Использование консоли администратора WSUS из внешнего домена
Среда:
У меня есть рабочая станция в нашем основном домене. У нас есть основной WSUS-сервер, который является вышестоящим сервером 8 различных тестовых доменов. Основной сервер WSUS не является частью какого-либо домена. Маршрутизация настроена между моей рабочей станцией и основным сервером WSUS. Я могу RDP к первичному серверу WSUS без проблем. Маршрутизатор настроен на пересылку any any между моей рабочей станцией и основным сервером WSUS. Этот сервер WSUS не может быть частью домена из-за внешних требований (я не могу их изменить) в лаборатории, в которой я работаю. Версия WSUS - WSUS 3.0 SP 2
Что я хочу сделать:
Мне нужно подключиться к серверу WSUS с консоли администратора WSUS с моей локальной рабочей станции. Конечная цель - подключиться через Powershell и справиться с этим. Мне также нужно взять то, что я здесь делаю, и перенести его на 8 тестовых доменов, чтобы я мог управлять этими серверами WSUS. Маршрутизация все на месте, так что я могу общаться с серверами, это просто подключение к консоли WSUS, что вызывает проблемы.
Эта проблема:
Я не могу подключить свою рабочую станцию к консоли WSUS.
Я получаю одну из следующих ошибок в зависимости от настройки.
1-я ошибка:
Cannot connect to 'WSUS'. You do not have the permissions required to access this WSUS server.
To connect to the server you must be a member of the WSUS Administrators or WSUS Reporters security groups
Я тоже получаю предупреждение 7012 из журнала событий, который говорит то же самое.
2-я ошибка:
Cannot connect to 'WSUS'. The server may be using another port or different Secure Sockets Layer setting.
Что я пробовал:
Пока я настроил IIS для Anonymous Authentication на обоих WSUS Administration а также ApiRemoting30 используя аккаунт позвоню WSUS_User, С этим на месте я получаю 1-ю ошибку. Когда я делаю это, локальная консоль WSUS также не может быть использована.
Возвращаясь только к Windows Authentication позволяет локальной консоли работать, но удаленная консоль теперь выдает 2-ю ошибку.
Я подтвердил порт, и что нет SSL в использовании (это политика, которая выдвигается сверху, на которую я не могу повлиять).
Я разместил WSUS_User в группах, упомянутых выше, но это все еще не соединяется.
Я убедился WSUS_User имеет полный доступ к C:\Program Files\Update Services а также C:\Program Files\Update Services\WebServices
Я не очень хорошо знаком с работой WSUS или IIS и зашел настолько далеко, насколько смог сам. Погуглив эти ошибки все приводят меня к одним и тем же шагам по поводу Anonymous Authentication и настройка разрешений для папок.
4 ответа
Если вашей конечной целью является использование PowerShell, пытались ли вы использовать такие модули, как PoshWSUS, и / или использовать удаленное взаимодействие PS с соответствующими серверами и запускать команды через него? Так мы управляем несколькими серверами WSUS. Они не на доменах, просто рабочие группы, но это работает просто отлично. Я бы просто проверил, что у вас все необходимые порты TCP открыты для связи.
http://msdn.microsoft.com/en-us/library/windows/desktop/ee706585(v=vs.85).aspx
Подключите диск к серверам, к которым вам нужно подключиться, используя учетную запись, созданную и получившую доступ администратора WSUS. Затем подключитесь к серверу WSUS с помощью консоли администратора.
Это похоже на ту же проблему, что и у меня, когда я просто пытался удаленно войти на мой сервер WSUS, поскольку моя обычная учетная запись не является администратором. Я использую следующую команду в качестве ярлыка для запуска WSUS от другого пользователя, отличного от моей учетной записи:
C:\Windows\System32\runas.exe /user:domain\admin-user "cmd /c start c:\progra~1\update~1\administrationsnapin\wsus.msc"
Откроется окно командной строки с запросом пароля администратора. Если я правильно прочитал вашу проблему, сервер WSUS не находится в домене, что означает, что вы должны использовать /user:\admin-user.
Для графического интерфейса вы можете использовать инструмент runas.exe, который заметил Zac Garrett, или вы можете удерживать клавишу Shift, нажимая правой кнопкой мыши консоль WSUS и выбирая "Запуск от имени другого пользователя" в появившемся меню, затем введите домен \ пользователя что вы хотите запустить его как.
Что касается PowerShell, я предполагаю, что вам нужно будет использовать команду Get-Credential и передать эти учетные данные вместе с командой, которую вы пытаетесь запустить. Вы также можете выполнить трюк удержания и щелчка правой кнопкой мыши с помощью скрипта PowerShell или консоли PowerShell.