เซิร์ฟเวอร์ Linux ไม่สามารถใช้งาน PowerShell จากระยะไกลผ่าน WinRM โดยใช้ NTLM บนเซิร์ฟเวอร์ Windows ระยะไกล

โดยพื้นฐานแล้วเรามีทีมที่มีเซิร์ฟเวอร์ Linux ที่ใช้ PowerShell Core (ผสมระหว่าง 6 และ 7) ที่ต้องดำเนินการคำสั่ง Windows PowerShell จากระยะไกลบนเซิร์ฟเวอร์ Windows ปัญหาคือทีมไม่เคยให้ Kerberos ทำงานสำหรับการพิสูจน์ตัวตนและอาศัย gssapi เพื่อให้ NTLM auth ทำงาน ซึ่ง MS ไม่รองรับ AFAIK สำหรับสถานการณ์นี้

สิ่งที่เกิดขึ้นในขณะนี้คือเซิร์ฟเวอร์ Linux เหล่านี้ได้รับข้อผิดพลาด MI_RESULT_FAILED หลังจากผ่านไประยะหนึ่ง (สิ่งนี้เพิ่งเริ่มเมื่อสัปดาห์ที่แล้ว สิ่งต่างๆ ทำงานได้ดีก่อนหน้านี้) และจำเป็นต้องรีสตาร์ทบริการ WinRM บนโหนดระยะไกลเพื่อให้การทำงานระยะไกล ใช้งานได้ประมาณหนึ่งวันก่อนที่ WinRM จะต้องตีกลับอีกครั้ง

ตอนนี้ เนื่องจาก NTLM ไม่ใช่กลไกการรับรองความถูกต้องที่สนับสนุนโดย PowerShell Core บน Linux (ใช้งานได้เฉพาะเนื่องจาก gssntlmssp ซึ่งดูแลโดย RedHat ไม่ใช่ Microsoft) เส้นทางที่ชัดเจนข้างหน้านี้คือการใช้ OpenSSH สำหรับ PS Remoting จาก Linux แทน หรือเปลี่ยนไปใช้การพิสูจน์ตัวตน Kerberos แทน NTLM อย่างไรก็ตาม เนื่องจากสิ่งต่าง ๆ ทำงานได้ก่อนสัปดาห์ที่แล้ว ฝ่ายบริหารจึงไม่ต้องการการรับรองความถูกต้องหรือการเปลี่ยนแปลงโปรโตคอลเพื่อแก้ไขปัญหานี้ พวกเขาต้องการให้สิ่งที่ทำงานได้รับการแก้ไข ณ จุดนี้ ฉันกำลังหมุนวงล้อเพื่อพยายามหาสาเหตุว่าทำไม NTLM auth จึงล่ม และการแก้ไขที่แนะนำของฉันก็ไม่อยู่ในตารางในตอนนี้

โหนดต้นทางกำลังเรียกใช้ RHEL8 หรือ AL2 โหนดระยะไกลคือ Windows 2016-2019 โดยมีรุ่นเก่า 2012 บางส่วนผสมกัน Windows เป็น Windows PS Remoting ทำ ไม่ พักที่นี่เฉพาะ Linux ถึง Windows

มีใครเคยโดนสถานการณ์แบบนี้มาก่อนหรืออะไรทำนองนี้ไหม? มีความคิดเห็นเกี่ยวกับสิ่งที่เราอาจพยายามแก้ไขปัญหานี้หรือไม่

แก้ไข: ฉันได้แก้ไขข้อผิดพลาดด้านบนเป็น MI_RESULT_FAILED. ปฏิเสธการเข้าใช้ เป็นสิ่งที่ทีมที่รายงานปัญหากล่าว แต่ในการทำซ้ำปัญหาที่เราเห็น MI_RESULT_FAILED. การติดตาม WinRM แสดงว่าการรับรองความถูกต้อง NTLM สำเร็จ แต่ก็ยังล้มเหลวแม้ว่าจะแสดง "Hello World" ผ่าน เรียกใช้คำสั่ง.