Tôi hiện đang cố gắng kích hoạt Windows Remote Management (cụ thể là Powershell Remote) giữa 2 miền không tin cậy và không gặp may.
Mô tả ngắn gọn về thiết lập của tôi:
- domain1 - máy trạm của tôi nằm trên miền này
- domain2 - máy chủ tôi muốn kết nối nằm trên miền này
Không có sự tin tưởng giữa các tên miền.
Tôi đang cố gắng tạo kết nối từ xa Powershell bằng các lệnh sau từ máy trạm của tôi (đã tham gia vào domain1):
thông số
[Tham số (Bắt buộc = $ True)]
$ máy chủ
)
$ tên người dùng = "tên miền \ người dùng"
$ password = read-host "Nhập mật khẩu cho tên người dùng $" -AsSecureString
$ Bằng chứng = Hệ thống đối tượng mới. Quản lý.Automation.PSCredential (tên người dùng $, mật khẩu $)
$ session = New-PSSession "$ server" -Authentication CredSSP -Credential $ cert -UseSSL -SessionOption (New-PSSessionOption -SkipCACheck -SkipCNCheck)
Phiên Enter-PSSession $
Kết quả trong thông báo lỗi sau:
New-PSSession: [computername.domain2.com] Kết nối với máy chủ từ xa computername.domain2.com không thành công với thông báo lỗi sau: Ứng dụng khách WinRM
không thể xử lý yêu cầu. Chính sách máy tính không cho phép ủy nhiệm thông tin người dùng cho máy tính đích vì máy tính không đáng tin cậy. Danh tính của mục tiêu
máy tính có thể được xác minh nếu bạn định cấu hình dịch vụ WSMAN để sử dụng chứng chỉ hợp lệ bằng lệnh sau: winrm set winrm / config / service '@ {Chứng nhậnThumbprint = ""}' Hoặc
bạn có thể kiểm tra Trình xem sự kiện cho một sự kiện chỉ định rằng SPN sau không thể được tạo: WSMAN /. Nếu bạn tìm thấy sự kiện này, bạn có thể tự tạo SPN bằng cách sử dụng
setspn.exe. Nếu SPN tồn tại, nhưng CredSSP không thể sử dụng Kerberos để xác thực danh tính của máy tính mục tiêu và bạn vẫn muốn cho phép ủy nhiệm thông tin đăng nhập của người dùng cho mục tiêu
máy tính, sử dụng gpedit.msc và xem chính sách sau: Cấu hình máy tính -> Mẫu quản trị -> Hệ thống -> Phân quyền chứng chỉ -> Cho phép thông tin xác thực mới chỉ với NTLM
Xác thực máy chủ. Xác minh rằng nó được kích hoạt và được cấu hình với SPN phù hợp với máy tính mục tiêu. Ví dụ: đối với tên máy tính mục tiêu "myserver.domain.com", SPN có thể là
một trong những điều sau đây: WSMAN / myserver.domain.com hoặc WSMAN / *. domain.com. Hãy thử lại yêu cầu sau những thay đổi này. Để biết thêm thông tin, hãy xem chủ đề Trợ giúp về khởi động about_Remote_Troubledhoot.
Tôi đã thử / xác minh những điều sau đây:
- Tôi đã xác minh rằng SPN tồn tại cho cả WSMAN \ computername & WSMAN \ computername.domain2.com trong domain2.
- Đã xác minh rằng Cấu hình máy tính -> Mẫu quản trị -> Hệ thống -> Phân quyền thông tin xác thực -> Cho phép thông tin xác thực mới với Xác thực máy chủ chỉ NTLM được đặt chính xác.
- Cấu hình winrm trên máy tính đích để sử dụng ssl.
- Cấu hình CredSSP trên máy tính đích và máy trạm cục bộ của tôi bằng các lệnh sau:
Bật-WSManCredSSP -Role Server # trên máy tính đích Kích hoạt-WSManCredSSP -Role Client -DelegateComputer * -Force
- Tôi đã xác minh rằng không có quy tắc FW nào, cục bộ đối với các máy tính trên hoặc mạng đang chặn quyền truy cập của tôi.
Không ai trong số đó cho phép tôi kết nối thành công với máy tính mục tiêu trong domain2 từ máy trạm của tôi trong domain1. Tôi có thể kết nối thành công với các máy chủ khác được kết nối với domain1, không phải máy chủ trong domain2. Có điều gì khác tôi nên tìm kiếm và / hoặc cố gắng để làm việc này không?
CẬP NHẬT 06/08/2015 Trên thực tế tôi đã có thể xác minh rằng tôi có thể kết nối với máy chủ từ máy trạm của mình mà không cần sử dụng CredSSP, điều này sẽ ổn; tuy nhiên, tôi cần có khả năng chạy các tập lệnh đối với SharePoint và làm như vậy mà không có CredSSP bị lỗi với quyền.
Enable-WSManCredSSP -Role Client -DelegateComputer WSMAN/computername.domain2.com( msdn.microsoft.com/en-us/l Library / e309365 ( v = vs85) .aspx , điểm 3.)