我想将Enter-PSSession输入到服务器A并列出服务器B上共享的目录内容。
我希望通过在服务器A的Active Directory属性上设置Kerberos约束委派来实现此目的,以便为服务器B上的cifs(SMB)服务启用Kerberos约束委派。但是,在我这样做之后,当我从服务器上的PSSession列出服务器B上共享的目录内容时,获取PermissionDenied ...
我也没有在服务器A上看到任何Kerberos流量,表明它正在尝试获取服务器B的票证。
任何人都知道我做错了什么?
所有计算机都运行Windows Server 2012 R2。
谢谢!
答案 0 :(得分:1)
显然,可以通过在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters\S4UCacheTimeout创建值为0的DWORD来禁用它。当我这样做时,我的Active Directory更改立即在ServerA上生效。
禁用否定缓存后,我可以将ServerA上的委派设置为Trust this computer for delegation to specified services only + Use Kerberos only + cifs/ServerB和bingo!我可以从ServerA中的PSSession访问ServerB上的文件共享。
太开心了!