小编rww*_*den的帖子

我正在建立一个 Windows 实验室环境。它有一个 Win2012R2 域控制器 (srv001)，我想将另一个 Win2012R2 服务器添加到域 (srv003)。事实上，一切都很顺利。我在与 DC 相同的子网中为新服务器提供了一个静态 IP 地址，将其指向正确的 DNS 服务器并将该服务器添加到域中。

但是，当我将新服务器添加到服务器管理器时，出现 Kerberos 错误：0x80090322。我有很长的错误消息，我将在下面发布。我做了一些测试，发现我实际上能够使用 Kerberos 身份验证设置到服务器的远程 Powershell 会话：

$s = New-PSSession -ComputerName srv003 -Authentication Kerberos
$s | Enter-PSSession

这里没有问题。我Enable-PSRemoting在远程服务器上运行，那里也没有问题。

为什么服务器管理器不喜欢我的新服务器？特别是因为可以使用服务器管理器抱怨的相同协议来设置远程 Powershell。

属于错误代码 0x80090322 的错误信息：

配置刷新失败，出现以下错误：由于以下错误，无法从服务器检索元数据：WinRM 无法处理请求。使用 Kerberos 身份验证时出现错误代码 0x80090322 的以下错误：发生未知安全错误。可能的原因有：

1. 指定的用户名或密码无效。
2. 当未指定身份验证方法和用户名时使用 Kerberos。
3. Kerberos 接受域用户名，但不接受本地用户名。
4. 远程计算机名称和端口的服务主体名称 (SPN) 不存在。
5. 客户端和远程计算机位于不同的域中，两个域之间不存在信任。

检查上述问题后，请尝试以下操作：

6. 检查事件查看器以获取与身份验证相关的事件。
7. 更改认证方式；将目标计算机添加到 WinRM TrustedHosts 配置设置或使用 HTTPS 传输。请注意，TrustedHosts 列表中的计算机可能未经过身份验证。
8. 有关 WinRM 配置的详细信息，请运行以下命令：winrm help config。

要返回错误消息中的编号项目：

1. 我使用域管理员帐户来执行此操作。
2. 不确定如何在服务器管理器中更改它，所以我想默认应该这样做。
3. 我在域内运行，以域管理员身份启动服务器管理器。
4. 服务器实际上有以下我没有接触过的 SPN：
   1. dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/srv003.rwwilden01.local
   2. TERMSRV/SRV003
   3. TERMSRV/srv003.rwwilden01.local
   4. WSMAN/srv003
   5. WSMAN/srv003.rwwilden01.local …

我是 SCCM 新手，所以也许我的问题没有任何意义，但请耐心等待。

如果我理解正确，用户将成为代表软件包的 AD 组的成员。如果用户成为 AD 组“Winzip”的成员，SCCM 会检测到这一点并将 Winzip 包分发到正确的机器。

如果用户成为 AD 组 'Sales' 的成员，而该组又是 AD 组 'Winzip' 的成员怎么办？所以'User' memberOf 'Sales' memberOf 'Winzip'。SCCM 会检测到用户应该获取 Winzip 包吗？或者我需要在这种情况下做一些额外的事情吗？

亲切的问候，罗纳德·威尔登伯格