New-PSSession entre limites de domínio

7

Estou tentando criar uma máquina virtual que precisa ser capaz de criar novas sessões (com o New-PSSession). A altamente envolvente about_Remote_Troubleshooting é minha companheira constante, é claro!

Depois de criar uma máquina básica (Win 8.1 Enterprise):

  • O domínio principal da minha empresa é, digamos, mycompany.com .
  • Temos um domínio de desenvolvimento dev.mycompany.com para que os desenvolvedores tenham um sandbox para brincar.
  • Eu adicionei a nova VM (chamada my-vm) ao domínio de desenvolvimento dev.mycompany.com .
  • Eu tenho uma conta local na nova VM, my-vm\msorens , que está no grupo Administradores na máquina local.

Primeiro obstáculo:

A tentativa de executar apenas New-PSSession falhou com o acesso negado devido a problemas de vários domínios. De acordo com a página de solução de problemas mencionada acima:

When a user in another domain is a member of the Administrators group on the local computer, the user cannot connect to the local computer remotely with Administrator privileges.

Não estou convencido de que isso seja verdade (devido à minha inexperiência em questões de domínio), mas aplicar a receita para esse remédio permitiu que a% básicaNew-PSSession funcionasse:

New-ItemProperty '
-Name LocalAccountTokenFilterPolicy '
-Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System '
-PropertyType DWord '
-Value 1

(E isso, embora menos seguro, é bom, já que é apenas uma VM de sandbox.)

Segundo obstáculo:

Com o patch acima, eu pude fazer qualquer um destes:

PS> New-PSSession
PS> New-PSSession -ComputerName localhost
PS> New-PSSession -ComputerName my-vm

No entanto, minha necessidade real é fornecer o FQDN da máquina:

PS> New-PSSession -ComputerName my-vm.dev.mycompany.com

Isso falha devido a falta de credenciais. O que nos leva a isso:

PS> New-PSSession -ComputerName my-vm.dev.mycompany.com -Credential (Get-Credential)

Eu tentei minhas credenciais locais (my-vm), o que resultou no WinRM não pode processar a solicitação; não há servidores de logon disponíveis .

Eu tentei as credenciais de domínio da minha empresa (note que mycompany.com não é o domínio em que a VM está, na verdade, dev.mycompany.com), o que resultou em Acesso negado .

Existe uma maneira de fazer isso funcionar?

    
por Michael Sorens 28.08.2014 / 17:54

1 resposta

6

No trabalho, temos a mesma situação. Aqui estão alguns passos que fazemos em novos computadores de colegas de trabalho para que eles possam se conectar a esses servidores como estão fora do nosso domínio.

No lado do cliente

winrm quickconfig
winrm set winrm/config/client '@{TrustedHosts="Computer1,Computer2"}'

No lado do servidor

Enable-PSRemoting -Force
winrm quickconfig

Para HTTPS

winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="_";CertificateThumbprint="_"}

Para HTTP

winrm create winrm/config/Listener?Address=*+Transport=HTTP

Teste com

Test-WsMan ComputerName
Test-WsMan ComputerName -UseSSL

Crie uma sessão com

New-PSSession -ComputerName Computer1 -Credential (Get-Credential)

É claro que você precisa configurar seu firewall para permitir que o servidor escute na porta remota do PowerShell.

Editar: defina TrustedHosts com o PowerShell

Ou com o PowerShell (como administrador)

Set-Item -Path WSMan:\localhost\Client\TrustedHosts -Value "Computer1,Computer2"

E marque (não precisa de Admin para isso)

Get-Item WSMan:\localhost\Client\TrustedHosts
    
por 11.01.2015 / 13:10