PowerShell Remoting to Workgroup Computer

Question

Я пытаюсь удалить удаленную PowerShell из моего домена, подключенного к ПК, на сервер в нашей DMZ, но я не могу понять, как заставить его работать.

Сервер DMZ имеет прослушиватель, настроенный для HTTP на установленном по умолчанию порту 5985, который включен. Два сетевых адаптера в машине обозначены как «Общедоступные» сети, поэтому я изменил правило брандмауэра удаленного доступа (HTTP-In) для общедоступного профиля, чтобы принимать подключения от моего IP-адреса, а также уже настроенную локальную подсеть.

На моей клиентской машине (Windows 10) я добавил имя хоста сервера в WSMan: \ localhost \ Client \ TrustedHosts, и я добавил в реестр локальную учетную запись TokenFilterPolicy (значение: 1, Тип: DWORD).

Я создаю объект учетных данных с моими локальными учетными данными для сервера (имя_сервера \ имя_пользователя), а затем я пытаюсь использовать $Sess = New-PSSession -ComputerName DMZCOMPUTER -Port 5985 -Credential $Cred, соединение всегда пытается использовать Kerberos для подключения к машине, которая, очевидно, не будет работать.

Если у меня возникли проблемы $Sess = New-PSSession -ComputerName DMZCOMPUTER -Port 5985 -Credential $Cred -Authentication Basic Я получаю сообщение об ошибке, в которой отключен незашифрованный трафик. Другие схемы автореализации создают разные сообщения об ошибках, но я никогда не был удален.

У меня отсутствует какая-либо конфигурация? Каковы требуемые настройки (сервер & клиент), чтобы использовать удаленную powershell для подключения к серверу рабочей группы из подключенного домена.

Answer 1

В итоге я понял это, было несколько проблем с тем, что я делал. Сначала ссылка на https://blogs.msdn.microsoft.com/wmi/2009/07/24/powershell-remoting-between-two-workgroup-machines/ содержит некорректную информацию. В нем указано, что запись реестра LocalAccountTokenFilterPolicy должна находиться на клиентской машине, это неверно, оно должно быть на сервере.

Другим решением было только то, что я являюсь сторонником, использующим полное доменное имя сервера в значении TrustedHosts, а затем используя только имя хоста при попытке создать сеанс.

Если кто-то пытается получить эту работу шаги, чтобы следовать являются:

1. Run Enable-PSRemoting на сервере
   • Это запустит службу WinRM и установить его запуск автоматической
   • Он создаст HTTP-прослушиватель
     • Вы можете это проверить, выполнив winrm enumerate winrm/config/listener
   • Это позволит правила брандмауэра удаленного управления Windows
   • Он будет создавать и настраивать LocalAccountTokenFilterPolicy реестра ключей
   • Это приведет к сбросу разрешений на четырех сессий хосты
     • Вы можете проверить это, работает Get-PSSessionConfiguration
2. Запустить WinRM ы е р в на клиентской машине
3. Run Set-Item WSMan:\localhost\Client\TrustedHosts -Value <hostname or FQDN or server>
   • Вы можете добавить -Concatenate к концу Set-Item если вы пытаетесь добавить сервер в список
4. Run $Cred = Get-Credential Я только что вошел имя пользователя и пароль (не имя_сервера \ имя_пользователя), как предложено kevmar
5. Запустите команду, такую ​​как $S = New-PSSession -ComputerName <same name exactly that you put in the TrustedHosts> -Credential $Cred
6. Если все работает должным образом, команда должна просто вернуть
7. Если вы получите сообщение об ошибке с упоминанием Kerberos убедитесь, что вы используете один и тот же имя в параметре ComputerName и TrustedHosts
8. Если вы получаете доступ запрещен проверку ошибок, что LocalAccountTokenFilterPolicy настроен на сервере

Answer 2

Сначала попробуйте создать объект учетных данных только с вашим именем пользователя и паролем. Пропустите попытку назначить имя домена или сервера в учетных данных.

Затем попробуйте подключиться к IP-адресу вместо имени компьютера. Вам все равно нужно добавить его в значения доверенных хостов.

Последнее, что нужно использовать, - Test-WSMan для устранения неполадок. Сообщение об ошибке, которое предоставляет, должно дать вам сильный намек на то, что проблема.