workstation saya ada di domain ini
- domain2 - server yang saya ingin hubungkan ada di domain ini
Tidak ada kepercayaan di antara domain-domain ini.
Saya mencoba membuat koneksi jarak jauh Powershell menggunakan perintah berikut dari workstation saya (bergabung dengan domain1):
param ( [Parameter (Wajib = $ Benar)] $ server ) $ username = "domain \ user" $ password = read-host "Masukkan Kata Sandi untuk $ username" -AsSecureString $ credential = New-Object System.Management.Automation.PSCredential ($ username, $ password) $ session = New-PSSession "$ server" -Authentication CredSSP -Credential $ credential -GunakanSSL -SessionOption (New-PSSessionOption -SkipCACheck -SkipCNCheck) Masukkan sesi-PSSession $
Yang menghasilkan pesan kesalahan berikut:
New-PSSession: [computername.domain2.com] Menyambung ke server jarak jauh computername.domain2.com gagal dengan pesan kesalahan berikut: Klien WinRM tidak dapat memproses permintaan. Kebijakan komputer tidak mengizinkan pendelegasian kredensial pengguna ke komputer target karena komputer tidak tepercaya. Identitas target komputer dapat diverifikasi jika Anda mengonfigurasi layanan WSMAN untuk menggunakan sertifikat yang valid menggunakan perintah berikut: winrm atur winrm / config / service '@ {CertificateThumbprint = ""}' Atau Anda dapat memeriksa Peraga Peristiwa untuk peristiwa yang menentukan bahwa SPN berikut tidak dapat dibuat: WSMAN /. Jika Anda menemukan acara ini, Anda dapat secara manual membuat SPN menggunakan setspn.exe. Jika SPN ada, tetapi CredSSP tidak dapat menggunakan Kerberos untuk memvalidasi identitas komputer target dan Anda masih ingin mengizinkan pendelegasian kredensial pengguna ke target. komputer, gunakan gpedit.msc dan lihat kebijakan berikut: Konfigurasi Komputer -> Template Administratif -> Sistem -> Delegasi Kredensial -> Izinkan Kredensial Segar dengan khusus NTLM. Otentikasi Server. Verifikasi bahwa itu diaktifkan dan dikonfigurasi dengan SPN yang sesuai untuk komputer target. Misalnya, untuk nama komputer target "myserver.domain.com", SPN bisa salah satu dari yang berikut: WSMAN / myserver.domain.com atau WSMAN / *. domain.com. Coba lagi permintaan setelah perubahan ini. Untuk informasi lebih lanjut, lihat topik help_Remote_Troubleshooting.
Saya sudah mencoba / memverifikasi hal-hal berikut:
- Saya memverifikasi bahwa SPN ada untuk WSMAN \ computername & WSMAN \ computername.domain2.com di domain2.
- Diverifikasi bahwa Konfigurasi Komputer -> Template Administratif -> Sistem -> Delegasi Kredensial -> Izinkan Kredensial Segar dengan Otentikasi Server khusus-NTLM telah diatur dengan benar.
- Winrm yang dikonfigurasi pada komputer target untuk menggunakan ssl.
- CredSSP yang dikonfigurasi pada komputer target dan stasiun kerja lokal saya menggunakan perintah berikut:
Enable-WSManCredSSP -Role Server #pada komputer target Aktifkan-WSManCredSSP -Role Client -DelegateComputer * -Force
- Saya telah memverifikasi bahwa tidak ada aturan FW, baik lokal ke komputer atau jaringan memblokir akses saya.
Tidak ada yang memungkinkan saya untuk berhasil terhubung ke komputer target di domain2 dari workstation saya di domain1. Saya berhasil terhubung ke server lain yang bergabung dengan domain1, hanya saja bukan server di domain2. Apakah ada hal lain yang harus saya cari dan / atau coba agar ini berhasil?
UPDATE 06/08/2015 Sebenarnya saya telah dapat memverifikasi bahwa saya dapat terhubung ke server dari workstation saya tanpa menggunakan CredSSP, yang akan baik-baik saja; Namun, saya harus dapat menjalankan skrip terhadap SharePoint, dan melakukannya tanpa CredSSP gagal dengan kesalahan izin.
sumber
Enable-WSManCredSSP -Role Client -DelegateComputer WSMAN/computername.domain2.com
( msdn.microsoft.com/en-us/library/ee309365(v=vs.85).aspx , poin 3.)Jawaban:
Ini MSDN Artikel menunjukkan bagaimana mengkonfigurasi WinRM untuk dukungan multi-hop yang juga alamat membuat koneksi saat Kerberos bukanlah suatu pilihan. Ringkasan singkat di bawah ini.
Secara khusus, bagian dalam artikel yang berkaitan dengan Entri Pendaftaran / Pengaturan Kebijakan Grup AllowFreshCredentialsWhenNTLMHanya menyelesaikan masalah yang saya alami. Dari artikel:
sumber