Habilitar WinRM por política de grupo

tag-icon tag-icon group-policy winrm
Habilitar WinRM por política de grupo

Estoy teniendo un éxito parcial al habilitar WinRM a través de GPO de Active Directory en nuestro entorno Server 2008 R2.

Creé un GPO que habilita "Permitir la configuración automática de oyentes" y también habilita todas las reglas predefinidas necesarias de WinRM Firewall.

Este GPO funciona bien para nuestros servidores web. De hecho, esto se refleja en el cambio de "Administración remota del Administrador del servidor" a "habilitado" en el Resumen del servidor del Administrador del servidor.

Sin embargo, el mismo GPO aplicado a nuestros dos servidores de administración, que son controladores de dominio, no da el mismo resultado. Veo que se están aplicando la configuración de GPO, incluido el oyente, según lo confirmado por

C:\Windows\system32>winrm e winrm/config/listener
Listener [Source="GPO"]
    Address = *
    Transport = HTTP
    Port = 5985
    Hostname
    Enabled = true
    URLPrefix = wsman
    CertificateThumbprint
    ListeningOn = 10.32.40.210, 10.32.40.211, 10.32.40.212

Pero en el Administrador del servidor, Resumen del servidor, la administración remota permanece "deshabilitada" y, de hecho, al intentar conectarse a una de estas máquinas, el Administrador del servidor muestra un "Acceso denegado".

Habilitar manualmente WinRM localmente a través del Administrador del servidor "Configurar administración remota del Administrador del servidor" en cualquiera de estas máquinas funciona bien.

¿Cuál puede ser la causa? ¿Puede tener algo que ver con que estas máquinas sean DC y necesiten configuraciones adicionales en el GPO?

Nick Reid

Respuesta1

Gracias pero si hubieras leído mi post verías que ya había hecho exactamente lo que dices. Resulta que en nuestro caso no fue nada fácil. El problema era, y sigue siendo, que el usuario de Sql Server Reporting Server 2008 reclama el SPN HTTP Kerberos, que por lo tanto no está disponible para la máquina en sí, que es lo que necesita winrm. Me pregunto si están al tanto de este conflicto en Microsoft.

En resumen, SSRS 2008 R2 y WinRM son mutuamente excluyentes porque ambos necesitan el SPN HTTP configurado de manera diferente: WinRM a nivel de máquina, SSRS a nivel de cuenta de dominio.

Documentos SSRS 2008 R2:http://msdn.microsoft.com/en-us/library/cc281382.aspx

Respuesta2

En realidad es bastante fácil.

Hay tres cosas que debes hacer en los GPO:

  1. Habilite el GPO del servicio WinRM "Permitir configuración automática de oyentes".
  2. Haga que el servicio de administración remota de Windows se inicie automáticamente (también se hace con GPO).
  3. Agregue una regla de entrada de firewall (también se puede hacer con GPO si usa Firewall de Windows)

Este artículoLo explica muy bien con capturas de pantalla.

información relacionada