Habilitando WinRM por Política de Grupo

Habilitando WinRM por Política de Grupo

Estou tendo sucesso parcial ao ativar o WinRM por meio de GPOs do Active Directory em nosso ambiente Server 2008 R2.

Criei um GPO que permite "Permitir configuração automática de ouvintes" e também habilita todas as regras predefinidas necessárias do Firewall WinRM.

Este GPO funciona bem para nossos servidores web. Na verdade, isso é refletido pelo "Gerenciamento Remoto do Gerenciador de Servidores" mudando para "ativado" no Resumo do Servidor do Gerenciador de Servidores.

Porém, o mesmo GPO aplicado a ambos os nossos servidores de gerenciamento, que são controladores de domínio, não dá o mesmo resultado. Vejo as configurações do GPO sendo aplicadas, incluindo o ouvinte, conforme confirmado por

C:\Windows\system32>winrm e winrm/config/listener
Listener [Source="GPO"]
    Address = *
    Transport = HTTP
    Port = 5985
    Hostname
    Enabled = true
    URLPrefix = wsman
    CertificateThumbprint
    ListeningOn = 10.32.40.210, 10.32.40.211, 10.32.40.212

Mas no Gerenciador do Servidor, Resumo do Servidor, o Gerenciamento Remoto permanece "desabilitado" e de fato ao tentar se conectar a uma dessas máquinas o Gerenciador do Servidor dá um "Acesso Negado".

A ativação manual do WinRM localmente por meio do Gerenciador de Servidores "Configurar Gerenciamento Remoto do Gerenciador de Servidores" em qualquer uma dessas máquinas funciona bem.

O que pode ser a causa? Isso pode ter algo a ver com essas máquinas sendo DCs e precisando de configurações extras no GPO?

Nick Reid

Responder1

Obrigado, mas se você tivesse lido meu post, veria que já fiz exatamente como você diz. Acontece que no nosso caso não foi nada fácil. O problema era, e ainda é, que o usuário do Sql Server Reporting Server 2008 reivindica o HTTP Kerberos SPN, que, portanto, não está disponível para a própria máquina, que é o que o winrm precisa. Será que eles estão cientes desse conflito na Microsoft?

Em resumo, o SSRS 2008 R2 e o WinRM são mutuamente exclusivos porque ambos precisam do HTTP SPN configurado de forma diferente: WinRM no nível da máquina, SSRS no nível da conta de domínio.

Documentos do SSRS 2008 R2:http://msdn.microsoft.com/en-us/library/cc281382.aspx

Responder2

Na verdade, é muito fácil.

Há três coisas que você precisa fazer nos GPOs:

  1. Habilite o GPO de serviço WinRM "Permitir configuração automática de ouvintes".
  2. Faça com que o serviço de Gerenciamento Remoto do Windows seja iniciado automaticamente - também feito com GPO.
  3. Adicione uma regra de entrada de firewall (também pode ser feito com GPOs se você usar o Firewall do Windows)

Este artigoexplica isso muito bem com capturas de tela.

informação relacionada