Powershell CREDSSP и TLS 1.2
Сервер A - это Server 2008 R2, Powershell V3. Все SSL и TLS включены, а также все шифры. Сервер B - это Server 2016, Powershell V5 и только TLS 1.2 и определенный набор шифров.
Я не могу заставить аутентификацию Credssp работать от A до B, даже если я использую
Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
Я знаю, что это настройка для каждого сеанса, поэтому я включил сам сценарий.
Если я настрою сервер B (Server 2016) для включения всего шифрования SSL и TLS, CREDSSP не будет работать.
И да, мне нужно использовать CREDSSP, потому что сценарий на сервере B ссылается на общий файловый ресурс на сервере A.
Вот сценарий, который я использую, он снова работает, когда включены все версии TLS.
$pass = ConvertTo-SecureString "password" -asplaintext -force
$mycred = new-object -typename System.Management.Automation.PSCredential -argumentlist "domain\user.service",$pass
#
#
# The Remote Execution Command. Fully Qualified Domain name is critical since we are using Credssp.
# Credssp is being used to resolve an issue with a double hop authentication issue.
Invoke-Command -ComputerName ServerB.domain.edu -command { C:\HelloWorld.ps1 } -Authentication Credssp -Credential $mycred
Единственное, что я еще не пробовал, но собираюсь, - это установить сервер A и B на TLS 1.2 и посмотреть, работает ли он таким образом. Это не долгосрочное решение, потому что в настоящее время для сервера A нельзя установить только TLS 1.2.
включены только шифры TLS_RSA_WITH_AES_ *
Попробуйте установить это значение на сервере 2008 года и посмотрите, работает ли оно (по умолчанию должно было работать и без этого, но некоторые вещи тупые. Я столкнулся с этой проблемой) [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NetFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
В качестве дополнительного примечания убедитесь, что вы применяете исправление KB3080079 для поддержки RDP TLS1.2 и KB3099845 для поддержки .NET TLS1.2 на сервере 2008 года.
да, я проверил, и оба применяются
Вы проверяли, что для ключей x64 / x86 включен strongcrypto?
Позвольте нам продолжить обсуждение в чате.
да, на самом деле я попытался настроить сервер A только на поддержку TLS 1.2, но мне все равно отказано в доступе. Только когда у меня включен TLS 1.0 на обоих серверах, я могу заставить его работать.