Atualmente, estou tentando habilitar o Gerenciamento Remoto do Windows (especificamente, o Powershell Remoting) entre dois domínios não confiáveis e sem sorte.
Uma breve descrição da minha configuração:
- domain1 - minha estação de trabalho está neste domínio
- domain2 - o servidor ao qual desejo me conectar está neste domínio
Não há confiança entre esses domínios.
Estou tentando criar a conexão remota do Powershell usando os seguintes comandos da minha estação de trabalho (ingressada no domínio1):
param ( [Parâmetro (obrigatório = $ True)] $ server ) $ nome_de_usuário = "domínio \ usuário" $ password = read-host "Digite a senha para $ username" -AsSecureString $ credential = Novo-objeto System.Management.Automation.PSCredential ($ nome de usuário, $ senha) $ session = New-PSSession "$ server" -Autenticação CredSSP -Credential $ credencial -UseSSL -SessionOption (Nova-PSSessionOption -SkipCACheck -SkipCNCheck) Sessão Enter-PSSession $
O que resulta na seguinte mensagem de erro:
New-PSSession: [computername.domain2.com] A conexão ao servidor remoto computername.domain2.com falhou com a seguinte mensagem de erro: O cliente WinRM não pode processar a solicitação. Uma política de computador não permite a delegação das credenciais do usuário no computador de destino porque o computador não é confiável. A identidade do alvo o computador pode ser verificado se você configurar o serviço WSMAN para usar um certificado válido usando o seguinte comando: winrm set winrm / config / service '@ {CertificateThumbprint = ""}' Ou você pode verificar o Event Viewer para um evento que especifique que o seguinte SPN não pôde ser criado: WSMAN /. Se você encontrar esse evento, poderá criar manualmente o SPN usando setspn.exe. Se o SPN existir, mas o CredSSP não puder usar o Kerberos para validar a identidade do computador de destino e você ainda deseja permitir a delegação das credenciais do usuário no destino. computador, use gpedit.msc e observe a seguinte diretiva: Configuração do Computador -> Modelos Administrativos -> Sistema -> Delegação de Credenciais -> Permitir Novas Credenciais com Somente NTLM Autenticação de servidor. Verifique se está ativado e configurado com um SPN apropriado para o computador de destino. Por exemplo, para um nome de computador de destino "myserver.domain.com", o SPN pode ser um dos seguintes: WSMAN / myserver.domain.com ou WSMAN / *. domain.com. Tente a solicitação novamente após essas alterações. Para obter mais informações, consulte o tópico da Ajuda about_Remote_Trou Troubleshooting.
Eu tentei / verifiquei o seguinte:
- Eu verifiquei que existe um SPN para o WSMAN \ nome_do_computador e WSMAN \ nome_do_computador.domínio2.com no domínio2.
- Verificou que Configuração do computador -> Modelos administrativos -> Sistema -> Delegação de credenciais -> Permitir credenciais novas com autenticação de servidor somente NTLM foi definida corretamente.
- Winrm configurado no computador de destino para usar ssl.
- Configurei o CredSSP no computador de destino e na minha estação de trabalho local usando os seguintes comandos:
Servidor de função Enable-WSManCredSSP #no computador de destino Enable-WSManCredSSP -Role Client -DelegateComputer * -Force
- Eu verifiquei que nenhuma regra do FW, local para os computadores ou a rede, está bloqueando meu acesso.
Nada disso me permitiu conectar com êxito ao computador de destino no domínio2 da minha estação de trabalho no domínio1. Posso conectar-me com sucesso a outros servidores ingressados no domínio1, mas não nos servidores do domínio2. Há algo mais que eu deva procurar e / ou tentar fazer com que isso funcione?
ATUALIZAÇÃO 06/08/2015 Na verdade, consegui verificar se consigo me conectar ao servidor da minha estação de trabalho sem usar o CredSSP, o que seria bom; no entanto, preciso executar scripts no SharePoint e fazê-lo sem o CredSSP falhará com um erro de permissão.
fonte
Enable-WSManCredSSP -Role Client -DelegateComputer WSMAN/computername.domain2.com
( msdn.microsoft.com/en-us/library/ee309365(v=vs.85).aspx , ponto 3.)Respostas:
Este artigo do MSDN mostra como configurar o WinRM para suporte multi-hop, que também trata de fazer conexões quando o Kerberos não é uma opção. Breve resumo abaixo.
Especificamente, a seção no artigo referente à Entrada de Registro / Configuração de Diretiva de Grupo AllowFreshCredentialsWhenNTLMOnovo problema foi resolvido. Do artigo:
fonte