我使用修改后的Web服务器证书模板和GPO在域上完成了对所有计算机的WinRM HTTPS部署。这一切都如预期的那样,但在我的DC上却没有。当试图解决这个问题时,我的第一步是在提升的CMD中显示使用winrme winrm/config/listaner的侦听器。这返回了标准的HTTP WinRM侦听器,但没有像域中的所有其他计算机那样返回HTTPS侦听器。
出于谨慎,我尝试使用winrm-create winrm/config/Listener手动创建一个?提升的CMD中的地址=*+传输=HTTPS。
The output was the following:
C:Windowssystem32>winrm create winrm/config/Listener?Address=*+Transport=HTTPS
WSManFault
Message
ProviderFault
WSManFault
Message = The WS-Management service cannot find the certificate that was requested.
Error number: -2144108414 0x80338082
The WS-Management service cannot find the certificate that was requested.
C:Windowssystem32>
奇怪。然后我在DC01上查找了证书。没有计算机证书,只有CA创建的证书(在DC01上运行locallyo(。
DC01证书
通过查看这些CA颁发的证书,我注意到它们没有主题。根据我的谷歌傅,这似乎坚持了"WS-Management服务找不到请求的证书";我早些时候收到的错误消息。
现在的问题是,为什么向域中的所有计算机颁发了WinRM HTTPS证书,并将启用WinRM GPO应用于域控制器,但却没有向DC01或DC02颁发证书。
非常感谢任何和所有的投入。
请查看Windows CA中证书模板的权限。您的计算机对象需要权限"读取";以及";寄存器";注册新证书。通常;域计算机";拥有这种权利。但是域控制器不是组"的一部分;域计算机";。因此,您可以添加组";域控制器";到权限选项卡并添加权限";读取";以及";寄存器";。