Использование Get-DnsServerResourceRecord Дистанционно против другого домена

Question

Im пытается запустить следующую

$secpasswd = 'Test' 
$secpasswd = ConvertTo-SecureString $secpasswd -AsPlainText -Force 
$mycreds = New-Object System.Management.Automation.PSCredential ('domain2\nick', $secpasswd) 

[scriptblock]$CheckDNS = { 
Get-DnsServerResourceRecord -Name 'computername' -ZoneName domain2.local -ComputerName domain2dC.domain2.local } 

invoke-command -scriptblock $CheckDNS -Credential $mycreds -ComputerName domain2managementbox.domain2.local 

Это должно быть запущен модуль Get-DnsServerResourceRecord на целевой машине, однако им получает следующее сообщение об ошибке:

Failed to get the zone information for domain2.local on server domain2managementbox.domain2.local. 
+ CategoryInfo   : PermissionDenied: (dgtest.local:root/Microsoft/...rResourceRecord) [Get-DnsServerResourceRecord], CimException 
+ FullyQualifiedErrorId : WIN32 5,Get-DnsServerResourceRecord 

Когда я запускаю команду в самом окне, она работает нормально, и у меня есть правильные разрешения.

Благодаря

Answer 1

Вы пытаетесь «двойной хмель» с учетными данными (с вашей клиентской машине, чтобы «domain2managementbox.domain2.local», а затем снова «domain2dC.domain2.local». Это не разрешается с использованием аутентификации по умолчанию керберос.

Выполнить Enable-WSManCredSSP -Role Client -DelegateComputer domain2managementbox.domain2.local -Force на клиентской машине.

Выполнить на Enable-WSMaCredSSP -Role Server –Force на "domain2managementbox.domain2.local"

... и то и se -CredSSP в качестве дополнительного параметра аутентификации для Invoke-Command.