在DMZ中的新Azure 2012r2框中,我无法获得WMI查询以使用FQDN引用。 这些查询从本地机器运行,但需要通过FQDN引用它才能使用我们的监控解决scheme。
这是错误的“访问被拒绝”。 主机名,公网IP,环回都完美。 我该如何解决?
$objSWbemLocator = New-Object -comobject WbemScripting.SWbemLocator $objSWbemServices = $objSWbemLocator.ConnectServer("passport.external.mydomain.org") <-- Broken $objSWbemServices = $objSWbemLocator.ConnectServer("passport") $objSWbemServices = $objSWbemLocator.ConnectServer("127.0.0.1") $objSWbemServices = $objSWbemLocator.ConnectServer("10.15.14.7") 我做了一些挖掘,它看起来像我得到一个networkinglogin失败对应于这些WMI问题。 它略有不同 – 取决于是否已将passport.external.mydomain.org添加到回送地址上的HOSTS文件 – 但它始终是logintypes3(networking),状态为0xC000006D(错误的用户名或身份validation信息)。
这是一种安全措施,用于阻止依赖于将远程服务名称指回回环地址( 127.0.0.1 )的攻击以进一步利用。
您可以通过禁用严格名称检查并将FQDN添加到registry来允许某些FQDN表示回送接口:
禁用严格的名称检查 :
Set-ItemProperty HKLM:\System\CurrentControlSet\Services\LanmanServer\Parameters DisableStrictNameChecking -Value 1 -Type DWord -Force
将FQDN添加到registry中 :
Set-ItemProperty HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0 BackConnectionHostNames -Value "passport.external.mydomain.org" -Type MultiString -Force