[megoldva] W2K16 Enter-PSSession Access Denied

Hali, valaki aki esetleg találkozott már vele, írjon már tippeket, hogy miket kell még csekkolni... RDP szolgáltatást telepítenék, de el sem indul, mert nem tud powershell-lel a géphez csatlakozni. Domain Admin vagyok, és magáról a gépről saját magára is, és másik gépről is Permission denien. Local Adminként belépve megy, de úgy meg nem tudok RDP szolgáltatást telepíteni.

Már amiket találtam fórumokon itt-ott kb. mindent elkövettem vele. Nem megy.

Hozzászólások

Szerkesztve: 2019. 11. 08., p - 07:45

Update: Még egy szinttel fentebb jutottam, azt hiszem. Nem is a powershell-ben van a probléma.

https://stackoverflow.com/questions/37317468/enter-pssession-to-remote-…

"but the servers are locked down to not accept network connections from Domain Admin accounts in Group Policy as a security measure"

Nem tudom miért és hogy, de ez megmagyarázná azt is, hogy miért nem tudok pl. egyik win szerverről a másikra sem rdp-zni névvel (szintén domain adminként), permission denied. Erre is debug közben akadtam véletlen, és nem tudtam hova tenni. Kívülről, illetve IP-vel hivatkozva egymásról is megy, de belső hálóból, névvel permission denied. Funny.

Namost, halvány lila fingom sincs, hogy ez a policy mi és honnan jön, mert én ilyen nem definiáltam, az hétszentség.

Illetve további infó még, hogy az utolsó két W2K16 szervert megnéztem (másik helyszín, másik cég, másik domain, másik subnet, semmi közük egymáshoz), belépve domain adminként alapból megy és működik rögtön az enter-pssession (is).

Mondjuk azt még leírhatta volna a barátunk, hogy hol és milyen policy szabályozza ezt...

--
"Sose a gép a hülye."

Jól értem, hogy RDS-t akarsz telepíteni powershellből? Utoljára, mikor azt álmodtam, hogy ilyet telepítek, akkor abban az álomban nem szerepelt PS, meg az utolsóban is local adminként raktam fel. (Mer' ugye nem volt domain.) Mondjuk ilyet ritkán álmodok, szökő évente egyszer, ha jól számolom, de akkor egymás után többször is.

Ezért nem hiszem, hogy nagy segítség vagyok, de talán a Server Managerben kattingatni járhatóbb út. Meg még olyan bölcsességek jutnak eszembe, hogy domain adminnak lenni nem azt jelenti, hogy mindenhez jogod van, hanem azt, hogy jogod van ahhoz, hogy mindenhez jogod legyen. (De ehhez fel kell venned magadat a megfelelő csoportba. Nézd össze, mi a difi a group membershipben a működő és nem működő szervereken.)

Nem, RDS-t akarok telepíteni Server Managerből, ami rögtön felsír, hogy nem teljesült a requirement, powershell-en nem fér hozzá a géphez (hiszen az csak egy gui - az mindegy hogy magán fut vagy nem), az is powershell-en keresztül csinál mindent.

Jah, és RDS-hez kell AD, másképp nem is engedi feltenni.

--
"Sose a gép a hülye."

Szerkesztve: 2019. 11. 07., cs - 17:59

Tartományból kiléptetve a gép, local adminnal belépve, nem tudom a remote managementtet bekapcsolni, mert az is hibát ad.

https://www.imgpaste.net/image/zdx4z

És így már a local admin enter-pssession is ugyanúgy permission denied, mint tartománynál a tartományi adminnal.

--
"Sose a gép a hülye."

Szerkesztve: 2019. 11. 08., p - 07:44

Kivettem az összes policyt enforced-ről és linked-ről (még a default domain policyt is), továbbá tettem fel szűz 2019-et. Semmi... Első indítás, beléptettem, restart, belépés domain adminként, rögtön ugyanaz. Őszintén fingom sincs mi van.

--
"Sose a gép a hülye."

Nos, eljutottam oda, hogy kb mindent kizártam, és csak a samba verzióra tudok tippelni... 4.10

Nem használtuk még előtte sehol, 4.6 megy szinte mindenhol. Most azt fogom megnézni, hogy a 4.10 adatbázisával, fájljaival megy-e a 4.6, és ha igen, akkor úgy mit produkál.

--
"Sose a gép a hülye."

Hát, azért az nem elhanyagolható információ lett volna, hogy sambas a DC :) A "samba DC + egyéb más windows szerverek és kliensek" egy olyan anomália-gyár ahogy én így látom mások elbeszélései alapján - plusz némi saját tapasztalat is van benne -, hogy ennyi anomália több komplett star trek sorozatban sincs. Tudom sok helyen megy faszán és semmi baj nincs vele és nagyon jó és nagyon tuti, de ez is olyan, mint amikor valaki kólával issza a sört. Én szeretem mindkettőt külön-külön, de összeöntve... Sosem fogom megérteni :)

Mindenhol, mindegyik DC-nk samba. Sosem volt vele sem komolyabb gond, sem leállás. Windows Server csak ott van a tartományban, ahol MSSQL vagy RDP miatt kell. Egyébként nincs, mert minek. Sem anomáliát, sem megmagyarázhatatlan dolgot nem tudok. Jól kell összerakni, és megy. Voltak DC-k között szinkronizációs problémák, mindig telepítési/konfigurálási hiba volt (idő, kerberos, fájlrendszer jogosultság, dns, tűzfal stb). Illetve upgrade-nél kell figyelni. Egyébként nincs vele baj. Megy, gyors.

Közben kiderült gyorsan, hogy nem megy a 4.6... Innentől jönnek az érdekesebb részek.

--
"Sose a gép a hülye."

Hát, nem is tudom. Nem kötözködni akarok, de azért érzed remélem, hogy egy icipicit cáfoltad is magad :)

Lehet, hogy nekem csak a rosszul összerakott rendszereket sikerült kifognom, meg hát most itt vagyunk és furcsálkodik veled az win szerver, de ezek olyan élmények, amik nem győztek meg róla, hogy ha valaki kitalálja és felveti nekem, hogy ő sambas dc-t akar, akkor nem fogom neki reflexből azt mondani, hogy "nem, te nem akarsz".

Minden esetre nagyon kíváncsi vagyok, mi a probléma kiváltó oka.

Nem tudom, elég időt elcsesztem vele. 4.9 működik, nekem ennyi elég. Egyébként sem szoktunk rohanni a legfrisebb verziók után. A dolog iróniája az egyébként, hogy mint írtam, szinte mindenhol 4.6-ok mennek, centoson, saját repóból, saját csomaggal. Ez az új azért lett Fedora 30, mert van rá samba-dc csomag, és hát akkor próbáljuk ki milyen is a "Fedora Server", hátha nem kéne samba csomagot fordítani... Kipróbáltuk, elég is volt. Innentől viszont értelmét veszti, hogy fedora legyen, úgyhogy valszeg reinstall lesz ez is centosra, és elkészül majd a 4.9-ből is a saját csomag. Így legalább marad homogén az infrastruktóra. Ez most hogy így alakult, egy jó teszt lesz a 4.9-nek, mielőtt a többi samba DC is upgradelve lenne.

Egyébként pedig, a samba upgrade egy olyan dolog, mint mondjuk egy DC windows upgrade-je. Nem ugrunk fejest hogy yum update, restart oszt' jóvan... Le kell tesztelni, ki kell próbálni, elő kell készíteni, készíteni vagy 3 féle backupot, snapshotot, bármit gebax esetére, utána végig kell csinálni megfelelő lépésenként az upgradet, majd letesztelni hogy minden jó-e.

--
"Sose a gép a hülye."

No... Egyel vissza, 4.9. Megeszi az adatbázist, és megy. Egyelőre teszt domainen, de gyors tesztek után úgy tűnik jó lesz.

--
"Sose a gép a hülye."

Szerkesztve: 2019. 11. 10., v - 12:14

A 4.9-el minden jó. Ez marad. Nemhogy restart, meg logout-login se kellett. Samba 4.10 stop, 4.9 start, és rögtön ment.

https://www.imgpaste.net/image/zfXTz

Az RDP is, névvel a két windowsról egymásra.

--
"Sose a gép a hülye."