active-directory – 将新服务器添加到服务器管理器,获取Kerbero

我正在设置 Windows实验室环境.它有一个Win2012R2域控制器(srv001),我想将另一个Win2012R2服务器添加到域(srv003).实际上,一切顺利.我给新服务器一个与DC在同一子网中的静态IP地址,指向正确的DNS服务器并将服务器添加到域中.

但是,当我将新服务器添加到服务器管理器时,我收到Kerberos错误：0x80090322.我有一个很长的错误消息,我将在下面发布.我做了一些测试,发现我实际上能够使用Kerberos身份验证设置到服务器的远程Powershell会话：

$s = New-PSSession -ComputerName srv003 -Authentication Kerberos
$s | Enter-PSSession

这里没问题.我在远程服务器上运行Enable-PSRemoting,也没有问题.

为什么服务器管理器不像我的新服务器？特别是因为可以使用服务器管理器抱怨的相同协议来设置远程Powershell.

属于错误代码0x80090322的错误消息：

配置刷新失败,并显示以下错误：由于以下错误,无法从服务器检索元数据：WinRM无法处理请求.使用Kerberos身份验证时出现以下错误,错误代码为0x80090322：发生未知的安全错误.可能的原因是：

>指定的用户名或密码无效.
>如果未指定身份验证方法和用户名,则使用Kerberos.
> Kerberos接受域用户名,但不接受本地用户名.
>远程计算机名称和端口的服务主体名称(SPN)不存在.
>客户端和远程计算机位于不同的域中,两个域之间没有信任.

检查上述问题后,请尝试以下操作：

>检查事件查看器以查找与身份验证相关的事件.
>更改身份验证方法;将目标计算机添加到WinRM TrustedHosts配置设置或使用HTTPS传输.请注意,TrustedHosts列表中的计算机可能未经过身份验证.
>有关WinRM配置的更多信息,请运行以下命令：winrm help config.

要返回错误消息中的编号项目：

>我使用域管理员帐户执行此操作.
>不确定如何在服务器管理器中更改此设置,因此我认为默认情况下应该这样做.
>我在域内运行,启动服务器管理器作为域管理员.
>服务器实际上有以下SPN,我还没有触及：

> Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04 / srv003.rwwilden01.local
> TERMSRV / SRV003
> TERMSRV / srv003.rwwilden01.local
> WSMAN / srv003
> WSMAN / srv003.rwwilden01.local
> RestrictedKrbHost / SRV003
> HOST / SRV003
> RestrictedKrbHost / srv003.rwwilden01.local
> HOST / srv003.rwwilden01.local

>两台计算机都在同一个域中.
>客户端计算机上没有事件.
>没有必要这样做.