PowerShell 远程处理工作组计算机

Question

我正在尝试从加入域的 PC 远程 powershell 到我们 DMZ 中的服务器，但我不知道如何让它工作。

DMZ 服务器在启用的默认端口 5985 上为 HTTP 配置了一个监听器。机器中的两个 NIC 都标记为公共(public)网络，因此我更改了公共(public)配置文件的 Windows 远程管理 (HTTP-In) 防火墙规则，以接受来自我的 IP 以及已配置的本地子网的连接。

在我的客户端计算机(Windows 10)上，我将服务器的主机名添加到 WSMan:\localhost\Client\TrustedHosts，并将 LocalAccountTokenFilterPolicy(值:1，类型:DWORD)添加到注册表。

我使用服务器的本地凭据(服务器名\用户名)创建一个凭据对象，然后尝试 $Sess = New-PSSession -ComputerName DMZCOMPUTER -Port 5985 -Credential $Cred该连接总是尝试使用 Kerberos 连接到显然无法正常工作的机器。

如果我尝试 $Sess = New-PSSession -ComputerName DMZCOMPUTER -Port 5985 -Credential $Cred -Authentication Basic我收到一个错误，即当前禁用了未加密的流量。其他身份验证方案会产生不同的错误消息，但我一直无法远程。

我在某处缺少配置吗？使用远程 powershell 从加入域的客户端连接到工作组服务器需要哪些设置(服务器和客户端)。

Answer 1

我最终明白了这一点，我正在做的事情有几个问题。首先链接https://blogs.msdn.microsoft.com/wmi/2009/07/24/powershell-remoting-between-two-workgroup-machines/有一些不正确的信息。它指出 LocalAccountTokenFilterPolicy 注册表项应该在客户端机器上，这是不正确的，它应该在服务器机器上。

另一个修复是我只是在 TrustedHosts 值中使用服务器的 FQDN，然后在尝试创建 session 时仅使用主机名。

如果其他人试图让这个工作，遵循的步骤是:

运行Enable-PSRemoting在服务器机器上

这将启动 WinRM 服务并将其启动设置为自动

它将创建一个 HTTP 监听器

您可以通过运行 winrm enumerate winrm/config/listener 来验证这一点。

它将启用 Windows 远程管理防火墙规则

它将创建和配置 LocalAccountTokenFilterPolicy注册表项

它将重置四个 session 主机的权限

您可以通过运行 Get-PSSessionConfiguration 来验证这一点。

在客户端机器上启动 WinRM 服务

运行Set-Item WSMan:\localhost\Client\TrustedHosts -Value <hostname or FQDN or server>

您可以添加-Concatenate到Set-Item结尾如果您尝试将服务器添加到列表中

运行$Cred = Get-Credential我刚刚按照 kevmar

的建议输入了用户名和密码(不是服务器名\用户名)

运行命令，例如 $S = New-PSSession -ComputerName <same name exactly that you put in the TrustedHosts> -Credential $Cred

如果一切正常，该命令应该只返回

如果您收到提及 Kerberos 的错误，请检查您是否在 ComputerName 中使用相同的名称。参数和 TrustedHosts

如果您收到拒绝访问错误，请检查 LocalAccountTokenFilterPolicy在 上配置服务器