使用 Azure Active Directory 用户时,远程 WMI 查询失败并显示 'A security package specific error occurred'
Remote WMI query failing with 'A security package specific error occurred' when using Azure Active Directory user
我正在尝试使用 PowerShell cmdlet 查询远程计算机:Get-WmiObject 并使用 Azure AD 中具有 Azure AD joined device local administrator 角色和 [= IAM 角色分配的用户的凭据13=] 在远程机器上。
当我运行以下命令时:
Get-WmiObject -Class Win32_Process -Namespace "root/cimv2" -ComputerName <remote_computer_local_ip> -Impersonation Impersonate -Credential AzureAD\<username>
我收到以下错误消息:
Get-WmiObject : A security package specific error occurred. (Exception from HRESULT: 0x80070721)
使用 Azure AD 用户时是否支持 运行 远程 WMI 查询?
远程机器规格:
- Windows Server 2019 数据中心
- 10.0.17763 内部版本 17763
其他疑难解答说明:
- 我可以使用相同的用户登录到远程计算机,并且已按照 https://docs.microsoft.com/en-us/azure/active-directory/devices/howto-vm-sign-in-azure-ad-windows 文档中的步骤进行操作
- 当 运行在本地远程机器上使用相同的命令时,它会正确 returns
Win32_Process 数据
- 如果我在远程命令上使用本地管理员凭据,它也可以工作,这表明远程 WMI 正在工作
- 两台计算机都加入了 Azure AD,并通过
dsregcmd /status 命令显示 AzureAdJoined : YES
- 我尝试使用计算机名称、本地 IP 和 FQDN,它们都产生相同的结果
发生这种情况的原因有很多。请检查您的情况是否属于这些。
- 当您尝试设置 WMI 会话时:
一个。有多个计算机帐户同名,其中一个过时的计算机帐户与您的用户帐户位于同一域中
b。或者当运行的服务器驻留在同一个 AD DS 林中但在不同的域中时。
- 当服务器无法找到用户对象时,由于密码凭据可能存储为上次登录的缓存。
- 不匹配的 machines/server 时间不正确。
- 如果为服务器启用了防火墙,可能会限制访问。
可能的解决方法
- 尝试azuread\user@mydomain.com or user@mydomain.com or domainame\username 格式登录或者把域名去掉再重新加回来试试
- 本地 PC 和远程 PC 必须在同一个 Azure AD 租户中。
- 运行 AAD delta Sync 以确保同步所有内容并确保 Internet 连接和网络。
- 试试能不能关掉防火墙
参考文献:
在与 Microsoft 支持人员讨论此问题后,似乎错误源于本地用户帐户和 Azure AD 帐户之间的身份验证方法不同。
It seems it is not supported as they are using different authentication protocols.
Azure AD user uses OAuth and the security error is due to Kerberos.
Here is the reference article for more details: Authentication protocols in Azure Active Directory B2C | Microsoft Docs
他们还提到目前没有关于未来是否支持此功能的信息,并建议检查 Azure updates 以了解未来的产品更新。
我正在尝试使用 PowerShell cmdlet 查询远程计算机:Get-WmiObject 并使用 Azure AD 中具有 Azure AD joined device local administrator 角色和 [= IAM 角色分配的用户的凭据13=] 在远程机器上。
当我运行以下命令时:
Get-WmiObject -Class Win32_Process -Namespace "root/cimv2" -ComputerName <remote_computer_local_ip> -Impersonation Impersonate -Credential AzureAD\<username>
我收到以下错误消息:
Get-WmiObject : A security package specific error occurred. (Exception from HRESULT: 0x80070721)
使用 Azure AD 用户时是否支持 运行 远程 WMI 查询?
远程机器规格:
- Windows Server 2019 数据中心
- 10.0.17763 内部版本 17763
其他疑难解答说明:
- 我可以使用相同的用户登录到远程计算机,并且已按照 https://docs.microsoft.com/en-us/azure/active-directory/devices/howto-vm-sign-in-azure-ad-windows 文档中的步骤进行操作
- 当 运行在本地远程机器上使用相同的命令时,它会正确 returns
Win32_Process数据 - 如果我在远程命令上使用本地管理员凭据,它也可以工作,这表明远程 WMI 正在工作
- 两台计算机都加入了 Azure AD,并通过
dsregcmd /status命令显示AzureAdJoined : YES - 我尝试使用计算机名称、本地 IP 和 FQDN,它们都产生相同的结果
发生这种情况的原因有很多。请检查您的情况是否属于这些。
- 当您尝试设置 WMI 会话时:
一个。有多个计算机帐户同名,其中一个过时的计算机帐户与您的用户帐户位于同一域中
b。或者当运行的服务器驻留在同一个 AD DS 林中但在不同的域中时。
- 当服务器无法找到用户对象时,由于密码凭据可能存储为上次登录的缓存。
- 不匹配的 machines/server 时间不正确。
- 如果为服务器启用了防火墙,可能会限制访问。
可能的解决方法
- 尝试azuread\user@mydomain.com or user@mydomain.com or domainame\username 格式登录或者把域名去掉再重新加回来试试
- 本地 PC 和远程 PC 必须在同一个 Azure AD 租户中。
- 运行 AAD delta Sync 以确保同步所有内容并确保 Internet 连接和网络。
- 试试能不能关掉防火墙
参考文献:
在与 Microsoft 支持人员讨论此问题后,似乎错误源于本地用户帐户和 Azure AD 帐户之间的身份验证方法不同。
It seems it is not supported as they are using different authentication protocols. Azure AD user uses OAuth and the security error is due to Kerberos.
Here is the reference article for more details: Authentication protocols in Azure Active Directory B2C | Microsoft Docs
他们还提到目前没有关于未来是否支持此功能的信息,并建议检查 Azure updates 以了解未来的产品更新。