Gestion à distance de Windows sur des domaines non approuvés

12

J'essaie actuellement d'activer la gestion à distance de Windows (en particulier, Powershell Remoting) entre 2 domaines non approuvés, et je n'ai pas de chance.

Une brève description de ma configuration:

  • domain1 - mon poste de travail est sur ce domaine
  • domain2 - le serveur auquel je souhaite me connecter est sur ce domaine

Il n'y a aucune confiance entre ces domaines.

J'essaie de créer la connexion à distance Powershell à l'aide des commandes suivantes à partir de mon poste de travail (joint à domain1):

param (
    [Paramètre (obligatoire = $ vrai)]
    $ serveur
)

$ username = "domaine \ utilisateur"
$ password = read-host "Entrez le mot de passe pour $ username" -AsSecureString

$ credential = New-Object System.Management.Automation.PSCredential ($ username, $ password)

$ session = New-PSSession "$ server" -Authentication CredSSP -Credential $ credential -UseSSL -SessionOption (New-PSSessionOption -SkipCACheck -SkipCNCheck)
Session Enter-PSSession $

Ce qui entraîne le message d'erreur suivant:

New-PSSession: [computername.domain2.com] La connexion au serveur distant computername.domain2.com a échoué avec le message d'erreur suivant: Le client WinRM
ne peut pas traiter la demande. Une stratégie informatique n'autorise pas la délégation des informations d'identification de l'utilisateur à l'ordinateur cible car l'ordinateur n'est pas approuvé. L'identité de la cible
l'ordinateur peut être vérifié si vous configurez le service WSMAN pour utiliser un certificat valide à l'aide de la commande suivante: winrm set winrm / config / service '@ {CertificateThumbprint = ""}' Ou
vous pouvez rechercher dans l'Observateur d'événements un événement qui spécifie que le SPN suivant n'a pas pu être créé: WSMAN /. Si vous trouvez cet événement, vous pouvez créer manuellement le SPN à l'aide de
setspn.exe. Si le SPN existe, mais CredSSP ne peut pas utiliser Kerberos pour valider l'identité de l'ordinateur cible et vous souhaitez toujours autoriser la délégation des informations d'identification de l'utilisateur à la cible
ordinateur, utilisez gpedit.msc et examinez la stratégie suivante: Configuration ordinateur -> Modèles d'administration -> Système -> Délégation des informations d'identification -> Autoriser les nouvelles informations d'identification avec NTLM uniquement
Authentification du serveur. Vérifiez qu'il est activé et configuré avec un SPN approprié pour l'ordinateur cible. Par exemple, pour un nom d'ordinateur cible "myserver.domain.com", le SPN peut être
l'un des éléments suivants: WSMAN / myserver.domain.com ou WSMAN / *. domain.com. Essayez à nouveau la demande après ces modifications. Pour plus d'informations, consultez la rubrique d'aide about_Remote_Troubleshooting.

J'ai essayé / vérifié les choses suivantes:

  1. J'ai vérifié qu'il existe un SPN pour WSMAN \ computername et WSMAN \ computername.domain2.com dans domain2.
  2. Vérifié que la configuration de l'ordinateur -> Modèles d'administration -> Système -> Délégation des informations d'identification -> Autoriser les nouvelles informations d'identification avec l'authentification de serveur NTLM uniquement a été définie correctement.
  3. Winrm configuré sur l'ordinateur cible pour utiliser ssl.
  4. Configuré CredSSP sur l'ordinateur cible et mon poste de travail local à l'aide des commandes suivantes:
Enable-WSManCredSSP -Role Server # sur l'ordinateur cible
Enable-WSManCredSSP -Role Client -DelegateComputer * -Force
  1. J'ai vérifié qu'aucune règle FW, locale aux ordinateurs ou au réseau, ne bloque mon accès.

Aucun de ces éléments ne m'a permis de me connecter avec succès à l'ordinateur cible du domaine 2 à partir de mon poste de travail du domaine 1. Je peux me connecter avec succès à d'autres serveurs qui sont joints au domaine 1, mais pas aux serveurs du domaine 2. Y a-t-il autre chose que je devrais rechercher et / ou essayer de faire fonctionner?

MISE À JOUR 06/08/2015 J'ai en effet pu vérifier que je peux me connecter au serveur depuis mon poste de travail sans utiliser CredSSP, ce qui serait bien; cependant, je dois être en mesure d'exécuter des scripts sur SharePoint, et cela sans CredSSP échoue avec une erreur d'autorisations.

Nick DeMayo
la source
Avez-vous essayé d'être plus précis sur ce à quoi vous déléguez vos informations d'identification? Par exemple Enable-WSManCredSSP -Role Client -DelegateComputer WSMAN/computername.domain2.com( msdn.microsoft.com/en-us/library/ee309365(v=vs.85).aspx , point 3.)
john
Il y a aussi ceci: serverfault.com/questions/277573/…
john
Malheureusement, aucune de ces suggestions n'a fonctionné.
Nick DeMayo
1
Avez-vous examiné ce msdn.microsoft.com/en-us/library/ee309365(v=vs.85).aspx
user2320464
1
Oooo! J'ai également trouvé la réponse dans l'article que vous avez lié. J'avais essayé dans le passé de définir "AllowFreshCredentialsDomain" pour avoir un SPN, mais cela n'a pas fonctionné. Il s'avère que je pouvais définir "AllowFreshCredentialsWhenNTLMOnly" et "AllowFreshCredentialsWhenNTLMOnlyDomain" et cela fonctionne! user2320464, si vous pouviez poster votre commentaire comme réponse, je l'accepterai et vous recevrez la prime!
Nick DeMayo

Réponses:

2

Cet article MSDN montre comment configurer WinRM pour la prise en charge multi-sauts qui traite également de l'établissement de connexions lorsque Kerberos n'est pas une option. Bref résumé ci-dessous.

Windows Remote Management (WinRM) prend en charge la délégation des informations d'identification de l'utilisateur sur plusieurs ordinateurs distants. La fonctionnalité de prise en charge multi-sauts peut désormais utiliser Credential Security Service Provider (CredSSP) pour l'authentification. CredSSP permet à une application de déléguer les informations d'identification de l'utilisateur de l'ordinateur client au serveur cible.

L'authentification CredSSP est destinée aux environnements où la délégation Kerberos ne peut pas être utilisée. La prise en charge de CredSSP a été ajoutée pour permettre à un utilisateur de se connecter à un serveur distant et d'avoir la possibilité d'accéder à une machine de deuxième saut, comme un partage de fichiers.

Plus précisément, la section de l'article relative à l'entrée de Registre / paramètre de stratégie de groupe AllowFreshCredentialsWhenNTLMOnly résolu le problème que je rencontrais. De l'article:

Si ni l'authentification Kerberos ni les empreintes numériques de certificat ne sont disponibles, l'utilisateur peut activer l'authentification NTLM. Si l'authentification NTLM est utilisée, la stratégie Autoriser les nouvelles informations d'identification avec l'authentification serveur NTLM uniquement (AllowFreshCredentialsWhenNTLMOnly) doit être activée et un SPN avec le préfixe WSMAN doit être ajouté à la stratégie. Ce paramètre est moins sécurisé que l'authentification Kerberos et les empreintes numériques de certificat, car les informations d'identification sont envoyées à un serveur non authentifié.

Pour plus d'informations sur la stratégie AllowFreshCredentialsWhenNTLMOnly, consultez la description de la stratégie fournie par l'éditeur de stratégie de groupe et la base de connaissances 951608. La stratégie AllowFreshCredentialsWhenNTLMOnly se trouve au chemin suivant: Configuration ordinateur \ Modèles d'administration \ System \ Délégation d'informations d'identification.

user2320464
la source