none
Remote Powershell script only works when executed on a DC RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hi all,

    I am not a Powershell expert but need to use some scripts in an automation project. My problem:

    The environment consists of 3 Servers:

    DC-01: Windows 2016, Domain Controller

    DB-01: Windows 2016, SQL-Server

    ISM: Windows 2012R2, runs our ITSM Software

    I have a very simple script:

    import-module ActiveDirectory

    New-ADGroup -GroupScope DomainLocal -GroupCategory Security -Name TestGroup 

    WindowsRM is configured on all 3 servers, which are part of the same Domain (called LAB) I have a user called svc_ism which is a Domain User and Member of Local Administrator Groups on all 3 servers.

    When I start the script local on DB-01, everything works fine.

    When I start the script from ISM with "winrs -r:DB-01 powershelgl c:\scripts\hw.ps1" I get

    New-ADGroup : Unable to contact the server. This may be because this server does not exist, it is currently down, or it does not have the Active Directory Web Services running.
    At C:\scripts\hw.ps1:3 char:1
    + New-ADGroup -GroupScope DomainLocal -GroupCategory Security -Name Tes ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : ResourceUnavailable: (:) [New-ADGroup], ADServerDownException
        + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.NewADGroup

    What can I do?

    Thanks,Joern

    Mittwoch, 1. April 2020 13:05
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    a. Auf einem DC gibt es keine lokale Admingruppe

    b. Du rufst das Skript remote auf DB-01 (wo offensichtlich aus irgendeinem Grund das AD PowerShell-Modul installiert ist) auf, um Änderungen im AD (also auf DC-01) vorzunehmen. Warum? Der ISM-Server kann doch auch mit dem AD sprechen...

    c. selbst wenn das klappen würde, hast Du dann die Double-Hop-Problematik zu berücksichtigen, d.h. Du müsstest dann mit Kerberos-Delegation arbeiten.

    d. was passiert, wenn Du mit -Server "DC-01.firma.de" im AD-Cmdlet den Domain Controller explizit angibst?

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 1. April 2020 15:26
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo Joern,

    Du bist hier im Deutschen MS Powershell Forum, deshalb antworte ich Dir mal auf Deutsch.

    Kann es sein, dass Du eigentlich lokale Gruppen anlegen möchtest? Es würde sonst eigentlich keinen Sinn machen, diesen Befehl mehr als einmal und auch noch auf mehreren Servern zu starten.

    Wenn das der Fall ist, soltlest Du mit dem cmdlet New-LocalGroup deutlich weiter kommen.

    Sollte es das nicht sein, präzisiere doch bitte Deine Anfrage nochmal etwas.

    Wenn Du Code postest, formatier diesen doch bitte als Code. Das gilt auch für Beispiel-Daten, Konsolen-Output oder Fehlermeldungen. How to Use the Code Feature in a TechNet Forum Post

    Danke.

    Live long and prosper!

    (79,108,97,102|%{[char]$_})-join''

    • Bearbeitet BOfH-666 Mittwoch, 1. April 2020 14:59
    Mittwoch, 1. April 2020 14:58
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    a. Auf einem DC gibt es keine lokale Admingruppe

    b. Du rufst das Skript remote auf DB-01 (wo offensichtlich aus irgendeinem Grund das AD PowerShell-Modul installiert ist) auf, um Änderungen im AD (also auf DC-01) vorzunehmen. Warum? Der ISM-Server kann doch auch mit dem AD sprechen...

    c. selbst wenn das klappen würde, hast Du dann die Double-Hop-Problematik zu berücksichtigen, d.h. Du müsstest dann mit Kerberos-Delegation arbeiten.

    d. was passiert, wenn Du mit -Server "DC-01.firma.de" im AD-Cmdlet den Domain Controller explizit angibst?

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 1. April 2020 15:26
    |