/u/11437/wandcontactdoos.png?f=community)
We hebben hier een Active Directory omgeving met onder andere een aantal Windows 2012 R2 servers. Een van die servers is uit het domein verwijderd en in het DMZ neergezet. Laten we die voor het gemak DMZServer noemen. Verder hebben we een management server in het AD, laten we die MGMTServer noemen.
Omdat er natuurlijk geen trust relation meer mogelijk is heb ik op MGMTServer de DMZServer in de wsman TrustedHosts gezet (Ik gebruik geen PoSH Remoting over SSL omdat de software op de management server daar iet mee overweg lijkt te kunnen gaan), en qua firewall heb ik op zowel de corporate firewall als de Windows firewall een regel aangemaakt dat MGMTServer op alle mogelijke poorten en protocollen mag verbinden met DMZServer.
Als ik vanaf MGMTServer "New-PSSession" aanroep naar een server in het AD dan is dat binnen een seconde gedaan. Doe ik dat (met -Authentication Negotiate, Kerberos doet het natuurlijk ook niet) naar DMZServer dan kost dit 10 of 11 seconde. Voor mezelf niet zo'n probleem, maar de software op de management server geeft een time-out na 5, en die kan ik niet aanpassen.
Hoe komt het dat dit zo lang duurt, en wat kan ik er aan doen?
Ik heb al gekeken of PSSessionOptions -SkipCACheck -SkipCNCheck -SkipRevocationCheck iets uithalen dat haalt niks uit, waarschijnlijk omdat ik geen PoSH over SSL gebruik. Wel was het RDP certificaat vervangen na het uit het domein knikkeren van die machine, dus die heb ik maar weer terug gezet maar mogelijk dat er voor SPNEGO ook nog zoiets moet? Of zoek ik in de verkeerde hoek?
Omdat er natuurlijk geen trust relation meer mogelijk is heb ik op MGMTServer de DMZServer in de wsman TrustedHosts gezet (Ik gebruik geen PoSH Remoting over SSL omdat de software op de management server daar iet mee overweg lijkt te kunnen gaan), en qua firewall heb ik op zowel de corporate firewall als de Windows firewall een regel aangemaakt dat MGMTServer op alle mogelijke poorten en protocollen mag verbinden met DMZServer.
Als ik vanaf MGMTServer "New-PSSession" aanroep naar een server in het AD dan is dat binnen een seconde gedaan. Doe ik dat (met -Authentication Negotiate, Kerberos doet het natuurlijk ook niet) naar DMZServer dan kost dit 10 of 11 seconde. Voor mezelf niet zo'n probleem, maar de software op de management server geeft een time-out na 5, en die kan ik niet aanpassen.
Hoe komt het dat dit zo lang duurt, en wat kan ik er aan doen?
Ik heb al gekeken of PSSessionOptions -SkipCACheck -SkipCNCheck -SkipRevocationCheck iets uithalen dat haalt niks uit, waarschijnlijk omdat ik geen PoSH over SSL gebruik. Wel was het RDP certificaat vervangen na het uit het domein knikkeren van die machine, dus die heb ik maar weer terug gezet maar mogelijk dat er voor SPNEGO ook nog zoiets moet? Of zoek ik in de verkeerde hoek?
"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock
:strip_icc():strip_exif()/u/560345/crop5a7c15f47e88a_cropped.jpeg?f=community)
Daar staat in de troubleshooting steps dat als Enter-PSSession (of New-PSSession) werkt dat hun software het ook moet doen.
