înregistrare Logare
Puncte:0
Gorshok avatar Server

Configurare HTTPS de redirecționare a evenimentelor Windows

drapel sa
Gorshok

Am creat cu succes o configurare WEF simplă între două servere de domenii (WS2019) totul funcționează excelent în timp ce rămâne în protocolul HTTP.

Odată ce încerc să fac saltul la HTTPS, nu mai vor fi trimise jurnalele pe serverul WEC.

Am primit certificate pe ambele gazde emise de aceeași CA Am urmat mai multe proceduri pe care le-am găsit online și am refăcut lucruri în timp ce filmam.

nu reușesc să obțin această muncă.

pe serverul wec, în jurnalele winRm primesc întotdeauna „Autorizarea utilizatorului a eșuat cu eroarea 5”

si asupra clientului:

Expeditorul are o problemă la comunicarea cu managerul de abonament la adresa https://:5986/wsman/SubscriptionManager/WEC. Codul de eroare este 5 și mesajul de eroare este <f:WSManFault xmlns:f="http://schemas.microsoft.com/wbem/wsman/1/wsmanfault" Code="5" Machine="myclientFQDN"><f:Message >Clientul WinRM nu poate procesa cererea. Computerul de destinație (:5986) a returnat o eroare „acces refuzat”. Specificați unul dintre mecanismele de autentificare acceptate de server. Dacă se folosește mecanismul Kerberos, verificați dacă computerul client și computerul destinație sunt conectate la un domeniu. Posibile mecanisme de autentificare raportate de server: Negociați Kerberos ClientCerts </f:Message></f:WSManFault>.

Am lăsat asta aici de când am rămas fără idei Mulțumiri

295
0 + 0
drapel cn
Greg Askew
Trebuie să specificați dacă acesta este inițiat de sursă sau de colector. Și principalul căruia i se interzice accesul. Se pare că ar putea fi contul de computer.
0
Răspunde
Gorshok avatar
drapel sa
Gorshok
ai dreptate, scuze pentru lipsa detaliilor:
0
Răspunde
Gorshok avatar
drapel sa
Gorshok
este sursa initiata. dar cred ca mi-am dat seama. Chestia este că încercam doar să configurez HTTPS, dar nu am vrut să trec în mod special printr-o autentificare prin certificat. așa că cred că am reușit să fac HTTPS să funcționeze rămânând pe o autentificare Kerberos.
0
Răspunde
Gorshok avatar
drapel sa
Gorshok
pe computerul sursă am specificat Managerul de abonament țintă astfel: Server=https:// fqdnofcollector:5986/wsman/SubscriptionManager/WEC,Refresh=60,IssuerCA=. ceea ce cred că ar permite utilizarea HTTPS + autentificare certificat. acum acest lucru nu a funcționat în acest scenariu.
0
Răspunde
Gorshok avatar
drapel sa
Gorshok
Tocmai am eliminat partea IssuerCA din șir și acum funcționează. Cred că sunt acum în acest scenariu: Https + autentificare kerberos Am verificat cu Wireshark și nu este HTTPS. Deci acum funcționează, dar nu am cum să fiu sigur că folosesc într-adevăr kerberos. dar cel puțin am atins obiectivul care era să permit redirecționarea jurnalelor prin HTTPS
0
Răspunde
Gorshok avatar
drapel sa
Gorshok
Înseamnă asta, dacă specificați IssuerCA în șirul, cereți WinRM să folosească o autentificare cu certificat și dacă nu o faceți alternativ la un alt mecanism de autentificare? dar care? pentru a fi sigur că am dezactivat toate mecanismele de autentificare de pe WEC: winrm set WinRM/Config/Client/Auth '@{Basic="false";Digest="false";Kerberos="true";Negotiate="true"; Certificate="false";CredSSP="false"}' Am păstrat „Negociați” pentru că e ok, cred
0
Răspunde
drapel cn
Greg Askew
Autentificarea prin certificat este activată în mod implicit, dar nu ar fi folosită dacă 5986 nu a fost activat, nu a fost disponibil un certificat adecvat sau s-a încercat cu succes o altă metodă de autentificare. Dacă doriți criptare de transport, dar utilizați autentificarea Kerberos, consider că este posibil și ușor de testat. Certificatele sunt utilizate de obicei în rețele de perimetru sau neîncrezătoare în care Kerberos nu este o opțiune.
0
Răspunde
Gorshok avatar
drapel sa
Gorshok
Da, cred că acesta este drumul pe care îl voi urma. și dacă am nevoie să colectez jurnale în afara domeniului, voi pune doar un server WEC pentru fiecare domeniu de la care trebuie să colectăm jurnale. ceea ce ne-ar permite să folosim numai kerberos în întregul mediu.
0
Răspunde
Gorshok avatar
drapel sa
Gorshok
Dar când un server începe să împingă jurnalele către serverul wec, cum pot fi sigur că a folosit kerberos ca mecanism de autentificare? nu există o astfel de intrare în jurnalele WinRM care să confirme asta
0
Răspunde
Puncte:0
Gorshok avatar Server
drapel sa
Gorshok

Pentru ca HTTPS să funcționeze, trebuie doar să facem lucrurile obișnuite pe care le găsim online.

setați ascultătorul HTTPS pe serverul WEC, generați certificate, setați șirul pe sursă pentru managerul de abonament țintă...

Problema pentru mine a fost în timp ce activam HTTPS și încercam să setez autentificarea certificată. ceea ce nu era obligatoriu pentru mine.

Am vrut doar ca jurnalele să fie criptate în timp ce erau trimise prin rețea

remedierea a fost schimbarea managerului de abonament țintă din:

Server=https:// fqdnofcollector:5986/wsman/SubscriptionManager/WEC,Refresh=60,IssuerCA=amprenta certificatului CA

la Server=https:// fqdnofcollector:5986/wsman/SubscriptionManager/WEC,Refresh=60

Bănuiesc că certificatul de autentificare nu va fi încercat după aceea și poate că kerberos este folosit în schimb.

dar acum jurnalele sunt trimise prin HTTPS.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.