HOWTO:解决 WinRM 服务无法创建以下SPN… 的 WinRM ID10154 警告
当在 Windows Server 2008 R2 上安装 Active Directory 服务后,重新启动服务器会收到类似“WinRM 服务无法创建以下 SPN: /WSMAN/DC.contoso.com; WSMAN/DC。”的警告!来自于系统日志,事件来源:Windows Remote Management,事件ID:10154。具体的错误信息如下图所示。
根据事件属性中的提示使用 setspn.exe 创建了相关的 SPN 未果,又在网上使用中文关键词进行了查询仍没有任何收获,而使用英文时能找到几篇相关的帖子,根据提示进行了排错也都未能解决问题(让使用 Adsiedit 修改 CN=AdminSDHolder 的安全属性)。最后没辙,通过微软中文技术论坛向 Partner Support 寻求帮助,得到的解答与网上搜索到使用 Adsiedit 修改相关安全属性的方法一致,但是唯一不同的是要修改 CN=ServerName 的安全属性,赋予 Network Service 账号对该对象有”已验证的到服务主体名称的写入(Validated Write to service principal name)”的权限。由于解答中权限部分使用的是英文,害得 gOxiA 理解了半天,不过还好最终算是解决了!赋予了账号权限后,重新启动 WinRM 服务,会发现“WinRM ID10154”警告消失(出现的“WinRM ID10149”警告可以忽略)。
最后补充一下出现该警告的原因是:Network Service 在这个 Object 上没有相关的 ACE,所以 WinRM 没能建立日志中提到的 SPNs。
1 
