Jump to content

winRM funktioniert nicht mehr


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Das Powershell cmdlet 

Set-WSManQuickConfig

konfiguriert dir ohne weitere Paramter serverseitig den winrm

see:  https://technet.microsoft.com/de-de/library/hh849867.aspx

 

und mit

winrm enumerate winrm/config/listener

kannst du anschließend nachsehen, ob es geklappt hat. So sollte das Resultat etwa aussehen

Listener
    Address = *
    Transport = HTTP
    Port = 5985
    Hostname
    Enabled = true
    URLPrefix = wsman
    CertificateThumbprint
    ListeningOn = 127.0.0.1, 169.254.91.221, 169.254.105.146, 169.254.144.53, 169.254.173.18, 192.168.178.27, ::1, 2001:0:5ef5:79f....

Beide Befehle im Adminkontext am Server ausführen

 

blub

Link zu diesem Kommentar

Gibt wohl auch hier Menschen mit dem Interesse Hilfe zu Leisten und nicht einfach Links zu posten die ich selber finden kann.

 

Kommt so rüber als Friss oder Stirb und nächster Bitte.

 

Man hat mir angeraten hier nachzufragen.

Der rat hier anzufragen war ein guter. Wenn wir dir helfen sollen geht das nur, wenn du auch schon fundiertes Grundwissen mitbringst.

 

Wir betreiben hier ein Diskussionsforum um Hilfesuchenden zu helfen ihre IT Probleme zu lösen. Voraussetzung dafür dass wir kompetent helfen können ist ein grundlegendes Basis Wissen über die verwendeten Technologien.

 

Ich verstehe dass du nur ein wie du sagst "privater Mann" bist der nur ausprobieren und lernen will, aber ohne dieses Grundwissen ist es für uns sehr schwer bis unmöglich dir zu helfen.

 

Das Vermitteln von Grundlagen übersteigt leider die Möglichkeiten, welche wir mit diesem Forum haben.

 

Mein Vorschlag ist du arbeitest dich in die Grundlagen ein und wenn du dazu Verständnis Fragen hast bist du hier herzlich willkommen um sie gemeinsam mit uns zu erörtern. Wenn du dann weiter Probleme mit deiner IT hast helfen wir dir gerne, was uns dann dank deines neu erworbenen Fachwissens auch gelingen wird.

 

Ach ja, zum Einarbeiten in die Grundlagen gehört auch die Beherrschung der englischen Sprache, da die meisten guten Quellen für das Thema leider englischsprachig sind.

 

Was hältst du davon?

Link zu diesem Kommentar

Das Powershell cmdlet 

Set-WSManQuickConfig

konfiguriert dir ohne weitere Paramter serverseitig den winrm

see:  https://technet.microsoft.com/de-de/library/hh849867.aspx

 

und mit

winrm enumerate winrm/config/listener

kannst du anschließend nachsehen, ob es geklappt hat. So sollte das Resultat etwa aussehen

Listener
    Address = *
    Transport = HTTP
    Port = 5985
    Hostname
    Enabled = true
    URLPrefix = wsman
    CertificateThumbprint
    ListeningOn = 127.0.0.1, 169.254.91.221, 169.254.105.146, 169.254.144.53, 169.254.173.18, 192.168.178.27, ::1, 2001:0:5ef5:79f....

Beide Befehle im Adminkontext am Server ausführen

 

blub

 

winrm enumerate winrm/config/listener vorher:

 

 
PS C:\Users\Administrator> winrm enumerate winrm/config/listener
Listener
    Address = *
    Transport = HTTP
    Port = 5985
    Hostname
    Enabled = true
    URLPrefix = wsman
    CertificateThumbprint
    ListeningOn = 127.0.0.1, 169.254.60.229, 192.168.0.2, ::1, fe80::5efe:169.254.60.229%14, fe80::5efe:192.168.0.2%16,
fe80::ffff:ffff:fffe%13, fe80::54c6:96dc:90d8:3ce5%15
 

Das stimmt doch so alles oder? Listing on 192.168.0.2 ist der Management-Server.

 

Nachdem ausführen von "Set-WSManQuickConfig":

 

WinRM ist bereits zum Empfangen von Anforderungen auf diesem Computer konfiguriert.
WinRM ist bereits für die Remoteverwaltung auf diesem Computer eingerichtet.
 
 
Ausgabe von "winrm enumerate winrm/config/listener":
 
Listener
    Address = *
    Transport = HTTP
    Port = 5985
    Hostname
    Enabled = true
    URLPrefix = wsman
    CertificateThumbprint
    ListeningOn = 127.0.0.1, 169.254.60.229, 192.168.0.2, ::1, fe80::5efe:169.254.60.229%14, fe80::5efe:192.168.0.2%16,
fe80::ffff:ffff:fffe%13, fe80::54c6:96dc:90d8:3ce5%15
 
 
Macht der Befehl "Set-WSManQuickConfig" und der cmd Befehl -> "winrm quickconfig" nicht das Gleiche?

 

Leider klappts immer noch nicht :-( Habe sogar im Server-Manager den Remote-Server entfernt und neu hinzugefügt und gleich wieder der Kerberos Fehler  :nene:  :confused:

 

Kann man winRM nicht irgendwie löschen? Als ich winRM installiert habe musste ich auch noch .NET und winRM Management Framework installieren. Da .NET noch von anderen Diensten abhängig ist kann ich das ja nicht alles nur weil winRM nicht geht deinstallieren... Was ratet ihr mir an? Ein Update von wimRM auf die neue WinRM Management Framework ist auch Fehlgeschlagen irgend ein Zertifikatfehler.

Das Update für WinRM Management konnte ich auch nicht finden... Auch die zugehörige KB-Nummer steht nirgends.

 

Habe winRM nach dieser Anleitung konfiguriert: http://blog.alekel.de/server-2008-und-2008-r2-mit-dem-server-manager-201-verwalten/

bearbeitet von schwiz
Link zu diesem Kommentar

WinRM ist bereits zum Empfangen von Anforderungen auf diesem Computer konfiguriert.
WinRM ist bereits für die Remoteverwaltung auf diesem Computer eingerichtet.

Dann sollte es serverseitig doch funktionieren.

Kannst du auf dem Server selbst eine Connection auf sich selbst öffnen?

 

Powershell:

Enter-PsSession $computername

 

In der Registry kannst du die Listener auch manuell bearbeiten bzw. löschen

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Listener\

(sofern du nicht mit GPOs arbeitest)

 

ansonsten bitte mal in der Powershell

"get-help about_remote"

ansehen. Am Ende gibt es Verweise auf weitere Hilfen wie "get-help about_Remote_Requirements", in der du sicher wertvolle Tipps finden wirst.

 

blub

Link zu diesem Kommentar

Woher kommt die 169er APIPA IPv4 Adresse?

 

Wie viele Netzwerkkarten sind drin, wie viele sind am Switch und wie konfiguriert?

 

Warum hat der so viele IPv6 Adressen?

 

shock2.gif

 

Keine Ahnung woher diese APIPA-Adressen kommen. Eventuell hatte ich mal etwas falsch konfguriert und darum steht dort noch diese Adresse. ipconfig /all zeigt mir nirgends eine solche Adresse. Das Netzwerk läuft sonst gut! Ich komme mit beiden DCs ins Internet.

 

Habe nur eine NIC. Meinst du den virtuellen Switch von HyperV?

 

 

Screenshot vom Server aufdem der HyperV läuft:

a7a27d-1458141160.png

 

Screenshot vom virtuellen Server

c6b871-1458141209.png

 

Wieso so viele IPv6-Adressen drin sind kann ich dir nicht sagen. Auf beiden DCs habe ich in den Netzwerkeinstellungen IPv6 deaktiviert da ich es nicht benutzte. 

 

Dann sollte es serverseitig doch funktionieren.

Kannst du auf dem Server selbst eine Connection auf sich selbst öffnen?

 

Powershell:

Enter-PsSession $computername

 

In der Registry kannst du die Listener auch manuell bearbeiten bzw. löschen

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Listener\

(sofern du nicht mit GPOs arbeitest)

 

ansonsten bitte mal in der Powershell

"get-help about_remote"

ansehen. Am Ende gibt es Verweise auf weitere Hilfen wie "get-help about_Remote_Requirements", in der du sicher wertvolle Tipps finden wirst.

 

blub

 

Also habe ich ausgeführt (Enter-PsSession testsrv2 (ohne Dollar-Zeichen gehts nur)):

PS C:\Users\Administrator> Enter-PsSession $testsrv2
Enter-PSSession : Das Argument für den Parameter "Session" kann nicht überprüft werden. Das Argument ist NULL oder
leer. Geben Sie ein Argument an, das nicht NULL oder leer ist, und führen Sie den Befehl erneut aus.
In Zeile:1 Zeichen:17
+ Enter-PsSession $testsrv2
+                 ~~~~~~~~~
    + CategoryInfo          : InvalidData: (:) [Enter-PSSession], ParameterBindingValidationException
    + FullyQualifiedErrorId : ParameterArgumentValidationError,Microsoft.PowerShell.Commands.EnterPSSessionCommand

PS C:\Users\Administrator> Enter-PsSession testsrv2
[testsrv2]: PS C:\Users\Administrator\Documents> Enter-PsSession testsrv2


Was machte die Funktion? Wenn ich "Enter-PsSession testsrv3" eingebe kommt eine Fehlermeldung der Server ist der Remote-Server.

 

Der Listener stimmt ja soweit?!

 

bearbeitet von schwiz
Link zu diesem Kommentar

 

Wieso so viele IPv6-Adressen drin sind kann ich dir nicht sagen. Auf beiden DCs habe ich in den Netzwerkeinstellungen IPv6 deaktiviert da ich es nicht benutzte. 

Warum deaktiviert man IPv6?

 

Das OS benutzt das? Und nur den Haken in der Netzwerkkarte raus heißt nicht, das es deaktiviert ist.

Bereinige erst einmal die IPv4 Settings, dann sieht man ggf. weiter.

 

Und wie du an den Tips von blub gesehen hast, ist das OS unten drunter auch englisch - also solltest du dich wohl oder über mal zeitnah damit beschäftigen, sonst wird das leider nichts, auch nicht, wenn du es aus Hobby-Gründen wissen möchtest.

 

wink2.gif

bearbeitet von Nobbyaushb
Link zu diesem Kommentar

Warum deaktiviert man IPv6?

 

Das OS benutzt das? Und nur den Haken in der Netzwerkkarte raus heißt nicht, das es deaktiviert ist.

Bereinige erst einmal die IPv4 Settings, dann sieht man ggf. weiter.

 

Und wie du an den Tips von blub gesehen hast, ist das OS unten drunter auch englisch - also solltest du dich wohl oder über mal zeitnah damit beschäftigen, sonst wird das leider nichts, auch nicht, wenn du es aus Hobby-Gründen wissen möchtest.

 

wink2.gif

 

In der Ausbildung hatten wir IPv6 auch deaktiviert da wir das nicht benutzt hatten...

 

Gut, das OS kann auch ohne IPv6 auskommen?

Du meinst wohl die IPv6 bereinigen statt IPv4? Also soll ich mal IP46 wieder aktivieren? winRM ging vorher auch, obwohl IPv6 deaktiviert war. 

 

Eine Sprache perfekt beherrschen, sodass man alles versteht auch solche komplizierten IT-Themen ist nicht in ein paar Tagen gelernt ;-) Zudem ich jetzt schon 2 Sprache spreche :-) 

 

$computername = "testsrv3"  #testsrv3 ist dein Rechnername

enter-PsSession $computername

 

Sorry, aber verstehe nicht was du mir genau sagen willst...

 

Ich soll auf dem Host "testsrv2" enter-PsSession testsrv2 eingeben, dass klappt ja.  Hingegen enter-PsSession testsrv3 geht auf dem "testsrv2" nicht.

Link zu diesem Kommentar

Ich soll auf dem Host "testsrv2" enter-PsSession testsrv2 eingeben, dass klappt ja.  Hingegen enter-PsSession testsrv3 geht auf dem "testsrv2" nicht.

dann hast du testsrv2 richtig konfiguriert und WinRM funktioniert.

Warum der testsrv3 nicht an den testsrv2 hinkommt, findest du am besten mit einem Netzwerksniffer wie wireshark.org heraus. Unter dieser Seite gibt es reichlich sehr lohnenswerte Anleitungen für alle Level, falls du dich in dem Gebiet noch nicht so auskennst!

Link zu diesem Kommentar

dann hast du testsrv2 richtig konfiguriert und WinRM funktioniert.

Warum der testsrv3 nicht an den testsrv2 hinkommt, findest du am besten mit einem Netzwerksniffer wie wireshark.org heraus. Unter dieser Seite gibt es reichlich sehr lohnenswerte Anleitungen für alle Level, falls du dich in dem Gebiet noch nicht so auskennst!

Gut zu hören.

Aber es muss doch irgendwo an winRM liegen, was soll mir Wireshark da weiterhelfen. Im Log steht der Fehler wenn mir jemand sagen könnte, wie ich das Problem lösen könnte.

 

Hier der Fehler:

 

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "testsrv2$" empfangen. Der verwendete Zielname war DEB\TESTSRV2$. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (DEB.TEST) von der Clientdomäne (DEB.TEST) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

 

Der Fehler ist doch eindeutig. Was muss ich tun? Wie kann ich das Problem ändern? Ich habe versucht den Kerberos-Ticket-Cache zu löschen mit -> "klist ?" jedoch ohne Erfolg. Den Dienst "KDC" kann ich nicht starten als Fehler erhalte ich "Fehler 5: Zugriff verweigert". Jemand eine Idee wie ich den Dienst reparieren kann? Übrigens habe ich auf beiden DCs diese Nacht SFC durchlaufen lassen jedoch auch wieder ohne Erfolg :-(

 

Der Dienst "KDC" scheint wohl so wie ich das erkenne, das Problem zu sein indem er sich nicht starten lässt. Auf beiden DCs! Wieso auch immer...

 

Hoffe, dass euch diese neuen Erkenntnisse weiterhelfen.

 

 

Schönen Abend

bearbeitet von schwiz
Link zu diesem Kommentar

dann hat sich der Fehler im Vergleich zum ersten Post aber verändert.

Nicht funktionierende KDCs sind eine vollkommen andere Baustelle als die WinRM-Config.

Wenn es eh nur 2 DCs in einer virtuellen Testumgebung sind, installier diese neu. Dann wird der KDC und damit der WinRM funktionieren. Beide Services gehören eher zu den Unkomplizierten ihrer Art.

Link zu diesem Kommentar

dann hat sich der Fehler im Vergleich zum ersten Post aber verändert.

Nicht funktionierende KDCs sind eine vollkommen andere Baustelle als die WinRM-Config.

Wenn es eh nur 2 DCs in einer virtuellen Testumgebung sind, installier diese neu. Dann wird der KDC und damit der WinRM funktionieren. Beide Services gehören eher zu den Unkomplizierten ihrer Art.

Also die Info stammt aus dem Ereignisprotokoll. Die Meldung im ersten Post steht weiterhin in den Aufgabendetails. 

Okay... Also ist nicht winRM sondern vielmehr Kerberos das Problem? Wie kann ich diesen KDC-Dienst neu installieren? Wie kann ich diesen Dienst wieder zum Laufen bringen? Ich habe aus eigenen Erfahrungen mit SFC bereits andere Dienste die nicht mehr funktionierten damit reparieren können. Leider beim KDC-Dienst ohne Erfolg. Also nicht beide DCs sind virtuelle nur einer davon. Alles neu installieren würde ich echt ungerne tun, nur weil winRM nicht mehr geht. 

 

Also dieser "KDC Proxyserver"- Dienst ist dafür das Kerberos richtig funktioniert und der sollte immer laufen? Weshalb ist der Starttyp auf manuell gesetzt? Im Ereignisprotokoll steht auch nix davon, dass der Dienst versucht wurde zu starten.

 

//Edit: In der Fehlermeldung steht, dass Key Distrubution Center ein Problem hat. Welcher Dienst ist das den nun? Ich habe den Kerberos-Schlüsselverteilungscenter Dienst der läuft und der KDC-Proxyserverdienst (KPS) der eben nicht läuft. Verstehe nicht was dieser KDC-Dienst mit Proxy zu tun haben soll.

bearbeitet von schwiz
Link zu diesem Kommentar

 

dann hast du testsrv2 richtig konfiguriert und WinRM funktioniert.

Warum der testsrv3 nicht an den testsrv2 hinkommt, findest du am besten mit einem Netzwerksniffer wie wireshark.org heraus. Unter dieser Seite gibt es reichlich sehr lohnenswerte Anleitungen für alle Level, falls du dich in dem Gebiet noch nicht so auskennst!

Gut zu hören.

Aber es muss doch irgendwo an winRM liegen, was soll mir Wireshark da weiterhelfen. Im Log steht der Fehler wenn mir jemand sagen könnte, wie ich das Problem lösen könnte.

 

Hier der Fehler:

 

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "testsrv2$" empfangen. Der verwendete Zielname war DEB\TESTSRV2$. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (DEB.TEST) von der Clientdomäne (DEB.TEST) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

 

Der Fehler ist doch eindeutig. Was muss ich tun? Wie kann ich das Problem ändern? Ich habe versucht den Kerberos-Ticket-Cache zu löschen mit -> "klist ?" jedoch ohne Erfolg. Den Dienst "KDC" kann ich nicht starten als Fehler erhalte ich "Fehler 5: Zugriff verweigert". Jemand eine Idee wie ich den Dienst reparieren kann? Übrigens habe ich auf beiden DCs diese Nacht SFC durchlaufen lassen jedoch auch wieder ohne Erfolg :-(

 

Der Dienst "KDC" scheint wohl so wie ich das erkenne, das Problem zu sein indem er sich nicht starten lässt. Auf beiden DCs! Wieso auch immer...

 

Hoffe, dass euch diese neuen Erkenntnisse weiterhelfen.

 

 

Schönen Abend

 

Ob es wohl sinnvoll ist, auf einen WinRM-Fehler zu bestehen, obwohl WinRM auf dem Server funktioniert?

Ob es wohl sinnvoll ist, die Antwort von Blub in Frage zu stellen ohne sie 1. getestet zu haben oder 2. sie technisch mit Fachwissen bewerten zu können?

 

"Der Fehler ist doch eindeutig" Fehler sind in der IT-Welt selten eindeutig, besonders wenn diese noch dazu Übersetzt worden sind.  ;)

 

Erkläre doch bitte mal dein Vorgehen strukturiert. Also aus welchem Grund du was tust und dir davon erwartest. Verstehe das bitte nicht falsch.. Es ist wirklich schwierig Dir zu folgen, weil du dich selbst mit deinen Handlungen nicht erklärst, geschweige denn die genannten Hilfestellungen umsetzt. Warum sollte Dir dann noch jemand hier helfen, wenn die Antwort der Kollegen eh nicht für ernst genommen wird  :confused:  ;)

 

Probier´s mal auf dem DC mit "dcdiag" und analysiere die Fehler...

bearbeitet von MurdocX
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...