Comment procéder si je ne parviens pas à lancer une session PowerShell distante avec FSx for Windows File Server via une approbation externe ?

Dernière mise à jour : 17/03/2021

Je souhaite configurer les clichés instantanés sur Amazon FSx for Windows File Server. Cependant, je ne peux pas le faire car j'obtiens l'erreur suivante lors de la configuration d'une session PowerShell distante :

« enter-pssession : la connexion au serveur distant <FSx_DNS_Name> a échoué avec le message d'erreur suivant : WinRM ne peut pas traiter la demande. L'erreur suivante s'est produite lors de l'utilisation de l'authentification Kerberos : Impossible de trouver l'ordinateur <FSx_DNS_Name>. Vérifiez que l'ordinateur existe sur le réseau et que le nom fourni est correctement orthographié. Pour plus d'informations, consultez la rubrique d'aide about_Remote_Troubleshooting.

Résolution

Tout d'abord, vérifiez que votre configuration répond aux prérequis suivants :

  • Vous devez créer une relation d'approbation entre Microsoft Active Directory sur site et AWS Directory Service for Microsoft Active Directory.
    Remarque : vous devez disposer d'un minimum de deux relations d'approbation unidirectionnelles. Une relation d'approbation unidirectionnelle doit correspondre à une approbation sortante provenant de l'instance AD Microsoft Managed AWS où se trouvent vos objets ordinateur Amazon FSx. L'autre relation d'approbation unidirectionnelle doit correspondre à une approbation entrante sur l'instance Microsoft AD sur site.
  • Vous devez disposer d'un utilisateur AD sur site qui fait partie du groupe d'administrateurs Amazon FSx dans le répertoire AWS Managed Microsoft AD.
  • Votre groupe de sécurité Amazon FSx doit avoir des règles qui autorisent le trafic vers et depuis des adresses IP ou des ID de groupe de sécurité associés au client à partir duquel vous souhaitez gérer Amazon FSx et activer les clichés instantanés. Le groupe de sécurité Amazon FSx doit autoriser ce trafic entrant et sortant sur les ports suivants :
    TCP/UDP 445 (SMB)
    TCP 135 (RPC)
    TCP/UDP 1024-65535 (ports éphémères pour RPC)

Si votre configuration répond aux prérequis mais que vous obtenez toujours l'erreur « Authentification Kerberos : Impossible de trouver l'ordinateur », cette erreur peut être liée à l'approbation externe Microsoft. Pour permettre à l'authentification Kerberos de fonctionner avec l'approbation externe Microsoft, l'application qui crée les noms de principaux de service (SPN) doit générer des SPN en trois parties. L'applet de commande enter-pssession demande uniquement un SPN en deux parties et dès lors, la requête échoue. Si vous exécutez une trace réseau lors de l'exécution de l'applet de commande PowerShell, la requête renvoie un message d'erreur similaire au suivant : « Kerberos: KRB_ERROR - KDC_ERR_S_PRINCIPAL_UNKNOWN ».

Pour résoudre cette erreur et activer l'authentification Kerberos avec une approbation externe Microsoft, configurez KFSO (Kerberos Forest Search Order) pour le client Kerberos dans le domaine AD sur site. Dans la fenêtre Utiliser l'ordre de recherche de forêt, pour Forêts à rechercher, ajoutez les noms de domaine pour votre AD autogéré et AWS Managed Microsoft AD. Ajoutez les noms de domaine dans l'ordre et au format suivants :

selfmanaged.example.com;awsmanaged.example.com

Après avoir appliqué ces paramètres à la machine que vous utilisez pour gérer Amazon FSx, vous pouvez continuer à activer les clichés instantanés pour Amazon FSx.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?