通过组策略启用 WinRM

通过组策略启用 WinRM

我在我们的 Server 2008 R2 环境上通过 Active Directory GPO 启用 WinRM 并取得部分成功。

我创建了一个 GPO,它启用“允许自动配置侦听器”,并启用所有必要的预定义 WinRM 防火墙规则。

此 GPO 对我们的网络服务器来说运行良好。事实上,服务器管理器服务器摘要中的“服务器管理器远程管理”很好地切换为“已启用”反映了这一点。

但是,将相同的 GPO 应用于我们的两个管理服务器(即域控制器)不会产生相同的结果。我看到正在应用的 GPO 设置,包括侦听器,如

C:\Windows\system32>winrm e winrm/config/listener
Listener [Source="GPO"]
    Address = *
    Transport = HTTP
    Port = 5985
    Hostname
    Enabled = true
    URLPrefix = wsman
    CertificateThumbprint
    ListeningOn = 10.32.40.210, 10.32.40.211, 10.32.40.212

但是在服务器管理器、服务器摘要中,远程管理仍然处于“禁用”状态,并且当尝试连接到其中一台机器时,服务器管理器确实给出“拒绝访问”提示。

在这两台机器上通过服务器管理器的“配置服务器管理器远程管理”手动本地启用 WinRM 都可以正常工作。

这可能是什么原因?这是否与这些机器是 DC 并且需要在 GPO 中进行额外设置有关?

尼克·里德

答案1

谢谢,但如果你读过我的帖子,你会发现我已经完全按照你说的做了。事实证明,在我们的案例中,这并不容易。问题是,并且仍然是,Sql Server Reporting Server 2008 用户声明了 HTTP Kerberos SPN,因此该 SPN 不适用于机器本身,而这正是 winrm 所需要的。我想知道他们是否知道微软的这种冲突?

总之,SSRS 2008 R2 和 WinRM 是互斥的,因为它们都需要以不同的方式配置 HTTP SPN:WinRM 在机器级别,SSRS 在域帐户级别。

SSRS 2008 R2 文档:http://msdn.microsoft.com/en-us/library/cc281382.aspx

答案2

事实上这很容易。

您需要在 GPO 中做三件事:

  1. 启用“允许自动配置侦听器”WinRM 服务 GPO。
  2. 使 Windows 远程管理服务自动启动 - 也通过 GPO 完成。
  3. 添加防火墙入站规则(如果您使用 Windows 防火墙,也可以使用 GPO 完成)

本文用截图很好地解释这一点。

相关内容