मैं वर्तमान में 2 अविश्वासित डोमेन के बीच विंडोज रिमोट मैनेजमेंट (विशेष रूप से, पॉवर्सशेल रिमोटिंग) को सक्षम करने का प्रयास कर रहा हूं, और कोई भाग्य नहीं है।
मेरे सेटअप का संक्षिप्त विवरण:
- domain1 - मेरा कार्य केंद्र इस डोमेन पर है
- domain2 - जिस सर्वर से मैं जुड़ना चाहता हूं वह इस डोमेन पर है
इन डोमेन के बीच कोई भरोसा नहीं है।
मैं अपने वर्कस्टेशन (डोमेन 1 में शामिल) से निम्न कमांड का उपयोग करके पॉवर्सशेल रिमोट कनेक्शन बनाने का प्रयास कर रहा हूं:
परम (
[पैरामीटर (अनिवार्य = $ यह सच है)]
$ सर्वर
)
$ उपयोगकर्ता नाम = "डोमेन \ उपयोगकर्ता"
$ पासवर्ड = रीड-होस्ट "$ यूज़रनेम के लिए पासवर्ड दर्ज करें" -AsSureureString
$ क्रेडेंशियल = नई-वस्तु प्रणाली। प्रबंधन। एकीकरण। व्यावसायिक ($ उपयोगकर्ता नाम, पासवर्ड)
$ सत्र = नया- PSSession "$ सर्वर"
Enter-PSSession $ सत्र
निम्नलिखित त्रुटि संदेश में कौन सा परिणाम है:
नया- PSSession: [computername.domain2.com] दूरस्थ सर्वर से कनेक्ट करना computername.domain2.com निम्न त्रुटि संदेश के साथ विफल हुआ: WinRM क्लाइंट
अनुरोध संसाधित नहीं कर सकता। एक कंप्यूटर नीति उपयोगकर्ता क्रेडेंशियल्स के लक्ष्य कंप्यूटर को सौंपने की अनुमति नहीं देती है क्योंकि कंप्यूटर पर भरोसा नहीं किया जाता है। लक्ष्य की पहचान
कंप्यूटर को सत्यापित किया जा सकता है यदि आप निम्न आदेश का उपयोग करके एक वैध प्रमाण पत्र का उपयोग करने के लिए WSMAN सेवा को कॉन्फ़िगर करते हैं: winrm set winrm / config / service '@ {CertificateThumbprint = "" "} या
आप किसी इवेंट के लिए इवेंट व्यूअर की जाँच कर सकते हैं जो निर्दिष्ट करता है कि निम्न SPN नहीं बनाया जा सकता है: WSMAN /। यदि आप इस ईवेंट को पाते हैं, तो आप मैन्युअल रूप से SPN का उपयोग करके बना सकते हैं
setpn.exe। यदि SPN मौजूद है, लेकिन CredSSP लक्ष्य कंप्यूटर की पहचान को सत्यापित करने के लिए Kerberos का उपयोग नहीं कर सकता है और आप अभी भी लक्ष्य के लिए उपयोगकर्ता क्रेडेंशियल्स के प्रतिनिधिमंडल को अनुमति देना चाहते हैं
कंप्यूटर, gpedit.msc का उपयोग करें और निम्न नीति देखें: कंप्यूटर कॉन्फ़िगरेशन -> प्रशासनिक टेम्पलेट -> सिस्टम -> क्रेडेंशियल्स डेलिगेशन -> NTLM- के साथ नए क्रेडेंशियल्स की अनुमति दें
सर्वर प्रमाणीकरण। सत्यापित करें कि यह सक्षम और SPN के साथ लक्षित कंप्यूटर के लिए उपयुक्त है। उदाहरण के लिए, लक्ष्य कंप्यूटर नाम "myserver.domain.com" के लिए, SPN हो सकता है
निम्न में से एक: WSMAN / myserver.domain.com या WSMAN / *। domain.com इन परिवर्तनों के बाद पुनः अनुरोध का प्रयास करें। अधिक जानकारी के लिए, about_Remote_Troublesourcing सहायता विषय देखें।
मैंने निम्नलिखित चीजों की कोशिश / सत्यापन किया है:
- मैंने सत्यापित किया कि एक SPN दोनों WSMAN \ computername और WSMAN \ computername.domain2.com के लिए domain2 में मौजूद है।
- सत्यापित किया जाता है कि कंप्यूटर कॉन्फ़िगरेशन -> प्रशासनिक टेम्पलेट -> सिस्टम -> क्रेडेंशियल प्रतिनिधि -> NTLM- केवल सर्वर प्रमाणीकरण के साथ नए क्रेडेंशियल्स को अनुमति दें।
- Ssl का उपयोग करने के लिए लक्ष्य कंप्यूटर पर winrm कॉन्फ़िगर किया गया।
- निम्न आदेशों का उपयोग करके लक्ष्य कंप्यूटर और मेरे स्थानीय कार्य केंद्र पर क्रेडेंशियल कॉन्फ़िगर किया गया है:
लक्ष्य कंप्यूटर पर WSManCredSSP -Role सर्वर को सक्षम करें सक्षम करें- WSManCredSSP -Role Client -DelegateComputer * -Force
- मैंने सत्यापित किया है कि नेटवर्क पर या तो कंप्यूटर पर कोई FW नियम नहीं है, या मेरी पहुँच को रोक रहे हैं।
जिनमें से किसी ने भी मुझे अपने कार्य केंद्र से डोमेन 1 में डोमेन 2 में लक्ष्य कंप्यूटर से सफलतापूर्वक कनेक्ट करने की अनुमति नहीं दी है। मैं सफलतापूर्वक अन्य सर्वरों से जुड़ सकता हूं जो कि डोमेन 1 में शामिल हैं, न कि केवल डोमेन 2 में सर्वर। क्या कुछ और है जो मुझे ढूंढना चाहिए और / या काम करने की कोशिश करनी चाहिए?
अद्यतन 06/08/2015 मैं वास्तव में यह सत्यापित करने में सक्षम रहा हूं कि मैं अपने कार्य केंद्र से सर्वर को क्रेडएसएसपी का उपयोग किए बिना कनेक्ट कर सकता हूं, जो ठीक होगा; हालाँकि, मुझे SharePoint के विरुद्ध स्क्रिप्ट चलाने में सक्षम होने की आवश्यकता है, और बिना क्रेडेंशियल के ऐसा करने से अनुमतियाँ त्रुटि के साथ विफल हो जाती हैं।
Enable-WSManCredSSP -Role Client -DelegateComputer WSMAN/computername.domain2.com( msdn.microsoft.com/en-us/library/ee309365(v=vs.85).aspx , point 3.)