Ich habe ein Problem mit einem neuen 2016-Core-Server. (Habe vor Kurzem einen Server von 2012r2 migriert)
Auf unserem vorherigen 2012r2-Server konnte ich ein Powershell-Skript über eine Remote-PS-Sitzung ausführen (enter-pssession oldservername). Jetzt auf dem neuen Server erhalte ich Fehlermeldungen.
Dieses Skript verwendet Befehle aus dem AD-Modul (get-aduser, get-adgroup usw.).
Beim Ausführen über eine Remotesitzung geschieht Folgendes:
PS C:\> enter-pssession newserver
[newserver]: PS C:\> get-aduser username
Unable to contact the server. This may be because this server does not exist,
it is currently down, or it does not have the Active Directory Web Services running.
+ CategoryInfo : ResourceUnavailable: (username:ADUser) [Get-ADUser], ADServerDownException
+ FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADUser
Wenn ich jedoch als angebe get-aduser username -Credential (Get-Credential), funktioniert es einwandfrei.
Wenn ich das Skript direkt auf dem Server ausführe (per RDP), funktioniert es einwandfrei.
Invoke-Command -Session $sess -ScriptBlock {get-aduser username}schlägt auch fehl.
Ich nehme an, dass es etwas damit zu tun hat, dass die Anmeldeinformationen im Jahr 2016 anders weitergegeben werden. Ist das schon mal jemandem passiert? Gibt es eine Möglichkeit, das Problem zu beheben?
Antwort1
Sie haben im Grunde das klassische Kerberos-Double-Hop-Problem. Wahrscheinlich war Ihr vorheriger 2012 R2-Server für eine Form der Kerberos-Delegierung konfiguriert und Ihr neuer Server (noch) nicht.
Hier ist ein toller Technet-Blogbeitrag, der das Problem in Bezug auf PowerShell und die verschiedenen Lösungsmöglichkeiten detailliert beschreibt.