Tham gia Đăng nhập
Điểm:0
isd503 avatar Server

Tên miền chéo "Truy cập bị từ chối" WinRM

lá cờ es
isd503

Tôi có SERVER1 trong DOMAINA và SERVER2 trong DOMAINB. Có tường lửa giữa các miền. SERVER1 đang chạy Windows 2012 R2 và SERVER2 đang chạy Windows 2016 Std. SERVER1 là bộ điều khiển miền và SERVER2 là trình thu thập Chuyển tiếp Sự kiện Windows (WEF). DOMAINA\SERVER3 cũng là bộ điều khiển miền chạy Windows 2012 R2.

SERVER3 đang sử dụng chứng chỉ để gửi nhật ký sự kiện Bảo mật của nó tới người thu thập. Điều này đang làm việc tốt và đã được vài tháng. Tôi không thể yêu cầu SERVER1 gửi nhật ký của nó tới SERVER2. Dưới đây là các điều kiện và các vấn đề:

  1. kiểm tra kết nối mạng SERVER2 -port 5986: lệnh này hoạt động từ SERVER1 và SERVER3
  2. kiểm tra kết nối mạng SERVER1 -cổng 5986: lệnh này hoạt động từ SERVER2 đến SERVER1 hoặc SERVER3
  3. NT AUTHORITY\Network Service có quyền Đọc các chứng chỉ trên SERVER1 và SERVER3
  4. winrm nhận winrm/config -r:https://SERVER2.DOMAINB.com:5986 -a:certificate -certificate:"SERVER1THUMBPRINT": Lệnh này không thành công từ SERVER1 với "Quyền truy cập bị từ chối"
  5. winrm nhận winrm/config -r:https://SERVER2.DOMAINB.com:5986 -a:certificate -certificate:"SERVER3THUMBPRINT": Lệnh này thành công từ SERVER3 và trả về cấu hình WinRM của SERVER2
  6. Tôi đã khớp mọi điều kiện mà tôi biết để khớp giữa SERVER1 và SERVER3
  7. Tôi đã yêu cầu một trong những kỹ thuật viên tường lửa xem lại nhật ký và họ không thể thấy bất kỳ lỗi nào đối với lưu lượng truy cập không thành công

Môi trường WEF của chúng tôi sử dụng miền chéo chứng chỉ (DOMAINA) và miền nội bộ Kerberos (DOMAINB). Chúng tôi đã định cấu hình GPO cho cài đặt WEF. Chúng tôi sử dụng nhóm bảo mật thư mục hoạt động để lọc bảo mật trong GPO. Tất cả điều này đang hoạt động trên các máy chủ và ADC khác trong cả hai miền. Đây là các đăng ký do SOURCE khởi tạo.

Tôi có thể thực hiện những kiểm tra nào để giúp cách ly sự cố này trên SERVER1? Nhật ký sự kiện SERVER2 hiển thị lỗi và nhật ký trên SERVER1 cũng vậy:

MÁY CHỦ 1:

  • Microsoft-Windows-Eventlog-ForwardingPlugin/Operational

  • ID sự kiện: 105

  • Người giao nhận đang gặp sự cố khi giao tiếp với người quản lý đăng ký tại địa chỉ https://SERVER2.DOMAINB.com:5986/wsman/SubscriptionManager/WEC. Mã lỗi là 2150858882 và Thông báo lỗi là .

  • Quản lý/Vận hành từ xa Microsoft-Windows-Windows

  • ID sự kiện: 164

  • Máy tính đích (SERVER2.DOMAINB.com) trả về lỗi 'truy cập bị từ chối'. Xác minh thông tin đăng nhập của bạn là chính xác.

  • ID sự kiện: 142

  • Thao tác WSMan Không thành công, mã lỗi 5

MÁY CHỦ2:

  • Quản lý/Vận hành từ xa Microsoft-Windows-Windows
  • ID sự kiện: 192
  • Ủy quyền của người dùng không thành công với lỗi 5
  • Người dùng: DỊCH VỤ MẠNG
208
0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.