Регистрация Войти
Рейтинг:0
Gorshok avatar Server

Настройка HTTPS для пересылки событий Windows

флаг sa
Gorshok

я успешно создал простую настройку WEF между двумя серверами домена (WS2019) все отлично работает, пока остается в протоколе HTTP.

Как только я попытаюсь перейти на HTTPS, журналы больше не будут поступать на сервер WEC.

я получил сертификаты на обоих хостах, выданные одним и тем же ЦС Я следовал нескольким процедурам, которые нашел в Интернете, и переделывал вещи, пока снимал.

я не могу получить эту работу.

на сервере wec в логах winRm я всегда получаю "Авторизация пользователя завершилась неудачно с ошибкой 5"

и на клиенте:

У сервера пересылки возникла проблема со связью с менеджером подписки по адресу https://:5986/wsman/SubscriptionManager/WEC. Код ошибки — 5, а сообщение об ошибке — <f:WSManFault xmlns:f="http://schemas.microsoft.com/wbem/wsman/1/wsmanfault" Code="5" Machine="myclientFQDN"><f:Message >Клиент WinRM не может обработать запрос. Конечный компьютер (: 5986) вернул ошибку «отказано в доступе». Укажите один из механизмов аутентификации, поддерживаемых сервером. Если используется механизм Kerberos, убедитесь, что клиентский компьютер и конечный компьютер присоединены к домену. Возможные механизмы проверки подлинности, о которых сообщает сервер: согласование Kerberos ClientCerts </f:Message></f:WSManFault>.

я бросаю это сюда, так как у меня закончились идеи Спасибо

295
0 + 0
флаг cn
Greg Askew
Вам нужно указать, инициируется ли это источником или сборщиком. И принципала, к которому запрещен доступ. Похоже, это может быть учетная запись компьютера.
0
Ответить
Gorshok avatar
флаг sa
Gorshok
Вы правы, извините за отсутствие подробностей:
0
Ответить
Gorshok avatar
флаг sa
Gorshok
это источник инициирован. но я думаю, что я понял это. дело в том, что я только пытался настроить HTTPS, но я не хотел специально проходить аутентификацию по сертификату. поэтому я думаю, что мне удалось заставить работать HTTPS, оставаясь при этом на аутентификации Kerberos.
0
Ответить
Gorshok avatar
флаг sa
Gorshok
на исходном компьютере я указал целевой диспетчер подписки следующим образом: Сервер=https://fqdnofcollector:5986/wsman/SubscriptionManager/WEC, Refresh=60,IssuerCA=. что, я думаю, позволит использовать аутентификацию HTTPS + cert. теперь это не работало в этом сценарии.
0
Ответить
Gorshok avatar
флаг sa
Gorshok
я просто удалил часть IssuerCA в строке, и теперь она работает. я думаю, что я сейчас в этом сценарии: HTTPS + Kerberos авторизация Я проверил с помощью Wireshark, и это не работает HTTPS. Итак, теперь это работает, но я не могу быть уверен, что действительно использую kerberos. но, по крайней мере, я достиг цели, которая заключалась в том, чтобы включить пересылку журналов через HTTPS.
0
Ответить
Gorshok avatar
флаг sa
Gorshok
Означает ли это, что если вы укажете IssuerCA в строке, вы попросите WinRM использовать аутентификацию сертификата, а если вы не сделаете этого, откатитесь к другому механизму аутентификации? но какой? чтобы убедиться, что я отключил все механизмы аутентификации в WEC: winrm set WinRM/Config/Client/Auth '@{Basic="false";Digest="false";Kerberos="true";Negotiate="true"; Сертификат = "ложь"; CredSSP = "ложь"}' я оставил «Переговоры», потому что это нормально, я думаю
0
Ответить
флаг cn
Greg Askew
Проверка подлинности сертификата включена по умолчанию, но не будет использоваться, если 5986 не включен, подходящий сертификат недоступен или попытка проверки подлинности выполнена с использованием другого метода. Если вы хотите транспортное шифрование, но используете аутентификацию Kerberos, я считаю, что это возможно и легко проверить. Сертификаты обычно используются в демилитаризованных или ненадежных сетях, где использование Kerberos невозможно.
0
Ответить
Gorshok avatar
флаг sa
Gorshok
да, я думаю, что это дорога, по которой я пойду. и если мне нужно собрать журналы за пределами домена, я просто поставлю сервер WEC для каждого домена, с которого нам нужно собирать журналы. что позволит нам использовать только Kerberos во всей среде.
0
Ответить
Gorshok avatar
флаг sa
Gorshok
Но когда сервер начинает отправлять журналы на сервер wec, как я могу быть уверен, что они использовали kerberos в качестве механизма аутентификации? в логах WinRM нет такой записи кто подтвердит что
0
Ответить
Рейтинг:0
Gorshok avatar Server
флаг sa
Gorshok

Чтобы заставить HTTPS работать, нам просто нужно делать обычные вещи, которые мы находим в Интернете.

установить прослушиватель HTTPS на сервере WEC, сгенерировать сертификаты, установить строку в источнике для целевого диспетчера подписки...

проблема для меня заключалась в том, что когда я включал HTTPS, я также пытался установить аутентификацию сертификата. что для меня не было обязательным.

я просто хотел, чтобы журналы были зашифрованы, пока они отправляются по сети

исправление изменяло целевой менеджер подписки с:

Сервер=https://fqdnofcollector:5986/wsman/SubscriptionManager/WEC, Refresh=60,IssuerCA=отпечаток сертификата ЦС

на сервер=https://fqdnofcollector:5986/wsman/SubscriptionManager/WEC, Refresh=60

я предполагаю, что после этого авторизация сертификата не будет проверяться, и, возможно, вместо этого используется kerberos.

но теперь журналы отправляются через HTTPS.

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.