使用psexec嵌套調用問題（拒絕訪問）

Question

首先，對不起我的英文不好。我會盡力解釋我的問題。在node1和完成所有任務後執行很多任務（關機服務，檢查狀態等）：

我使用PSEXEC在腳本中重啓集羣如下：在節點1

SCRIPT1使用psexec啓動node2中的script2（psexec-d \ \ node2 script2）

node2中的script2：執行大量任務並啓動node1中的script3。這裏是，當我嘗試在node1中運行script3時，我在psexec中收到了「訪問被拒絕」。 （PSEXEC-d \ \ nodo1 script3）

我啓動腳本屬於管理員組

出於安全原因，我無法通過用戶名和密碼的用戶，因爲它不是安全離開憑據在.bat文件中。

附加信息：

I'm運行在W2K3服務器 腳本我嘗試了NET USE及其一切ok 我試着用-u用戶名和用戶名-p和所有ok了PSEXEC 我試着以此語法執行psexec：psexec .exe -d \ node1 cmd.exe「script3.bat」並返回相同的錯誤。

THKS很多 問候

Answer 1

這可能與一個由太多的鏈接服務器獲取使用集成身份驗證啤酒花的問題有關 - 一個double-hop Kerberos problem。

由於集成Windows身份驗證包括兩個獨立的身份驗證機制：

• NTLM V2 - 和 -
• 的Kerberos，

如果你正在使用Kerberos，因爲用戶的密碼永遠不會傳遞到IIS服務器，IIS服務器上的令牌將跳轉到網絡上的另一臺計算機的唯一方式是通過Kerberos委派。如果這不可用或不允許，那麼跳就不會發生（這就是它發生的情況）。

鑑於您正在使用默認憑證，並且如果當前安全上下文是無法委託的模擬令牌，則您提供的憑證將不會跳到另一臺機器的 。 由於Windows集成身份驗證會創建模擬令牌，因此很可能是這種情況。

來源：

• psexec problem
• Windows authentification thread (forum)

Answer 2

可以使呼叫SCRIPT2等待完成，而不是讓SCRIPT2打電話回節點：

SCRIPT1在node1中：執行很多 任務（關機服務S，檢查 狀態，等等。）在節點1和 完成所有任務的啓動與PSEXEC 在節點2的SCRIPT2後（PSEXEC \ \節點2 SCRIPT2）

SCRIPT2在節點2：執行大量的 任務。

node1中的script1：啓動script3。

Answer 3

最後，我決定在第二個腳本中使用看門狗進程，所以腳本將通過此進程啓動，而不是由psexec啓動。

非常感謝您的幫助和您的時間來幫助我。

最好的問候