none
Problème module active directory Invoke-Command RRS feed

  • Question

  • Bonjour,

    Nous souhaitons exécuter une commande sur notre serveur de messagerie via powershell. Nous utilisons donc Invoke-Command comme ci dessous :

    Invoke-Command -ComputerName Computer -Credential domain\user -ScriptBlock {

    Import-Module ActiveDirectory

    Get-ADUser test

    Voici l'erreur : 

    WARNING: Erreur d’initialisation du lecteur par défaut : « Impossible de contacter le serveur. Il se peut que le serveur n’existe pas, est actuellement hors service ou ne dispose pas des services Web Active Directory. ».

    Impossible de contacter le serveur. Il se peut que le serveur n’existe pas, est actuellement hors service ou ne dispose pas des

    services Web Active Directory.

        + CategoryInfo          : ResourceUnavailable: (faujoulat:ADUser) [Get-ADUser], ADServerDownException

        + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADUser

        + PSComputerName        : SRVMSG01

     Lorsque j'exécute ces commandes (sans le invoke) directement sur le serveur que je vise, tout se passe bien.

    Lorsque j'exécute cette commande a distance avec Invoke-Command tout se passe bien :

    Invoke-Command -ComputerName Computer -ScriptBlock {Get-Culture}

    Les modules active directory sont bien installé sur la machine cliente et le serveur, ADWS est bien activé sur le serveur cible.

    Auriez-vous une idée d'où pourrait venir le problème ?

    Merci d'avance !

    Vincent



    Vincent

    lundi 3 juillet 2017 09:37

Réponses

  • Bonjour, le problème a été résolu en ajoutant cette partie :  -Authentication CredSSP avec la commande invoke command, donnant ceci :

    Invoke-Command -ComputerName server.domain -Credential $username -Authentication CredSSP -FilePath \\server\Scripts\GestionUtilisateurs\desactivationuser.ps1

    Merci beaucoup pour votre aide !

    Vincent


    Vincent

    • Marqué comme réponse Vince7342 mercredi 5 juillet 2017 08:44
    mercredi 5 juillet 2017 08:44

Toutes les réponses

  • Bonjour,

    Votre problème semble similaire à celui-ci : https://serverfault.com/questions/203123/unable-able-to-run-remote-powershell-using-active-directory

    Pouvez-vous tester en activant CredSSP côté client et serveur ?

    Renald

    mardi 4 juillet 2017 08:43
  • Bonjour,

    Est ce que les 2 postes sont en workgroup ? dans le domaine ? worgroup + domain ?Avec le FQDN du serveur est ce que cela fonctionne ?


    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

    mardi 4 juillet 2017 09:04
  • J'ai lancé cette commande sur mon AD : Enable-WSManCredSSP -Role MonServeur –Force

    Tout s'est bien passé, j'ai vérifié que ADWS etait bien activé, j'ai même fait winrm quickconfig Tout est Ok.

    C'est du côté de mon client, j'ai toujours une erreur au lancement de cette commande :

    Enable-WSManCredSSP -Role Client -DelegateComputer monad.domaine -Force

    J'ai cette erreur :

    Enable-WSManCredSSP : Le client ne peut pas se connecter à la destination spécifiée dans la demande. Vérifiez que le se
    rvice est en cours d'exécution sur la destination et qu'il accepte les demandes. Consultez les journaux et la documenta
    tion du service Gestion des services Web en cours d'exécution sur la destination, le plus souvent IIS or WinRM. Si la d
    estination est le service WinRM, exécutez la commande suivante sur la destination pour analyser et configurer le servic
    e WinRM : « winrm quickconfig ».
    Au niveau de ligne : 1 Caractère : 20
    + Enable-WSManCredSSP <<<<  -role client -DelegateComputer vmdc01.admr73.pri -Force
        + CategoryInfo          : InvalidOperation: (System.String[]:String[]) [Enable-WSManCredSSP], InvalidOperationExce
       ption
        + FullyQualifiedErrorId : WsManError,Microsoft.WSMan.Management.EnableWSManCredSSPCommand

    J'ai essayé sur un autre AD, pas mieux... Vous avez une idée ? Je continue de chercher de mon côté.

    Merci encore pour votre réponse !

    EDIT : J'ai également ouvert les port 7389 en tcp et udp sur le serveur et mon pc comme le dis ton topic mais pas mieux...


    Vincent


    • Modifié Vince7342 mardi 4 juillet 2017 09:12
    mardi 4 juillet 2017 09:06
  • Bonjour,

    Mes postes sont en domaine et avec le FQDN, ça ne marche pas mieux quand en netbios...


    Vincent

    mardi 4 juillet 2017 09:12
  • Pouvez-vous vous connecter en local ou rdp sur le serveur et exécuter la commande PowerShell

    WinRM QuickConfig

    cf. http://www.macintom.com/wp/2012/05/09/powershell-demarrer-un-service-distant-sur-un-serveur-windows/

    Renald

    mardi 4 juillet 2017 09:29
  • Bonjour, je l'avais déjà fait et les règles pare feu et le service étaient déjà configurés.

    J'ai trouvé une info : Il y aurai une GPO à activer mais je ne la trouve pas. Elle devrait être dans :

    Computer Configuration | Administrative Templates | System | Credentials Delegation.

    Mais pas moyen d'y mettre la main dessus... Ou alors je ne trouve pas sa traduction en français... Voici ce que j'ai dans ma bibliothèque GPO :

    

    Merci d'avance !

    EDIT : J'ai oublié de faire winm quickconfig sur mon pc.... Et ça a fonctionné, le credssp est activé.

    EDIT2 : Le Invoke-Command -ComputerName serveur.domaine -FilePath \\serveur\Scripts\GestionUtilisateurs\desactivationuser.ps1 -Credential $username

    ne fonctionne pas mieux...


    Vincent




    • Modifié Vince7342 mardi 4 juillet 2017 09:59
    mardi 4 juillet 2017 09:39
  • Credentials Delegation fait partie de CredSPP.admx

    Télécharge les modèles admx qui te concerne :

    Pour Windows Server 2008 : https://www.microsoft.com/en-us/download/details.aspx?id=14355

    Pour Windows Server 2012 : https://www.microsoft.com/fr-fr/download/details.aspx?id=36991

    Tu pourras ensuite ajouter le modèle admx adéquate et configurer la GPO.

    Renald

    mardi 4 juillet 2017 18:44
  • Bonjour, le problème a été résolu en ajoutant cette partie :  -Authentication CredSSP avec la commande invoke command, donnant ceci :

    Invoke-Command -ComputerName server.domain -Credential $username -Authentication CredSSP -FilePath \\server\Scripts\GestionUtilisateurs\desactivationuser.ps1

    Merci beaucoup pour votre aide !

    Vincent


    Vincent

    • Marqué comme réponse Vince7342 mercredi 5 juillet 2017 08:44
    mercredi 5 juillet 2017 08:44