主页 / server / 问题 / 804530
Accepted
Tim Brigham
Asked: 2016-09-22 10:08:02 +0800 CST

WMI 查询不能使用 FQDN 运行?

  • 772

在 DMZ 中的新 Azure 2012r2 盒子上,我无法让 WMI 查询与 FQDN 参考一起使用。这些查询从本地计算机运行,但需要通过 FQDN 引用它才能与我们的监控解决方案一起使用。

它与“访问被拒绝”出错。主机名、公共 IP、环回都可以正常工作。我该如何解决?

$objSWbemLocator = New-Object -comobject WbemScripting.SWbemLocator
$objSWbemServices = $objSWbemLocator.ConnectServer("passport.external.mydomain.org") <-- Broken
$objSWbemServices = $objSWbemLocator.ConnectServer("passport")
$objSWbemServices = $objSWbemLocator.ConnectServer("127.0.0.1")
$objSWbemServices = $objSWbemLocator.ConnectServer("10.15.14.7")

我做了一些挖掘,看起来我遇到了与这些 WMI 问题相对应的网络登录失败。它略有不同 - 取决于我是否passport.external.mydomain.org在环回地址上添加了 HOSTS 文件 - 但它始终是登录类型 3(网络),状态为 0xC000006D(错误的用户名或身份验证信息)。

powershell wmi

1 个回答

  1. Best Answer

    这是一种安全措施,用于阻止依赖将远程服务名称指向回环地址 ( 127.0.0.1) 以进行进一步利用的攻击。

    您可以通过禁用严格的名称检查并将 FQDN 添加到注册表来允许某些 FQDN 表示环回接口:

    禁用严格的名称检查

    Set-ItemProperty HKLM:\System\CurrentControlSet\Services\LanmanServer\Parameters DisableStrictNameChecking -Value 1 -Type DWord -Force

    将 FQDN 添加到注册表

    Set-ItemProperty HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0 BackConnectionHostNames -Value "passport.external.mydomain.org" -Type MultiString -Force
    • 4

相关问题