我在 Server 2008 R2 環境中透過 Active Directory GPO 啟用 WinRM 取得了部分成功。
我建立了一個 GPO,它啟用“允許自動配置偵聽器”,並且還啟用所有必要的預定義 WinRM 防火牆規則。
這個 GPO 對於我們的網頁伺服器來說運作得很好。事實上,這透過伺服器管理員伺服器摘要中的「伺服器管理員遠端管理」很好地翻轉為「啟用」來反映。
但是,應用於我們的兩台管理伺服器(即網域控制站)的相同 GPO 不會給出相同的結果。我看到正在應用 GPO 設置,包括由以下人員確認的偵聽器
C:\Windows\system32>winrm e winrm/config/listener
Listener [Source="GPO"]
Address = *
Transport = HTTP
Port = 5985
Hostname
Enabled = true
URLPrefix = wsman
CertificateThumbprint
ListeningOn = 10.32.40.210, 10.32.40.211, 10.32.40.212
但在伺服器管理員、伺服器摘要中,遠端管理仍然處於「停用」狀態,而且實際上,當嘗試連接到其中一台電腦時,伺服器管理員會給予「存取被拒絕」的資訊。
在這些電腦上透過伺服器管理員「設定伺服器管理員遠端管理」在本機手動啟用 WinRM 效果很好。
可能是什麼原因?這是否與這些機器是 DC 並需要在 GPO 中進行額外設定有關?
尼克·里德
答案1
謝謝,但如果你讀過我的帖子,你會發現我已經完全按照你所說的做了。事實證明,在我們的例子中,這根本不容易。問題過去是,現在仍然是,Sql Server Reporting Server 2008 使用者聲明了 HTTP Kerberos SPN,因此它不可用於電腦本身,而這正是 winrm 所需要的。我不知道他們是否意識到微軟的這種衝突?
總而言之,SSRS 2008 R2 和 WinRM 是互斥的,因為它們都需要不同的 HTTP SPN 配置:WinRM 在電腦級別,SSRS 在網域帳戶級別。
SSRS 2008 R2 文件:http://msdn.microsoft.com/en-us/library/cc281382.aspx
答案2
這實際上很容易。
您需要在 GPO 中做三件事:
- 啟用「允許自動配置偵聽器」WinRM 服務 GPO。
- 讓 Windows 遠端管理服務自動啟動 - 也是透過 GPO 完成的。
- 新增防火牆入站規則(如果您使用 Windows 防火牆,也可以使用 GPO 來完成)
本文用截圖很好地解釋了它。