При работе с добавлением / удалением компьютера из домена Active Directory через WinRM (замечено при использовании Test Kitchen с negotiate
transport), я заметил кое-что странное и надеюсь получить некоторый контекст для этого поведения. При присоединении компьютера к домену с помощью Add-Computer
командлет, все работает как задумано. Однако когда я использую Remove-Computer
командлет, сеанс WinRM закрывается с ошибкой несанкционированного доступа. Попытка подключиться через WinRM с теми же учетными данными снова приводит к той же ошибке несанкционированного доступа, пока я не перезагружу систему. Мне любопытно, почему проверка подлинности Negotiate через WinRM нарушается сразу после выхода из домена (до перезагрузки), но не при присоединении к домену.
Моя первая мысль заключалась в том, что Test Kitchen использовала Kerberos поверх WinRM после присоединения к домену, поэтому я отключил Kerberos как часть моего процесса подготовки (так что NTLM следовало использовать):
winrm set winrm/config/service/auth '@{Kerberos="false"}'
и проверил, что настройка осталась после присоединения к домену. Но по-прежнему, покидая домен, я не могу пройти аутентификацию в WinRM до перезагрузки. Стоит отметить, что использование WinRM поверх plaintext
или ssl
вроде работает без проблем.
Примечание. Я аутентифицируюсь как локальный пользователь, а не как пользователь домена.