কীভাবে ক্রেডিএসএসপি সক্ষম করবেন

-Authenticationফাইলগুলিতে লিখতে বা নতুন পিএসডিআরআইভি সেট আপ করতে পারে এমন একটি স্ক্রিপ্ট দূরবর্তীভাবে চালু করতে পাওয়ারশেল (২.০) এর সাথে প্রবেশ করার সময় আমি ক্রেডিএসএসপি স্যুইচটি ব্যবহার করার চেষ্টা করছি ।

আমি Enter-PSSessionক্রেডিএসএসপির সাথে অনুরোধ করার সময় একটি ত্রুটি পেয়েছি, এটি বলে যে লক্ষ্যযুক্ত কম্পিউটার অনুমোদিত নয়।

আমি টার্গেট কম্পিউটারে সার্ভার হিসাবে ক্রেডিটএসপি সক্ষম করেছিলাম এবং কম্পিউটারে একটি ক্লায়েন্ট হিসাবে New-PSSessionডেলিগেট কম্পিউটার সেট করে * চালায় ।

আমরা একটি ডোমেনে আছি, ডিসি উইন্ডোজ সার্ভার 2008 আর 2 চালায়, ক্লায়েন্টরা উইন্ডোজ 7 চালায়।

এডি তে, আমি যখন প্রোপার্টি-> ডেলিগেশন দেখি তখন উভয় স্টেশনই অনুমোদিত হয়।

আমি জিপিডিটও খোলার সাথে সাথে টার্গেটের কম্পিউটারের নামটি সুনির্দিষ্ট করে প্রতিনিধিদলকে সক্রিয় করেছিলাম।

এখানে ত্রুটি বার্তা (ফরাসি):

La connexion au serveur distant a échoué avec le message d'erreur suivant : Le client WinRM ne peut pas traiter la demande. Une stratégie d'ordinateur ne permet pas la délégation des informations d'identification de l'utilisateur à l'ordinateur cible car ce dernier n'est pas approuvé. L'identité de l'ordinateur cible ne peut pas être vérifiée si vous configurez le service WSMAN pour utiliser un certificat valide à l'aide de la commande suivante : winrm set winrm/config/service '@{CertificateThumbprint="<thumbprint>"}' Sinon, vous ouvez rechercher dans l'Observateur d'événements un événement qui spécifie que le SPN suivant n'a pas pu être créé : WSMAN/<computerFQDN>. Si vous trouvez cet événement, vous pouvez manuellement créer le SPN à l'aide de setspn.exe. Si le SPN existe, mais que CredSSP ne peut pas utiliser Kerberos pour valider l'identité de l'ordinateur cible et si vous souhaitez toujours autoriser la délégation des informations d'identification de l'utilisateur à l'ordinateur cible, utilisez gpedit.msc et examinez la stratégie sui vante : Configuration de l'ordinateur -> Modèles d'administration -> Système -> Délégation d'informations d'identification -> Autoriser les nouvelles informations d'identification avec l'authentification du serveur NTLM uniquement. Vérifiez qu'elle est activée et configurée avec un SPN approprié pour l'ordinateur cible. Par exemple, pour le nom d'ordinateur cible « monserveur.domaine.com », le SPN peut être : WSMAN/monserveur.domaine.com ou WSMAN/*.domaine.com. Renouvelez la demande après ces modifications. Pour plus d'informations, voir la rubrique d'aide bout_Remote_Troubleshooting. + CategoryInfo : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [], PSRemotingTransportExc eption + FullyQualifiedErrorId : PSSessionOpenFailed

অন্যান্য পরামিতিগুলি কী যা ক্রেডিএসএসপি প্রতিরোধ করতে পারে?

সম্পাদনা: ঠিক আছে সুতরাং আমার কাছে এমন একটি রিমোট পিএসএসসেইনে ড্রাইভ মাউন্ট করার জন্য একটি অস্থায়ী কাজ রয়েছে যেখানে ক্রেডিএসএসপি অনুমোদিত নয়। আমি ব্যবহার

net use X: \\xxx.xxx.xxx.xxx /user:username password

আমি যখন রিমোট সেশনে থাকি তখন সিনট্যাক্স (অর্থাত্ নতুন-পিএসডিআরআইভি সেমিডলেট নয়)। এমনকি এটি একটি দূরবর্তী কম্পিউটারে ইনভোক-কমান্ড দিয়েও ঠিকঠাক কাজ করছে বলে মনে হচ্ছে।

তবে তবুও ক্রেডিএসএসপি সক্ষম করা দরকার, যা আমাকে হার্ডকোডিং শংসাপত্রগুলি থেকে আটকাবে ...

পাওয়ারশেল ২.০-তে একটি ত্রুটি রয়েছে (পিএস 3.0.০ এ স্থির): ফাইল-সিস্টেম সরবরাহকারীর শংসাপত্রগুলি সমর্থন করা উচিত

ফাইলসিস্টেম সরবরাহকারীর সাথে কোনও সেমিডলেট ব্যবহার করার সময় বিকল্প শংসাপত্র সরবরাহ করা সম্ভব নয়। এমনকি নিউ-পিএসডিআরভিও, যা একটি-শংসাপত্রের পরামিতি গ্রহণ করে, এটি ফাইলসিস্টেম সরবরাহকারীর সাথে গ্রহণ করবে না।

এখানে মূল কথাটি হ'ল প্রাচীন NET USEকমান্ডটির পাওয়ারশেলের নিউ-পিএসডিআরভিয়ের চেয়ে বেশি শক্তি রয়েছে ...

সুতরাং আপনি যদি পিএস ২.০ এর সাথে আটকে থাকেন তবে New-PSDriveসেমিডলেটকে শংসাপত্রগুলি ব্যবহার করার জন্য বাধ্য করার কোনও উপায় নেই ( এএফআইকে ) । ওয়ার্কআরাউন্ডগুলি বিদ্যমান, তবে তারা সকলেই হার্ডকোডযুক্ত কর্ডেন্টিয়াল ব্যবহার করে:

নেট ব্যবহার (যেমন আপনি ইতিমধ্যে করেছেন):

net use X: \xxx.xxx.xxx.xxx /user:username password

অথবা

Wscript:

$net = new-object -ComObject WScript.Network
$net.MapNetworkDrive("X:", "\\server\share", $false, "domain\user", "password")