我想 Enter-PSSession 到服务器 A 并列出服务器 B 上共享的目录内容。
我希望通过在服务器 A 的 Active Directory 属性上设置 Kerberos 约束委派来启用对服务器 B 上的 cifs (SMB) 服务的 Kerberos 约束委派来做到这一点。但是,在我这样做之后,当我去列出目录内容时来自服务器 AI 上的 PSSession 的服务器 B 上的共享获得 PermissionDenied...
我也没有看到服务器 A 上的任何 Kerberos 流量表明它正在尝试获取服务器 B 的票证。
有人知道我在做什么错吗?
所有计算机都运行 Windows Server 2012 R2。
谢谢!
啊哈!有一个负 Kerberos 缓存每 15 分钟过期一次。见这里。
显然,可以通过HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters\S4UCacheTimeout使用 value创建一个 DWORD 来禁用它0。当我这样做时,我的 Active Directory 更改立即在 ServerA 上生效。
禁用负缓存后,我可以将 ServerA 上的委派设置为Trust this computer for delegation to specified services only++Use Kerberos only和cifs/ServerB宾果游戏!我可以从 ServerA 中的 PSSession 访问 ServerB 上的文件共享。
很高兴!