J'essaie actuellement d'activer la gestion à distance de Windows (en particulier, Powershell Remoting) entre 2 domaines non approuvés, et je n'ai pas de chance.
Une brève description de ma configuration:
- domain1 - mon poste de travail est sur ce domaine
- domain2 - le serveur auquel je souhaite me connecter est sur ce domaine
Il n'y a aucune confiance entre ces domaines.
J'essaie de créer la connexion à distance Powershell à l'aide des commandes suivantes à partir de mon poste de travail (joint à domain1):
param ( [Paramètre (obligatoire = $ vrai)] $ serveur ) $ username = "domaine \ utilisateur" $ password = read-host "Entrez le mot de passe pour $ username" -AsSecureString $ credential = New-Object System.Management.Automation.PSCredential ($ username, $ password) $ session = New-PSSession "$ server" -Authentication CredSSP -Credential $ credential -UseSSL -SessionOption (New-PSSessionOption -SkipCACheck -SkipCNCheck) Session Enter-PSSession $
Ce qui entraîne le message d'erreur suivant:
New-PSSession: [computername.domain2.com] La connexion au serveur distant computername.domain2.com a échoué avec le message d'erreur suivant: Le client WinRM ne peut pas traiter la demande. Une stratégie informatique n'autorise pas la délégation des informations d'identification de l'utilisateur à l'ordinateur cible car l'ordinateur n'est pas approuvé. L'identité de la cible l'ordinateur peut être vérifié si vous configurez le service WSMAN pour utiliser un certificat valide à l'aide de la commande suivante: winrm set winrm / config / service '@ {CertificateThumbprint = ""}' Ou vous pouvez rechercher dans l'Observateur d'événements un événement qui spécifie que le SPN suivant n'a pas pu être créé: WSMAN /. Si vous trouvez cet événement, vous pouvez créer manuellement le SPN à l'aide de setspn.exe. Si le SPN existe, mais CredSSP ne peut pas utiliser Kerberos pour valider l'identité de l'ordinateur cible et vous souhaitez toujours autoriser la délégation des informations d'identification de l'utilisateur à la cible ordinateur, utilisez gpedit.msc et examinez la stratégie suivante: Configuration ordinateur -> Modèles d'administration -> Système -> Délégation des informations d'identification -> Autoriser les nouvelles informations d'identification avec NTLM uniquement Authentification du serveur. Vérifiez qu'il est activé et configuré avec un SPN approprié pour l'ordinateur cible. Par exemple, pour un nom d'ordinateur cible "myserver.domain.com", le SPN peut être l'un des éléments suivants: WSMAN / myserver.domain.com ou WSMAN / *. domain.com. Essayez à nouveau la demande après ces modifications. Pour plus d'informations, consultez la rubrique d'aide about_Remote_Troubleshooting.
J'ai essayé / vérifié les choses suivantes:
- J'ai vérifié qu'il existe un SPN pour WSMAN \ computername et WSMAN \ computername.domain2.com dans domain2.
- Vérifié que la configuration de l'ordinateur -> Modèles d'administration -> Système -> Délégation des informations d'identification -> Autoriser les nouvelles informations d'identification avec l'authentification de serveur NTLM uniquement a été définie correctement.
- Winrm configuré sur l'ordinateur cible pour utiliser ssl.
- Configuré CredSSP sur l'ordinateur cible et mon poste de travail local à l'aide des commandes suivantes:
Enable-WSManCredSSP -Role Server # sur l'ordinateur cible Enable-WSManCredSSP -Role Client -DelegateComputer * -Force
- J'ai vérifié qu'aucune règle FW, locale aux ordinateurs ou au réseau, ne bloque mon accès.
Aucun de ces éléments ne m'a permis de me connecter avec succès à l'ordinateur cible du domaine 2 à partir de mon poste de travail du domaine 1. Je peux me connecter avec succès à d'autres serveurs qui sont joints au domaine 1, mais pas aux serveurs du domaine 2. Y a-t-il autre chose que je devrais rechercher et / ou essayer de faire fonctionner?
MISE À JOUR 06/08/2015 J'ai en effet pu vérifier que je peux me connecter au serveur depuis mon poste de travail sans utiliser CredSSP, ce qui serait bien; cependant, je dois être en mesure d'exécuter des scripts sur SharePoint, et cela sans CredSSP échoue avec une erreur d'autorisations.
la source
Enable-WSManCredSSP -Role Client -DelegateComputer WSMAN/computername.domain2.com
( msdn.microsoft.com/en-us/library/ee309365(v=vs.85).aspx , point 3.)Réponses:
Cet article MSDN montre comment configurer WinRM pour la prise en charge multi-sauts qui traite également de l'établissement de connexions lorsque Kerberos n'est pas une option. Bref résumé ci-dessous.
Plus précisément, la section de l'article relative à l'entrée de Registre / paramètre de stratégie de groupe AllowFreshCredentialsWhenNTLMOnly résolu le problème que je rencontrais. De l'article:
la source