问题标签 [credssp]

我有一个有点复杂的部署场景要处理。我有两个域，生产和测试，它们彼此不信任。我正在实现从生产域到测试域的自动化部署，并且测试域中的数据库仅使用 windows 授权。

我们使用 sqlcmd.exe 来部署实际的脚本。我们尝试使用 Invoke-SqlCmd，但它不适合在当前状态下使用，我们不再考虑它。

最初的想法只是使用 powershell 远程连接到测试域中的服务器，使用 Get-Credential 使用凭据进行身份验证。然后我们调用 sqlcmd.exe（使用远程会话的测试域凭据）来执行脚本。但是，我们很快就遇到了这类场景常见的“双跳”场景：不允许远程会话通过 sqlcmd 将凭据传递给 SQL Server。

Sqlcmd: Error: Microsoft SQL Server Native Client 11.0 : Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'..

下一个想法是配置我们的数据库服务器以支持 CredSSP，以便远程会话可以通过 sqlcmd 传递其凭据。但是，似乎 sqlcmd.exe 能够检测到 CredSSP 会话并在信任问题时终止。

Sqlcmd: Error: Microsoft SQL Server Native Client 11.0 : Login failed. The login is from an untrusted domain and cannot be used with Windows authentication..

所以最后，我们使用的解决方案是使用 CredSSP 远程访问测试域中的服务器（明确不是数据库服务器），然后使用 sqlcmd 对数据库服务器执行脚本。只要 sqlcmd 不在它连接到的同一台机器上调用，它似乎就可以工作。

不知怎的，我不禁认为我做错了什么，这不应该这么复杂。但是，我似乎无法找到有关此类情况的太多信息。有任何想法吗？

我想编写一个代码来使用“ Powershell ”并通过“ CredSSP ”身份验证创建一个新会话，

但是当我监控这个控制台的内存使用情况时，我发现有些东西没有处理......所以内存使用量增长缓慢。

在我使用ANTS检查内存泄漏后，我发现关键点是“ credssp ”，但我找不到处理它或清理这个对象的方法。

有人有好主意吗？多谢。

PS。我的环境是：.Net 3.5、PowerShell 2.0、VS 2010、Windows 7 sp1

我们在 Powershell 远程脚本任务上使用 Credssp 取得了很大的成功。它很好地解决了第二跳问题并且易于设置。

在此示例中，我们在远程服务器上启动部署脚本。系统会提示管理员输入密码，整个部署过程以他的身份运行。对生产系统上的 SQL 服务器和文件共享的访问都被授予。

我们希望将此代码移动到 Web 应用程序，以便管理员获得一个网页来启动部署，而不是一个 Powershell 控制台。像之前的许多其他问题一样，我们被困在第二跳问题上。我们可以在网页上向管理员询问他的密码并创建一个 WindowsIdentity。我们使用 MSDN https://msdn.microsoft.com/en-us/library/w070t6ka(v=vs.110).aspx中的这篇文章设置了模拟，但它无法访问 SQL 服务器和其他资源。

到目前为止，这里有一些代码：

我真的不完全理解这个 Windows 安全代码。我只是戳了一下它，希望它最终能奏效。

那里是否有一个选项可以让我在.Net 编程中使用相同的 Credssp 协议，或者这是一个死胡同？

谢谢

我在下面收到此错误：

“连接到远程服务器 TESTSERVER01 失败并显示以下错误消息：客户端无法连接到请求中指定的目标。验证目标上的服务正在运行并且正在接受请求。请参阅 WS-Management 服务的日志和文档在目标上运行，最常见的是 IIS 或 WinRM。”

为此，我已经在线关注了数百个修复程序。没有任何效果，想法？

我需要从 Linux 机器在 Windows 机器上运行 vbs 脚本。我使用 Pywinrm 实现了 Windows 和 Linux 之间的连接。vbs 脚本里面有一套安装。无论如何我可以运行这个 vbs 脚本而不必使用“CredSSP”身份验证？

我现在在这个问题上挣扎了很多时间，并且已经在另一个论坛上问过，这有助于接近解决方案，但最后我没有实现。

我“只是”需要借助 powershell 脚本来收集有关我们公司云内部主机的信息。您可以通过本地网络的 jumphost 访问云，jumphost 也是云的一部分。然后从 jumphost 你可以到达所有的 cloudhosts。所以我用 2 pssessions 尝试了这个并使用了调用命令（jumphost 和 cloudhost 的密码相同）：

但这总是给我 Jumphost 的 C:\ 而不是 cloudhost 的输出。

在另一个论坛中，我被建议使用 credssp 或委派会话。CredSSP 在这里是不可能的，因为我收到了 AD 帐户中缺少 SPN 的错误，并且我不允许添加一个并且委派的会话对我没有帮助，因为我对 jumphost 和cloudhost 并且不需要委托某些东西。

但是无论如何，我认为这不是凭据的问题，因为我没有收到“拒绝访问”错误或其他错误，并且将输入 pssession 输入到 jumphost 并从那里调用命令到 cloudhost 没有问题，但我不能在脚本中使用它。嵌套 pssessions 代码的逻辑似乎有问题......

您有什么想法可以在这里正常工作吗？

委派的管理员权限：http: //blogs.technet.com/b/heyscriptingguy/archive/2014/04/03/use-delegated-administration-and-proxy-functions.aspx

CredSSP：http: //blogs.technet.com/b/heyscriptingguy/archive/2012/11/14/enable-powershell-quot-second-hop-quot-functionality-with-credssp.aspx

非常感谢，马克

顺便说一句：我尝试使用 CredSSP，因为建议将其用于第二跳：

输入最后一个命令后，我收到以下错误：

我不知道如何进一步使用 CredSSP，无论如何最好在没有 CredSSP 的情况下使其工作。

另外好的：它应该与委派会话一起使用，我尝试了以下方法：

在 Jumphost 上：

然后授予用户“ad\username”的访问权限（调用和读取访问权限）。之后，我可以通过以下命令在 jumphost 上使用会话配置：

因此会话已连接，我输入了其他命令：

不幸的是，我再次得到了 Jumphost 的 Get-ChildItem C:\ 的输出，而不是 cloudhost 的输出......你还有什么进一步的想法吗？也许 $script{} 部分有问题吗？

如果启用了 CredSSP，我在尝试检查远程计算机列表时遇到问题。当我的脚本连接到机器并执行命令时。它最终返回错误。如果我通过 RDP 连接到同一台机器并执行相同的命令，它将返回 true。这是我的脚本：

有没有人对此有见识？

尝试通过 Windows 连接使用带有 ansible 的 CREDSSP，已配置所有内容并安装了 pywinrm[credssp]，但在尝试运行 credssp 作业时出现上述错误：

任何想法？

试过：

无法使用 PIP 和 setup.py 安装 Python Cryptography 包

需要这个命令： sudo yum install gcc libffi-devel python-devel openssl-devel

之后执行 pip install --upgrade pywinrm[credssp] ...

还是不行

我试图在我的本地网络上设置 2 个 Hyperv 2016 Server 主机以进行远程访问，但我无法让它们运行。

服务器配置正确 - 两者都在运行：

• PSRemoting（也尝试过 -skipnetworkprofilechecking）

• Enable-WSManCredSSP -角色服务器，连防火墙都关了

相应地配置计算机：

• 编辑 Hosts 文件，可以 ping 两台服务器
• 将它们添加到受信任的主机列表
• 在 gpedit 中，在两个 Allow Delegating Fresh Credentials 策略中添加了 wsman/myhost。
• 配置 COM 安全以允许所有

问题是我无法执行这个 cmdlet - Enable-WSManCredSSP -Role client -DelegateComputer "my host"

返回此命令无法执行，因为设置无法启用。 当我尝试连接其中一个主机时，它返回 CredSSP 身份验证当前在本地客户端上被禁用。但是当我运行winrm get winrm/config时，它显示 CredSSP 为 True。我相信，CredSSP 已开启，因为之前我正在管理另一台主机，它运行良好。

昨天当我尝试通过不同的计算机连接时，它给了我相同的 CredSSP 错误，但我可以运行 Enable-WSManCredSSP 命令。不同之处在于，当我尝试通过 Hyper-V 管理器连接主机时，我在循环中获得了启用凭据委派框。当我重新启动主机和客户端时，它再次显示 CredSSP 错误。

我在这里做错了什么？服务器上是否缺少配置，我丢失了？远程桌面工作正常，但我需要管理它。

我正在努力了解如何正确阅读和构造 NTLM 消息上的 NegotiateFlags 参数。在官方协议规范中，我根本无法理解该表。我认为它代表 32 位，因为 NegotiateFlags 是 4 个字节，但是这些字母是什么意思？如何设置？

在谷歌上搜索我发现了另一个例子，这对我来说更有意义：

但是查看FreeRDP 示例，NegotiateFlags 是：

b7 82 08 e2

在小端阅读我有：

e2 08 = 57864

82 b7 = 33463

值总和 = 91327

我无法用上面显示的示例表得到这个值的总和......我应该如何计算这个？（当然，我接受让我理解微软官方表格的解释）