Aktivieren von WinRM per Gruppenrichtlinie

Aktivieren von WinRM per Gruppenrichtlinie

Ich habe teilweisen Erfolg beim Aktivieren von WinRM über Active Directory-Gruppenrichtlinienobjekte in unserer Server 2008 R2-Umgebung.

Ich habe eine Gruppenrichtlinie erstellt, die „Automatische Konfiguration von Listenern zulassen“ aktiviert und auch alle erforderlichen vordefinierten WinRM-Firewall-Regeln aktiviert.

Dieses GPO funktioniert für unsere Webserver einwandfrei. Dies wird tatsächlich dadurch widergespiegelt, dass „Server Manager Remote Management“ in der Server Manager-Serverzusammenfassung auf „aktiviert“ umschaltet.

Dasselbe GPO, das auf unsere beiden Management-Server angewendet wird, die Domänencontroller sind, führt jedoch nicht zum gleichen Ergebnis. Ich sehe, dass die GPO-Einstellungen angewendet werden, einschließlich des Listeners, wie bestätigt durch

C:\Windows\system32>winrm e winrm/config/listener
Listener [Source="GPO"]
    Address = *
    Transport = HTTP
    Port = 5985
    Hostname
    Enabled = true
    URLPrefix = wsman
    CertificateThumbprint
    ListeningOn = 10.32.40.210, 10.32.40.211, 10.32.40.212

Aber im Server-Manager bleibt in der Serverübersicht die Remoteverwaltung auf „deaktiviert“ und tatsächlich gibt der Server-Manager beim Versuch, eine Verbindung zu einer dieser Maschinen herzustellen, die Meldung „Zugriff verweigert“ aus.

Das manuelle lokale Aktivieren von WinRM über „Server Manager-Remoteverwaltung konfigurieren“ im Server Manager funktioniert auf jedem dieser Computer problemlos.

Was kann die Ursache sein? Kann es damit zu tun haben, dass diese Maschinen DCs sind und zusätzliche Einstellungen im GPO benötigen?

Nick Reid

Antwort1

Danke, aber wenn Sie meinen Beitrag gelesen hätten, würden Sie sehen, dass ich bereits genau das getan habe, was Sie sagen. Wie sich herausstellt, war es in unserem Fall überhaupt nicht einfach. Das Problem war und ist, dass der Sql Server Reporting Server 2008-Benutzer den HTTP Kerberos SPN beansprucht, der daher für die Maschine selbst nicht verfügbar ist, was winrm aber benötigt. Ich frage mich, ob ihnen dieser Konflikt bei Microsoft bekannt ist?

Zusammenfassend schließen sich SSRS 2008 R2 und WinRM gegenseitig aus, da für beide eine unterschiedliche Konfiguration des HTTP SPN erforderlich ist: WinRM auf Computerebene, SSRS auf Domänenkontoebene.

SSRS 2008 R2-Dokumente:http://msdn.microsoft.com/en-us/library/cc281382.aspx

Antwort2

Eigentlich ist es ganz einfach.

In Gruppenrichtlinienobjekten müssen Sie drei Dinge tun:

  1. Aktivieren Sie die WinRM-Dienst-GPO „Automatische Konfiguration von Listenern zulassen“.
  2. Sorgen Sie dafür, dass der Windows-Remoteverwaltungsdienst automatisch gestartet wird. Dies erfolgt ebenfalls mit GPO.
  3. Fügen Sie eine eingehende Firewall-Regel hinzu (kann auch mit GPOs erfolgen, wenn Sie die Windows-Firewall verwenden)

Dieser Artikelerklärt es schön mit Screenshots.

verwandte Informationen