close

      當在 Windows Server 2008 R2 上安裝 Active Directory 服務後,重新啓動服務器會收到類似“WinRM 服務無法創建以下 SPN: /WSMAN/DC.contoso.com; WSMAN/DC。”的警告!來自於系統日誌,事件來源:Windows Remote Management,事件ID:10154。具體的錯誤信息如下圖所示。

wKiom1T5GHzCfMP3AAGskU4aOUQ396.jpg

根據事件屬性中的提示使用 setspn.exe 創建了相關的 SPN 未果,又在網上使用中文關鍵詞進行了查詢仍沒有任何收穫,而使用英文時能找到幾篇相關的帖子,根據提示進行了排錯也都未能解決問題(讓使用 Adsiedit 修改 CN=AdminSDHolder 的安全屬性)。最後沒轍,通過微軟中文技術論壇向 Partner Support 尋求幫助,得到的解答與網上搜索到使用 Adsiedit 修改相關安全屬性的方法一致,但是唯一不同的是要修改 CN=ServerName 的安全屬性,賦予 Network Service 賬號對該對象有”已驗證的到服務主體名稱的寫入(Validated Write to service principal name)”的權限。由於解答中權限部分使用的是英文,害得 gOxiA 理解了半天,不過還好最終算是解決了!賦予了賬號權限後,重新啓動 WinRM 服務,會發現“WinRM ID10154”警告消失(出現的“WinRM ID10149”警告可以忽略)。

wKioL1T5GZPBbIEBAAJMMEiZ6uo436.jpg

    最後補充一下出現該警告的原因是:Network Service 在這個 Object 上沒有相關的 ACE,所以 WinRM 沒能建立日誌中提到的 SPNs。

       進入高級安全設置下添加network service賬號,應用於“只是這個對象”,然後在權限列表中找到“已驗證的到服務主體名稱的寫入”勾選即可。

 

 

reference: https://www.twblogs.net/a/5c36d277bd9eee35b21d469b

 

arrow
arrow
    文章標籤
    SPN windows remote management wsman windows server
    全站熱搜
    創作者介紹
    創作者 M先生 的頭像
    M先生

    雨果

    M先生 發表在 痞客邦 留言(0) 人氣()