Назад | Перейти на главную страницу

Почему согласование аутентификации через WinRM прерывается сразу после выхода из домена до перезагрузки сервера?

При работе с добавлением / удалением компьютера из домена Active Directory через WinRM (замечено при использовании Test Kitchen с negotiate transport), я заметил кое-что странное и надеюсь получить некоторый контекст для этого поведения. При присоединении компьютера к домену с помощью Add-Computer командлет, все работает как задумано. Однако когда я использую Remove-Computer командлет, сеанс WinRM закрывается с ошибкой несанкционированного доступа. Попытка подключиться через WinRM с теми же учетными данными снова приводит к той же ошибке несанкционированного доступа, пока я не перезагружу систему. Мне любопытно, почему проверка подлинности Negotiate через WinRM нарушается сразу после выхода из домена (до перезагрузки), но не при присоединении к домену.

Моя первая мысль заключалась в том, что Test Kitchen использовала Kerberos поверх WinRM после присоединения к домену, поэтому я отключил Kerberos как часть моего процесса подготовки (так что NTLM следовало использовать):

winrm set winrm/config/service/auth '@{Kerberos="false"}'

и проверил, что настройка осталась после присоединения к домену. Но по-прежнему, покидая домен, я не могу пройти аутентификацию в WinRM до перезагрузки. Стоит отметить, что использование WinRM поверх plaintext или ssl вроде работает без проблем.

Примечание. Я аутентифицируюсь как локальный пользователь, а не как пользователь домена.