问题标签 [credssp]

使用 PowerShell 远程处理（Invoke-Command例如使用 cmdlet）时，需要身份验证方案。

选项包括 Kerberos、CredSSP、NTLM 和协商。

它们之间有什么区别？我应该使用什么？

连接 RDP 时出现此错误 这可能是由于 CredSSP 加密 oracle 修复。

有关详细信息，请参阅https://go.microsoft.com/fwlink/?linkid=866660

如何解决？

我正在尝试在新服务器（服务器 C）上使用 CREDSSP

我已经在另外两台服务器上成功设置了 credssp。（服务器 A 到服务器 B）

我现在正在尝试使用 CREDSSP 从服务器 A 连接到服务器 C，但无论我做什么，我都会收到以下错误：

[SERVER_C.domain.edu] 连接到远程服务器 SERVER_C.domain.edu 失败并显示以下错误消息：访问被拒绝。有关详细信息，请参阅 about_Remote_Troubleshooting 帮助主题。+ CategoryInfo : OpenError: (SERVER_C.domain.edu:String) [], PSRemotingTransportException + FullyQualifiedErrorId : AccessDenied,PSSessionStateBroken

这是我从服务器 A 到服务器 B 的完美查询：

我已经仔细检查了服务器 C（新服务器）和服务器 B（旧服务器）之间我能想到的所有内容，但我找不到任何我收到错误的原因。

我知道，如果我取出 CREDSSP 部分，脚本可以工作，除非涉及双跳。所以服务器肯定是连接的。

我确保运行以下命令：

还遵循了这些步骤：使用 gpedit.msc 并查看以下策略：计算机配置 -> 管理模板 -> 系统 -> 凭据委派 -> 允许委派新凭据。验证它是否已启用并使用适合目标计算机的 SPN 进行配置。例如，对于目标计算机名称“myserver.domain.com”，SPN 可以是以下之一：WSMAN/myserver.domain.com 或 WSMAN/*.domain.com。有关详细信息，请参阅 about_Remote_Troubleshooting 帮助主题。

正如我所提到的，我知道服务器 A 设置正确，因为我将上面的脚本运行到服务器 B 没有问题。

任何建议将不胜感激。

我唯一的想法是服务器 A 和 B 正在运行 Powershell 3，而服务器 C 正在运行 Powershell 5

服务器 A 是 Server 2008 R2、Powershell V3 启用所有 SSL 和 TLS 以及所有密码。服务器 B 是 Server 2016、Powershell V5 和仅 TlS 1.2 和特定的密码集。

我无法让 Credssp 身份验证从 A 工作到 B，即使我使用

我知道这是每个会话设置，所以我包含在脚本本身中。

如果我将服务器 B (Server 2016) 设置为打开所有 SSL 和 TLS 加密，则 CREDSSP 工作没有问题。

是的，我需要使用 CREDSSP，因为服务器 B 上的脚本引用了服务器 A 上的文件共享。

这是我正在使用的脚本，它再次在启用所有版本的 TLS 时工作。

我还没有尝试过但我会尝试的一件事是将服务器 A 和 B 都放在 TLS 1.2 上，看看它是否可以这样工作。这不是一个长期的解决方案，因为此时不能将服务器 A 设置为仅 TLS 1.2。

错误：

“about_Remote_Troubleshooting”似乎是指我试图跟进的这篇文章，但没有运气。

我有一个脚本服务器（服务器 A），我试图通过不同的托管公司管理远程 DC。

免责声明：由于到目前为止我一直失败得很惨，我正在尝试将我的配置设置为尽可能开放（又名：暂时不安全），这样我就可以看到它工作，然后向后工作，收紧我的安全性 - 尽我所能，因为我首先要承担 CredSSP 的任务......而且，我在这方面太过分了，而且对 Powershell 非常陌生。考虑到这一点...

我在服务器 A 上完成的配置：

我在服务器 B 上完成的配置：

对于踢球，在两台机器上，我已经运行gpedit并进入本地计算机策略 → 计算机配置 → 管理模板 → 系统 → 凭据委派...启用“允许委派新凭据”和“允许使用仅 NTLM 服务器委派新凭据”身份验证”*并添加wsman/*到服务器列表中（以及一些其他可能的 IP 或计算机名称组合，以作为良好的衡量标准）。

所以，我可以在没有CredSSP的情况下向服务器 B 发送远程命令：

这有效：

（输出服务器 B 的名称）

但是，如果我将其传递给带有 CredSSP 的相同$cred内容New-PSSession，那么就会出现上述错误。

服务器 A能够将 CredSSP 与不同的域控制器（在同一网络/托管公司）一起使用。我读过的每一篇文章似乎都让我相信我所做的应该在这两种情况下都有效……我错过了什么？

我有一个 Windows 集群配置脚本。我无法以管理员身份执行 New-Cluster 命令。它说用户应该是能够执行命令的域用户。

我正在尝试使用 PSExec 以域用户身份登录并尝试该命令是否有效，但仍然没有成功。

C:\Users\Administrator\Desktop\PSTools\PsExec.exe -s -u name -p "pass" -accepteula cmd /c "powershell -noprofile & { Start-Process powershell.exe "-NoProfile -ExecutionPolicy Bypass -File"C:\scripts\cluster-config.ps1" " -Verb RunAs; exit }"

（我在执行时正确传递了参数）

集群配置.ps1

如何以广告管理员的身份创建 Windows 集群？不幸的是，无法使用域用户凭据直接登录。

我需要在远程服务器上运行一个 exe。我正在使用 Invoke-Command -UseSSL 在远程服务器上启动 exe。exe 做了一些工作，但是当它需要连接到 SQL Server 时，它无法进行身份验证。查看服务器日志，看起来 exe 正在使用 NT/AUTHORITY 帐户连接到 SQL Server。安全团队不允许在网络上使用 CredssP。有什么方法可以使用明确定义的帐户运行 exe。用于创建远程会话的帐户以外的帐户。

我正在使用 ansible 2.9.6，与 pip 一起安装，在 debian buster 服务器上使用 python 3.7.3，我正在尝试用它来管理我们的一些 windows 2016 服务器；我已经在其他 Windows 服务器上使用 powershell 远程处理没有问题。

奇怪的是，当命令在 buster 服务器上以 root 身份启动时，我只能连接到 windows 服务器。

对于 windows 部分，我在 ansible.cfg 中使用它：

运行简单的 win_ping 检查的结果是：

• 作为根：

• 作为普通用户：

我在这里有点不知所措。这是预期的行为吗？

谢谢你的帮助，

尼古拉斯

我正在使用 Ansible (2.9.6) 使用 WinRM CredSSP 连接 Windows 服务器。对于 win ping 命令，其提供服务器未使用 CredSSP 令牌响应。在客户端机器上启用 CredSSP

ansible windows -i hosts -m win_ping

任何帮助来解决此错误消息？

谢谢

设置 PowerShell Web 访问身份验证时，默认情况下它使用“默认”作为身份验证类型。我设置了 CredSSP，它适用于网络身份验证。但是，我希望 CredSSP 成为默认的身份验证模式，而不是“默认”。我深入研究了 IIS 中 PSWA Web 的配置，我发现有几个可用的值可以覆盖默认值。可以看到 defaultAuthentcationType 设置为 0，这是正确的设置。在网页上我可以看到选择框有以下选项

3 is missing在名单上。我的研究证实 3 是我的 PowerShell 5.1.15063.966 上缺少的 NegotiateWithImplicitCredential。因此，当我将 defaultAuthenticationType 设置为数字时，网页默认为一个新选项：7 Admin Specified

当我尝试 3 和 4 时，都没有使用 CredSSP。这只是 Kerberos，即使我将 defaultAuthenticationType 设置为 CredSSP，也没有出现任何 Admin 选项，它又回到了 Default 状态。

任何有类似经验的人都应该分享我可以做些什么来使用 CredSSP