Tham gia Đăng nhập
Điểm:0
Gorshok avatar Server

Thiết lập HTTPS chuyển tiếp sự kiện Windows

lá cờ sa
Gorshok

tôi đã tạo thành công một thiết lập WEF đơn giản giữa hai máy chủ miền (WS2019) tất cả đều hoạt động tốt trong khi nó vẫn ở trong giao thức HTTP.

Khi tôi cố gắng chuyển sang HTTPS, sẽ không có thêm nhật ký nào chuyển đến máy chủ WEC.

tôi đã nhận được chứng chỉ trên cả hai máy chủ do cùng một CA cấp tôi đã làm theo nhiều quy trình mà tôi tìm thấy trên mạng và làm lại mọi thứ trong khi chụp.

tôi không thể quản lý để có được công việc này.

trên máy chủ wec, trong nhật ký winRm tôi luôn nhận được "Việc ủy ​​quyền của người dùng không thành công với lỗi 5"

và trên máy khách:

Người chuyển tiếp đang gặp sự cố khi giao tiếp với người quản lý đăng ký tại địa chỉ https://:5986/wsman/SubscriptionManager/WEC. Mã lỗi là 5 và Thông báo lỗi là <f:WSManFault xmlns:f="http://schemas.microsoft.com/wbem/wsman/1/wsmanfault" Code="5" Machine="myclientFQDN"><f:Message > Máy khách WinRM không thể xử lý yêu cầu. Máy tính đích (:5986) trả về lỗi 'truy cập bị từ chối'. Chỉ định một trong các cơ chế xác thực được hỗ trợ bởi máy chủ. Nếu cơ chế Kerberos được sử dụng, hãy xác minh rằng máy tính khách và máy tính đích được nối với một miền. Các cơ chế xác thực khả thi do máy chủ báo cáo: Đàm phán Kerberos ClientCerts </f:Message></f:WSManFault>.

tôi thả cái này ở đây vì tôi hết ý tưởng Cảm ơn

295
0 + 0
lá cờ cn
Greg Askew
Bạn cần chỉ định xem đây là nguồn hay bộ sưu tập bắt đầu. Và hiệu trưởng mà quyền truy cập bị từ chối. Có vẻ như nó có thể là tài khoản máy tính.
0
Hồi đáp
Gorshok avatar
lá cờ sa
Gorshok
bạn nói đúng, xin lỗi vì thiếu chi tiết:
0
Hồi đáp
Gorshok avatar
lá cờ sa
Gorshok
đó là nguồn bắt đầu. nhưng tôi nghĩ rằng tôi đã tìm ra nó. vấn đề là tôi chỉ cố gắng thiết lập HTTPS nhưng tôi không muốn thực hiện cụ thể việc xác thực bằng chứng chỉ. vì vậy tôi nghĩ rằng tôi đã quản lý để làm cho HTTPS hoạt động trong khi vẫn sử dụng xác thực Kerberos.
0
Hồi đáp
Gorshok avatar
lá cờ sa
Gorshok
trên máy tính nguồn tôi đã chỉ định Trình quản lý đăng ký mục tiêu như thế này: Máy chủ=https:// fqdnofcollector:5986/wsman/SubscriptionManager/WEC,Refresh=60,IssuerCA=. mà tôi nghĩ sẽ cho phép sử dụng xác thực chứng chỉ HTTPS +. bây giờ điều này không hoạt động trong kịch bản này.
0
Hồi đáp
Gorshok avatar
lá cờ sa
Gorshok
tôi vừa xóa phần IssuerCA trong chuỗi và hiện tại nó đang hoạt động. tôi nghĩ bây giờ tôi đang ở trong kịch bản này: Https + xác thực kerberos tôi đã kiểm tra với Wireshark và đó là HTTPS đã chết. Vì vậy, bây giờ nó đang hoạt động nhưng tôi không có cách nào để chắc chắn rằng mình thực sự đang sử dụng kerberos. nhưng ít nhất tôi đã đạt được mục tiêu cho phép chuyển tiếp nhật ký qua HTTPS
0
Hồi đáp
Gorshok avatar
lá cờ sa
Gorshok
Điều đó có nghĩa là nếu bạn chỉ định IssuerCA trong chuỗi, bạn yêu cầu WinRM sử dụng xác thực chứng chỉ và nếu bạn không yêu cầu nó chuyển sang một cơ chế xác thực khác? nhưng cái nào? để chắc chắn rằng tôi đã tắt tất cả cơ chế xác thực trên WEC: winrm set WinRM/Config/Client/Auth '@{Basic="false";Digest="false";Kerberos="true";Negotiate="true"; Chứng chỉ="false";CredSSP="false"}' tôi giữ "Đàm phán" vì tôi đoán là ổn
0
Hồi đáp
lá cờ cn
Greg Askew
Xác thực chứng chỉ được bật theo mặc định, nhưng sẽ không được sử dụng nếu 5986 không được bật, không có chứng chỉ phù hợp hoặc một phương thức xác thực khác đã được thử thành công. Nếu bạn muốn mã hóa truyền tải nhưng sử dụng xác thực Kerberos, tôi cho rằng điều đó là có thể và dễ kiểm tra. Chứng chỉ thường được sử dụng trong các mạng ngoại vi hoặc không đáng tin cậy mà Kerberos không phải là một tùy chọn.
0
Hồi đáp
Gorshok avatar
lá cờ sa
Gorshok
Vâng, tôi nghĩ đó là con đường tôi sẽ đi. và nếu tôi cần thu thập nhật ký bên ngoài miền, tôi sẽ chỉ đặt một máy chủ WEC cho mọi miền mà chúng tôi cần thu thập nhật ký. điều này sẽ cho phép chúng tôi chỉ sử dụng kerberos trong toàn bộ môi trường.
0
Hồi đáp
Gorshok avatar
lá cờ sa
Gorshok
Nhưng khi máy chủ bắt đầu đẩy nhật ký đến máy chủ wec, làm sao tôi có thể chắc chắn rằng họ đã sử dụng kerberos làm cơ chế xác thực? không có mục nào như vậy trong nhật ký WinRM xác nhận rằng
0
Hồi đáp
Điểm:0
Gorshok avatar Server
lá cờ sa
Gorshok

Để làm cho HTTPS hoạt động, chúng tôi chỉ cần thực hiện những công việc thông thường mà chúng tôi tìm thấy trực tuyến.

đặt trình nghe HTTPS trên máy chủ WEC, tạo chứng chỉ, đặt chuỗi trên nguồn cho trình quản lý đăng ký mục tiêu ...

vấn đề đối với tôi là khi tôi bật HTTPS, tôi cũng đang cố đặt xác thực chứng chỉ. mà không phải là bắt buộc đối với tôi.

tôi chỉ muốn nhật ký được mã hóa khi chúng được gửi qua mạng

cách khắc phục là thay đổi trình quản lý đăng ký mục tiêu từ:

Máy chủ=https:// fqdnofcollector:5986/wsman/SubscriptionManager/WEC,Refresh=60,IssuerCA=dấu vân tay của chứng chỉ CA

đến Máy chủ=https:// fqdnofcollector:5986/wsman/SubscriptionManager/WEC,Refresh=60

tôi đoán là xác thực chứng chỉ sẽ không được thử sau đó và có thể kerberos đó được sử dụng thay thế.

nhưng bây giờ nhật ký đang được đẩy qua HTTPS.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.