Estou tentando conectar o PowerShell remotamente a um servidor Exchange. Isso é para um domínio de AD separado. (Conectando domainA para domainB) Eu posso conectar do domínioA para servidores em outros domínios muito bem. Eu recebo o seguinte erro:
PS Y:\Personal\scripts> $session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http://server1.domainB.tld/PowerShell/ -Authentication Kerberos -Credential $cred
New-PSSession : [server1.domainB.tld] Connecting to remote server server1.domainB.tld failed with the following error message : The user name or password is incorrect. For more
information, see the about_Remote_Troubleshooting Help topic.
At line:1 char:12
+ $session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri ht ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotingTransportException
+ FullyQualifiedErrorId : LogonFailure,PSSessionOpenFailed
Isso não é específico para este servidor, eu obtenho os mesmos resultados para dois outros servidores no mesmo domínio.
Meu nome de usuário está no formato UPN [email protected] Se eu usar domainB\me , recebo o seguinte erro:
PS Y:\Personal\scripts> $session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http://server1.domainB.tld/PowerShell/ -Authentication Kerberos -Credential $cred
New-PSSession : [server1.domainB.tld] Connecting to remote server server1.domainB.tld failed with the following error message : WinRM cannot process the request. The following
error with errorcode 0x80090311 occurred while using Kerberos authentication: There are currently no logon servers available to service the logon request.
Possible causes are:
-The user name or password specified are invalid.
-Kerberos is used when no authentication method and no user name are specified.
-Kerberos accepts domain user names, but not local user names.
-The Service Principal Name (SPN) for the remote computer name and port does not exist.
-The client and remote computers are in different domains and there is no trust between the two domains.
After checking for the above issues, try the following:
-Check the Event Viewer for events related to authentication.
-Change the authentication method; add the destination computer to the WinRM TrustedHosts configuration setting or use HTTPS transport.
Note that computers in the TrustedHosts list might not be authenticated.
-For more information about WinRM configuration, run the following command: winrm help config. For more information, see the about_Remote_Troubleshooting Help topic.
At line:1 char:12
+ $session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri ht ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotingTransportException
+ FullyQualifiedErrorId : AuthenticationFailed,PSSessionOpenFailed
Eu também tentei me conectar ao domínioB de outros domínios e receber os mesmos resultados. Eu suponho que há uma permissão em algum lugar que precisa ser definida, mas não tenho certeza do que.
wsman:\localhost\client\trustedhosts está definido para os valores corretos
Eu posso RDP com as mesmas credenciais sem problemas, então eu sei que minhas credenciais são válidas. Eu também sou um administrador de domínio. Servidores são o Windows 2012 R2.
PSRemoting está ativado
[PS] D:\>Enable-PSRemoting -Force
WinRM is already set up to receive requests on this computer.
WinRM is already set up for remote management on this computer.
PSSessionConfiguration
Name : microsoft.powershell
PSVersion : 4.0
StartupScript :
RunAsUser :
Permission : BUILTIN\Administrators AccessAllowed, BUILTIN\Remote Management Users AccessAllowed
Name : microsoft.powershell.workflow
PSVersion : 4.0
StartupScript :
RunAsUser :
Permission : BUILTIN\Administrators AccessAllowed, BUILTIN\Remote Management Users AccessAllowed
Name : microsoft.powershell32
PSVersion : 4.0
StartupScript :
RunAsUser :
Permission : BUILTIN\Administrators AccessAllowed, BUILTIN\Remote Management Users AccessAllowed
Name : microsoft.windows.servermanagerworkflows
PSVersion : 3.0
StartupScript :
RunAsUser :
Permission : NT AUTHORITY\INTERACTIVE AccessAllowed, BUILTIN\Administrators AccessAllowed
Além disso, eu tentei remoting de um servidor em domainB para server1.domainB e funciona bem. Então, tem algo a ver com a conexão de fora do domínio.
Teste de autenticação no IIS funciona bem
Remover -Authentication Kerberos ou usar Negotiate também resulta em erros
wsman trustedhosts - Adicionado FQDN de cliente para servidor. Adicionado FQDN e IP do servidor para o cliente. Nenhuma mudança.
O que preciso consertar para poder remotamente aqui?
Se fosse um problema de privilégios, o erro diria algo como 'acesso negado'.
De alguma forma, o servidor realmente não conhece seu usuário (ou o PW está incorreto).
Você disse que está tentando se conectar "de DomainA a DomainB". Parece que seu usuário está localizado no DomainA, mas você está dizendo ao servidor que seu usuário está localizado no DomainB.
Tente se conectar com [email protected] ou me\domainA .
Você já tentou remover o -Authentication Kerberos da sua New-PSSession? Eu tenho scripts semelhantes para gerenciar servidores de troca de domínio confiável, mas não especifico o tipo de autenticação.
$session = New-PSSession -ConnectionUri "https://mail.server.com/Powershell" -ConfigurationName Microsoft.Exchange -Credential $cred
Tags powershell exchange