Attualmente sto cercando di abilitare la gestione remota di Windows (in particolare Powershell Remoting) tra 2 domini non attendibili e non ho fortuna.
Una breve descrizione del mio setup:
- domain1 - la mia workstation è su questo dominio
- domain2 - il server al quale desidero connettermi è su questo dominio
Non c'è fiducia tra questi domini.
Sto tentando di creare la connessione remota Powershell usando i seguenti comandi dalla mia workstation (unita a domain1):
param ( [Parametro (Mandatory = $ True)] $ server ) $ username = "dominio \ utente" $ password = read-host "Inserisci password per $ nomeutente" -AsSecureString $ credential = New-Object System.Management.Automation.PSCredential ($ username, $ password) $ session = New-PSSession "$ server" -Authentication CredSSP -Credential $ credential -UseSSL -SessionOption (New-PSSessionOption -SkipCACheck -SkipCNCheck) Enter-PSSession $ session
Che risulta nel seguente messaggio di errore:
New-PSSession: [nomecomputer.dominio2.com] Connessione al server remoto computername.dominio2.com non riuscita con il seguente messaggio di errore: Il client WinRM impossibile elaborare la richiesta. Un criterio del computer non consente la delega delle credenziali dell'utente al computer di destinazione perché il computer non è attendibile. L'identità del bersaglio il computer può essere verificato se si configura il servizio WSMAN per utilizzare un certificato valido utilizzando il comando seguente: winrm set winrm / config / service '@ {CertificateThumbprint = ""}' Oppure è possibile controllare il Visualizzatore eventi per un evento che specifica che non è stato possibile creare il seguente SPN: WSMAN /. Se trovi questo evento, puoi creare manualmente l'SPN usando setspn.exe. Se l'SPN esiste, ma CredSSP non può utilizzare Kerberos per convalidare l'identità del computer di destinazione e si desidera comunque consentire la delega delle credenziali dell'utente alla destinazione computer, utilizzare gpedit.msc e osservare i seguenti criteri: Configurazione computer -> Modelli amministrativi -> Sistema -> Delega credenziali -> Consenti nuove credenziali solo con NTLM Autenticazione del server. Verificare che sia abilitato e configurato con un nome SPN appropriato per il computer di destinazione. Ad esempio, per un nome computer di destinazione "myserver.domain.com", l'SPN può essere uno dei seguenti: WSMAN / myserver.domain.com o WSMAN / *. domain.com. Riprova la richiesta dopo queste modifiche. Per ulteriori informazioni, consultare l'argomento della guida about_Remote_Tro troubleshooting.
Ho provato / verificato le seguenti cose:
- Ho verificato che esiste un nome SPN sia per WSMAN \ nomecomputer sia per WSMAN \ nomecomputer.dominio2.com in domain2.
- Verificare che Configurazione computer -> Modelli amministrativi -> Sistema -> Delega credenziali -> Consenti credenziali nuove con autenticazione server solo NTLM sia stata impostata correttamente.
- Winrm configurato sul computer di destinazione per utilizzare ssl.
- CredSSP configurato sul computer di destinazione e sulla mia stazione di lavoro locale utilizzando i seguenti comandi:
Enable-WSManCredSSP -Role Server # sul computer di destinazione Enable-WSManCredSSP -Role Client -DelegateComputer * -Force
- Ho verificato che nessuna regola FW, locale per i computer o la rete, sta bloccando il mio accesso.
Nessuno dei quali mi ha permesso di connettermi correttamente al computer di destinazione in domain2 dalla mia workstation in domain1. Posso collegarmi con successo ad altri server che sono uniti a domain1, ma non ai server in domain2. C'è qualcos'altro che dovrei cercare e / o provare a far funzionare?
AGGIORNAMENTO 06/08/2015 Sono stato infatti in grado di verificare che posso collegarmi al server dalla mia workstation senza usare CredSSP, il che andrebbe bene; tuttavia, devo essere in grado di eseguire script su SharePoint e farlo senza CredSSP fallisce con un errore di autorizzazione.
Enable-WSManCredSSP -Role Client -DelegateComputer WSMAN/computername.domain2.com
( msdn.microsoft.com/en-us/library/ee309365(v=vs.85).aspx , punto 3.)