迷走ITProですわな~

ITPro駆け出しによるブログ。「認証」にはまり中

AAD ConnectにおけるWinRMサービスを介したADFS,WAP管理

AAD Connectをインストールする際に、ADFSやWAPをWinRMサービスを介して構成・管理できるオプションがありますが、少しハマったのでちょいネタということで。

 

WinRMは、サーバーをリモート管理する際に利用するテクノロジですが、その利用前提条件が以下のように記載されています。

 

----------------------------------------------------------------------------------------------------------------------

 ターゲット サーバーがドメインに参加している場合は、Windows リモート管理が有効であることを確認します。

  • 管理者特権の PSH コマンド ウィンドウで、 Enable-PSRemoting –force

 

  • ターゲット サーバーが、ドメインに参加していない WAP コンピューターである場合は、いくつかの追加の要件があります。
    • ターゲット コンピューター (WAP コンピューター) での要件
      • サービス スナップインから winrm (Windows Remote Management / WS-Management) サービスが実行されていることを確認します。
      • 管理者特権の PSH コマンド ウィンドウで、 Enable-PSRemoting –force
        • ウィザードを実行しているコンピューターでの要件 (ターゲット コンピューターがドメインに参加していないか、信頼されていないドメインにある場合)
        • 管理者特権の PSH コマンド ウィンドウで、 Set-Item WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate
      • サーバー マネージャーでの要件
        • DMZ WAP ホストをコンピューターのプールに追加します ([サーバー マネージャー]、[管理]、[サーバーの追加] の順にクリックし、[DNS] タブを使用)。
        • サーバー マネージャーの [すべてのサーバー] タブで、 WAP サーバーを右クリックし、[管理に使用する資格情報] を選択し、WAP コンピューターのローカルの資格情報 (ドメインの資格情報ではない) を入力します。
        • リモートの PSH 接続を検証するには、サーバー マネージャーの [すべてのサーバー] タブで WAP サーバーを右クリックし、[Windows PowerShell] を選択します。 リモート PSH セッションが開き、リモート PowerShell セッションを確立できます。

docs.microsoft.com 

----------------------------------------------------------------------------------------------------------------------

 

ADFSはドメイン参加する+一般的にFWを介さないので特に問題になりません。

しかしWAPは一般的に、ワークグループ+FWを介すので色々引っかかりやすいです。

※私は以下で引っかかりました。

 

・TrustedHostsに対する登録は<FQDN>(ホスト名でやっちゃってました。。。)

・WAPのネットワークプロファイルを[Private]にする。もしくは「Enable-PSRemoting」コマンドを実行する際に、「-SkipNetworkProfileCheck」オプションを利用する。

 

詳しいトラブル対応情報は以下にまとまっています。

about_Remote_Troubleshooting