マルチホップPowerShellリモート処理にCredSSP認証を使用しようとしていますが、クライアントの1つが、ターゲットサーバーのFQDNを指定するときにCredSSPを使用してPSSessionを作成できないという問題に直面しています。サーバーとクライアントの両方が同じドメインに参加しており、名前空間がばらばらになっていることは何もありません。
デバッグの過程で、考えられるすべての関連するセキュリティオプションを開きました。具体的には:
- GP設定を有効にして、ワイルドカードSPN wsman / *を使用して新しいクレデンシャル(標準および「NTLMのみ」)の委任を許可します。
- *.domain.comでWSManトラステッドホスト設定を有効にしました
- サーバーとクライアントで(もちろん)CredSSPに対してWSManを有効にしました
- サーバーにLocalAccountTokenFilterPolicyを設定しました
これらの設定をすべて開いた状態で、PSSessionのさまざまな認証方法を試したときに得られるものは次のとおりです。
- 明示的なドメイン資格情報を使用した委任にKerberosを使用すると、正常に機能します。
- 明示的なドメインクレデンシャルを使用した委任にNegotiateを使用すると、正常に機能します。
- 委任にCredSSPを使用する:
- ドメイン資格情報の使用、サーバーのFQDNへの接続は、エラーで失敗します現在、ログオン要求を処理するために使用できるログオンサーバーはありません
- ドメインクレデンシャルを使用して、サーバーのホスト名だけに接続すると、同じエラーで失敗します
- サーバー上のローカルアカウントの資格情報を使用して(したがって、サーバーID検証にNTLMを強制する)、サーバーのFQDNに接続すると正常に機能します
- ドメイン資格情報を使用して、サーバーのIPアドレスに接続すると(したがって、サーバーID検証のためにNTLMを強制する)、正常に機能します
つまり、CredSSPは、サーバー認証にNTLMを使用している限り機能し、Kerberosを使用すると失敗しますが、委任にもKerberosを使用している場合、Kerberosは間違いなく正常に機能します。それはどのように可能であり、CredSSP + Kerberosが機能するようにするために何ができるでしょうか?