Gestione remota di Windows su domini non attendibili


12

Attualmente sto cercando di abilitare la gestione remota di Windows (in particolare Powershell Remoting) tra 2 domini non attendibili e non ho fortuna.

Una breve descrizione del mio setup:

  • domain1 - la mia workstation è su questo dominio
  • domain2 - il server al quale desidero connettermi è su questo dominio

Non c'è fiducia tra questi domini.

Sto tentando di creare la connessione remota Powershell usando i seguenti comandi dalla mia workstation (unita a domain1):

param (
    [Parametro (Mandatory = $ True)]
    $ server
)

$ username = "dominio \ utente"
$ password = read-host "Inserisci password per $ nomeutente" -AsSecureString

$ credential = New-Object System.Management.Automation.PSCredential ($ username, $ password)

$ session = New-PSSession "$ server" -Authentication CredSSP -Credential $ credential -UseSSL -SessionOption (New-PSSessionOption -SkipCACheck -SkipCNCheck)
Enter-PSSession $ session

Che risulta nel seguente messaggio di errore:

New-PSSession: [nomecomputer.dominio2.com] Connessione al server remoto computername.dominio2.com non riuscita con il seguente messaggio di errore: Il client WinRM
impossibile elaborare la richiesta. Un criterio del computer non consente la delega delle credenziali dell'utente al computer di destinazione perché il computer non è attendibile. L'identità del bersaglio
il computer può essere verificato se si configura il servizio WSMAN per utilizzare un certificato valido utilizzando il comando seguente: winrm set winrm / config / service '@ {CertificateThumbprint = ""}' Oppure
è possibile controllare il Visualizzatore eventi per un evento che specifica che non è stato possibile creare il seguente SPN: WSMAN /. Se trovi questo evento, puoi creare manualmente l'SPN usando
setspn.exe. Se l'SPN esiste, ma CredSSP non può utilizzare Kerberos per convalidare l'identità del computer di destinazione e si desidera comunque consentire la delega delle credenziali dell'utente alla destinazione
computer, utilizzare gpedit.msc e osservare i seguenti criteri: Configurazione computer -> Modelli amministrativi -> Sistema -> Delega credenziali -> Consenti nuove credenziali solo con NTLM
Autenticazione del server. Verificare che sia abilitato e configurato con un nome SPN appropriato per il computer di destinazione. Ad esempio, per un nome computer di destinazione "myserver.domain.com", l'SPN può essere
uno dei seguenti: WSMAN / myserver.domain.com o WSMAN / *. domain.com. Riprova la richiesta dopo queste modifiche. Per ulteriori informazioni, consultare l'argomento della guida about_Remote_Tro troubleshooting.

Ho provato / verificato le seguenti cose:

  1. Ho verificato che esiste un nome SPN sia per WSMAN \ nomecomputer sia per WSMAN \ nomecomputer.dominio2.com in domain2.
  2. Verificare che Configurazione computer -> Modelli amministrativi -> Sistema -> Delega credenziali -> Consenti credenziali nuove con autenticazione server solo NTLM sia stata impostata correttamente.
  3. Winrm configurato sul computer di destinazione per utilizzare ssl.
  4. CredSSP configurato sul computer di destinazione e sulla mia stazione di lavoro locale utilizzando i seguenti comandi:
Enable-WSManCredSSP -Role Server # sul computer di destinazione
Enable-WSManCredSSP -Role Client -DelegateComputer * -Force
  1. Ho verificato che nessuna regola FW, locale per i computer o la rete, sta bloccando il mio accesso.

Nessuno dei quali mi ha permesso di connettermi correttamente al computer di destinazione in domain2 dalla mia workstation in domain1. Posso collegarmi con successo ad altri server che sono uniti a domain1, ma non ai server in domain2. C'è qualcos'altro che dovrei cercare e / o provare a far funzionare?

AGGIORNAMENTO 06/08/2015 Sono stato infatti in grado di verificare che posso collegarmi al server dalla mia workstation senza usare CredSSP, il che andrebbe bene; tuttavia, devo essere in grado di eseguire script su SharePoint e farlo senza CredSSP fallisce con un errore di autorizzazione.


Hai provato a essere più specifico su ciò a cui stai delegando le tue credenziali? Ad esempio Enable-WSManCredSSP -Role Client -DelegateComputer WSMAN/computername.domain2.com( msdn.microsoft.com/en-us/library/ee309365(v=vs.85).aspx , punto 3.)
john


Sfortunatamente, nessuno di questi suggerimenti ha funzionato.
Nick DeMayo,


1
Oooo! Ho trovato la risposta anche nell'articolo che hai collegato. Avevo provato in passato l'impostazione "AllowFreshCredentialsDomain" per avere un SPN, ma non funzionava. A quanto pare, potrei impostare "AllowFreshCredentialsWhenNTLMOnly" e "AllowFreshCredentialsWhenNTLMOnlyDomain" e funziona! user2320464, se potessi per favore inserisci il tuo commento come risposta, lo accetterò e otterrai la generosità!
Nick DeMayo,

Risposte:


2

Questo articolo MSDN mostra come configurare WinRM per il supporto multi-hop che risolve anche le connessioni quando Kerberos non è un'opzione. Breve riassunto di seguito.

Windows Remote Management (WinRM) supporta la delega delle credenziali utente su più computer remoti. La funzionalità di supporto multi-hop ora può utilizzare Credential Security Service Provider (CredSSP) per l'autenticazione. CredSSP consente a un'applicazione di delegare le credenziali dell'utente dal computer client al server di destinazione.

L'autenticazione CredSSP è destinata agli ambienti in cui non è possibile utilizzare la delega Kerberos. È stato aggiunto il supporto per CredSSP per consentire a un utente di connettersi a un server remoto e avere la possibilità di accedere a una macchina di secondo hop, come una condivisione di file.

In particolare, la sezione dell'articolo relativa alla voce del Registro di sistema / Impostazione dei criteri di gruppo AllowFreshCredentialsWhenNTLMO ha risolto solo il problema che stavo riscontrando. Dall'articolo:

Se non sono disponibili né l'autenticazione Kerberos né le impronte digitali del certificato, l'utente può abilitare l'autenticazione NTLM. Se si utilizza l'autenticazione NTLM, è necessario abilitare il criterio Consenti credenziali nuove con autenticazione server solo NTLM (AllowFreshCredentialsWhenNTLMOnly) e aggiungere un SPN con il prefisso WSMAN al criterio. Questa impostazione è meno sicura sia dell'autenticazione Kerberos che delle impronte digitali del certificato, poiché le credenziali vengono inviate a un server non autenticato.

Per ulteriori informazioni sulla politica AllowFreshCredentialsWhenNTLMOnly, consultare la descrizione della politica fornita dall'editor Criteri di gruppo e KB 951608. La politica AllowFreshCredentialsWhenNTLMOnly si trova nel seguente percorso: Configurazione computer \ Modelli amministrativi \ Sistema \ Delega credenziali.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.