그룹 정책으로 WinRM 활성화

그룹 정책으로 WinRM 활성화

Server 2008 R2 환경에서 Active Directory GPO를 통해 WinRM을 활성화하는 데 부분적으로 성공했습니다.

"수신기 자동 구성 허용"을 활성화하고 사전 정의된 필수 WinRM 방화벽 규칙을 모두 활성화하는 GPO를 만들었습니다.

이 GPO는 우리 웹서버에 잘 작동합니다. 실제로 이는 서버 관리자 서버 요약에서 "서버 관리자 원격 관리"가 "활성화"로 멋지게 바뀌는 것에 반영됩니다.

그러나 도메인 컨트롤러인 두 관리 서버에 동일한 GPO를 적용해도 동일한 결과가 나오지 않습니다. 확인된 대로 리스너를 포함하여 GPO 설정이 적용되는 것을 볼 수 있습니다.

C:\Windows\system32>winrm e winrm/config/listener
Listener [Source="GPO"]
    Address = *
    Transport = HTTP
    Port = 5985
    Hostname
    Enabled = true
    URLPrefix = wsman
    CertificateThumbprint
    ListeningOn = 10.32.40.210, 10.32.40.211, 10.32.40.212

그러나 서버 관리자, 서버 요약에서 원격 관리는 "비활성화" 상태로 유지되며 실제로 이러한 시스템 중 하나에 연결하려고 하면 서버 관리자가 "액세스 거부"를 제공합니다.

이러한 컴퓨터 중 하나에서 서버 관리자 "서버 관리자 원격 관리 구성"을 통해 로컬에서 WinRM을 수동으로 활성화하면 제대로 작동합니다.

원인은 무엇입니까? 이러한 컴퓨터가 DC이고 GPO에 추가 설정이 필요한 것과 관련이 있을 수 있습니까?

닉 리드

답변1

감사합니다. 하지만 제 게시물을 읽어보셨다면 제가 이미 귀하가 말씀하신 대로 정확하게 수행했음을 알 수 있을 것입니다. 알고 보니 우리의 경우에는 전혀 쉽지 않았습니다. 문제는 Sql Server Reporting Server 2008 사용자가 HTTP Kerberos SPN을 요구한다는 것이었습니다. 따라서 winrm에 필요한 시스템 자체에서는 이 SPN을 사용할 수 없습니다. 그들이 Microsoft의 이러한 충돌을 알고 있는지 궁금합니다.

요약하면 SSRS 2008 R2와 WinRM은 서로 다르게 구성된 HTTP SPN이 필요하기 때문에 상호 배타적입니다. 즉, 컴퓨터 수준에서는 WinRM, 도메인 계정 수준에서는 SSRS가 필요합니다.

SSRS 2008 R2 문서:http://msdn.microsoft.com/en-us/library/cc281382.aspx

답변2

실제로는 매우 쉽습니다.

GPO에서 수행해야 할 세 가지 작업은 다음과 같습니다.

  1. "리스너 자동 구성 허용" WinRM 서비스 GPO를 활성화합니다.
  2. Windows 원격 관리 서비스가 자동으로 시작되도록 합니다. 이는 GPO로도 수행됩니다.
  3. 방화벽 인바운드 규칙 추가(Windows 방화벽을 사용하는 경우 GPO로도 수행 가능)

이 기사스크린샷으로 잘 설명해줍니다.

관련 정보