Question
Remoting in Remoting
il y a 13 ans 2 mois #14309
par SiSMik
Réponse de SiSMik sur le sujet Re:Remoting in Remoting
Connexion ou Créer un compte pour participer à la conversation.
il y a 13 ans 2 mois #14327
par Arnaud Petitjean
MVP PowerShell et créateur de ce magnifique forum
Auteur de 6 livres PowerShell aux éditions ENI
Fondateur de la société Start-Scripting
Besoin d'une formation PowerShell ?
Réponse de Arnaud Petitjean sur le sujet Re:Remoting in Remoting
Oui Benduru a raison; si tu veux faire du remoting dans du remoting; c'est à dire rebondir à partir d'une machine vers une autre il faut que tu délégues ton ticket Kerberos. Pour ce faire CredSSP est la seule solution.
Aussi pénible que cela puisse paraître, c'est \"by design\". Pour en avoir discuté avec des personnes de chez Microsoft, c'est une restriction par défaut faite pour protéger les admins en cas de rebond vers une machine qui ne serait pas de confiance; et/ou qui pourrait être compromise. Dans ce cas, cette machine si elle possédait ton ticket Kerberos pourrait le réutiliser pour s'authentifier auprès de toutes les autres machines du réseau et donc causer de potentiels dégats.
Donc en résumé, OUI il faut que tu utilises CREDSSP.
Arnaud
Aussi pénible que cela puisse paraître, c'est \"by design\". Pour en avoir discuté avec des personnes de chez Microsoft, c'est une restriction par défaut faite pour protéger les admins en cas de rebond vers une machine qui ne serait pas de confiance; et/ou qui pourrait être compromise. Dans ce cas, cette machine si elle possédait ton ticket Kerberos pourrait le réutiliser pour s'authentifier auprès de toutes les autres machines du réseau et donc causer de potentiels dégats.
Donc en résumé, OUI il faut que tu utilises CREDSSP.
Arnaud
MVP PowerShell et créateur de ce magnifique forum
Auteur de 6 livres PowerShell aux éditions ENI
Fondateur de la société Start-Scripting
Besoin d'une formation PowerShell ?
Connexion ou Créer un compte pour participer à la conversation.
il y a 13 ans 2 mois #14369
par JONDON Cyril
Réponse de JONDON Cyril sur le sujet Re:Remoting in Remoting
Alors voici le résultat de mes tests , quelque peu surprenant car ma conclusion c'est que j'arrive visiblement à faire du Multi-Hop :
En Kerberos
En CredSSP
[code:1]PS C:\> whoami
cyril-pc\cyril
PS C:\> $a = New-Pssession -ComputerName TEST-PC -Authentication Kerberos -Credential ADSERVICES\Administrateur
PS C:\> Invoke-Command {whoami;echo $env:COMPUTERNAME} -Session $a
adservices\administrateur
TEST-PC
PS C:\> Invoke-Command {$b=new-pssession -Computername DCW2K301} -Session $a
PS C:\> Invoke-Command {icm {whoami;echo $env:COMPUTERNAME} -Session $b} -Session $a
adservices\administrateur
DCW2K301
PS C:\> Invoke-Command {icm {$c= new-pssession -Computername JONDON-KU6OVP3E} -Session $b} -Session $a
PS C:\> Invoke-Command {icm {icm $c {Whoami;Echo $env:COMPUTERNAME}} -Session $b} -Session $a
adservices\administrateur
JONDON-KU6OVP3E[/code:1]
On ferme les sessions pour recommencer en CREDSSP
[code:1]PS C:\> Invoke-Command {icm {Get-Pssession | Remove-Pssession} -Session $b} -Session $a
PS C:\> Invoke-Command {get-pssession | remove-pssession} -Session $a
PS C:\> Get-Pssession | Remove-PSSession[/code:1]
[code:1]PS C:\> $a = New-Pssession -ComputerName TEST-PC -Authentication CredSSP -Credential ADSERVICES\Administrateur
PS C:\> Invoke-Command {whoami;echo $env:COMPUTERNAME} -Session $a
adservices\administrateur
TEST-PC
PS C:\> Invoke-Command {$b=new-pssession -Computername DCW2K301} -Session $a
PS C:\> Invoke-Command {icm {whoami;echo $env:COMPUTERNAME} -Session $b} -Session $a
adservices\administrateur
DCW2K301
PS C:\> Invoke-Command {icm {$c= new-pssession -Computername JONDON-KU6OVP3E} -Session $b} -Session $a
PS C:\> Invoke-Command {icm {icm $c {Whoami;Echo $env:COMPUTERNAME}} -Session $b} -Session $a
adservices\administrateur
JONDON-KU6OVP3E[/code:1]
D'autre part j'ai récupéré le cous officiel Microsoft 10325A Automating Administration with Powershll 2.0 et dans le module 7 Remote Administration Page 7-37 l'exemple suivant est donné :
[code:1]Enter-Psession -Computername Server1
Enter-Psession -Computername Server2
Enter-Psession -Computername Server3[/code:1]
Et Microsoft préconise plutôt de faire ça je cite :
\"Try to avoid this, as each session involves a certain amount of memory, processing and network overhead. Instead exit a session before etablished a new one\"
[code:1]Enter-Psession -Computername Server1
Exit-Pssession
Enter-Psession -Computername Server1
Exit-Pssession
Enter-Psession -Computername Server1
Exit-Pssession[/code:1]
This sequence ensures that the connection to Server1,Server2 and Server3 are each made from your computer.
Bon c un peu léger comme explication mais surtout la question que je me pose et finalement que je vous repose : même si c'est pas préconisé peut-on vraiment faire une session interactive à partir d'une autre session interactive comme le laisse penser leur propos ?
J'ai hate d'avoir vos retours car ça m'interroge grandement.J'ai certainement raté un truc...
Bonne soirée. A plus tard.
En Kerberos
En CredSSP
[code:1]PS C:\> whoami
cyril-pc\cyril
PS C:\> $a = New-Pssession -ComputerName TEST-PC -Authentication Kerberos -Credential ADSERVICES\Administrateur
PS C:\> Invoke-Command {whoami;echo $env:COMPUTERNAME} -Session $a
adservices\administrateur
TEST-PC
PS C:\> Invoke-Command {$b=new-pssession -Computername DCW2K301} -Session $a
PS C:\> Invoke-Command {icm {whoami;echo $env:COMPUTERNAME} -Session $b} -Session $a
adservices\administrateur
DCW2K301
PS C:\> Invoke-Command {icm {$c= new-pssession -Computername JONDON-KU6OVP3E} -Session $b} -Session $a
PS C:\> Invoke-Command {icm {icm $c {Whoami;Echo $env:COMPUTERNAME}} -Session $b} -Session $a
adservices\administrateur
JONDON-KU6OVP3E[/code:1]
On ferme les sessions pour recommencer en CREDSSP
[code:1]PS C:\> Invoke-Command {icm {Get-Pssession | Remove-Pssession} -Session $b} -Session $a
PS C:\> Invoke-Command {get-pssession | remove-pssession} -Session $a
PS C:\> Get-Pssession | Remove-PSSession[/code:1]
[code:1]PS C:\> $a = New-Pssession -ComputerName TEST-PC -Authentication CredSSP -Credential ADSERVICES\Administrateur
PS C:\> Invoke-Command {whoami;echo $env:COMPUTERNAME} -Session $a
adservices\administrateur
TEST-PC
PS C:\> Invoke-Command {$b=new-pssession -Computername DCW2K301} -Session $a
PS C:\> Invoke-Command {icm {whoami;echo $env:COMPUTERNAME} -Session $b} -Session $a
adservices\administrateur
DCW2K301
PS C:\> Invoke-Command {icm {$c= new-pssession -Computername JONDON-KU6OVP3E} -Session $b} -Session $a
PS C:\> Invoke-Command {icm {icm $c {Whoami;Echo $env:COMPUTERNAME}} -Session $b} -Session $a
adservices\administrateur
JONDON-KU6OVP3E[/code:1]
D'autre part j'ai récupéré le cous officiel Microsoft 10325A Automating Administration with Powershll 2.0 et dans le module 7 Remote Administration Page 7-37 l'exemple suivant est donné :
[code:1]Enter-Psession -Computername Server1
Enter-Psession -Computername Server2
Enter-Psession -Computername Server3[/code:1]
Et Microsoft préconise plutôt de faire ça je cite :
\"Try to avoid this, as each session involves a certain amount of memory, processing and network overhead. Instead exit a session before etablished a new one\"
[code:1]Enter-Psession -Computername Server1
Exit-Pssession
Enter-Psession -Computername Server1
Exit-Pssession
Enter-Psession -Computername Server1
Exit-Pssession[/code:1]
This sequence ensures that the connection to Server1,Server2 and Server3 are each made from your computer.
Bon c un peu léger comme explication mais surtout la question que je me pose et finalement que je vous repose : même si c'est pas préconisé peut-on vraiment faire une session interactive à partir d'une autre session interactive comme le laisse penser leur propos ?
J'ai hate d'avoir vos retours car ça m'interroge grandement.J'ai certainement raté un truc...
Bonne soirée. A plus tard.
Connexion ou Créer un compte pour participer à la conversation.
Temps de génération de la page : 0.058 secondes
- Vous êtes ici :
-
Accueil
-
forum
-
PowerShell
-
Entraide pour les débutants
- Remoting in Remoting