イベントログを眺めていたところ、WinRMに関する
エラーが出ていたため、調査・対応した時のメモ。
■環境
- WindowsServer2008 R2
- Active Directory 構築済
- ドメインコントローラーにて発生
■イベントログ
| レベル | 警告 |
| ソース | Microsoft-Windows-WinRM |
| イベントID | 10154 |
WinRM サービスは次の SPN を作成できませんでした:
WSMAN/<ドメイン名>、WSMAN/<サーバー名>追加データ
受信したエラーは 8344: %%8344。ユーザー操作
SPN は管理者が setspn.exe ユーティリティを使用して作成できます。
■原因
WinRM用のSPN(サービスプリンシパル名)が存在していなかったため。
以下のBlogに原因と対応方法が記載されています。(コメント欄もチェック)
IT Core Blog - Domain Controllers Warning Event ID: 10154
■対応
WinRMを使わなければ現在のままでも構わないと思われるが、
今回は上記のBlogに従い、対応を行う。
ただし、英語版と日本語版では一部違う(?)ようなので、適宜追記。
1.MMCにて、ADSIエディターを追加
2.MMCコンソールの「ADSIエディター」の上で右クリックし、「接続」を選択
3.接続の設定は、デフォルトのまま「OK」
| 接続ポイント | ●既定の名前付けコンテキストを選択する:既定の名前付けコンテキスト |
| コンピューター | 既定(ログインしたドメインまたはサーバー) |
4.以下の通りに展開
既定の名前付けコンテキスト(ドメイン名)
>「DC=<ドメイン名> DC=local」
>「OU=Domain Controllers」
>「CN=<コンピューター名>」
5.「CN=<コンピューター名>」の上で右クリック、「プロパティ」
6.「セキュリティ」タブより、「詳細設定」ボタン
7.「アクセス許可」タブより、「追加」ボタン
8.選択するオブジェクトに、「NETWORK SERVICE」
9.「オブジェクト」タブにて、以下の通り選択
(あるいは、画像参照)
| 適用先 | このオブジェクトのみ |
| アクセス許可 | ■許可:サービスプリンシパル名への検証された書き込... |
10.すべてOKし、サーバーを再起動
以上により、エラーを回避することができた。
■参考
- TechNetのイベントログ内容
TechNet - Event ID 10154 ― Configuration
- ADSIエディターについて
管理者は見た! - 【ADSI プログラミング】 Active Directory – ADSI Edit スナップインを使ってみよう !
