使用Azure用户时出现“安全包特定错误”的远程WMI查询失败
我试图使用PowerShell cmdlet:Get-WmiObject查询远程计算机,并在Azure中为具有Azure AD joined device local administrator角色和远程计算机上Virtual Machine Administrator Login角色分配的用户使用凭据。
当我运行以下命令时:
Get-WmiObject -Class Win32_Process -Namespace "root/cimv2" -ComputerName <remote_computer_local_ip> -Impersonation Impersonate -Credential AzureAD\<username>
我收到以下错误消息:
Get-WmiObject : A security package specific error occurred. (Exception from HRESULT: 0x80070721)
是在使用Azure AD用户?时支持的远程WMI查询的能力。
远程机器规格:
- Windows 2019数据中心
- 10.0.17763构建17763
其他故障排除说明:
- 我能够用同一个用户向远程机器签名,并遵循了https://learn.microsoft.com/en-us/azure/active-directory/devices/howto-vm-sign-in-azure-ad-windows文档中的步骤
- 当在本地远程计算机上运行相同的命令时,它正确地返回
Win32_Process数据 - 如果我在远程命令上使用本地管理员凭据,它也可以工作,这意味着远程WMI正在工作。
- 这两台计算机都是Azure连接的,并通过
AzureAdJoined : YES命令显示dsregcmd /status - 我尝试使用计算机名、本地IP和FQDN,它们都产生相同的结果
回答 2
Stack Overflow用户
发布于 2021-11-30 19:21:55
在与Microsoft支持讨论此问题后,该错误似乎源于本地用户帐户和Azure AD帐户之间的不同身份验证方法。
由于他们使用的是不同的身份验证协议,所以似乎不受支持。Azure用户使用OAuth,安全错误是由Kerberos造成的。 下面是更多详细信息的参考文章:Azure Active B2C \ Microsoft文档中的身份验证协议
他们还提到,目前没有关于将来是否支持这一功能的信息,并建议检查Azure更新以了解未来的产品更新情况。
Stack Overflow用户
发布于 2021-10-01 11:15:11
这可能是有很多原因的。请检查一下你的箱子里是否有这样的东西。
- 在以下情况下,尝试设置WMI会话时:
a.游戏中有多个具有相同名称的计算机帐户,其中一个陈旧的计算机帐户驻留在与用户帐户相同的域中。
b.或者当运行的服务器驻留在相同的AD DS林中,但位于不同的域中。
- 当服务器由于密码凭据而无法找到用户对象时,该凭据可能会从上一次登录时作为缓存存储。
- 机器/服务器上不正确的时间不匹配。
- 如果为服务器启用防火墙,则可能限制访问。
可能的工作
- 尝试azuread\user@mydomain.com或user@mydomain.com或domainame\username格式登录或尝试取出域并再次添加。
- 本地PC和远程PC必须位于相同的Azure AD租户中。
- 运行AAD增量同步,以确保所有的同步,并确保互联网连接和网络。
- 如果你能关掉防火墙的话试试。
参考资料:
https://stackoverflow.com/questions/69364156
复制相似问题
腾讯云开发者
