PoSh: New-PSSession -usessl

[carnivore 10]

Hallo,

Ich möchte mit der Powershell meine Clients möglichst sicher remote verwalten.

 

New-PSSession gibt dazu in der Onlinehilfe den Parameter -Usessl an:

-UseSSL [<SwitchParameter>]

Verwendet das SSL (Secure Sockets Layer)-Protokoll, um eine Verbindung mit dem Remotecomputer herzustellen. Sta

ndardmäßig wird SSL nicht verwendet.

 

WS-Management verschlüsselt alle über das Netzwerk gesendeten Windows PowerShell-Inhalte. UseSSL ist ein zusätz

licher Schutz, bei dem die Daten über eine HTTPS- anstatt über eine HTTP-Verbindung gesendet werden.

 

Wenn Sie diesen Parameter verwenden und SSL an dem für den Befehl verwendeten Port nicht verfügbar ist, schlägt

der Befehl fehl.

[/Quote]

 

Jetzt bin ich leider nicht so ganz firm in SSL etc.

Meine einfache Testumgebung besteht aus einem W2k8R2-DC mit CA und einem Win7 Client. Kann ich beispielsweise den Win7-Client SSL-geschützt vom DC aus administrieren? Nur den Parameter -usessl anhängen, funktioniert jedenfalls nicht.

Was müsste man vorab konfigurieren, damit SSL akzeptiert wird?

 

Herzlichen Dank

Carnivore

[Dukel 436]

Funktioniert es ohne ssl? Gibts eine Fehlermeldung?

[carnivore 10]

new-pssession dc1
[/Code]

funktioniert wunderbar und öffnet eine Session zu DC1

 

[Code]
new-pssession dc1 -usessl
[/Code]

 

bringt

[dc1] Beim Verbinden mit dem Remoteserver ist folgender Fehler aufgetreten: Der WinRM-Client kann den Vorgang innerhalb

der angegebenen Zeit nicht abschließen. Überprüfen Sie, ob der Computername gültig, der Computer über das Netzwerk err

eichbar und eine Firewallausnahme für den Windows-Remoteverwaltungsdienst aktiviert ist. Weitere Informationen finden S

ie im Hilfethema "about_Remote_Troubleshooting".

+ CategoryInfo : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [], PSRemotingTransportExc

eption

+ FullyQualifiedErrorId : PSSessionOpenFailed

 

Gruss

carnivore

[olc 18]

Hi carnivore,

 

check einmal, ob beide Fixes installiert sind oder nur MS09-059: WinRM Operations over HTTPS fail with Access Denied for some systems

 

Ist nur MS09-059 drauf, muß zusätzlich KB968389 installiert werden. Am besten auf *beiden* Maschinen.

 

Ansonsten noch einmal prüfen, ob WinRM korrekt eingestellt ist ("winrm qc").

 

Viele Grüße

olc

[carnivore 10]

Hallo olc,

Der supportArtikel ist nur für Systeme < win7/ Win2008R2 relevant.

 

Ich habs jetzt aber selbst rausbekommen:

1) SSL muss auf dem Client für den WSMan gesondert konfiguriert werden: (Ausführen als Administrator!)

set-wsmanquickconfig -usessl

 

2) Erst ab dann hört der WSMan neben dem http-Port 5985 auch auf dem SSL-Port 5986, was man so überprüfen kann: (oder auch mit Telnet)

 

Get-WSManInstance -ResourceURI winrm/config/listener -Enumerate


cfg                   : http://schemas.microsoft.com/wbem/wsman/1/config/listener
xsi                   : http://www.w3.org/2001/XMLSchema-instance
lang                  : de-DE
Address               : *
Transport             : HTTP
Port                  : 5985
Hostname              :
Enabled               : true
URLPrefix             : wsman
CertificateThumbprint :
ListeningOn           : {192.168.129.126, 127.0.0.1, ::1, 2002:2c6:817e::2c6:817e...}

cfg                   : http://schemas.microsoft.com/wbem/wsman/1/config/listener
xsi                   : http://www.w3.org/2001/XMLSchema-instance
lang                  : de-DE
Address               : *
Transport             : HTTPS
Port                  : 5986
Hostname              : DC1.Dom1.intern
Enabled               : true
URLPrefix             : wsman
CertificateThumbprint : 75 0c 8d bb 11 4e 9f c8  b2 d2 d9 34 d2 6c 3a 1a0d 2f 84 5b
ListeningOn           : {192.168.129.126, 127.0.0.1, ::1, 2002:2c6:817e::2c6:817e...}

 

Schöne Grüsse

Carnivore

[olc 18]

Alles klar, danke für die Rückmeldung und Anleitung. :)

 

Viele Grüße

olc