New-PSSession através dos limites do domínio

Estou tentando abrir uma máquina virtual que precisa ser capaz de criar novas sessões (com New-PSSession). O about_Remote_Trou Troubleshooting altamente envolvente é meu companheiro constante, é claro!

Depois de abrir uma máquina básica (Win 8.1 Enterprise):

• O domínio principal da minha empresa é, digamos mycompany.com,.
• Temos um domínio de desenvolvimento dev.mycompany.compara que os desenvolvedores tenham uma sandbox para brincar.
• Adicionei a nova VM (chamada my-vm) ao domínio de desenvolvimento dev.mycompany.com.
• Eu tenho uma conta local na nova VM, my-vm\msorensque está no grupo Administradores na máquina local.

Primeiro obstáculo:

A tentativa de executar apenas New-PSSessionfalhou com o acesso negado devido a problemas entre domínios. De acordo com a página de solução de problemas mencionada acima:

Quando um usuário em outro domínio é membro do grupo Administradores no computador local, ele não pode se conectar ao computador local remotamente com privilégios de Administrador.

Não estou convencido de que isso seja verdade (devido à minha inexperiência em questões de domínio), mas a aplicação da receita para esse remédio permitiu que o básico New-PSSessionfuncionasse:

New-ItemProperty `
-Name LocalAccountTokenFilterPolicy `
-Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System `
-PropertyType DWord `
-Value 1

(E isso, embora menos seguro, é bom, pois é apenas uma VM sandbox.)

Segundo obstáculo:

Com o patch acima, eu poderia executar com êxito qualquer um destes procedimentos:

PS> New-PSSession
PS> New-PSSession -ComputerName localhost
PS> New-PSSession -ComputerName my-vm

No entanto, minha necessidade real é fornecer o FQDN da máquina:

PS> New-PSSession -ComputerName my-vm.dev.mycompany.com

Isso falha devido à falta de credenciais. O que nos leva a isso:

PS> New-PSSession -ComputerName my-vm.dev.mycompany.com -Credential (Get-Credential)

Tentei minhas credenciais locais (my-vm), que resultaram no WinRM não podem processar a solicitação; não há servidores de logon disponíveis .

Tentei as credenciais de domínio da minha empresa (observe que é minhaempresa.com e não o domínio em que a VM está realmente em dev.mycompany.com), o que resultou em acesso negado .

Existe uma maneira de fazer isso funcionar?

No trabalho, temos a mesma situação. Aqui estão algumas etapas que realizamos em novos computadores de colegas de trabalho para que eles possam se conectar a esses servidores, como estão fora do nosso domínio.

No lado do cliente

winrm quickconfig
winrm set winrm/config/client '@{TrustedHosts="Computer1,Computer2"}'

No lado do servidor

Enable-PSRemoting -Force
winrm quickconfig

Para HTTPS

winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="_";CertificateThumbprint="_"}

Para HTTP

winrm create winrm/config/Listener?Address=*+Transport=HTTP

Teste com

Test-WsMan ComputerName
Test-WsMan ComputerName -UseSSL

Crie uma sessão com

New-PSSession -ComputerName Computer1 -Credential (Get-Credential)

Obviamente, você precisa configurar seu firewall para permitir que o servidor escute na porta remota do PowerShell.

Editar: definir TrustedHosts com o PowerShell

Ou com o PowerShell (como administrador)

Set-Item -Path WSMan:\localhost\Client\TrustedHosts -Value "Computer1,Computer2"

E verifique (não precisa de administrador para isso)

Get-Item WSMan:\localhost\Client\TrustedHosts