Неизвестное имя пользователя или неверный пароль при использовании проверки подлинности Kerberos

Question

Я установил Exchange Server 2013 на машину Windows Server 2012.

При попытке установить соединение удаленного PowerShell, используя эту команду с проверкой подлинности Kerberos:

$exchangeSession = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri "https://servername/powershell" -Credential $credential -Authentication "Kerberos" 

Я получаю следующее сообщение об ошибке:

New-PSSession : [servername] Connecting to remote server servername failed with the following error message : Logon failure: unknown user name or bad password. For more information, see the about_Remote_Troubleshooting Help topic. 
At line:1 char:20 
+ $exchangeSession = New-PSSession -ConfigurationName Microsoft.Exchange -Connecti ... 
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
    + CategoryInfo   : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotingTransportException 
    + FullyQualifiedErrorId : LogonFailure,PSSessionOpenFailed 

Однако, если я пытаюсь его базовой аутентификации , соединение установлено успешно.

$exchangeSession = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri "https://servername/powershell" -Credential $credential -Authentication "Basic" 

Может кто-нибудь, пожалуйста, скажите мне, почему эта ошибка происходит, а также средство для этого.

Answer 1

В моем случае, получается, система, из которой я пытался инициировать сеанс удаленного Powershell был в другой рабочей группе (домен Windows), чем рабочая группа, в которой был установлен мой сервер обмена.

В Kerberos мы не можем установить такие соединения по междоменному.

Kerberos в целом немного болезненен, хотя и более безопасен, с его несколькими точками проверок, которые также могут оказаться несколько точек отказа, если, конечно, не настроены правильно. Время синхронизации, домен, шп и т.д.

Этот веб-сайты могут представлять интерес/помощь тем, кто сталкивается с подобными проблемами в будущем: http://anexinetisg.blogspot.in/2013/07/kerberosslaying-dragon-in-exchange.html

Answer 2

Звучит так же, как вы не настроили SPN правильно для целевой машины, к которой хотите подключиться.

Вы можете использовать команду setspn (https://technet.microsoft.com/en-gb/library/cc731241.aspx), чтобы проверить наличие дубликатов или установить соответствующий, чтобы разрешить проверку подлинности Kerberos.

К сожалению, на вашем месте недостаточно информации, чтобы сообщить вам, какой правильный SPN и на какой учетной записи он должен быть установлен.

Это также является хорошим источником объяснения настройки компьютеров для Powershell удаленного доступа (в том числе с использованием Kerberos) (http://www.ravichaganti.com/blog/wp-content/uploads/2010/12/A%20layman's%20guide%20to%20PowerShell%202.0%20remoting-v2.pdf)