i♓
Size: a a a
2020 June 30
RS
кому интересно, мнение вендора
-делайте впн
-не выставляйте коллектор наружу
-не ставьте впереди iis, если уж выставляете ( не поддерживается решение )
-пусть у вас домен в квадрате, для авторизации по сертам надо делать вид , что домена нет, и маппить серты тачек на локального пользюка коллектора, пушто FAILBACK кербероса это NTLM (но внутри TLS , огого) и приоритетом тут не полечить и не поиграть.
-если на тачке окажется два серта с fqdn source, то возникнет проблем очка коллизионная, так как серт с, которым надо идти в коллектор нигде в явном виде не указывается.
-делайте впн
-не выставляйте коллектор наружу
-не ставьте впереди iis, если уж выставляете ( не поддерживается решение )
-пусть у вас домен в квадрате, для авторизации по сертам надо делать вид , что домена нет, и маппить серты тачек на локального пользюка коллектора, пушто FAILBACK кербероса это NTLM (но внутри TLS , огого) и приоритетом тут не полечить и не поиграть.
-если на тачке окажется два серта с fqdn source, то возникнет проблем очка коллизионная, так как серт с, которым надо идти в коллектор нигде в явном виде не указывается.
👍
МЖ
кому интересно, мнение вендора
-делайте впн
-не выставляйте коллектор наружу
-не ставьте впереди iis, если уж выставляете ( не поддерживается решение )
-пусть у вас домен в квадрате, для авторизации по сертам надо делать вид , что домена нет, и маппить серты тачек на локального пользюка коллектора, пушто FAILBACK кербероса это NTLM (но внутри TLS , огого) и приоритетом тут не полечить и не поиграть.
-если на тачке окажется два серта с fqdn source, то возникнет проблем очка коллизионная, так как серт с, которым надо идти в коллектор нигде в явном виде не указывается.
-делайте впн
-не выставляйте коллектор наружу
-не ставьте впереди iis, если уж выставляете ( не поддерживается решение )
-пусть у вас домен в квадрате, для авторизации по сертам надо делать вид , что домена нет, и маппить серты тачек на локального пользюка коллектора, пушто FAILBACK кербероса это NTLM (но внутри TLS , огого) и приоритетом тут не полечить и не поиграть.
-если на тачке окажется два серта с fqdn source, то возникнет проблем очка коллизионная, так как серт с, которым надо идти в коллектор нигде в явном виде не указывается.
Почему серт нигде не указывается? Он же явно в конфигурации подписки прописывается.
i♓
Максим Жевнерев
Почему серт нигде не указывается? Он же явно в конфигурации подписки прописывается.
там принт CA , который выдал серт коллектору, а не клиенту)
МЖ
не-а
МЖ
там принт сорса
МЖ
с которым он будет ходить на коллектор
i♓
и как ты это будешь катать через гпо?))
МЖ
через gpo нормально все работает без сертификатов :)
МЖ
сертификаты в первую очередь - если хост не в домене
МЖ
а аутентификация через керберос не работает
i♓
Максим Жевнерев
через gpo нормально все работает без сертификатов :)
на ntlm' е ))
i♓
Максим Жевнерев
там принт сорса
спорим на ящик жигулевского?
МЖ
а чего там спорить то
https://docs.microsoft.com/en-us/windows/win32/wec/setting-up-a-source-initiated-subscription
Разве что в идеальном случае - CA-сертификат
https://docs.microsoft.com/en-us/windows/win32/wec/setting-up-a-source-initiated-subscription
Разве что в идеальном случае - CA-сертификат
i♓
Вы готовы даже переводить "Thumb print of the server authentication certificate", как "клиентский сертификат" и вводить в заблуждение всех читателей чата, лишь бы пивка не попить вкусного пенного волжского.
МЖ
А ничего что эта фраза относится к созданию listener на collector'е?
МЖ
а конфиг подписки на сорсе:
Server=HTTPS://<FQDN of the Event Collector server>:5986/wsman/SubscriptionManager/WEC,Refresh= <Refresh interval in seconds>,IssuerCA=<Thumbprint of the issuing CA certificate>
Server=HTTPS://<FQDN of the Event Collector server>:5986/wsman/SubscriptionManager/WEC,Refresh= <Refresh interval in seconds>,IssuerCA=<Thumbprint of the issuing CA certificate>
i♓
тут была допущена опечатка