Windows: 解决WinRM远程会话中的第二跳认证问题

在Windows环境中进行远程管理时，确实可能会遇到所谓的“双跳”问题。当我们从一个机器（A）远程连接到另一个机器（B），然后再试图从机器B连接到第三个机器（C），这种情况被称为“双跳”。

在这种情况下，你可能会遇到权限或认证问题，因为默认情况下，我们的凭证不会从机器A传递到机器C。

为解决此问题，可以使用PowerShell的CredSSP（凭据安全服务提供程序）认证。

CredSSP允许我们的凭据从本地机器传递到远程服务器，然后再传递到第三方服务器。

下面是如何配置和使用CredSSP来解决“双跳”问题的步骤。

1. 启用CredSSP

首先，需要在本地机器和远程服务器上启用CredSSP。

请以管理员身份运行PowerShell，然后执行以下命令：

在本地机器上：

Enable-WSManCredSSP -Role Client -DelegateComputer "远程服务器地址"

在远程服务器上：

Enable-WSManCredSSP -Role Server

2. 使用CredSSP进行远程连接

现在，可以使用CredSSP选项连接到远程服务器，并执行需要的命令。

以下是如何做到这一点的示例：

$credentials = Get-Credential
Enter-PSSession -ComputerName "远程服务器地址" -Authentication Credssp -Credential $credentials

3. 再次尝试执行命令

在成功连接到远程服务器后，我们应该能够成功执行需要二次跳跃的命令，如Set-ADAccountPassword命令，而不会遇到错误：

Set-ADAccountPassword -Identity "bunian" -Server 10.206.16.14

4. 另一个解决方案：再次指定凭据

如果CredSSP不适用于我们的环境，另一个解决方案是在执行远程命令时再次明确指定凭据。

这可以通过-Credential参数来实现。当我们在远程会话中执行命令时，可以使用-Credential参数指定凭据，以确保命令有正确的权限来访问目标服务器或服务。

以下是如何在Set-ADAccountPassword命令中再次明确指定凭据的示例：

$credentials = Get-Credential
Set-ADAccountPassword -Identity "bunian" -Server 10.206.16.14 -Credential $credentials

在上述代码中，我们首先使用Get-Credential命令获取凭据，并将其存储

在$credentials变量中。然后，我们在Set-ADAccountPassword命令中使

用-Credential参数明确指定凭据。

这种方法不需要额外的配置或设置。通过明确指定凭据，我们可以确保命

令具有执行所需操作的正确权限，而无需担心双跳问题。

请注意，每次执行命令时都需要明确指定凭据可能会变得繁琐。但是，

如果我们的环境不支持CredSSP或其他凭据委派解决方案，这可能是解决

远程认证问题的有效方法，如我上一篇文章用到的方案。

4. 总结

通过启用和配置CredSSP，我们可以解决在WinRM远程会话中遇到的“双跳”认证问题。

这样，我们就可以从一个远程会话中执行对其他服务器的命令，而不会遇到权限或认证问题。

请注意，虽然CredSSP可以解决“双跳”问题，但它可能会增加安全风险，因为它允许凭据在机器之间传递。

在使用CredSSP时，请确保我们了解其安全影响，并按照最佳实践操作。