CredSSP PowerShell会话在使用Kerberos进行机器身份验证时失败

Question

我们正在尝试为CredSSP使用多跳PowerShell远程处理身份验证，而我们的一个客户端遇到了一个障碍，使得他们在指定目标服务器的FQDN时无法使用CredSSP创建PSSessions。服务器和客户端都连接到同一个域，不相交的命名空间也没有什么特别之处。

在调试过程中，我们打开了所有可以想到的相关安全选项；具体而言：

• 我们启用了GP设置，允许使用通配符SPN wsman/*委派新凭据(标准和“只使用NTLM”)
• 我们已经用WSMan启用了*.domain.com受信任主机设置
• 我们(当然)已经为服务器和客户端上的WSMan启用了CredSSP
• 我们已经在服务器上设置了LocalAccountTokenFilterPolicy

在打开了所有这些设置之后，下面是我们为PSSessions尝试不同身份验证方法时得到的结果：

• 使用Kerberos进行显式域凭据的委托可以很好地工作。
• 使用带有显式域凭据的委托协商可以很好地工作。
• 使用CredSSP进行委托：
  • 使用域凭据连接到服务器的FQDN，错误目前没有可用的登录服务器为登录请求提供服务。失败。
  • 使用域凭据(仅连接到服务器的主机名)失败时也会出现相同的错误。
  • 使用服务器上本地帐户的凭据(因此，我相信，强制NTLM进行服务器身份验证)，连接到服务器的FQDN，工作正常。
  • 使用域凭据，连接到服务器的IP地址(从而强制NTLM进行服务器身份验证)，效果很好。

​

因此，简而言之，只要我们使用NTLM进行服务器身份验证，并且在使用Kerberos时失败，CredSSP就可以工作，但是，如果我们也使用Kerberos进行委托，那么Kerberos肯定工作得很好。这是怎么可能的，我们能做些什么才能使CredSSP+Kerberos工作呢？

Answer 1

我们在微软的一些工程师的帮助下解决了这个问题:客户站点上的域控制器是Server 2003，它不支持CredSSP (需要服务器2008或更高版本)。

也就是说，使用NTLM的CredSSP可以工作，因为NTLM不涉及域控制器--它只是介于客户机(Windows7 x64)和服务器(Server 2008 R2 x64)之间。当您在Kerberos中使用CredSSP时，现在涉及域控制器(KDC)，它不知道如何处理CredSSP连接，因此它失败了。

因此，在客户升级其域控制器之前，他们将使用本地用户帐户使用我们的部署工具进行远程处理，从而将域从图片中删除。