Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

PS Remoting - New-PSSession naar DMZ-server duurt lang

Pagina: 1
Acties:

Vraag


  • Paul
  • Registratie: September 2000
  • Laatst online: 28-11 18:24
We hebben hier een Active Directory omgeving met onder andere een aantal Windows 2012 R2 servers. Een van die servers is uit het domein verwijderd en in het DMZ neergezet. Laten we die voor het gemak DMZServer noemen. Verder hebben we een management server in het AD, laten we die MGMTServer noemen.

Omdat er natuurlijk geen trust relation meer mogelijk is heb ik op MGMTServer de DMZServer in de wsman TrustedHosts gezet (Ik gebruik geen PoSH Remoting over SSL omdat de software op de management server daar iet mee overweg lijkt te kunnen gaan), en qua firewall heb ik op zowel de corporate firewall als de Windows firewall een regel aangemaakt dat MGMTServer op alle mogelijke poorten en protocollen mag verbinden met DMZServer.

Als ik vanaf MGMTServer "New-PSSession" aanroep naar een server in het AD dan is dat binnen een seconde gedaan. Doe ik dat (met -Authentication Negotiate, Kerberos doet het natuurlijk ook niet) naar DMZServer dan kost dit 10 of 11 seconde. Voor mezelf niet zo'n probleem, maar de software op de management server geeft een time-out na 5, en die kan ik niet aanpassen.

Hoe komt het dat dit zo lang duurt, en wat kan ik er aan doen?

Ik heb al gekeken of PSSessionOptions -SkipCACheck -SkipCNCheck -SkipRevocationCheck iets uithalen dat haalt niks uit, waarschijnlijk omdat ik geen PoSH over SSL gebruik. Wel was het RDP certificaat vervangen na het uit het domein knikkeren van die machine, dus die heb ik maar weer terug gezet maar mogelijk dat er voor SPNEGO ook nog zoiets moet? Of zoek ik in de verkeerde hoek?

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

Alle reacties


  • Fustje
  • Registratie: December 2013
  • Laatst online: 26-11 20:02

Fustje

Koel bewaren

Ik weet niet wat je in de PSSession wil doen, lukt het misschien met invoke-command?

Na openen beperkt houdbaar


  • Paul
  • Registratie: September 2000
  • Laatst online: 28-11 18:24
Het gedrag van de managementsoftware emuleren :) Daar staat in de troubleshooting steps dat als Enter-PSSession (of New-PSSession) werkt dat hun software het ook moet doen.

Het probleem is al enigszins academisch geworden omdat blijkbaar (hun logging is redelijk volledig...) het mechanisme om de verbinding te testen een andere manier gebruikt dan het daadwerkelijke managen, ik heb CredSSP aangezet en nu werkt de knop "Test verbinding" nog steeds niet (time-out na 5 seconde) maar het daadwerkelijk managen van de server in DMZ doet het nu wel 8)7

Gelukkig hoeven we dit soort dingen in DMZ maar zelden te doen (in LAN een stuk vaker) dus kan ik CredSSP (en eventueel AllowUnencrypted, daar zag ik ook meldingen over langskomen in de log) wel handmatig omzetten; handwerk, maar makkelijker dan de wijzigingen waar het managementpakket eigenlijk voor is zelf doen :+

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock