Включение WinRM с помощью групповой политики

tag-icon tag-icon group-policy winrm
Включение WinRM с помощью групповой политики

Мне удалось частично успешно включить WinRM через объекты групповой политики Active Directory в нашей среде Server 2008 R2.

Я создал объект групповой политики, который включает функцию «Разрешить автоматическую настройку прослушивателей», а также включает все необходимые предопределенные правила брандмауэра WinRM.

Этот GPO отлично работает для наших веб-серверов. Действительно, это отражено в "Server Manager Remote Management", который красиво переключается на "включено" в Server Manager Server Summary.

Однако тот же GPO, примененный к обоим нашим серверам управления, которые являются контроллерами домена, не дает того же результата. Я вижу, что настройки GPO применяются, включая прослушиватель, как подтверждено

C:\Windows\system32>winrm e winrm/config/listener
Listener [Source="GPO"]
    Address = *
    Transport = HTTP
    Port = 5985
    Hostname
    Enabled = true
    URLPrefix = wsman
    CertificateThumbprint
    ListeningOn = 10.32.40.210, 10.32.40.211, 10.32.40.212

Но в диспетчере серверов, сводке сервера, удаленном управлении по-прежнему установлено значение «отключено», и действительно, при попытке подключения к одной из этих машин диспетчер серверов выдает сообщение «Отказано в доступе».

Ручное локальное включение WinRM через диспетчер сервера «Настройка удаленного управления диспетчером сервера» на любой из этих машин работает нормально.

В чем может быть причина? Может ли это быть связано с тем, что эти машины являются контроллерами домена и им нужны дополнительные настройки в GPO?

Ник Рид

решение1

Спасибо, но если бы вы прочитали мой пост, то увидели бы, что я уже сделал именно так, как вы говорите. Как оказалось, в нашем случае это было совсем не просто. Проблема была и остается в том, что пользователь Sql Server Reporting Server 2008 запрашивает HTTP Kerberos SPN, который, следовательно, недоступен для самой машины, а это то, что нужно winrm. Интересно, знают ли они об этом конфликте в Microsoft?

Подводя итог, можно сказать, что SSRS 2008 R2 и WinRM являются взаимоисключающими, поскольку для них обоих требуется по-разному настроенное имя SPN HTTP: WinRM на уровне машины, SSRS на уровне учетной записи домена.

Документы SSRS 2008 R2:http://msdn.microsoft.com/en-us/library/cc281382.aspx

решение2

На самом деле это довольно просто.

В GPO вам нужно сделать три вещи:

  1. Включите групповую политику службы WinRM «Разрешить автоматическую настройку прослушивателей».
  2. Сделайте так, чтобы служба удаленного управления Windows запускалась автоматически — это также можно сделать с помощью GPO.
  3. Добавьте правило входящего трафика брандмауэра (это также можно сделать с помощью GPO, если вы используете брандмауэр Windows)

Эта статьяхорошо объясняет со скриншотами.

Связанный контент