Server 2008 R2 環境で Active Directory GPO を介して WinRM を有効にすることに部分的に成功しています。
「リスナーの自動構成を許可する」を有効にし、必要なすべての定義済み WinRM ファイアウォール ルールも有効にする GPO を作成しました。
この GPO は、当社の Web サーバーでは正常に動作します。実際、これは、Server Manager のサーバー概要で「Server Manager リモート管理」が「有効」に切り替わることで反映されます。
しかし、ドメインコントローラである両方の管理サーバーに同じGPOを適用しても、同じ結果は得られません。リスナーを含むGPO設定が適用されていることを確認しました。
C:\Windows\system32>winrm e winrm/config/listener
Listener [Source="GPO"]
Address = *
Transport = HTTP
Port = 5985
Hostname
Enabled = true
URLPrefix = wsman
CertificateThumbprint
ListeningOn = 10.32.40.210, 10.32.40.211, 10.32.40.212
しかし、サーバー マネージャーのサーバーの概要では、リモート管理は「無効」のままであり、実際にこれらのマシンの 1 つに接続しようとすると、サーバー マネージャーは「アクセスが拒否されました」というメッセージを表示します。
これらのマシンのいずれかで、サーバー マネージャーの「サーバー マネージャーのリモート管理を構成する」を使用してローカルで WinRM を手動で有効にすると、正常に機能します。
原因は何でしょうか? これらのマシンが DC であり、GPO で追加の設定が必要であることと関係があるのでしょうか?
ニック・リード
答え1
ありがとうございます。しかし、私の投稿を読んでいただければ、私がすでにあなたの言うとおりにしていたことがおわかりになると思います。結局のところ、私たちのケースでは、まったく簡単ではありませんでした。問題は、Sql Server Reporting Server 2008 ユーザーが HTTP Kerberos SPN を要求することであり、そのため、winrm に必要なマシン自体では利用できないことです。Microsoft はこの競合を認識しているのでしょうか?
要約すると、SSRS 2008 R2 と WinRM は相互に排他的です。どちらも HTTP SPN を別々に構成する必要があるためです。WinRM はマシン レベル、SSRS はドメイン アカウント レベルです。
SSRS 2008 R2 ドキュメント:http://msdn.microsoft.com/en-us/library/cc281382.aspx
答え2
実はとても簡単です。
GPO で行う必要があることは 3 つあります。
- 「リスナーの自動構成を許可する」WinRM サービス GPO を有効にします。
- Windows リモート管理サービスを自動的に開始するようにします。これも GPO を使用して実行されます。
- ファイアウォールの受信ルールを追加します (Windows ファイアウォールを使用している場合は GPO でも実行できます)
この記事スクリーンショットでわかりやすく説明されています。