신뢰할 수없는 도메인을 통한 Windows 원격 관리


12

현재 신뢰할 수없는 두 도메인간에 Windows 원격 관리 (특히 Powershell Remoting)를 사용하려고하는데 운이 없습니다.

내 설정에 대한 간단한 설명 :

  • domain1-내 워크 스테이션이이 도메인에 있습니다
  • domain2-연결하려는 서버가이 도메인에 있습니다.

이 도메인들 사이에는 신뢰가 없습니다.

내 워크 스테이션 (domain1에 가입)에서 다음 명령을 사용하여 Powershell 원격 연결을 만들려고합니다.

param (
    [매개 변수 (필수 = $ True)]
    $ 서버
)

$ username = "도메인 \ 사용자"
$ password = 읽기 호스트 "$ username의 비밀번호 입력"-AsSecureString

$ credential = 새 개체 시스템. 관리. 자동화 .PSCredential ($ username, $ password)

$ session = New-PSSession "$ server"-인증 CredSSP-인증서 $ credential -UseSSL -SessionOption (New-PSSessionOption -SkipCACheck -SkipCNCheck)
Enter-PSSession $ 세션

다음과 같은 오류 메시지가 나타납니다.

New-PSSession : [computername.domain2.com] 다음 오류 메시지와 함께 원격 서버 computername.domain2.com에 연결하지 못했습니다 : WinRM 클라이언트
요청을 처리 할 수 ​​없습니다. 컴퓨터 정책에 따라 컴퓨터를 신뢰할 수 없으므로 사용자 자격 증명을 대상 컴퓨터에 위임 할 수 없습니다. 대상의 정체성
다음 명령을 사용하여 유효한 인증서를 사용하도록 WSMAN 서비스를 구성한 경우 컴퓨터를 확인할 수 있습니다. winrm set winrm / config / service '@ {CertificateThumbprint = ""}'또는
다음 SPN을 작성할 수 없음을 지정하는 이벤트에 대한 이벤트 뷰어를 확인할 수 있습니다 : WSMAN /. 이 이벤트를 찾으면 다음을 사용하여 SPN을 수동으로 만들 수 있습니다.
setspn.exe. SPN이 존재하지만 CredSSP가 Kerberos를 사용하여 대상 컴퓨터의 ID를 유효성 검증 할 수없는 경우에도 대상에 대한 사용자 신임 정보 위임을 허용하려는 경우
컴퓨터에서 gpedit.msc를 사용하고 다음 정책을 확인하십시오. 컴퓨터 구성-> 관리 템플릿-> 시스템-> 자격 증명 위임-> NTLM 전용으로 새로운 자격 증명 허용
서버 인증. 대상 컴퓨터에 적합한 SPN으로 활성화 및 구성되어 있는지 확인하십시오. 예를 들어 대상 컴퓨터 이름 "myserver.domain.com"의 경우 SPN은
WSMAN / myserver.domain.com 또는 WSMAN / *. domain.com 중 하나입니다. 이러한 변경 후에 요청을 다시 시도하십시오. 자세한 내용은 about_Remote_Troubleshooting 도움말 항목을 참조하십시오.

다음을 시도 / 확인했습니다.

  1. domain2의 WSMAN \ computername 및 WSMAN \ computername.domain2.com에 SPN이 있는지 확인했습니다.
  2. 컴퓨터 구성-> 관리 템플릿-> 시스템-> 자격 증명 위임-> NTLM 전용 서버 인증으로 새로운 자격 증명 허용이 올바르게 설정되었는지 확인했습니다.
  3. 대상 컴퓨터에서 ssl을 사용하도록 winrm을 구성했습니다.
  4. 다음 명령을 사용하여 대상 컴퓨터와 로컬 워크 스테이션에서 CredSSP를 구성했습니다.
대상 컴퓨터에서 Enable-WSManCredSSP-역할 서버 #
Enable-WSManCredSSP-역할 클라이언트 -DelegateComputer *-강제
  1. 컴퓨터의 로컬 또는 네트워크에 대한 FW 규칙이 액세스를 차단하지 않는지 확인했습니다.

domain1의 워크 스테이션에서 domain2의 대상 컴퓨터에 성공적으로 연결할 수있는 것은 없습니다. domain2의 서버가 아닌 domain1에 가입 된 다른 서버에 성공적으로 연결할 수 있습니다. 내가 찾거나 이것을 작동시키려는 다른 것이 있습니까?

2015 년 8 월 8 일 업데이트 실제로 CredSSP를 사용하지 않고도 워크 스테이션에서 서버에 연결할 수 있는지 확인할 수있었습니다. 그러나 SharePoint에 대해 스크립트를 실행할 수 있어야하며 CredSSP 없이는 권한 오류로 실패합니다.


자격 증명을 위임 할 대상에 대해보다 구체적으로 노력 했습니까? 예를 들어 Enable-WSManCredSSP -Role Client -DelegateComputer WSMAN/computername.domain2.com( msdn.microsoft.com/en-us/library/ee309365(v=vs.85).aspx , point 3)
john

또한 이것도 있습니다 : serverfault.com/questions/277573/…
john

불행히도 이러한 제안 중 어느 것도 효과가 없었습니다.
Nick DeMayo 2016 년


1
우오! 당신이 링크 한 기사에서 답을 찾았습니다. SPN을 갖기 위해 "AllowFreshCredentialsDomain"설정을 시도했지만 작동하지 않았습니다. "AllowFreshCredentialsWhenNTLMOnly"및 "AllowFreshCredentialsWhenNTLMOnlyDomain"을 설정할 수 있으며 작동합니다! user2320464, 당신은 당신의 의견을 답변으로 게시 할 수 있다면, 나는 그것을 받아들이고 현상금을받을 것입니다!
Nick DeMayo 2016 년

답변:


2

MSDN 문서는 Kerberos가 옵션이 아닌 경우 연결을 해결하는 멀티 홉 지원을 위해 WinRM을 구성하는 방법을 보여줍니다. 아래에 간단한 요약.

WinRM (Windows Remote Management)은 여러 원격 컴퓨터에서 사용자 자격 증명 위임을 지원합니다. 멀티 홉 지원 기능은 이제 인증에 CredSSP (Credential Security Service Provider)를 사용할 수 있습니다. CredSSP를 통해 응용 프로그램은 클라이언트 컴퓨터에서 대상 서버로 사용자의 자격 증명을 위임 할 수 있습니다.

CredSSP 인증은 Kerberos 위임을 사용할 수없는 환경을위한 것입니다. CredSSP에 대한 지원이 추가되어 사용자가 원격 서버에 연결하고 파일 공유와 같은 2 차 홉 시스템에 액세스 할 수 있습니다.

특히 레지스트리 항목 / 그룹 정책 설정 AllowFreshCredentialsWhenNTLMOnly와 관련된 기사의 섹션에서 내가 가진 문제를 해결했습니다. 기사에서 :

Kerberos 인증이나 인증서 지문을 사용할 수 없으면 사용자는 NTLM 인증을 활성화 할 수 있습니다. NTLM 인증이 사용되는 경우 NTLM 전용 서버 인증 (AllowFreshCredentialsWhenNTLMOnly)을 사용하여 새 신임 정보 허용 정책을 사용해야하고 WSMAN 접 두부가있는 SPN을 정책에 추가해야합니다. 자격 증명이 인증되지 않은 서버로 전송되므로이 설정은 Kerberos 인증 및 인증서 지문보다 안전하지 않습니다.

AllowFreshCredentialsWhenNTLMOnly 정책에 대한 자세한 내용은 그룹 정책 편집기 및 KB 951608에서 제공하는 정책 설명을 참조하십시오. AllowFreshCredentialsWhenNTLMOnly 정책은 다음 경로에 있습니다. 컴퓨터 구성 \ 관리 템플릿 \ 시스템 \ 자격 증명 위임.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.