信頼されていないドメイン上のWindowsリモート管理

現在、2つの信頼できないドメイン間でWindowsリモート管理（具体的にはPowershell Remoting）を有効にしようとしており、運がありません。

私のセットアップの簡単な説明：

• domain1-ワークステーションはこのドメインにあります
• domain2-接続したいサーバーはこのドメインにあります

これらのドメイン間に信頼関係はありません。

ワークステーション（domain1に参加）から次のコマンドを使用して、Powershellリモート接続を作成しようとしています。

param（
    [パラメータ（必須= $ True）]
    $ server
）

$ username = "domain \ user"
$ password = read-host "$ usernameのパスワードを入力してください" -AsSecureString

$ credential = New-Object System.Management.Automation.PSCredential（$ username、$ password）

$ session = New-PSSession "$ server" -Authentication CredSSP -Credential $ credential -UseSSL -SessionOption（New-PSSessionOption -SkipCACheck -SkipCNCheck）
Enter-PSSession $ session

その結果、次のエラーメッセージが表示されます。

New-PSSession：[computername.domain2.com]リモートサーバーcomputername.domain2.comへの接続は、次のエラーメッセージで失敗しました：WinRMクライアント
要求を処理できません。コンピューターポリシーは、コンピューターが信頼されていないため、ターゲットコンピューターへのユーザー資格情報の委任を許可しません。ターゲットのアイデンティティ
次のコマンドを使用して有効な証明書を使用するようにWSMANサービスを構成すると、コンピューターを検証できます。winrm set winrm / config / service '@ {CertificateThumbprint = ""}'または
次のSPNを作成できなかったことを指定するイベントのイベントビューアーを確認できます：WSMAN /。このイベントが見つかった場合は、次を使用して手動でSPNを作成できます。
setspn.exe。SPNは存在するが、CredSSPがKerberosを使用してターゲットコンピューターのIDを検証できず、ターゲットへのユーザー資格情報の委任を引き続き許可する場合
コンピューター、gpedit.mscを使用して、次のポリシーを確認します。コンピューターの構成->管理用テンプレート->システム->資格情報の委任-> NTLMのみで新しい資格情報を許可する
サーバー認証。ターゲットコンピューターに適したSPNで有効に構成されていることを確認します。たとえば、ターゲットコンピュータ名「myserver.domain.com」の場合、SPNは次のようになります。
次のいずれか：WSMAN / myserver.domain.comまたはWSMAN / *。domain.com。これらの変更後に要求を再試行してください。詳細については、about_Remote_Troubleshootingヘルプトピックを参照してください。

私は次のことを試し/検証しました：

1. domain2のWSMAN \ computernameとWSMAN \ computername.domain2.comの両方にSPNが存在することを確認しました。
2. [コンピューターの構成]-> [管理用テンプレート]-> [システム]-> [資格情報の委任]-> [NTLMのみのサーバー認証で新しい資格情報を許可する]が正しく設定されていることを確認しました。
3. sslを使用するようにターゲットコンピューターでwinrmを構成しました。
4. 次のコマンドを使用して、ターゲットコンピューターとローカルワークステーションでCredSSPを構成しました。

Enable-WSManCredSSP-ターゲットコンピューター上のロールサーバー＃
Enable-WSManCredSSP -Role Client -DelegateComputer * -Force

5. 私のアクセスをブロックしているのは、コンピューター上のローカルまたはネットワーク上のFWルールがないことです。

domain1のワークステーションからdomain2のターゲットコンピューターに正常に接続することを許可したものはありません。domain2のサーバーではなく、domain1に参加している他のサーバーに正常に接続できます。他に何か探したり、これを機能させようとする必要がありますか？

更新 2015年6月8日実際、CredSSPを使用せずにワークステーションからサーバーに接続できることを確認できました。ただし、SharePointに対してスクリプトを実行できるようにする必要があり、CredSSPなしでスクリプトを実行すると、アクセス許可エラーが発生して失敗します。

このMSDNの記事では、マルチホップサポート用にWinRMを構成する方法を示します。これは、Kerberosがオプションではない場合の接続の作成にも対応しています。以下の簡単な要約。

Windowsリモート管理（WinRM）は、複数のリモートコンピューター間でユーザー資格情報の委任をサポートします。マルチホップサポート機能は、認証に資格情報セキュリティサービスプロバイダー（CredSSP）を使用できるようになりました。CredSSPにより、アプリケーションはユーザーの資格情報をクライアントコンピューターからターゲットサーバーに委任できます。

CredSSP認証は、Kerberos委任を使用できない環境を対象としています。ユーザーがリモートサーバーに接続し、ファイル共有などの2番目のホップのマシンにアクセスできるようにするために、CredSSPのサポートが追加されました。

具体的には、レジストリエントリ/グループポリシー設定AllowFreshCredentialsWhenNTLMOnlyに関する記事のセクションで、私が抱えていた問題を解決しました。記事から：

Kerberos認証も証明書のprint印も使用できない場合、ユーザーはNTLM認証を有効にできます。NTLM認証を使用する場合、NTLMのみのサーバー認証で新しい資格情報を許可する（AllowFreshCredentialsWhenNTLMOnly）ポリシーを有効にし、WSMANプレフィックスを持つSPNをポリシーに追加する必要があります。この設定は、認証情報が認証されていないサーバーに送信されるため、Kerberos認証と証明書のthumb印の両方より安全性が低くなります。

AllowFreshCredentialsWhenNTLMOnlyポリシーの詳細については、グループポリシーエディターおよびKB 951608が提供するポリシーの説明を参照してください。AllowFreshCredentialsWhenNTLMOnlyポリシーは、コンピューターの構成\管理用テンプレート\システム\資格情報の委任にあります。