현재 신뢰할 수없는 두 도메인간에 Windows 원격 관리 (특히 Powershell Remoting)를 사용하려고하는데 운이 없습니다.
내 설정에 대한 간단한 설명 :
- domain1-내 워크 스테이션이이 도메인에 있습니다
- domain2-연결하려는 서버가이 도메인에 있습니다.
이 도메인들 사이에는 신뢰가 없습니다.
내 워크 스테이션 (domain1에 가입)에서 다음 명령을 사용하여 Powershell 원격 연결을 만들려고합니다.
param ( [매개 변수 (필수 = $ True)] $ 서버 ) $ username = "도메인 \ 사용자" $ password = 읽기 호스트 "$ username의 비밀번호 입력"-AsSecureString $ credential = 새 개체 시스템. 관리. 자동화 .PSCredential ($ username, $ password) $ session = New-PSSession "$ server"-인증 CredSSP-인증서 $ credential -UseSSL -SessionOption (New-PSSessionOption -SkipCACheck -SkipCNCheck) Enter-PSSession $ 세션
다음과 같은 오류 메시지가 나타납니다.
New-PSSession : [computername.domain2.com] 다음 오류 메시지와 함께 원격 서버 computername.domain2.com에 연결하지 못했습니다 : WinRM 클라이언트 요청을 처리 할 수 없습니다. 컴퓨터 정책에 따라 컴퓨터를 신뢰할 수 없으므로 사용자 자격 증명을 대상 컴퓨터에 위임 할 수 없습니다. 대상의 정체성 다음 명령을 사용하여 유효한 인증서를 사용하도록 WSMAN 서비스를 구성한 경우 컴퓨터를 확인할 수 있습니다. winrm set winrm / config / service '@ {CertificateThumbprint = ""}'또는 다음 SPN을 작성할 수 없음을 지정하는 이벤트에 대한 이벤트 뷰어를 확인할 수 있습니다 : WSMAN /. 이 이벤트를 찾으면 다음을 사용하여 SPN을 수동으로 만들 수 있습니다. setspn.exe. SPN이 존재하지만 CredSSP가 Kerberos를 사용하여 대상 컴퓨터의 ID를 유효성 검증 할 수없는 경우에도 대상에 대한 사용자 신임 정보 위임을 허용하려는 경우 컴퓨터에서 gpedit.msc를 사용하고 다음 정책을 확인하십시오. 컴퓨터 구성-> 관리 템플릿-> 시스템-> 자격 증명 위임-> NTLM 전용으로 새로운 자격 증명 허용 서버 인증. 대상 컴퓨터에 적합한 SPN으로 활성화 및 구성되어 있는지 확인하십시오. 예를 들어 대상 컴퓨터 이름 "myserver.domain.com"의 경우 SPN은 WSMAN / myserver.domain.com 또는 WSMAN / *. domain.com 중 하나입니다. 이러한 변경 후에 요청을 다시 시도하십시오. 자세한 내용은 about_Remote_Troubleshooting 도움말 항목을 참조하십시오.
다음을 시도 / 확인했습니다.
- domain2의 WSMAN \ computername 및 WSMAN \ computername.domain2.com에 SPN이 있는지 확인했습니다.
- 컴퓨터 구성-> 관리 템플릿-> 시스템-> 자격 증명 위임-> NTLM 전용 서버 인증으로 새로운 자격 증명 허용이 올바르게 설정되었는지 확인했습니다.
- 대상 컴퓨터에서 ssl을 사용하도록 winrm을 구성했습니다.
- 다음 명령을 사용하여 대상 컴퓨터와 로컬 워크 스테이션에서 CredSSP를 구성했습니다.
대상 컴퓨터에서 Enable-WSManCredSSP-역할 서버 # Enable-WSManCredSSP-역할 클라이언트 -DelegateComputer *-강제
- 컴퓨터의 로컬 또는 네트워크에 대한 FW 규칙이 액세스를 차단하지 않는지 확인했습니다.
domain1의 워크 스테이션에서 domain2의 대상 컴퓨터에 성공적으로 연결할 수있는 것은 없습니다. domain2의 서버가 아닌 domain1에 가입 된 다른 서버에 성공적으로 연결할 수 있습니다. 내가 찾거나 이것을 작동시키려는 다른 것이 있습니까?
2015 년 8 월 8 일 업데이트 실제로 CredSSP를 사용하지 않고도 워크 스테이션에서 서버에 연결할 수 있는지 확인할 수있었습니다. 그러나 SharePoint에 대해 스크립트를 실행할 수 있어야하며 CredSSP 없이는 권한 오류로 실패합니다.
Enable-WSManCredSSP -Role Client -DelegateComputer WSMAN/computername.domain2.com
( msdn.microsoft.com/en-us/library/ee309365(v=vs.85).aspx , point 3)