Назад | Перейти на главную страницу

Включение WinRM с помощью групповой политики

У меня есть частичный успех, включающий WinRM через GPO Active Directory в нашей среде Server 2008 R2.

Я создал GPO, который включает «Разрешить автоматическую настройку слушателей», а также включает все необходимые предопределенные правила межсетевого экрана WinRM.

Этот GPO отлично работает с нашими веб-серверами. Действительно, это отражается в том, что «Удаленное управление диспетчером сервера» красиво переключается на «включено» в сводке по серверу диспетчера сервера.

Однако применение одного и того же объекта групповой политики к обоим нашим серверам управления, которые являются контроллерами домена, не дает одинакового результата. Я вижу, что настройки GPO применяются, включая слушателя, что подтверждено 

C:\Windows\system32>winrm e winrm/config/listener
Listener [Source="GPO"]
    Address = *
    Transport = HTTP
    Port = 5985
    Hostname
    Enabled = true
    URLPrefix = wsman
    CertificateThumbprint
    ListeningOn = 10.32.40.210, 10.32.40.211, 10.32.40.212

Но в Диспетчере серверов, Сводка по серверу, удаленное управление остается отключенным, и действительно, при попытке подключения к одной из этих машин диспетчер сервера выдает сообщение «Доступ запрещен».

Включение WinRM вручную с помощью диспетчера сервера «Настройка удаленного управления диспетчером сервера» на любой из этих машин работает нормально.

Что может быть причиной? Может ли это иметь какое-то отношение к этим машинам, являющимся DC и требующими дополнительных настроек в GPO?

Ник Рид

Спасибо, но если бы вы прочитали мой пост, вы бы увидели, что я уже сделал именно то, что вы говорите. Как оказалось, в нашем случае это было совсем непросто. Проблема заключалась и остается в том, что пользователь Sql Server Reporting Server 2008 заявляет имя участника-службы HTTP Kerberos, которое, следовательно, недоступно для самого компьютера, что и нужно Winrm. Интересно, знают ли они об этом конфликте в Microsoft?

Таким образом, SSRS 2008 R2 и WinRM являются взаимоисключающими, поскольку им обоим нужно настроить HTTP SPN по-разному: WinRM на уровне компьютера, SSRS на уровне учетной записи домена.

Документы SSRS 2008 R2: http://msdn.microsoft.com/en-us/library/cc281382.aspx

На самом деле это довольно просто.

В GPO вам нужно сделать три вещи:

  1. Включите GPO службы WinRM «Разрешить автоматическую настройку слушателей».
  2. Сделайте так, чтобы служба удаленного управления Windows запускалась автоматически - также это делается с помощью GPO.
  3. Добавить правило для входящего трафика брандмауэра (также можно сделать с помощью GPO, если вы используете брандмауэр Windows)

Эта статья хорошо объясняет это со скриншотами.