WS08-R2_v_rgb  HOWTO:解决 WinRM 服务无法创建以下SPN… 的 WinRM ID10154 警告

        当在 Windows Server 2008 R2 上安装 Active Directory 服务后,重新启动服务器会收到类似“WinRM 服务无法创建以下 SPN: /WSMAN/DC.contoso.com; WSMAN/DC。”的警告!来自于系统日志,事件来源:Windows Remote Management,事件ID:10154。具体的错误信息如下图所示。

WinRM_SPN_Error

        根据事件属性中的提示使用 setspn.exe 创建了相关的 SPN 未果,又在网上使用中文关键词进行了查询仍没有任何收获,而使用英文时能找到几篇相关的帖子,根据提示进行了排错也都未能解决问题(让使用 Adsiedit 修改 CN=AdminSDHolder 的安全属性)。最后没辙,通过微软中文技术论坛向 Partner Support 寻求帮助,得到的解答与网上搜索到使用 Adsiedit 修改相关安全属性的方法一致,但是唯一不同的是要修改 CN=ServerName 的安全属性,赋予 Network Service 账号对该对象有”已验证的到服务主体名称的写入(Validated Write to service principal name)”的权限。由于解答中权限部分使用的是英文,害得 gOxiA 理解了半天,不过还好最终算是解决了!赋予了账号权限后,重新启动 WinRM 服务,会发现“WinRM ID10154”警告消失(出现的“WinRM ID10149”警告可以忽略)。

image
        最后补充一下出现该警告的原因是:Network Service 在这个 Object 上没有相关的 ACE,所以 WinRM 没能建立日志中提到的 SPNs。

Windows Server | 评论(3) | 引用(0) | 阅读(28083)
gOxiA Email Homepage
2012/08/17 14:17
to:flashzss,进入高级安全设置下添加network service账号,应用于“只是这个对象”,然后在权限列表中找到“已验证的到服务主体名称的写入”勾选即可。如果没有找到请提供你的步骤,最好有个截图便于做进一步的分析!
flashzss
2012/08/16 10:56
大师,我也遇到相同的情况,但添加NETWORK SERVICE后,在对象中没有“已验证的到服务主体名称的写入”这一项。这是怎么会事叫?我现在的DC均是WS08R2,林级别也已经升级到了WS08R2了。QQ:66778720,望能给予指导。
千年
2011/04/25 19:16
我打开adsiedit,在CN=servername的安全属性里没有network service,我新添加了一个,也能修复这个故障。我的域升级到了2008R2功能级别,林也升级到了2008R2功能级别,原因应该在这里。千年:suihe##yeah.net
分页: 1/1 第一页 1 最后页
发表评论
昵称 [注册]
密码 游客无需密码
网址
电邮
打开HTML 打开UBB 打开表情 隐藏 记住我