Zum Inhalt wechseln


Foto

winRM funktioniert nicht mehr

Windows Server 2012 R2 Lerngruppe

  • Bitte melde dich an um zu Antworten
53 Antworten in diesem Thema

#31 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 11. März 2016 - 18:13

Das Powershell cmdlet 

Set-WSManQuickConfig

konfiguriert dir ohne weitere Paramter serverseitig den winrm

see:  https://technet.micr...y/hh849867.aspx

 

und mit

winrm enumerate winrm/config/listener

kannst du anschließend nachsehen, ob es geklappt hat. So sollte das Resultat etwa aussehen

Listener
    Address = *
    Transport = HTTP
    Port = 5985
    Hostname
    Enabled = true
    URLPrefix = wsman
    CertificateThumbprint
    ListeningOn = 127.0.0.1, 169.254.91.221, 169.254.105.146, 169.254.144.53, 169.254.173.18, 192.168.178.27, ::1, 2001:0:5ef5:79f....

Beide Befehle im Adminkontext am Server ausführen

 

blub


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#32 Dr.Melzer

Dr.Melzer

    Moderator

  • 26.226 Beiträge

 

Geschrieben 13. März 2016 - 13:34

Gibt wohl auch hier Menschen mit dem Interesse Hilfe zu Leisten und nicht einfach Links zu posten die ich selber finden kann.

 

Kommt so rüber als Friss oder Stirb und nächster Bitte.

 

Man hat mir angeraten hier nachzufragen.

Der rat hier anzufragen war ein guter. Wenn wir dir helfen sollen geht das nur, wenn du auch schon fundiertes Grundwissen mitbringst.

 

Wir betreiben hier ein Diskussionsforum um Hilfesuchenden zu helfen ihre IT Probleme zu lösen. Voraussetzung dafür dass wir kompetent helfen können ist ein grundlegendes Basis Wissen über die verwendeten Technologien.

 

Ich verstehe dass du nur ein wie du sagst "privater Mann" bist der nur ausprobieren und lernen will, aber ohne dieses Grundwissen ist es für uns sehr schwer bis unmöglich dir zu helfen.

 

Das Vermitteln von Grundlagen übersteigt leider die Möglichkeiten, welche wir mit diesem Forum haben.

 

Mein Vorschlag ist du arbeitest dich in die Grundlagen ein und wenn du dazu Verständnis Fragen hast bist du hier herzlich willkommen um sie gemeinsam mit uns zu erörtern. Wenn du dann weiter Probleme mit deiner IT hast helfen wir dir gerne, was uns dann dank deines neu erworbenen Fachwissens auch gelingen wird.

 

Ach ja, zum Einarbeiten in die Grundlagen gehört auch die Beherrschung der englischen Sprache, da die meisten guten Quellen für das Thema leider englischsprachig sind.

 

Was hältst du davon?


Never argue with an idíot, they drag you down to their level and beat you with experience!

#33 schwiz

schwiz

    Newbie

  • 37 Beiträge

 

Geschrieben 15. März 2016 - 14:41

Das Powershell cmdlet 

Set-WSManQuickConfig

konfiguriert dir ohne weitere Paramter serverseitig den winrm

see:  https://technet.micr...y/hh849867.aspx

 

und mit

winrm enumerate winrm/config/listener

kannst du anschließend nachsehen, ob es geklappt hat. So sollte das Resultat etwa aussehen

Listener
    Address = *
    Transport = HTTP
    Port = 5985
    Hostname
    Enabled = true
    URLPrefix = wsman
    CertificateThumbprint
    ListeningOn = 127.0.0.1, 169.254.91.221, 169.254.105.146, 169.254.144.53, 169.254.173.18, 192.168.178.27, ::1, 2001:0:5ef5:79f....

Beide Befehle im Adminkontext am Server ausführen

 

blub

 

winrm enumerate winrm/config/listener vorher:

 

 
PS C:\Users\Administrator> winrm enumerate winrm/config/listener
Listener
    Address = *
    Transport = HTTP
    Port = 5985
    Hostname
    Enabled = true
    URLPrefix = wsman
    CertificateThumbprint
    ListeningOn = 127.0.0.1, 169.254.60.229, 192.168.0.2, ::1, fe80::5efe:169.254.60.229%14, fe80::5efe:192.168.0.2%16,
fe80::ffff:ffff:fffe%13, fe80::54c6:96dc:90d8:3ce5%15
 

Das stimmt doch so alles oder? Listing on 192.168.0.2 ist der Management-Server.

 

Nachdem ausführen von "Set-WSManQuickConfig":

 

WinRM ist bereits zum Empfangen von Anforderungen auf diesem Computer konfiguriert.
WinRM ist bereits für die Remoteverwaltung auf diesem Computer eingerichtet.
 
 
Ausgabe von "winrm enumerate winrm/config/listener":
 
Listener
    Address = *
    Transport = HTTP
    Port = 5985
    Hostname
    Enabled = true
    URLPrefix = wsman
    CertificateThumbprint
    ListeningOn = 127.0.0.1, 169.254.60.229, 192.168.0.2, ::1, fe80::5efe:169.254.60.229%14, fe80::5efe:192.168.0.2%16,
fe80::ffff:ffff:fffe%13, fe80::54c6:96dc:90d8:3ce5%15
 
 
Macht der Befehl "Set-WSManQuickConfig" und der cmd Befehl -> "winrm quickconfig" nicht das Gleiche?

 

Leider klappts immer noch nicht :-( Habe sogar im Server-Manager den Remote-Server entfernt und neu hinzugefügt und gleich wieder der Kerberos Fehler  :nene:  :confused:

 

Kann man winRM nicht irgendwie löschen? Als ich winRM installiert habe musste ich auch noch .NET und winRM Management Framework installieren. Da .NET noch von anderen Diensten abhängig ist kann ich das ja nicht alles nur weil winRM nicht geht deinstallieren... Was ratet ihr mir an? Ein Update von wimRM auf die neue WinRM Management Framework ist auch Fehlgeschlagen irgend ein Zertifikatfehler.

Das Update für WinRM Management konnte ich auch nicht finden... Auch die zugehörige KB-Nummer steht nirgends.

 

Habe winRM nach dieser Anleitung konfiguriert: http://blog.alekel.d...-201-verwalten/


Bearbeitet von schwiz, 15. März 2016 - 15:00.


#34 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.629 Beiträge

 

Geschrieben 15. März 2016 - 14:49

Woher kommt die 169er APIPA IPv4 Adresse?

 

Wie viele Netzwerkkarten sind drin, wie viele sind am Switch und wie konfiguriert?

 

Warum hat der so viele IPv6 Adressen?

 

shock2.gif


Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server


#35 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 15. März 2016 - 15:44


WinRM ist bereits zum Empfangen von Anforderungen auf diesem Computer konfiguriert.
WinRM ist bereits für die Remoteverwaltung auf diesem Computer eingerichtet.

Dann sollte es serverseitig doch funktionieren.

Kannst du auf dem Server selbst eine Connection auf sich selbst öffnen?

 

Powershell:

Enter-PsSession $computername

 

In der Registry kannst du die Listener auch manuell bearbeiten bzw. löschen

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Listener\

(sofern du nicht mit GPOs arbeitest)

 

ansonsten bitte mal in der Powershell

"get-help about_remote"

ansehen. Am Ende gibt es Verweise auf weitere Hilfen wie "get-help about_Remote_Requirements", in der du sicher wertvolle Tipps finden wirst.

 

blub


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#36 schwiz

schwiz

    Newbie

  • 37 Beiträge

 

Geschrieben 16. März 2016 - 14:51



Woher kommt die 169er APIPA IPv4 Adresse?

 

Wie viele Netzwerkkarten sind drin, wie viele sind am Switch und wie konfiguriert?

 

Warum hat der so viele IPv6 Adressen?

 

shock2.gif

 

Keine Ahnung woher diese APIPA-Adressen kommen. Eventuell hatte ich mal etwas falsch konfguriert und darum steht dort noch diese Adresse. ipconfig /all zeigt mir nirgends eine solche Adresse. Das Netzwerk läuft sonst gut! Ich komme mit beiden DCs ins Internet.

 

Habe nur eine NIC. Meinst du den virtuellen Switch von HyperV?

 

 

Screenshot vom Server aufdem der HyperV läuft:

a7a27d-1458141160.png

 

Screenshot vom virtuellen Server

c6b871-1458141209.png

 

Wieso so viele IPv6-Adressen drin sind kann ich dir nicht sagen. Auf beiden DCs habe ich in den Netzwerkeinstellungen IPv6 deaktiviert da ich es nicht benutzte. 

 



Dann sollte es serverseitig doch funktionieren.

Kannst du auf dem Server selbst eine Connection auf sich selbst öffnen?

 

Powershell:

Enter-PsSession $computername

 

In der Registry kannst du die Listener auch manuell bearbeiten bzw. löschen

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Listener\

(sofern du nicht mit GPOs arbeitest)

 

ansonsten bitte mal in der Powershell

"get-help about_remote"

ansehen. Am Ende gibt es Verweise auf weitere Hilfen wie "get-help about_Remote_Requirements", in der du sicher wertvolle Tipps finden wirst.

 

blub

 

Also habe ich ausgeführt (Enter-PsSession testsrv2 (ohne Dollar-Zeichen gehts nur)):

PS C:\Users\Administrator> Enter-PsSession $testsrv2
Enter-PSSession : Das Argument für den Parameter "Session" kann nicht überprüft werden. Das Argument ist NULL oder
leer. Geben Sie ein Argument an, das nicht NULL oder leer ist, und führen Sie den Befehl erneut aus.
In Zeile:1 Zeichen:17
+ Enter-PsSession $testsrv2
+                 ~~~~~~~~~
    + CategoryInfo          : InvalidData: (:) [Enter-PSSession], ParameterBindingValidationException
    + FullyQualifiedErrorId : ParameterArgumentValidationError,Microsoft.PowerShell.Commands.EnterPSSessionCommand

PS C:\Users\Administrator> Enter-PsSession testsrv2
[testsrv2]: PS C:\Users\Administrator\Documents> Enter-PsSession testsrv2


Was machte die Funktion? Wenn ich "Enter-PsSession testsrv3" eingebe kommt eine Fehlermeldung der Server ist der Remote-Server.

 

Der Listener stimmt ja soweit?!

 


Bearbeitet von schwiz, 16. März 2016 - 15:01.


#37 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.629 Beiträge

 

Geschrieben 16. März 2016 - 15:02

 

Wieso so viele IPv6-Adressen drin sind kann ich dir nicht sagen. Auf beiden DCs habe ich in den Netzwerkeinstellungen IPv6 deaktiviert da ich es nicht benutzte. 

Warum deaktiviert man IPv6?

 

Das OS benutzt das? Und nur den Haken in der Netzwerkkarte raus heißt nicht, das es deaktiviert ist.

Bereinige erst einmal die IPv4 Settings, dann sieht man ggf. weiter.

 

Und wie du an den Tips von blub gesehen hast, ist das OS unten drunter auch englisch - also solltest du dich wohl oder über mal zeitnah damit beschäftigen, sonst wird das leider nichts, auch nicht, wenn du es aus Hobby-Gründen wissen möchtest.

 

wink2.gif


Bearbeitet von Nobbyaushb, 16. März 2016 - 15:47.

Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server


#38 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 16. März 2016 - 15:15

$computername = "testsrv3"  #testsrv3 ist dein Rechnername
enter-PsSession $computername


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#39 schwiz

schwiz

    Newbie

  • 37 Beiträge

 

Geschrieben 21. März 2016 - 16:59

Warum deaktiviert man IPv6?

 

Das OS benutzt das? Und nur den Haken in der Netzwerkkarte raus heißt nicht, das es deaktiviert ist.

Bereinige erst einmal die IPv4 Settings, dann sieht man ggf. weiter.

 

Und wie du an den Tips von blub gesehen hast, ist das OS unten drunter auch englisch - also solltest du dich wohl oder über mal zeitnah damit beschäftigen, sonst wird das leider nichts, auch nicht, wenn du es aus Hobby-Gründen wissen möchtest.

 

wink2.gif

 

In der Ausbildung hatten wir IPv6 auch deaktiviert da wir das nicht benutzt hatten...

 

Gut, das OS kann auch ohne IPv6 auskommen?

Du meinst wohl die IPv6 bereinigen statt IPv4? Also soll ich mal IP46 wieder aktivieren? winRM ging vorher auch, obwohl IPv6 deaktiviert war. 

 

Eine Sprache perfekt beherrschen, sodass man alles versteht auch solche komplizierten IT-Themen ist nicht in ein paar Tagen gelernt ;-) Zudem ich jetzt schon 2 Sprache spreche :-) 

 

$computername = "testsrv3"  #testsrv3 ist dein Rechnername
enter-PsSession $computername

 

Sorry, aber verstehe nicht was du mir genau sagen willst...

 

Ich soll auf dem Host "testsrv2" enter-PsSession testsrv2 eingeben, dass klappt ja.  Hingegen enter-PsSession testsrv3 geht auf dem "testsrv2" nicht.



#40 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 21. März 2016 - 18:33


Ich soll auf dem Host "testsrv2" enter-PsSession testsrv2 eingeben, dass klappt ja.  Hingegen enter-PsSession testsrv3 geht auf dem "testsrv2" nicht.

dann hast du testsrv2 richtig konfiguriert und WinRM funktioniert.

Warum der testsrv3 nicht an den testsrv2 hinkommt, findest du am besten mit einem Netzwerksniffer wie wireshark.org heraus. Unter dieser Seite gibt es reichlich sehr lohnenswerte Anleitungen für alle Level, falls du dich in dem Gebiet noch nicht so auskennst!


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#41 schwiz

schwiz

    Newbie

  • 37 Beiträge

 

Geschrieben 22. März 2016 - 17:20

dann hast du testsrv2 richtig konfiguriert und WinRM funktioniert.

Warum der testsrv3 nicht an den testsrv2 hinkommt, findest du am besten mit einem Netzwerksniffer wie wireshark.org heraus. Unter dieser Seite gibt es reichlich sehr lohnenswerte Anleitungen für alle Level, falls du dich in dem Gebiet noch nicht so auskennst!

Gut zu hören.

Aber es muss doch irgendwo an winRM liegen, was soll mir Wireshark da weiterhelfen. Im Log steht der Fehler wenn mir jemand sagen könnte, wie ich das Problem lösen könnte.

 

Hier der Fehler:

 

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "testsrv2$" empfangen. Der verwendete Zielname war DEB\TESTSRV2$. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (DEB.TEST) von der Clientdomäne (DEB.TEST) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

 

Der Fehler ist doch eindeutig. Was muss ich tun? Wie kann ich das Problem ändern? Ich habe versucht den Kerberos-Ticket-Cache zu löschen mit -> "klist ?" jedoch ohne Erfolg. Den Dienst "KDC" kann ich nicht starten als Fehler erhalte ich "Fehler 5: Zugriff verweigert". Jemand eine Idee wie ich den Dienst reparieren kann? Übrigens habe ich auf beiden DCs diese Nacht SFC durchlaufen lassen jedoch auch wieder ohne Erfolg :-(

 

Der Dienst "KDC" scheint wohl so wie ich das erkenne, das Problem zu sein indem er sich nicht starten lässt. Auf beiden DCs! Wieso auch immer...

 

Hoffe, dass euch diese neuen Erkenntnisse weiterhelfen.

 

 

Schönen Abend


Bearbeitet von schwiz, 22. März 2016 - 17:21.


#42 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 22. März 2016 - 20:08

dann hat sich der Fehler im Vergleich zum ersten Post aber verändert.

Nicht funktionierende KDCs sind eine vollkommen andere Baustelle als die WinRM-Config.

Wenn es eh nur 2 DCs in einer virtuellen Testumgebung sind, installier diese neu. Dann wird der KDC und damit der WinRM funktionieren. Beide Services gehören eher zu den Unkomplizierten ihrer Art.


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#43 schwiz

schwiz

    Newbie

  • 37 Beiträge

 

Geschrieben 23. März 2016 - 14:08

dann hat sich der Fehler im Vergleich zum ersten Post aber verändert.

Nicht funktionierende KDCs sind eine vollkommen andere Baustelle als die WinRM-Config.

Wenn es eh nur 2 DCs in einer virtuellen Testumgebung sind, installier diese neu. Dann wird der KDC und damit der WinRM funktionieren. Beide Services gehören eher zu den Unkomplizierten ihrer Art.

Also die Info stammt aus dem Ereignisprotokoll. Die Meldung im ersten Post steht weiterhin in den Aufgabendetails. 

Okay... Also ist nicht winRM sondern vielmehr Kerberos das Problem? Wie kann ich diesen KDC-Dienst neu installieren? Wie kann ich diesen Dienst wieder zum Laufen bringen? Ich habe aus eigenen Erfahrungen mit SFC bereits andere Dienste die nicht mehr funktionierten damit reparieren können. Leider beim KDC-Dienst ohne Erfolg. Also nicht beide DCs sind virtuelle nur einer davon. Alles neu installieren würde ich echt ungerne tun, nur weil winRM nicht mehr geht. 

 

Also dieser "KDC Proxyserver"- Dienst ist dafür das Kerberos richtig funktioniert und der sollte immer laufen? Weshalb ist der Starttyp auf manuell gesetzt? Im Ereignisprotokoll steht auch nix davon, dass der Dienst versucht wurde zu starten.

 

//Edit: In der Fehlermeldung steht, dass Key Distrubution Center ein Problem hat. Welcher Dienst ist das den nun? Ich habe den Kerberos-Schlüsselverteilungscenter Dienst der läuft und der KDC-Proxyserverdienst (KPS) der eben nicht läuft. Verstehe nicht was dieser KDC-Dienst mit Proxy zu tun haben soll.


Bearbeitet von schwiz, 23. März 2016 - 16:04.


#44 schwiz

schwiz

    Newbie

  • 37 Beiträge

 

Geschrieben 24. März 2016 - 15:47

Einfach nix zu machen... Hoffe, ihr könnt mir sagen wie ich diesen Dienst, wenn es dieser ist reparieren kann Google half nicht weiter.



#45 MurdocX

MurdocX

    Board Veteran

  • 553 Beiträge

 

Geschrieben 26. März 2016 - 22:24


dann hast du testsrv2 richtig konfiguriert und WinRM funktioniert.
Warum der testsrv3 nicht an den testsrv2 hinkommt, findest du am besten mit einem Netzwerksniffer wie wireshark.org heraus. Unter dieser Seite gibt es reichlich sehr lohnenswerte Anleitungen für alle Level, falls du dich in dem Gebiet noch nicht so auskennst!


Gut zu hören.
Aber es muss doch irgendwo an winRM liegen, was soll mir Wireshark da weiterhelfen. Im Log steht der Fehler wenn mir jemand sagen könnte, wie ich das Problem lösen könnte.
 
Hier der Fehler:
 
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "testsrv2$" empfangen. Der verwendete Zielname war DEB\TESTSRV2$. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (DEB.TEST) von der Clientdomäne (DEB.TEST) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
 
Der Fehler ist doch eindeutig. Was muss ich tun? Wie kann ich das Problem ändern? Ich habe versucht den Kerberos-Ticket-Cache zu löschen mit -> "klist ?" jedoch ohne Erfolg. Den Dienst "KDC" kann ich nicht starten als Fehler erhalte ich "Fehler 5: Zugriff verweigert". Jemand eine Idee wie ich den Dienst reparieren kann? Übrigens habe ich auf beiden DCs diese Nacht SFC durchlaufen lassen jedoch auch wieder ohne Erfolg :-(
 
Der Dienst "KDC" scheint wohl so wie ich das erkenne, das Problem zu sein indem er sich nicht starten lässt. Auf beiden DCs! Wieso auch immer...
 
Hoffe, dass euch diese neuen Erkenntnisse weiterhelfen.
 
 
Schönen Abend

 
Ob es wohl sinnvoll ist, auf einen WinRM-Fehler zu bestehen, obwohl WinRM auf dem Server funktioniert?
Ob es wohl sinnvoll ist, die Antwort von Blub in Frage zu stellen ohne sie 1. getestet zu haben oder 2. sie technisch mit Fachwissen bewerten zu können?
 
"Der Fehler ist doch eindeutig" Fehler sind in der IT-Welt selten eindeutig, besonders wenn diese noch dazu Übersetzt worden sind.  ;)
 
Erkläre doch bitte mal dein Vorgehen strukturiert. Also aus welchem Grund du was tust und dir davon erwartest. Verstehe das bitte nicht falsch.. Es ist wirklich schwierig Dir zu folgen, weil du dich selbst mit deinen Handlungen nicht erklärst, geschweige denn die genannten Hilfestellungen umsetzt. Warum sollte Dir dann noch jemand hier helfen, wenn die Antwort der Kollegen eh nicht für ernst genommen wird  :confused:  ;)
 
Probier´s mal auf dem DC mit "dcdiag" und analysiere die Fehler...

Bearbeitet von MurdocX, 26. März 2016 - 22:42.

Mit freundlicher Unterstützung
Jan




Auch mit einem oder mehreren der folgenden Tags versehen: Windows Server 2012 R2, Lerngruppe