Probleme mit Windows Admin Center

[Scharping-FVB 13]

Liebes Forum,

 

ich habe in zwei Domänen das WAC-Gateway auf jeweils 2019 installiert. In der einen Domäne kann ich mich zwar anmelden und auch alles einstellen und sogar alle AD-Server hinzufügen, aber ich kann mich auf keinen der Server verbinden. Weder mit dem AD-Account, der am Gateway im Browser angemeldet ist und auf allen Servern lokaler Administrator ist, noch mit irgendeinem anderen Administrator Account, welches ich dann pro Server manuell eingebe.

 

In der anderen Domäne (gleiche Installationsdatei), kann ich noch nicht einmal das AD nach Servern durchsuchen, auch einzelne Server werden nicht hinzugefügt, auch nicht über den FQDN.

 

In beiden Domänen ist die Windows Firewall aus und die Server sind alle im selben Subnetz. Der Virenschutz (Cortex XDR) hat keine Meldung von sich gegeben.

 

Ich habe bisher nichts dazu finden können, was irgendwie geholfen hat.

Hat jemand eine Idee, was bei mir los ist?

 

Viele Grüße
Davorin

[cj_berlin 1.442]

Moin,

kannst Du mit dem jeweiligen Account erfolgreich Enter-PSSession ausführen? Vielleicht ist einfach WinRM Remoting noch nicht vorbereitet, oder irgendwie totgetreten, oder jemand hat sich in JEA ausgetobt und den Default Endpoint verbogen...

[Scharping-FVB 13]

Enter-PSSession klappt, Test-WSMan auch. In beiden Domänen.

Ich habe auch mal "Protected Users" ausgeschlossen, hat nicht geholfen.

Auch ein Versuch, mich mit einem Domain Admin Konto an einem Tier0 Server anzumelden funktioniert nicht.

Immerhin etwas "Neues": Wenn ich mich mit einem Domain Admin am WAC anmelde, bekomme ich diese Meldung, beim Versuch mich an einem Tier1 Server anzumelden:

Connecting to remote server XYZ.DOMAIN.de failed with the following error message : WinRM cannot process the request. The following error with errorcode 0x8009030e occurred while using Kerberos authentication: A specified logon session does not exist. It may already have been terminated.  
 Possible causes are:
  -The user name or password specified are invalid.
  -Kerberos is used when no authentication method and no user name are specified.
  -Kerberos accepts domain user names, but not local user names.
  -The Service Principal Name (SPN) for the remote computer name and port does not exist.
  -The client and remote computers are in different domains and there is no trust between the two domains.
 After checking for the above issues, try the following:
  -Check the Event Viewer for events related to authentication.
  -Change the authentication method; add the destination computer to the WinRM TrustedHosts configuration setting or use HTTPS transport.
 Note that computers in the TrustedHosts list might not be authenticated.
   -For more information about WinRM configuration, run the following command: winrm help config. 

Das ergibt Sinn, da Tier0-Admins sich nicht an einem Tier1-Server anmelden dürfen. Also wird eine Anmeldung versucht und die Credentials korrekt weitergegeben.

An einem Tier0-Server kann ich mich aber trotzdem nicht anmelden, da kommt diese Meldung:

Zum Ausführen des einmaligen Anmeldens mit dem Windows-Konto muss unter Umständen die eingeschränkte Kerberos-Delegierung eingerichtet werden.

The client cannot connect to the destination specified in the request. Verify that the service on the destination is running and is accepting requests. Consult the logs and documentation for the WS-Management service running on the destination, most commonly IIS or WinRM. If the destination is the WinRM service, run the following command on the destination to analyze and configure the WinRM service: "winrm quickconfig".

Die Installation in der zweiten Domäne bleibt ohne weitere Verbindung zum AD oder Internet, obwohl ich im selben Browser, in dem WAC geöffnet ist, sehr wohl surfen kann, kann das WAC jedoch keinen Katalog der Extensions laden.

 

Noch andere Ideen?