powershell - Kerberos 認証を使用する場合の不明なユーザー名または不正なパスワード

Question

Windows Server 2012 マシンに Exchange Server 2013 をインストールしました。

Kerberos 認証で次のコマンドを使用して、リモート PowerShell 接続を確立しようとすると、次のようになります。

$exchangeSession = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri "https://servername/powershell" -Credential $credential -Authentication "Kerberos"

次のエラーが表示されます。

New-PSSession : [servername] Connecting to remote server servername failed with the following error message : Logon failure: unknown user name or bad password. For more information, see the about_Remote_Troubleshooting Help topic.
At line:1 char:20
+ $exchangeSession = New-PSSession -ConfigurationName Microsoft.Exchange -Connecti ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotingTransportException
    + FullyQualifiedErrorId : LogonFailure,PSSessionOpenFailed

しかし、ベーシック認証で試してみると、接続は成功しています。

$exchangeSession = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri "https://servername/powershell" -Credential $credential -Authentication "Basic"

このエラーが発生する理由と、これに対する救済策を教えてください。

Answer 1

これは、接続先のターゲット マシンに対して SPN を正しく構成していないように思えます。

setspn コマンド ( https://technet.microsoft.com/en-gb/library/cc731241.aspx ) を使用して重複をチェックするか、適切なコマンドを設定して Kerberos 認証を許可することができます。

残念ながら、あなたの投稿には、正しい SPN と、どのアカウントに設定する必要があるかを伝えるのに十分な情報がありません。

これは、PowerShell リモート処理 (Kerberos の使用を含む) 用のコンピューターのセットアップを説明する良い情報源でもあります ( http://www.ravichaganti.com/blog/wp-content/uploads/2010/12/A%20layman's%20guide%20to% 20PowerShell%202.0%20remoting-v2.pdf )

Answer 2

私の場合、リモート Powershell セッションを開始しようとしていたシステムは、Exchange サーバーがインストールされているワークグループとは別のワークグループ (Windows ドメイン) にありました。

Kerberos では、クロスドメインでこのような接続を確立することはできません。

Kerberos は一般に、より安全ですが、複数のチェック ポイントを備えているため、多少面倒です。もちろん、適切に構成されていない限り、実際には複数の障害ポイントになる可能性があります。時刻同期、ドメイン、spn など

この Web サイトは、将来同様の問題に直面する人にとって興味深い/役立つ可能性があります。