1

我已经在多台机器上启用了 WinRM,为了提供强大的安全性,我们一直在 IPV4 过滤器中设置谁可以调用它们。我遇到了一个奇怪的问题,源机器是 10.48.136.100。运行 WINRM 的目标计算机是 10.48.134.200。

在目标机器上,我将 IP 过滤器设置为 10.48.136.1-10.48.136.200。理论上,10.48.136.100机器应该可以完美连接到10.48.134.200。

但事实并非如此。追查问题后,我发现目标机器甚至没有监听。如果我将 IPV4 过滤器更改为 *,那么目标机器将监听。如果我将 IPV4 过滤器更改为 10.48.136.1-10.48.136.200、10.48.134.1-10.48.134.255 (即包括源范围和目标范围),那么目标再次监听我使用下面的命令来检查WINRM 是否正在监听

在目标机器上

  1. 网络统计-atn | 找到“5985”
  2. winrm 枚举 winrm/config/listener

在源机器上,我正在使用

测试-WSMan -ComputerName 10.48.134.200

对我来说,IPV4过滤器是限制那些可以连接到我的机器(即WINRM请求的来源),那么为什么目的机器的IP地址也需要在范围内呢?

笔记:

  1. 此网络是一个平面网络,在 10.48.134.* 和 10.48.136.* 网络之间没有防火墙。

  2. 在目标机器上,我尝试了 127.0.0.1 以查看这是否可能是一些奇怪的“回调”问题,并且没有解决问题。

  3. 在源和目标上,IPV6 在网络堆栈上都被禁用,并且两台机器都是 Win2008 服务器。WinRM 中没有定义 IPV6 过滤器

如果有人知道为什么目标 IP 地址必须在 IPV4 范围内以便目标收听,我将不胜感激。

4

1 回答 1

0

看来,IPV4 过滤器是要确定何时启用侦听器。因此,您可以将 GPO 策略推送到所有机器,但通过 IP 过滤器只有选定的机器实际监听。如果您想限制可以调用此设备的源设备,那么您可以使用 Windows 防火墙来实现此目的。

于 2015-02-27T14:42:36.083 回答