Powershell: New-PSSession не может подключиться к ПК с Windows Server 2016

Mac PSRP / WSMan поддерживает только базовую аутентификацию, попробуйте и посмотрите, работает ли она. Рекомендуется установить OpenSSH в Windows и использовать PSRP / SSH.

+1 с @ SteveL-MSFT

А после установки OpenSSH-Win32 попробуйте использовать New-PSSession с параметрами: -HostName и -UserName (вместо -ComputerName и -Credential).

Я использую эти параметры в Enter-PSSession, и он работает.

Посмотрите, работает ли это для вас!

@ SteveL-MSFT, если бы я хотел использовать SSH, я бы просто использовал его. Есть ли отдельная проблема с PSRemoting, на которую я могу подписаться, или это только одна?

@spitfire

К вашему сведению

Прямо сейчас возможно подключение с помощью Enter-PSSession с параметрами -HostName и
-UserName:

1. Linux в Linux
2. Windows в Linux
3. Linux в Windows
4. Windows в Windows

У меня нет Mac OS, поэтому я не могу подтвердить это.

Документация не была обновлена, чтобы включить «Windows в Linux».

Все это возможно с текущей версией PowerShell v6.0.0.0-alpha.18 и
OpenSSH-Win32 версии 0.0.12.0

:)

Хм!

Я могу подключиться из PowerShell v6 к своему Linux-серверу, используя открытый ssh, но при запуске PowerShell строка чтения сбивается. Когда я набираю команду, я не могу завершить строку.
(См. Изображение)

Я подключился, но не работает с PowerShell.
Где мне разместить это?

:)

1. Зачем мне использовать SSH для подключения к Windows?
2. Зачем мне использовать PSRemoting для подключения к Mac / Linux?

В обоих случаях мне пришлось бы:

• Установить дополнительное ПО
• Настроить это
• Открыть дополнительную поверхность атаки

Не в этом дело.
Я хочу иметь возможность подключаться к машине Windows с моего Mac (и я думал, что это должно быть возможно, поскольку Powershell 6 есть для всего).

Было бы очень хорошо иметь возможность подключаться с Linux / Mac к Windows без использования SSH для администрирования Powershell.

Я надеюсь, что когда-нибудь это станет возможным.

@MaximoTrinidad Я считаю, что вы попадаете на https://github.com/PowerShell/Win32-OpenSSH/issues/252

@spitfire @MartinAyla Для удаленного взаимодействия PowerShell требуется транспорт, и, к сожалению, в настоящее время его нет в Windows и Linux / Mac. В новейших скоростных рейсах Win10 OpenSSH (бета) является дополнительной функцией по запросу, поэтому OpenSSH получает почтовый ящик в Windows, поэтому вам не придется устанавливать дополнительное программное обеспечение (в будущем). Существуют ограничения, которые не позволяют использовать удаленное взаимодействие PowerShell через паритет WS-Man в Linux и Mac по сравнению с Windows (в частности, поддержка NTLM и Kerberos). SSH решает эти проблемы, и многие клиенты предпочитают аутентификацию на основе ключей, которая отлично работает в Windows (с установленным OpenSSH).

@ SteveL-MSFT спасибо за информацию. Тем не менее, мне это кажется довольно бесполезным, так как это не работает из коробки, и мне, вероятно, было бы лучше запустить сеанс ssh без установки PowerShell на моем Mac.

@spitfire, вы можете просто использовать PowerShell через SSH, не устанавливая PowerShell на свой Mac. Преимущество использования PowerShell на обоих концах заключается в том, что вы можете получать объекты, а не текст через SSH, поэтому вы можете обрабатывать результаты локально (что может быть или не быть тем, что вы хотите). Мы поддерживаем оба варианта.

Позвольте мне убедиться, что у меня есть это право @MaximoTrinidad , @ SteveL-MSFT.

Работает в Ubuntu, пытается поговорить с Windows.

• Использование «-Hostname» в enter-pssession приводит к тому, что powershell вызывает «ssh hostname -p 22 -s powershell»
• Enter-PSSession из Linux в Windows поддерживает только базовую аутентификацию. Вы можете выполнить команду с -Computername, но это не удастся с MI_RESULT_ACCESS_DENIED

Это текущее состояние? Kerberos не работает с Linux на Windows?

Привет @KeithGlidewell!

Прошло много времени. Позвольте мне попробовать позже, когда я вернусь домой и сообщу вам последние новости.
:)

@KeithGlidewell ,

Из Ubuntu я могу подключиться к Windows (среда рабочей группы) с помощью OpenSSH
Powershell
Введите-PSSession -hostname win01 -username maxt

Затем я могу использовать из Windows, выполнить ssh maxt @ win1 , затем powershell и выполнить

Но я не могу использовать -computername с параметрами -credential, так как я получаю сообщение об ошибке «MI_RESULT_ACCESS_DENIED».

Я хорошо использую ssh!
:)

@KeithGlidewell WSMan из Linux также поддерживает NTLM (не поддерживается в MacOS), а Kerberos не поддерживается в Linux или Mac. Рекомендуется использовать SSH, в который мы инвестируем.

Мне сложно настроить безопасное соединение от Centos 7.3 к серверу Windows с последней бета-версией, и я бы хотел избежать использования базовой / незашифрованной аутентификации.

Есть ли документ, объясняющий, как настроить поддержку WinRM NTLM в Linux? Поставляется ли он из коробки с Powershell или ему также нужны пакеты OMI и PSRP?

@giordyb см. https://github.com/powershell/psl-omi-provider#connecting -from -linux-to-windows

Спасибо, Стив. Есть идеи, когда / когда мы сможем использовать ssh из Linux в Windows с аутентификацией Kerberos?

Помимо инструкций по настройке OMI / PSRP в Linux, трудно следовать и многое остается непонятным для человека, не имеющего опыта работы с Linux. Вам придется пройти много проб и ошибок. Дает много головной боли !!

Я до сих пор не понял, как заставить его работать. Таким образом, использовать SSH намного проще, и я могу подключаться быстрее. Настройка намного менее утомительна, чем OMI / PSRP.

:)

@MaximoTrinidad , для OMI / PSRP вам необходимо установить следующее программное обеспечение в Linux:

• Установите PowerShell с https://github.com/PowerShell/PowerShell/releases
• Установите OMI с https://github.com/Microsoft/omi/releases

• Установите PSRP с https://github.com/PowerShell/psl-omi-provider/releases

  Для Mac вам нужно только установить PowerShell, и он может удаленно работать только с Linux / Windows. (Я имею в виду, что вы не можете удаленно подключаться к Mac с помощью OMI / PSRP.)

Но есть ошибка : «изменен метод точки входа, используемый для вызова PowerShell для PSRP», и вчера он исправлен только в коде: https://github.com/PowerShell/psl-omi-provider/commit/d435207fe07404b7e2697d9c6f7ef35b79e73d64 , это означает, что вы не можете выполнять удаленное взаимодействие через OMI / PSRP с PowerShell v6.0.0-beta.3 сейчас, за исключением того, что вы сами создаете последний код PSRP или дождитесь выхода двоичных файлов версии PSRP.

Для базовой аутентификации OMI / PSRP,

• Вам не нужно выполнять какую-либо настройку в Linux, но вам нужно выполнить следующие команды, используя собственный (встроенный в Windows) PowerShell на вашем Windows Server, если вы хотите удаленно на Windows Server:
  winrm quickconfig Enable-PSRemoting winrm set winrm/config/client/auth '@{Basic="true"}' winrm set winrm/config/service/auth '@{Basic="true"}' Set-Item "wsman:\localhost\client\trustedhosts" -Value '*' –Force winrm set winrm/config/client '@{AllowUnencrypted="true"}' winrm set winrm/config/service '@{AllowUnencrypted="true"}'
  Примечание: вам необходимо использовать администратора Windows Server в качестве учетных данных для Enter-PSSession, а учетная запись администратора должна включать / добавлять в RDP.

Для аутентификации OMI / PSRP Negotiate,

• Это тот же параметр, что и обычная проверка подлинности для Windows Server. Для Linux необходимо выполнить множество настроек конфигурации в setup-ntlm-omi .

Для аутентификации Kerberos OMI / PSRP,

• Эта функция разрабатывается на https://github.com/Microsoft/omi, а документы конфигурации Kerberos находятся здесь: setup-kerberos-omi

Просто чтобы вы знали, я смог заставить аутентификацию Negotiate работать на чистом Centos7 с последней версией Powershell (beta4), установив следующие дополнительные пакеты:

• krb5-рабочая станция
• krb5-devel
• gssntlmssp (требуется предварительная установка epel-release)
• Powershell

Я не знаю, зачем нужен krb5-devel (он не указан в качестве обязательного пакета в инструкциях omi, но без него я бы получил следующую ошибку

New-PSSession : [xx.xx.xxx.xxx] Connecting to remote server xx.xx.xxx.xxx failed with the following error message : Could not start request

изменить: krb5-devel необходим для создания необходимой символической ссылки, см. эту проблему: https://github.com/PowerShell/PowerShell/issues/3329

Мне не нужно было создавать NTLM_USER_FILE, упомянутый в инструкциях по omi, я смог запустить enter-pssession как для Windows 2012r2, так и для Windows 2016 (оба домена присоединены), ничего не настраивая.

То, что сказал

Можно подтвердить, что это решение работает на ubuntu 18.04 с последней предварительной версией, точная команда установки была следующей:

sudo apt install krb5-multidev libkrb5-dev gss-ntlmssp

Хотя пакеты установлены и работают с версией deb, она не работает с версией snap.

@hurricanehrndz версия snap несет в себе все свои зависимости, похожие на контейнер, поэтому неудивительно, что она не будет использовать библиотеки ОС и ожидается

У меня есть сервер Windows 2008 R2 с включенным WINRM, без присоединения к домену.

Затем я попытался подключиться из предварительной версии Ubuntu 16.04 + pwsh 6.2.

Это работает, но Enter-PSSession занимает 2 минуты для подключения и 1 минуту для выполнения любой команды.

PS /tmp/powershell-6.2.0-preview.1-linux-x64> Enter-PSSession -ComputerName 172.16.177.120 -Authentication Negotiate -Credential WIN-XXXX\admin

PowerShell credential request
Enter your credentials.
Password for user WIN-XXXX\admin: *************

hostname
[172.16.177.120]: PS C:\Users\admin\Documents> hostname
WIN-XXXX
hostname

Происходит ли что-нибудь вроде разрешения имен?

@CaledoniaProject

Попробуйте немного взломать файл "hosts" обеих систем, добавив IP-адрес к имени компьютера. Это будет работать в системах без домена.

Имейте в виду, что в обеих системах изменения нужно делать «от имени администратора».

В Linux:

sudo vim /etc/hosts

В Windows: (откройте консоль от имени администратора)

notepad c:\Windows\System32\Drivers\etc\hosts

:)

@MaximoTrinidad Не работает ... Если я подключаюсь с ВМ Windows 2012, задержки вообще нет.

Кроме того, в Ubuntu есть заметная задержка после выполнения команды, для отображения следующей командной строки требуется ~ 20 секунд, например

@CaledoniaProject

Хакерский хакер был призван помочь вам обойти проблему разрешения имен, которая позволит вам пинговать с использованием имени компьютера. Обычно я использую ssh для подключения Linux к Windows.

:(

Есть новости о том, когда мы сможем получить поддержку PSRemoting с Linux на Windows?

@GoelJatin, если вы имеете в виду через WSMan, сегодня поддержка ограничена (базовая аутентификация через HTTPS). Что нам действительно нужно, так это перейти от текущей нативной библиотеки к новой управляемой библиотеке https://github.com/PowerShell/PowerShell/issues/8233

@ SteveL-MSFT, я использую службу WinRM (PSRemoting) для удаленного управления.

Я использую командлет Invoke-Command с ComputerName и Credential.

Любое обновление, связанное с этим, поскольку в настоящее время это узкое место для меня, чтобы продолжить работу над некоторыми из моих проектов.

Я понимаю, что SSH переносится в Windows 10, но мой проект предназначен для работы во всех версиях Windows, и PowerShell является наиболее очевидным выбором, поскольку не требует дополнительной установки.

Любая помощь здесь очень ценится!

Надлежащая поддержка клиента WSMan для систем Unix займет некоторое время, так как текущее решение, которое мы используем, ненадежно. Я рекомендую установить порт Microsoft OpenSSH на целевые системы.

Успешно работает в Fedora 29 с добавлением пары пакетов:

dnf install krb5-workstation gssntlmssp

Затем в PowerShell:

Enter-PSSession -ComputerName Server2012DC -Authentication Negotiate -Credential [email protected]

Это отлично работает для меня.

@joeyaiello, возможно, вы можете добавить это в документацию, над которой вы работали, для матрицы поддержки удаленного взаимодействия?

@joeyaiello

Я получил Kerberos, работающий для Ubuntu 18.04.

Но я заметил, что (конечно) он открывает Windows PowerShell, а завершение табуляции не включено.
Я имею в виду .. по крайней мере, это работает!

Я только что написал об этом: http://www.maxtblog.com/2019/02/powerhell-core-ubuntu-18-04-psremoting-to-an-active-directory-machine/

Кстати! Есть ли способ использовать PowerShell Core в соединении WinRm?

:)

Все еще не работает на macOS

$ PSVersionTable
Имя Значение
PS Версия 6.1.3
Ядро PSEdition
GitCommitId 6.1.3
ОС Darwin 18.2.0, версия ядра Darwin 18.2.0: 20 декабря, четверг, 20:46:53 PST 2018; корень: xnu-4903.241.1 ~ 1 / RELEASE_X86_64
Платформа Unix
PSCompatibleVersions {1.0, 2.0, 3.0, 4.0 ...}
PSRemotingProtocolВерсия 2.3
Сериализация Версия 1.1.0.1
WSManStackVersion 3.0

Ошибка:
Enter-PSSession: MI_RESULT_ACCESS_DENIED
В строке: 2 символа: 1

• Enter-PSSession -ComputerName xxxx `
• CategoryInfo: InvalidArgument: (xxxx: String) [Enter-PSSession], PSInvalidOperationException
• FullyQualifiedErrorId: CreateRemoteRunspaceFailed

благодаря

@LinoRS

Вам не хватает шагов, чтобы воспроизвести проблему. Какую полную командную строку Enter-PSSession вы пытаетесь выполнить?

Какая конфигурация среды оконной системы?

Также убедитесь, что служба WinRM запущена. При этом и каждый раз после обновления PowerShell Core необходимо запускать следующую команду: (в Windows)

Enable-PSRemoting -force

Это случилось со мной после обновления 6.2.0-Preview.4 до RC1.

:)

@MaximoTrinidad

Да, я пытаюсь подключиться к сеансу PEP

Полная команда, которую я использую:
$ cred = get-Credential
Enter-PSSession -ComputerName xxxx `
-ConfigurationName PrivilegedEndpoint -Credential $ cred

У меня не будет доступа к этим серверам для выполнения этой команды ... и WinRm работает, так как я могу подключиться с Windows10, и он отлично подключается к серверу PEP ... я читал, что Mac поддерживает только базовую аутентификацию и, возможно, команды тоже не работает?

@LinoRS

Спасибо за дополнительную информацию. Да! MacOS пока кажется ограниченным, но я уверен, что он там появится.
Команда Microsoft постоянно занимается этими проблемами, и я уверен, что они скоро будут решены.

Копия: @ SteveL-MSFT / @joeyaiello

@LinoRS

Спасибо за дополнительную информацию. Да! MacOS пока кажется ограниченным, но я уверен, что он там появится.
Команда Microsoft постоянно занимается этими проблемами, и я уверен, что они скоро будут решены.

Копия: @ SteveL-MSFT / @joeyaiello

@MaximoTrinidad

спасибо, я очень надеюсь, что они это сделают ... ;-) и, может быть, кто-то сможет сообщить нам здесь, когда они это сделают ....

Проблема с macOS в том, что нет библиотек с открытым исходным кодом, которые мы можем использовать для NTLM или Kerberos. Итак, macOS сегодня ограничена только базовой аутентификацией. Рекомендуется установить OpenSSH на машины с Windows и использовать SSH вместо удаленного взаимодействия на основе WSMan.

@ SteveL-MSFT, почему бы не использовать Samba в качестве зависимости? Это решит проблему Kerberos.

@MaximoTrinidad Не работает ... Если я подключаюсь с ВМ Windows 2012, задержки вообще нет.

Кроме того, в Ubuntu есть заметная задержка после выполнения команды, для отображения следующей командной строки требуется ~ 20 секунд, например

пожалуйста, скажите мне, как вы получили тот результат, который вы показали в .in ubuntu

MI_RESULT_ACCESS_DENIED как ошибка при подключении .... Что делать? пожалуйста, помогите мне ...

@MaximoTrinidad Не работает ... Если я подключаюсь с ВМ Windows 2012, задержки вообще нет.
Кроме того, в Ubuntu есть заметная задержка после выполнения команды, для отображения следующей командной строки требуется ~ 20 секунд, например

пожалуйста, скажите мне, как вы получили тот результат, который вы показали в .in ubuntu

@ yugaa22

Если вы следите за моим сообщением в блоге: http://www.maxtblog.com/2019/02/powerhell-core-ubuntu-18-04-psremoting-to-an-active-directory-machine/

В нем рассказывается, что я сделал, чтобы подключить свой Ubuntu к серверу AD. Это контроллер AD Windows Server 2019, безопасность которого для удаленного взаимодействия отличается. По сути, если у вас есть контроллер Windows и разрешено удаленное взаимодействие с другим клиентом Windows, он должен работать. У вас должна быть возможность хотя бы пинговать между Ubuntu и сервером Windows, прежде чем вы сможете попытаться подключиться к удаленному взаимодействию через winrm через AD.

В настоящее время у меня нет времени на установку сервера Windows 2012, поскольку моя постоянная работа в последнее время была очень сложной. Так что попробую позже!

Я снова скопирую @ SteveL-MSFT и @joeyaiello, чтобы узнать, что они думают о проблеме, с которой вы столкнулись.

Большое спасибо за ваш ответ, я буду следовать вашим инструкциям ... однажды
Еще раз спасибо...

23 июля 2019 г., 21:23 Максимо Тринидад, [email protected]
написал:

@ yugaa22 https://github.com/yugaa22

Если вы следите за моим сообщением в блоге:
http://www.maxtblog.com/2019/02/powerhell-core-ubuntu-18-04-psremoting-to-an-active-directory-machine/

В нем рассказывается, что я сделал, чтобы подключить свой Ubuntu к серверу AD. Это
Контроллер AD Windows Server 2019, безопасность для удаленного взаимодействия
другой. По сути, если у вас есть контроллер Windows и разрешено
удаленного доступа к другому клиенту Windows, тогда он должен работать, вы сможете
чтобы хотя бы пинговать между Ubuntu и сервером Windows, прежде чем вы сможете попробовать
подключение к удаленному через WinRM через AD.

В настоящее время у меня нет времени на установку сервера Windows 2012 в качестве моего
работа на полную ставку в последнее время очень требовательна. Так что попробую позже!

Я снова скопирую @ SteveL-MSFT https://github.com/SteveL-MSFT и
@joeyaiello https://github.com/joeyaiello, чтобы узнать, о чем они думают
проблема, с которой вы столкнулись.

-
Вы получаете это, потому что вас упомянули.
Ответьте на это письмо напрямую, просмотрите его на GitHub
https://github.com/PowerShell/PowerShell/issues/3708?email_source=notifications&email_token=AMF6IQQY2B6JPZNMMPERFRDQA4SN3A5CNFSM4DKJI2GKYY3PNVWWK3TUL52HS4DFVREXG43VMVBW63LNMVXHJKTDN5WW2ZLOORPWSZGOD2TSMNQ#issuecomment-514270774 ,
или отключить поток
https://github.com/notifications/unsubscribe-auth/AMF6IQRCIA35IZNZ4U2QBGTQA4SN3ANCNFSM4DKJI2GA
.

@ yugaa22

Если вы следите за моим сообщением в блоге: http://www.maxtblog.com/2019/02/powerhell-core-ubuntu-18-04-psremoting-to-an-active-directory-machine/

В нем рассказывается, что я сделал, чтобы подключить свой Ubuntu к серверу AD. Это контроллер AD Windows Server 2019, безопасность которого для удаленного взаимодействия отличается. По сути, если у вас есть контроллер Windows и разрешено удаленное взаимодействие с другим клиентом Windows, он должен работать. У вас должна быть возможность хотя бы пинговать между Ubuntu и сервером Windows, прежде чем вы сможете попытаться подключиться к удаленному взаимодействию через winrm через AD.

В настоящее время у меня нет времени на установку сервера Windows 2012, поскольку моя постоянная работа в последнее время была очень сложной. Так что попробую позже!

Я снова скопирую @ SteveL-MSFT и @joeyaiello, чтобы узнать, что они думают о проблеме, с которой вы столкнулись.

@ yugaa22, так

@ yugaa22, так

да

У меня все еще не работает на macOS 10.14.6 (18G95), PowerShell 6.2.0

Я пробовал в Ubuntu

Воскресенье, 1 сентября 2019 г., 18:50 Mieszko Ślusarczyk, [email protected]
написал:

У меня все еще не работает на macOS 10.14.6 (18G95), PowerShell 6.2.0

-
Вы получаете это, потому что вас упомянули.
Ответьте на это письмо напрямую, просмотрите его на GitHub
https://github.com/PowerShell/PowerShell/issues/3708?email_source=notifications&email_token=AMF6IQTTYXRGO3RRNTYNMHDQHO6TVA5CNFSM4DKJI2GKYY3PNVWWK3TREX63-5VIFIWG2VWWWK3TREXWFWG4DVBWWK3TREXWWGWWWK3TREXWFWW9TREXWFWW2
или отключить поток
https://github.com/notifications/unsubscribe-auth/AMF6IQUH7BORVSJADN2MOP3QHO6TVANCNFSM4DKJI2GA
.

Я не совсем понимаю. Никто не несет ответственности за проблему. Ни один чиновник не должен решать проблему. Я не нашел никакого эффективного способа его настроить. Я расстроен

Программа была установлена ​​описанным выше способом. Но я не знаю, что делать дальше. Теперь не работает

Думаю, официальная команда может просто избавиться от ssh. Прямое поглощение проекта с открытым исходным кодом krb5, gsntlmsp. Полная реализация кроссплатформенного взаимодействия PowerShell. Нет необходимости в ssh вообще

Я также считаю, что это следует снова открыть. Установка ssh-сервера на каждый сервер может быть вариантом не для всех (безопасность, поверхность для атак и т. Д.). Если он должен работать, объедините необходимые библиотеки / создайте рабочую формулу на homebrew или сделайте все возможное, чтобы действительно работать из коробки. Мы перестаем хвастаться, что у нас есть PowerShell на macOS / Linux, если он не работает.

Итак, официальное решение для установки SSH в Windows? Можем ли мы все согласиться, что это шутка?

Независимо от используемого протокола подключения. Требования пользователя просты, универсальны, надежны и эффективны. Он не требует установки каких-либо инструментов для подключения к сети.

В операционной системе, которую вы производите. Даже последняя версия операционной системы. Sshd не установлен заранее.

Представь. Установите winserver2019, как подключить по ssh？
2016? 2012?

Pwershellcore давно уже полностью забросил окна

@ SteveL-MSFT - можно ли снова открыть эту проблему? Прошло почти 3 года, и это не решено.

Установка SSH в производственной среде излишне увеличивает поверхность атаки и абсолютно неприемлема.