Score:0

Server

เหตุการณ์ Windows ส่งต่อการตั้งค่า HTTPS

Gorshok

9/4/23 10:28

ฉันสร้างการตั้งค่า WEF อย่างง่ายระหว่างสองโดเมนเซิร์ฟเวอร์ (WS2019) สำเร็จแล้ว มันทำงานได้ดีในขณะที่ยังคงอยู่ในโปรโตคอล HTTP

เมื่อฉันพยายามก้าวกระโดดไปสู่ HTTPS จะไม่มีการบันทึกไปที่เซิร์ฟเวอร์ WEC อีกต่อไป

ฉันได้รับใบรับรองจากทั้งสองโฮสต์ที่ออกโดย CA เดียวกัน ฉันทำตามขั้นตอนหลายอย่างที่ฉันพบทางออนไลน์และทำซ้ำสิ่งต่าง ๆ ในขณะที่ฉันกำลังถ่ายทำ

ฉันไม่สามารถจัดการงานนี้ได้

บนเซิร์ฟเวอร์ wec ในบันทึก winRm ฉันได้รับเสมอ "การให้สิทธิ์ของผู้ใช้ล้มเหลวด้วยข้อผิดพลาด 5"

และบนไคลเอ็นต์:

ผู้ส่งต่อมีปัญหาในการสื่อสารกับตัวจัดการการสมัครสมาชิกตามที่อยู่ https://:5986/wsman/SubscriptionManager/WEC รหัสข้อผิดพลาดคือ 5 และข้อความแสดงข้อผิดพลาดคือ <f:WSManFault xmlns:f="http://schemas.microsoft.com/wbem/wsman/1/wsmanfault" Code="5" Machine="myclientFQDN"><f:Message >ไคลเอ็นต์ WinRM ไม่สามารถดำเนินการตามคำขอได้ คอมพิวเตอร์ปลายทาง (:5986) ส่งกลับข้อผิดพลาด 'การเข้าถึงถูกปฏิเสธ' ระบุหนึ่งในกลไกการรับรองความถูกต้องที่เซิร์ฟเวอร์รองรับ ถ้าใช้กลไก Kerberos ให้ตรวจสอบว่าคอมพิวเตอร์ไคลเอ็นต์และคอมพิวเตอร์ปลายทางเชื่อมต่อกับโดเมน กลไกการตรวจสอบสิทธิ์ที่เป็นไปได้ที่รายงานโดยเซิร์ฟเวอร์: Negotiate Kerberos ClientCerts </f:Message></f:WSManFault>

ฉันทิ้งสิ่งนี้ไว้ที่นี่เพราะฉันไม่มีไอเดีย ขอบคุณ

295

0 + 0

บันทึกเหตุการณ์ของ windows

ชนะ

Greg Askew

9/4/23 13:50

คุณต้องระบุว่านี่คือต้นทางหรือตัวรวบรวมที่เริ่มต้น และตัวหลักที่การเข้าถึงถูกปฏิเสธ ดูเหมือนว่าอาจเป็นบัญชีคอมพิวเตอร์

ตอบกลับ

Gorshok

9/4/23 14:54

คุณพูดถูก ขออภัยที่ไม่มีรายละเอียด:

ตอบกลับ

Gorshok

9/4/23 15:03

มันเป็นแหล่งที่มาที่เริ่มต้น แต่ฉันคิดว่าฉันคิดออกแล้ว ประเด็นคือฉันแค่พยายามตั้งค่า HTTPS แต่ฉันไม่ต้องการตรวจสอบสิทธิ์โดยใบรับรองโดยเฉพาะ ดังนั้นฉันคิดว่าฉันจัดการเพื่อให้ HTTPS ทำงานได้ในขณะที่ยังคงอยู่ในการตรวจสอบสิทธิ์ Kerberos

ตอบกลับ

Gorshok

9/4/23 15:04

บนคอมพิวเตอร์ต้นทางฉันระบุตัวจัดการการสมัครสมาชิกเป้าหมายดังนี้: เซิร์ฟเวอร์=https://fqdnofcollector:5986/wsman/SubscriptionManager/WEC,รีเฟรช=60,IssuerCA=. ซึ่งฉันคิดว่าจะอนุญาตให้ใช้ HTTPS + การรับรองความถูกต้องของใบรับรอง ตอนนี้ใช้ไม่ได้ในสถานการณ์นี้

ตอบกลับ

Gorshok

9/4/23 15:07

ฉันเพิ่งลบส่วน IssuerCA ในสตริงออก และตอนนี้มันใช้งานได้แล้ว ฉันคิดว่าตอนนี้ฉันอยู่ในสถานการณ์นี้: Https + Kerberos รับรองความถูกต้อง ฉันตรวจสอบกับ Wireshark แล้วมันเป็น HTTPS ที่ไม่ตาย ตอนนี้มันใช้งานได้ แต่ฉันไม่มีทางแน่ใจว่าฉันใช้ kerberos จริง ๆ แต่อย่างน้อยฉันก็บรรลุวัตถุประสงค์ซึ่งก็คือการเปิดใช้งานการส่งต่อบันทึกผ่าน HTTPS

ตอบกลับ

Gorshok

9/4/23 15:14

หมายความว่าหากคุณระบุ IssuerCA ในสตริง คุณจะขอให้ WinRM ใช้การรับรองความถูกต้องของใบรับรอง และหากคุณไม่ระบุ ให้สำรองกลับไปใช้กลไกการตรวจสอบความถูกต้องอื่น แต่อันไหน ? เพื่อให้แน่ใจว่าฉันได้ปิดกลไกการตรวจสอบความถูกต้องทั้งหมดใน WEC : winrm set WinRM/Config/Client/Auth '@{Basic="false";Digest="false";Kerberos="true";Negotiate="true"; ใบรับรอง="เท็จ";CredSSP="เท็จ"}' ฉันเก็บ "เจรจา" ไว้เพราะไม่เป็นไรฉันเดา

ตอบกลับ

Greg Askew

9/4/23 15:23

การรับรองความถูกต้องของใบรับรองถูกเปิดใช้งานตามค่าเริ่มต้น แต่จะไม่ถูกใช้งานหากไม่ได้เปิดใช้งาน 5986 ไม่มีใบรับรองที่เหมาะสม หรือพยายามตรวจสอบความถูกต้องด้วยวิธีอื่นสำเร็จ หากคุณต้องการเข้ารหัสการขนส่งแต่ใช้การพิสูจน์ตัวตน Kerberos ฉันคิดว่าเป็นไปได้และทดสอบได้ง่าย โดยทั่วไปแล้วใบรับรองจะใช้ในขอบเขตหรือเครือข่ายที่ไม่น่าเชื่อถือ โดยที่ Kerberos ไม่ใช่ตัวเลือก

ตอบกลับ

Gorshok

9/4/23 15:43

ใช่ ฉันคิดว่านั่นคือถนนที่ฉันกำลังจะไป และถ้าฉันต้องการรวบรวมบันทึกภายนอกโดเมน ฉันจะเพียงแค่ใส่เซิร์ฟเวอร์ WEC สำหรับทุกโดเมนที่เราต้องการรวบรวมบันทึกจาก ซึ่งจะทำให้เราสามารถใช้ Kerberos ในสภาพแวดล้อมทั้งหมดเท่านั้น

ตอบกลับ

Gorshok

9/4/23 15:47

แต่เมื่อเซิร์ฟเวอร์เริ่มส่งบันทึกไปยังเซิร์ฟเวอร์ wec ฉันจะแน่ใจได้อย่างไรว่าพวกเขาใช้ kerberos เป็นกลไกการตรวจสอบสิทธิ์ ไม่มีรายการดังกล่าวในบันทึก WinRM ที่ยืนยันว่า

ตอบกลับ

Score:0

Server

Gorshok

10/4/23 08:19

ในการทำให้ HTTPS ใช้งานได้ เราเพียงแค่ทำสิ่งปกติที่เราพบทางออนไลน์

ตั้งค่าตัวฟัง HTTPS บนเซิร์ฟเวอร์ WEC สร้างใบรับรอง ตั้งค่าสตริงบนต้นทางสำหรับตัวจัดการการสมัครสมาชิกเป้าหมาย ...

ปัญหาสำหรับฉันคือในขณะที่ฉันเปิดใช้งาน HTTPS ฉันก็พยายามตั้งค่าการรับรองความถูกต้องของใบรับรองด้วย ซึ่งไม่จำเป็นสำหรับฉัน

ฉันแค่ต้องการให้บันทึกถูกเข้ารหัสในขณะที่มันส่งผ่านเครือข่าย

การแก้ไขคือการเปลี่ยนตัวจัดการการสมัครสมาชิกเป้าหมายจาก:

เซิร์ฟเวอร์=https://fqdnofcollector:5986/wsman/SubscriptionManager/WEC,รีเฟรช=60,IssuerCA=รหัสประจำตัวของใบรับรอง CA

ไปยังเซิร์ฟเวอร์=https://fqdnofcollector:5986/wsman/SubscriptionManager/WEC,รีเฟรช=60

ฉันเดาว่าจะไม่ลองใช้ใบรับรองรับรองหลังจากนั้นและอาจใช้ kerberos แทน

แต่ตอนนี้มีการพุชบันทึกผ่าน HTTPS

0 + 0

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Windows event forwarding HTTPS Setup

TH: เหตุการณ์ Windows ส่งต่อการตั้งค่า HTTPS

RO: Configurare HTTPS de redirecționare a evenimentelor Windows

RU: Настройка HTTPS для пересылки событий Windows

VI: Thiết lập HTTPS chuyển tiếp sự kiện Windows

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา