WinRM "Отказано в доступе" Междоменный

isd503

15.01.2023, 20:18

У меня есть SERVER1 в DOMAINA и SERVER2 в DOMAINB. Между доменами стоит брандмауэр. SERVER1 работает под управлением Windows 2012 R2, а SERVER2 работает под управлением Windows 2016 Std. SERVER1 — это контроллер домена, а SERVER2 — сборщик пересылки событий Windows (WEF). ДОМЕНА\СЕРВЕР3 также является контроллером домена под управлением Windows 2012 R2.

SERVER3 использует сертификат для отправки своих журналов событий безопасности сборщику. Это работает нормально и уже несколько месяцев. Я не могу заставить SERVER1 отправлять свои журналы на SERVER2. Вот условия и проблемы:

test-netconnection SERVER2-порт 5986: эта команда работает с SERVER1 и SERVER3
test-netconnection SERVER1 -порт 5986: эта команда работает с SERVER2 на SERVER1 или SERVER3
NT AUTHORITY\Network Service имеет доступ на чтение к сертификатам на SERVER1 и SERVER3
winrm get winrm/config -r:https://SERVER2.DOMAINB.com:5986 -a:certificate -certificate:"SERVER1THUMBPRINT": Эта команда завершается с ошибкой с сервера SERVER1 с сообщением «Отказано в доступе».
winrm get winrm/config -r:https://SERVER2.DOMAINB.com:5986 -a:certificate -certificate:"SERVER3THUMBPRINT": эта команда выполнена успешно с SERVER3 и возвращает конфигурацию WinRM SERVER2.
Я сопоставил все известные мне условия между SERVER1 и SERVER3.
Я попросил одного из техников брандмауэра просмотреть журналы, и они не видят никаких сбоев для сбойного трафика.

Наша среда WEF использует междоменные сертификаты (DOMAINA) и внутридоменные сертификаты Kerberos (DOMAINB). Мы настроили объект групповой политики для параметров WEF. Мы используем группу безопасности Active Directory для фильтрации безопасности в GPO. Все это работает на других серверах и ADC в обоих доменах. Это подписки, инициированные SOURCE.

Какие тесты я могу выполнить, чтобы изолировать эту проблему на SERVER1? Журналы событий SERVER2 показывают сбой, как и журналы SERVER1:

СЕРВЕР1:

Microsoft-Windows-Eventlog-ForwardingPlugin/Operational
Идентификатор события: 105
У экспедитора возникла проблема со связью с менеджером подписки по адресу https://SERVER2.DOMAINB.com:5986/wsman/SubscriptionManager/WEC. Код ошибки — 2150858882, а сообщение об ошибке — .
Microsoft-Windows-Windows Remote Management/Operation
Идентификатор события: 164
Конечный компьютер (SERVER2.DOMAINB.com) вернул ошибку «отказано в доступе». Убедитесь, что ваши учетные данные верны.
Идентификатор события: 142
Операция WSMan не удалась, код ошибки 5

СЕРВЕР2:

Microsoft-Windows-Windows Remote Management/Operation
Идентификатор события: 192
Авторизация пользователя не удалась с ошибкой 5
Пользователь: СЕТЕВАЯ СЛУЖБА

208

0 + 0

брандмауэр

домен

удев

журнал событий Windows

winrm

Admin

Этот вопрос на других языках:

EN: WinRM "Access Denied" Cross Domain

TH: WinRM "การเข้าถึงถูกปฏิเสธ" ข้ามโดเมน

RO: WinRM „Acces refuzat” Cross Domain

RU: WinRM "Отказано в доступе" Междоменный

VI: Tên miền chéo "Truy cập bị từ chối" WinRM

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.