我在我们的 Server 2008 R2 环境上通过 Active Directory GPO 启用 WinRM 并取得部分成功。
我创建了一个 GPO,它启用“允许自动配置侦听器”,并启用所有必要的预定义 WinRM 防火墙规则。
此 GPO 对我们的网络服务器来说运行良好。事实上,服务器管理器服务器摘要中的“服务器管理器远程管理”很好地切换为“已启用”反映了这一点。
但是,将相同的 GPO 应用于我们的两个管理服务器(即域控制器)不会产生相同的结果。我看到正在应用的 GPO 设置,包括侦听器,如
C:\Windows\system32>winrm e winrm/config/listener
Listener [Source="GPO"]
Address = *
Transport = HTTP
Port = 5985
Hostname
Enabled = true
URLPrefix = wsman
CertificateThumbprint
ListeningOn = 10.32.40.210, 10.32.40.211, 10.32.40.212
但是在服务器管理器、服务器摘要中,远程管理仍然处于“禁用”状态,并且当尝试连接到其中一台机器时,服务器管理器确实给出“拒绝访问”提示。
在这两台机器上通过服务器管理器的“配置服务器管理器远程管理”手动本地启用 WinRM 都可以正常工作。
这可能是什么原因?这是否与这些机器是 DC 并且需要在 GPO 中进行额外设置有关?
尼克·里德
答案1
谢谢,但如果你读过我的帖子,你会发现我已经完全按照你说的做了。事实证明,在我们的案例中,这并不容易。问题是,并且仍然是,Sql Server Reporting Server 2008 用户声明了 HTTP Kerberos SPN,因此该 SPN 不适用于机器本身,而这正是 winrm 所需要的。我想知道他们是否知道微软的这种冲突?
总之,SSRS 2008 R2 和 WinRM 是互斥的,因为它们都需要以不同的方式配置 HTTP SPN:WinRM 在机器级别,SSRS 在域帐户级别。
SSRS 2008 R2 文档:http://msdn.microsoft.com/en-us/library/cc281382.aspx
答案2
事实上这很容易。
您需要在 GPO 中做三件事:
- 启用“允许自动配置侦听器”WinRM 服务 GPO。
- 使 Windows 远程管理服务自动启动 - 也通过 GPO 完成。
- 添加防火墙入站规则(如果您使用 Windows 防火墙,也可以使用 GPO 完成)
本文用截图很好地解释这一点。