Windows PowerShell: Den zweiten Hop ausführen
Beim Remoteausführen von Windows PowerShell können Sie in einige komplizierte Situationen geraten. Seien Sie vorsichtig damit, wie oft Sie den Hop ausführen.
Don Jones
Windows PowerShell-Remoting ist eine erstaunliche Möglichkeit, mehreren Remotecomputern als einfach zu verwalten, als ob Sie nur eine Verwaltung waren. In einer Domänenumgebung funktioniert es einfach. Davon abgesehen, gibt es ein paar Vorsichtsmaßnahmen zu beachten, dass kann wirklich Sie durcheinander zu bringen. Der "zweite Hop" ist einer von denen.
Eine besonders coole Sache über Remoting ist, wie gut es mit bestimmten Windows-Technologien, wie das Kerberos-Authentifizierungsprotokoll integriert. Im Gegensatz zu älteren Tools, die akzeptieren und remote-Befehle ausführen konnte, nicht Remoting unter einigen allmächtigen Konto "LocalSystem" ausgeführt werden. Stattdessen, wenn Sie anschließen, Ihre Windows-Anmeldeinformationen (derjenige mit dem Sie angemeldet sind, oder beim herstellen die Verbindung angegeben) an den remote-Computer oder Computer delegiert wird.
Delegierung ist eine native Funktion von Kerberos und Active Directory. Es ist vollkommen sicher. Ihr Passwort ist nicht im klaren, verschlüsselte oder anderweitig über das Netzwerk übertragen. Bei den meisten wird es als einen freigegebenen Schlüssel verwendet.
Delegation bedeutet, dass Befehle des Remotecomputers Kopie von Windows PowerShell ausgeführt werden kann, so wie Sie das tun, was bedeutet, dass Remoting Sicherheit transparent wird. Alles, was Sie zu tun haben, werden Sie in der Lage, aus der Ferne zu tun. Wenn Sie keine Berechtigung haben, können Sie es nicht. Remoting wird-Befehle wie Sie ausgeführt.
Sie sitzen an Ihrem Clientcomputer und ServerA, die ist von einem Remotecomputer herstellen. Diese Maschine wird Ihre Anmeldeinformationen übertragen. Aus ServerA initiieren Sie jetzt eine andere Verbindung von einer Art auf einen dritten Computer. Das muss nicht sein eine Verbindung Remoting. Sie könnten versuchen, ein Netzlaufwerk zu diesem dritten Computer, Zertifikatsvertrauenslisten zuzugreifen oder etwas anderes tun. Sie haben gerade einen zweiten Hop gemacht.
Der erste Hop war von Ihrem Client ServerA. Das zweite ist auf dem anderen Computer, den Sie versuchen, eine Verbindung, von ServerA. Das Problem entsteht, weil Ihre Anmeldeinformationen nicht werden, ein zweites Mal delegiert können.
Das ist eigentlich ein Sicherheitsfeature, entworfen, um Ihre Anmeldeinformationen zu verhindern, um ohne Ihr Wissen weitergegeben werden. Damit Ihre zweite Hop-Vorgang schlägt fehl, weil ServerA nicht senden von Anmeldeinformationen für die Fahrt entlang.
In fast allen Windows PowerShell-Klasse, die ich gelernt habe, gibt es jemanden, der das festgestellt hat. Es wird leicht vergessen, dass Sie umgehend in eine Maschine sind, weil es so transparent und einfach zu tun ist. So ist es einfach zu versuchen, am Ende Fernbedienung auf einen dritten Computer ohne zu erkennen, Sie sind Initiierung einen zweiten Hop.
Es gibt keine Delegierung der Anmeldeinformationen, schlägt fehl, des zweiten Hops, Sie seltsame Fehlermeldungen sehen und jeder landet verwirrt. Dies kann in einigen Fällen sogar passieren, wo Sie nur einen Hop haben, aber Sie versuchen, eine Operation auf dem Remotecomputer auszuführen, Delegierte Anmeldeinformationen erfordert.
Die Windows PowerShell Blog-Post, "CredSSP für zweiten Hop Remoting," beschrieben, was geschieht. Es beschreibt auch das Update, das neue CredSSP Authentifizierungsprotokoll lanciert. Dies muss auf dem Clientcomputer und alle Maschinen, die Sie zu remote planen, aktiviert werden. Ausführen ein Befehls zu aktivieren:
Enable-WSManCredSSP –Role client –DelegateComputer * Enable-WSManCredSSP –Role server
Es sollte offensichtlich sein, die man auf dem Client ausgeführt wird und die man auf dem Server. Sie können auch dieses Protokoll durch ein Gruppenrichtlinienobjekt (GPO) in den Einstellungen der Windows Remote Management (WinRM). Sie müssen auch das CredSSP-Protokoll angeben, bei der Verwendung von Invoke-Command, Enter-PSSession, New-PSSession oder jede andere Cmdlet, das Remoting verwendet.
Schauen Sie sich die kostenlose PDF-Datei, "ein Laien-Leitfaden für Remoting PowerShell 2.0," von Ravikanth Chaganti. Es enthält mehr Details (vor allem in Kapitel 10) auf die Sekunde-Hop-Problem und Behebung von Verwechslungen. Beispielsweise stellt fest, dass Domänencontroller CredSSP nicht brauchen um die zweite-Hop-Magie zu tun, weil sie so konfiguriert sind, dass es standardmäßig unterstützen.
Es gibt eine Reihe von anderen kniffligen Szenarien können, die Sie mit Remoting in laufen. Sie konnte nicht-Domänencomputer, domänenübergreifende Verbindungen, Remoting über einen Proxy-Server auftreten, und so weiter. Führen Sie in Windows PowerShell Hilfe About_remote_troubleshooting um detaillierte Anweisungen für den Umgang mit diesen und anderen Szenarien zu lesen. Wenn Sie noch fest sind, schickt mir eine Mail.
.jpg)
Don Jones ist ein Microsoft MVP Award Empfänger und Autor der "Lernen Sie Windows PowerShell in ein Monat von Mittagessen" (Manning Publications, 2011), ein Buch soll helfen, alle Administratoren, die mit Windows PowerShell zustande. Jones bietet öffentlichen und vor-Ort-Training an Windows PowerShell. Sie erreichen ihn über ConcentratedTech.com oder bit.ly/AskDon.