2

誰かがCNAMESまたはホストファイルに対して動作するようにPowerShellリモーティングを取得しましたか。

テストする方法として、ローカルホストに対してPSsessionを作成して、正常に機能していることを確認します...次に、何かと呼ばれる127.0.0.1へのホストレコードを作成し、それに対してpssessionを作成してみます。

この種のエラーが発生します

[funkymonkey] Connecting to remote server failed with the following error message : WinRM cannot pr
ocess the request. The following error occured while using Kerberos authentication: The network pat
h was not found.
 Possible causes are:
  -The user name or password specified are invalid.
  -Kerberos is used when no authentication method and no user name are specified.
  -Kerberos accepts domain user names, but not local user names.
  -The Service Principal Name (SPN) for the remote computer name and port does not exist.
  -The client and remote computers are in different domains and there is no trust between the two d
omains.
 After checking for the above issues, try the following:
  -Check the Event Viewer for events related to authentication.
  -Change the authentication method; add the destination computer to the WinRM TrustedHosts configu
ration setting or use HTTPS transport.
 Note that computers in the TrustedHosts list might not be authenticated.
   -For more information about WinRM configuration, run the following command: winrm help config. F
or more information, see the about_Remote_Troubleshooting Help topic.
    + CategoryInfo          : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [], PS
   RemotingTransportException
    + FullyQualifiedErrorId : PSSessionOpenFailed
4

1 に答える 1

1

NTLMが機能していない場合は、winsrv 2003sp1+で追加されたループバックチェックに見舞われていると思います。CNAMEを特別なレジストリキーに追加して、例外リスト(既にlocalhostが含まれている)に含めることができます。

ps> new-itemproperty hklm:\ system \ currentcontrolset \ control \ Lsa \ MSV1_0 BackConnectionHostNames `-propertyType multistring -val" cname1 "、" cname1.local "

dword DisableLoopbackCheck(google it)を設定して完全にオフにする(ループバックチェック)人もいますが、怠惰なルートを取るのではなく、前者の方法で厳密に制御する必要があります。

IIRC、このセキュリティ機能は、「リフレクション攻撃」と呼ばれる特定の種類のクレデンシャルの盗難を防ぎます。方法論は覚えていませんが、オンラインで見つけることができると確信しています。

于 2011-03-10T16:30:29.747 に答える