Quản lý từ xa Windows trên các miền không tin cậy


12

Tôi hiện đang cố gắng kích hoạt Windows Remote Management (cụ thể là Powershell Remote) giữa 2 miền không tin cậy và không gặp may.

Mô tả ngắn gọn về thiết lập của tôi:

  • domain1 - máy trạm của tôi nằm trên miền này
  • domain2 - máy chủ tôi muốn kết nối nằm trên miền này

Không có sự tin tưởng giữa các tên miền.

Tôi đang cố gắng tạo kết nối từ xa Powershell bằng các lệnh sau từ máy trạm của tôi (đã tham gia vào domain1):

thông số
    [Tham số (Bắt buộc = $ True)]
    $ máy chủ
)

$ tên người dùng = "tên miền \ người dùng"
$ password = read-host "Nhập mật khẩu cho tên người dùng $" -AsSecureString

$ Bằng chứng = Hệ thống đối tượng mới. Quản lý.Automation.PSCredential (tên người dùng $, mật khẩu $)

$ session = New-PSSession "$ server" -Authentication CredSSP -Credential $ cert -UseSSL -SessionOption (New-PSSessionOption -SkipCACheck -SkipCNCheck)
Phiên Enter-PSSession $

Kết quả trong thông báo lỗi sau:

New-PSSession: [computername.domain2.com] Kết nối với máy chủ từ xa computername.domain2.com không thành công với thông báo lỗi sau: Ứng dụng khách WinRM
không thể xử lý yêu cầu. Chính sách máy tính không cho phép ủy nhiệm thông tin người dùng cho máy tính đích vì máy tính không đáng tin cậy. Danh tính của mục tiêu
máy tính có thể được xác minh nếu bạn định cấu hình dịch vụ WSMAN để sử dụng chứng chỉ hợp lệ bằng lệnh sau: winrm set winrm / config / service '@ {Chứng nhậnThumbprint = ""}' Hoặc
bạn có thể kiểm tra Trình xem sự kiện cho một sự kiện chỉ định rằng SPN sau không thể được tạo: WSMAN /. Nếu bạn tìm thấy sự kiện này, bạn có thể tự tạo SPN bằng cách sử dụng
setspn.exe. Nếu SPN tồn tại, nhưng CredSSP không thể sử dụng Kerberos để xác thực danh tính của máy tính mục tiêu và bạn vẫn muốn cho phép ủy nhiệm thông tin đăng nhập của người dùng cho mục tiêu
máy tính, sử dụng gpedit.msc và xem chính sách sau: Cấu hình máy tính -> Mẫu quản trị -> Hệ thống -> Phân quyền chứng chỉ -> Cho phép thông tin xác thực mới chỉ với NTLM
Xác thực máy chủ. Xác minh rằng nó được kích hoạt và được cấu hình với SPN phù hợp với máy tính mục tiêu. Ví dụ: đối với tên máy tính mục tiêu "myserver.domain.com", SPN có thể là
một trong những điều sau đây: WSMAN / myserver.domain.com hoặc WSMAN / *. domain.com. Hãy thử lại yêu cầu sau những thay đổi này. Để biết thêm thông tin, hãy xem chủ đề Trợ giúp về khởi động about_Remote_Troubledhoot.

Tôi đã thử / xác minh những điều sau đây:

  1. Tôi đã xác minh rằng SPN tồn tại cho cả WSMAN \ computername & WSMAN \ computername.domain2.com trong domain2.
  2. Đã xác minh rằng Cấu hình máy tính -> Mẫu quản trị -> Hệ thống -> Phân quyền thông tin xác thực -> Cho phép thông tin xác thực mới với Xác thực máy chủ chỉ NTLM được đặt chính xác.
  3. Cấu hình winrm trên máy tính đích để sử dụng ssl.
  4. Cấu hình CredSSP trên máy tính đích và máy trạm cục bộ của tôi bằng các lệnh sau:
Bật-WSManCredSSP -Role Server # trên máy tính đích
Kích hoạt-WSManCredSSP -Role Client -DelegateComputer * -Force
  1. Tôi đã xác minh rằng không có quy tắc FW nào, cục bộ đối với các máy tính trên hoặc mạng đang chặn quyền truy cập của tôi.

Không ai trong số đó cho phép tôi kết nối thành công với máy tính mục tiêu trong domain2 từ máy trạm của tôi trong domain1. Tôi có thể kết nối thành công với các máy chủ khác được kết nối với domain1, không phải máy chủ trong domain2. Có điều gì khác tôi nên tìm kiếm và / hoặc cố gắng để làm việc này không?

CẬP NHẬT 06/08/2015 Trên thực tế tôi đã có thể xác minh rằng tôi có thể kết nối với máy chủ từ máy trạm của mình mà không cần sử dụng CredSSP, điều này sẽ ổn; tuy nhiên, tôi cần có khả năng chạy các tập lệnh đối với SharePoint và làm như vậy mà không có CredSSP bị lỗi với quyền.


Bạn đã thử cụ thể hơn về những gì bạn đang ủy thác thông tin đăng nhập của mình chưa? Ví dụ: Enable-WSManCredSSP -Role Client -DelegateComputer WSMAN/computername.domain2.com( msdn.microsoft.com/en-us/l Library / e309365 ( v = vs85) .aspx , điểm 3.)
john


Thật không may, không có đề xuất nào trong số đó đã làm việc.
Nick DeMayo


1
Ôi! Tôi tìm thấy câu trả lời trong bài viết bạn liên kết quá. Tôi đã thử trong cài đặt trước đây "AllowFreshCredentialsDomain" để có SPN, nhưng điều đó không hiệu quả. Hóa ra, tôi có thể đặt "AllowFreshCredentialsWhenNTLMOnly" và "AllowFreshCredentialsWhenNTLMOnlyDomain" và nó hoạt động! user2320464, nếu bạn có thể vui lòng gửi bình luận của bạn dưới dạng câu trả lời, tôi sẽ chấp nhận và bạn sẽ nhận được tiền thưởng!
Nick DeMayo

Câu trả lời:


2

Bài viết MSDN này cho thấy cách định cấu hình WinRM để hỗ trợ nhiều bước nhảy, cũng giải quyết việc tạo kết nối khi Kerberos không phải là một tùy chọn. Tóm tắt dưới đây.

Windows Remote Management (WinRM) hỗ trợ ủy nhiệm thông tin người dùng trên nhiều máy tính từ xa. Chức năng hỗ trợ multi-hop hiện có thể sử dụng Nhà cung cấp dịch vụ bảo mật thông tin xác thực (CredSSP) để xác thực. CredSSP cho phép ứng dụng ủy quyền thông tin đăng nhập của người dùng từ máy khách đến máy chủ đích.

Xác thực CredSSP dành cho các môi trường không thể sử dụng ủy quyền Kerberos. Hỗ trợ cho CredSSP đã được thêm vào để cho phép người dùng kết nối với máy chủ từ xa và có khả năng truy cập vào máy thứ hai, chẳng hạn như chia sẻ tệp.

Cụ thể, phần trong bài viết liên quan đến Mục nhập chính sách nhóm / Cài đặt chính sách AllowFreshCredentialsWhenNTLM Chỉ giải quyết vấn đề tôi gặp phải. Từ bài viết:

Nếu cả xác thực Kerberos và dấu vân tay chứng chỉ đều khả dụng, người dùng có thể kích hoạt xác thực NTLM. Nếu xác thực NTLM được sử dụng, chính sách Cho phép xác thực mới với Xác thực máy chủ chỉ NTLM (AllowFreshCredentialsWhenNTLMOnly) phải được bật và phải thêm SPN với tiền tố WSMAN vào chính sách. Cài đặt này kém an toàn hơn cả dấu vân tay xác thực và chứng chỉ Kerberos, vì thông tin đăng nhập được gửi đến máy chủ không được xác thực.

Để biết thêm thông tin về chính sách AllowFreshCredentialsWhenNTLMOnly, hãy xem mô tả chính sách do trình soạn thảo Chính sách nhóm và KB 951608 cung cấp.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.