Windows PowerShell:進行二次躍點
從遠端處理 Windows PowerShell 時可能會碰到一些棘手的狀況。 但是對於進行躍點的次數不得不小心。
Don Jones
令人驚異的方式,因為如果您只管理一個輕鬆地管理多個遠端電腦作為 Windows PowerShell 遠端處理。 在域環境中,它只是工作。 儘管如此有需要注意的幾個事項,可以真的你搞得一團糟。 "第二個躍點"是其中之一。
一個特別酷有關遠端控制的是如何很好它集成與特定的 Windows 技術,例如 Kerberos 身份驗證協定。 與舊的工具,可以接受和執行遠端命令,不同遠端處理不會一些全能的本機系統帳戶下運行。 相反,當您連接時,您的 Windows 憑據委派到的遠端電腦或電腦 (一個與您登錄或指定建立連接時)。
代表團是 Kerberos 和 Active Directory 的本機功能。 它是完全安全的。 您的密碼並不是明確、 加密或以其它方式在網路上傳輸。 最,它作為一個共用的加密金鑰。
代表團就意味著 Windows PowerShell 的遠端電腦的副本可以運行的命令,就像你做,意味著遠端處理變得安全透明。 你有權這樣做的任何事情,你將能遠端執行。 如果您不具有許可權,你不能做到。 遠端處理執行你的命令。
所以您坐在您的用戶端電腦,並連接到 ServerA,這是一個遠端機器。 您的憑據委派給該電腦。 從 ServerA,您現在啟動某種以第三機的另一個連接。 這並不一定要遠端處理的連接。 您可能嘗試將網路磁碟機映射到該第三次電腦、 訪問憑證存放區區或做其他任何事情。 你只是犯了第二個躍點。
第一個躍點,就是從您的用戶端,到 ServerA。 第二是從 ServerA 對你想連接到的其他機器。 因為您的憑據不能委派第二次,就會出現問題。
這是實際上一個安全功能,旨在防止在您不知情的情況下傳遞圍繞您的憑據。 所以你第二個躍點操作失敗,因為 ServerA 不能發送任何憑據沿湊熱鬧。
在我教過的幾乎每個 Windows PowerShell 類,有遇到這樣的人。 它很容易忘了你是成機進行遠端處理的因為它是如此透明和簡單做。 因此很容易落得試圖遠端到第三機沒有意識到你正在發起第二個躍點。
有沒有憑據代表團、 第二個躍點失敗、 您看到奇怪的錯誤訊息和每個人到頭來混淆。 這甚至可以發生在某些情況下,您只有一個躍點,但您嘗試執行需要委派的憑據的遠端機器上的操作。
Windows PowerShell 博客張貼內容,"為第二個躍點的遠端處理,CredSSP"描述了會發生什麼情況。 它還描述了此修復程式,這是要啟用的新的 CredSSP 身份驗證協定。 這是您的用戶端電腦和任何您計畫到遠端的機器上啟用。 您可以運行一個命令來啟用它:
Enable-WSManCredSSP –Role client –DelegateComputer * Enable-WSManCredSSP –Role server
它應該明顯哪一個獲取用戶端上運行和哪一個伺服器上。 您還可以啟用本議定書通過群組原則物件 (GPO) 中的 Windows 遠端系統管理 (WinRM) 設置。 您還需要使用調用命令,輸入 PSSession、 新 PSSession 或利用遠端處理的任何其他 Cmdlet 時指定 CredSSP 協定。
簽出的免費的 PDF,"PowerShell 2.0 遠端處理簡易指南 》,"由 Ravikanth Chaganti。 它包括如何解決任何混亂和第二次躍點問題 (特別是第 10 章) 中的更多細節。 例如,它注意到網域控制站不需要 CredSSP 來做第二次躍點魔力,因為支援它在預設情況下配置它們。
有其他棘手的情況下,您可以使用遠端處理運行成一堆。 您可能會遇到非域電腦,跨域連接,通過代理伺服器遠端處理,等等。 在 Windows PowerShell,運行説明 about_remote_troubleshooting 讀取處理這些和其他方案的詳細的說明。 如果您可能仍會堅持,放我一條線。
.jpg)
Don Jones 是一個 Microsoft MVP 獎收件者和"學習 Windows PowerShell 中月的午餐"(曼甯出版物,2011年),旨在説明成為有效與 Windows PowerShell 任何管理員一書的作者。 鐘斯還提供公共和現場 Windows PowerShell 培訓。 與通過他聯繫 ConcentratedTech.com 或 bit.ly/AskDon。