2K8R2 - winrm - Probleme

[domi65]

Hi zusammen,

ein frohes neues Jahr wünsche ich ersteinmal allen!!

ich habe mir nun mal in einer Testumgebung einen exchangeserver 2010 auf einem w2k8 R2 installiert und habe seit einiger zeit probleme via emc oder ems mich erfolgreich anzumelden.
EMS:

Code:

AUSFÜHRLICH: Connecting to exchange.domain.test
[ex-2k10.herz.home] Beim Verbinden mit dem Remoteserver ist folgender Fehler aufgetreten: Der WinRM-Client hat eine Anf
orderung an den Remote-WS-Verwaltungsdienst gesendet und eine Antwort erhalten, in der gemeldet wurde, dass die angefor
derte HTTP-URL nicht verfügbar ist. Diese Meldung wird normalerweise von einem HTTP-Server zurückgegeben, der das WS-Ve
rwaltungsprotokoll nicht unterstützt. Weitere Informationen finden Sie im Hilfethema "about_Remote_Troubleshooting".
    + CategoryInfo          : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [], PSRemotingTransportExc
   eption
    + FullyQualifiedErrorId : PSSessionOpenFailed

EMC:

Code:

Verbindung mit Herz wird hergestellt.
Fehler beim Verbindungsversuch mit HTTPS-Protokoll "Kerberos": Beim Verbinden mit dem Remoteserver ist folgender Fehler aufgetreten: Die Anforderung kann von WinRM nicht verarbeitet werden. Bei Verwendung der Kerberos-Authentifizierung ist der folgende Fehler aufgetreten: Der Netzwerkpfad wurde nicht gefunden.  
. Mögliche Ursachen: 
  - Der angegebene Benutzername oder das angegebene Kennwort ist ungültig.
  - Kerberos wird verwendet, wenn keine Authentifizierungsmethode und kein Benutzername angegeben werden.
  - Kerberos akzeptiert Domänenbenutzernamen, aber keine lokale Benutzernamen.
  - Der Dienstprinzipalname (Service Principal Name, SPN) für den Remotecomputernamen und -port ist nicht vorhanden.
  - Der Clientcomputer und der Remotecomputer befinden sich in unterschiedlichen Domänen, zwischen denen keine Vertrauensbeziehung besteht.
 Wenn Sie die oben genannten Ursachen überprüft haben, probieren Sie folgende Aktionen aus:
  - Suchen Sie in der Ereignisanzeige nach Ereignissen im Zusammenhang mit der Authentifizierung.
  - Ändern Sie die Authentifizierungsmethode; fügen Sie den Zielcomputer der Konfigurationseinstellung "TrustedHosts" für WinRM hinzu, oder verwenden Sie den HTTPS-Transport.
 Beachten Sie, dass Computer in der TrustedHosts-Liste möglicherweise nicht authentifiziert sind.
  - Führen Sie den folgenden Befehl aus, um weitere Informationen zur WinRM-Konfiguration zu erhalten: winrm help config Weitere Informationen finden Sie im Hilfethema "about_Remote_Troubleshooting".
Fehler beim Verbindungsversuch mit HTTPS-Protokoll "Basic": Beim Verbinden mit dem Remoteserver ist folgender Fehler aufgetreten: Der WinRM-Client kann die Anforderung nicht verarbeiten. Wenn das Authentifizierungsschema nicht Kerberos ist oder der Clientcomputer nicht Mitglied einer Domäne ist, muss der HTTPS-Datentransport verwendet werden, oder der Zielcomputer muss der TrustedHosts-Konfigurationseinstellung hinzugefügt werden. Verwenden Sie "winrm.cmd", um TrustedHosts zu konfigurieren. Beachten Sie, dass Computer in der TrustedHosts-Liste möglicherweise nicht authentifiziert sind. Weitere Informationen hierzu erhalten Sie, indem Sie den folgenden Befehl ausführen: "winrm help config". Weitere Informationen finden Sie im Hilfethema "about_Remote_Troubleshooting".

wenn ich den Behfel "winrm quickconfig" absetze kommt folgendes:


geht im nächsten Post weiter...

[domi65]

Code:

C:\Users\administrator.HERZ>winrm quickconfig
WinRM ist bereits zum Empfangen von Anforderungen auf diesem Computer konfigurie
rt.
WSManFault
    Message = Die Anforderung kann von WinRM nicht verarbeitet werden. Bei Verwe
ndung der Negotiate-Authentifizierung ist der folgende Fehler aufgetreten: Unbek
annter Sicherheitsfehler.
. Mögliche Ursachen:
  - Der angegebene Benutzername oder das angegebene Kennwort ist ungültig.
  - Kerberos wird verwendet, wenn keine Authentifizierungsmethode und kein Benut
zername angegeben werden.
  - Kerberos akzeptiert Domänenbenutzernamen, aber keine lokale Benutzernamen.
  - Der Dienstprinzipalname (Service Principal Name, SPN) für den Remotecomputer
namen und -port ist nicht vorhanden.
  - Der Clientcomputer und der Remotecomputer befinden sich in unterschiedlichen
 Domänen, zwischen denen keine Vertrauensbeziehung besteht.
 Wenn Sie die oben genannten Ursachen überprüft haben, probieren Sie folgende Ak
tionen aus:
  - Suchen Sie in der Ereignisanzeige nach Ereignissen im Zusammenhang mit der A
uthentifizierung.
  - Ändern Sie die Authentifizierungsmethode; fügen Sie den Zielcomputer der Kon
figurationseinstellung "TrustedHosts" für WinRM hinzu, oder verwenden Sie den HT
TPS-Transport.
 Beachten Sie, dass Computer in der TrustedHosts-Liste möglicherweise nicht auth
entifiziert sind.
  - Führen Sie den folgenden Befehl aus, um weitere Informationen zur WinRM-Konf
iguration zu erhalten: winrm help config

Fehlernummer:  -2144108387 0x8033809D
Unbekannter Sicherheitsfehler.

Im Eventlog lässt sich folgendes finden:

Code:

Protokollname: Microsoft-Windows-WinRM/Operational
Quelle:        Microsoft-Windows-WinRM
Datum:         02.01.2010 12:17:47
Ereignis-ID:   129
Aufgabenkategorie:Antwortbehandlung
Ebene:         Fehler
Schlüsselwörter:Client
Benutzer:      domain\administrator
Computer:      server.domain.test
Beschreibung:
Antwort aus Vermittlungsschicht wurde empfangen; Status: 401 (HTTP_STATUS_DENIED)
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-WinRM" Guid="{A7975C8F-AC13-49F1-87DA-5A984A4AB417}" />
    <EventID>129</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>10</Task>
    <Opcode>1</Opcode>
    <Keywords>0x4000000000000002</Keywords>
    <TimeCreated SystemTime="2010-01-02T11:17:47.246355500Z" />
    <EventRecordID>24153</EventRecordID>
    <Correlation ActivityID="{00000100-0000-0000-8899-F6349A8BCA01}" />
    <Execution ProcessID="6952" ThreadID="4604" />
    <Channel>Microsoft-Windows-WinRM/Operational</Channel>
    <Computer>server.domain.test</Computer>
    <Security UserID="S-1-5-21-2262231872-2411724563-4059426263-500" />
  </System>
  <EventData>
    <Data Name="status">401 (HTTP_STATUS_DENIED)</Data>
  </EventData>
</Event>

[domi65]

Code:

Protokollname: Microsoft-Windows-WinRM/Operational
Quelle:        Microsoft-Windows-WinRM
Datum:         02.01.2010 12:17:47
Ereignis-ID:   142
Aufgabenkategorie:Antwortbehandlung
Ebene:         Fehler
Schlüsselwörter:Client
Benutzer:      domain\administrator
Computer:      server.domain.test
Beschreibung:
Fehler bei WSMan-Vorgang "Get". Fehlercode: 2150858909
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-WinRM" Guid="{A7975C8F-AC13-49F1-87DA-5A984A4AB417}" />
    <EventID>142</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>10</Task>
    <Opcode>2</Opcode>
    <Keywords>0x4000000000000002</Keywords>
    <TimeCreated SystemTime="2010-01-02T11:17:47.258073500Z" />
    <EventRecordID>24155</EventRecordID>
    <Correlation ActivityID="{00000100-0000-0001-8499-F6349A8BCA01}" />
    <Execution ProcessID="6952" ThreadID="4604" />
    <Channel>Microsoft-Windows-WinRM/Operational</Channel>
    <Computer>server.domain.test</Computer>
    <Security UserID="S-1-5-21-2262231872-2411724563-4059426263-500" />
  </System>
  <EventData>
    <Data Name="operationName">Get</Data>
    <Data Name="errorCode">2150858909</Data>
  </EventData>
</Event>

Ich habe nun schon alle möglichen Technetseiten, Foren und sonstiges abgegrast, aber nichts scheint zum Erfolg zu führen...

Für Hilfe bin ich überaus DANKBAR!!!

Greetz Domi

[olc]

Hi Domi,

hast Du das WinRM Paket schon einmal neu installiert? Versuche dies einmal und teste dann erneut die "quickconfig".

Viele Grüße
olc

[domi65]

Hi!

wie installiert man das paket beim 2008 r2 server neu??
Ich finde das nicht unbedingt unter den features...

thx!
Domi

[fluehmann]

Hallo domi

Mögliche Ursachen könnten noch sein:
- HTTP Proxy Server im Netzwerk
- URL der Standart Webseite in IIS wurde umbennant
- HTTP- HTTPS Umleitung auf der Standart Webseite in IIS konfiguriert mit Vererbung auf Unterverzeichnisse
- Lokaler Admin auf dem Memberserver hat gleiches PW wie der Domainadmin

Weitere Informationen auch zum Troublshooting hier:

MSXFAQ.DE - WinRM

Jonathan's Virtual Blog : WinRM (Windows Remote Management) Troubleshooting


Ansonsten poste doch mal ein winrm get winrm/config.

Freundlicher Gruss
fluehmann

[domi65]

Hi!

Hmm, also eigentlich scheiden alle 4 Möglichkeiten aus, aber ich werd nachher nochmal ein bisschen intensiver testen, Danke trotzdem dafür!!

Hier nun die Ausgabe von "winrm get config":

Code:

WSManFault
    Message = Die Anforderung kann von WinRM nicht verarbeitet werden. Bei Verwendung der Negotiate-Authentifizierung ist der folgende Fehler aufgetreten: Unbekannter Sicherheitsfehler.
. Mögliche Ursachen:
  - Der angegebene Benutzername oder das angegebene Kennwort ist ungültig.
  - Kerberos wird verwendet, wenn keine Authentifizierungsmethode und kein Benutzername angegeben werden.
  - Kerberos akzeptiert Domänenbenutzernamen, aber keine lokale Benutzernamen.
  - Der Dienstprinzipalname (Service Principal Name, SPN) für den Remotecomputernamen und -port ist nicht vorhanden.
  - Der Clientcomputer und der Remotecomputer befinden sich in unterschiedlichen Domänen, zwischen denen keine Vertrauensbeziehung besteht.
 Wenn Sie die oben genannten Ursachen überprüft haben, probieren Sie folgende Aktionen aus:
  - Suchen Sie in der Ereignisanzeige nach Ereignissen im Zusammenhang mit der Authentifizierung.
  - Ändern Sie die Authentifizierungsmethode; fügen Sie den Zielcomputer der Konfigurationseinstellung "TrustedHosts" für WinRM hinzu, oder verwenden Sie den HTTPS-Transport.
 Beachten Sie, dass Computer in der TrustedHosts-Liste möglicherweise nicht auth
entifiziert sind.
  - Führen Sie den folgenden Befehl aus, um weitere Informationen zur WinRM-Konfiguration zu erhalten: winrm help config

Fehlernummer:  -2144108387 0x8033809D
Unbekannter Sicherheitsfehler.

THX
Domi

[volker_david]

Hallo domni65,

ich hatte ein ähnliches Problem auf meinem Testsystem.
Nach langem suchen habe ich festgestellt, das bei mir der spn "http/wd-mail.david-weede.de" auf einen falschen Dienstanbierter registriert war. Das dumpspn.vbs Script von msxfaq.de war da sehr hilfreich. Nach der Korrektur läuft alles.