I have 3 servers, which run into an error, since monitoring the WindowsUpdate Status with the Powershell Sensor:
Server1: -------------------------------------------------------------------------------------------- Beim Verbinden mit dem Remoteserver "Server1" ist folgender Fehler aufgetreten: Die Anforderung kann von WinRM nicht verarbeitet werden. Bei Verwendung der Kerberos-Authentifizierung ist der folgende Fehler mit Fehlercode 0x80090322 aufgetreten: Unbekannter Sicherheitsfehler. . Mögliche Ursachen: - Der angegebene Benutzername oder das angegebene Kennwort ist ungültig. - Kerberos wird verwendet, wenn keine Authentifizierungsmethode und kein Benutzername angegeben werden. - Kerberos akzeptiert Domänenbenutzernamen, aber keine lokale Benutzernamen. - Der Dienstprinzipalname (Service Principal Name, SPN) für den Remotecomputernamen und -port ist nicht vorhanden. - Der Clientcomputer und der Remotecomputer befinden sich in unterschiedlichen Domänen, zwischen denen keine Vertrauensbeziehung besteht. Wenn Sie die oben genannten Ursachen überprüft haben, probieren Sie folgende Aktionen aus: - Suchen Sie in der Ereignisanzeige nach Ereignissen im Zusammenhang mit der Authentifizierung. - Ändern Sie die Authentifizierungsmethode; fügen Sie den Zielcomputer der Konfigurationseinstellung "TrustedHosts" für WinRM hinzu, oder verwenden Sie den HTTPS-Transport. Beachten Sie, dass Computer in der TrustedHosts-Liste möglicherweise nicht authentifiziert sind. - Führen Sie den folgenden Befehl aus, um weitere Informationen zur WinRM-Konfiguration zu erhalten: "winrm help config". Weitere Informationen finden Sie im Hilfethema "about_Remote_Troubleshooting". --------------------------------------------------------------------------------------------
Server2: -------------------------------------------------------------------------------------------- Beim Verbinden mit dem Remoteserver "Server1" ist folgender Fehler aufgetreten: Die Anforderung kann von WinRM nicht verarbeitet werden. Bei Verwendung der Kerberos-Authentifizierung ist der folgende Fehler mit Fehlercode 0x80090322 aufgetreten: Unbekannter Sicherheitsfehler. . Mögliche Ursachen: - Der angegebene Benutzername oder das angegebene Kennwort ist ungültig. - Kerberos wird verwendet, wenn keine Authentifizierungsmethode und kein Benutzername angegeben werden. - Kerberos akzeptiert Domänenbenutzernamen, aber keine lokale Benutzernamen. - Der Dienstprinzipalname (Service Principal Name, SPN) für den Remotecomputernamen und -port ist nicht vorhanden. - Der Clientcomputer und der Remotecomputer befinden sich in unterschiedlichen Domänen, zwischen denen keine Vertrauensbeziehung besteht. Wenn Sie die oben genannten Ursachen überprüft haben, probieren Sie folgende Aktionen aus: - Suchen Sie in der Ereignisanzeige nach Ereignissen im Zusammenhang mit der Authentifizierung. - Ändern Sie die Authentifizierungsmethode; fügen Sie den Zielcomputer der Konfigurationseinstellung "TrustedHosts" für WinRM hinzu, oder verwenden Sie den HTTPS-Transport. Beachten Sie, dass Computer in der TrustedHosts-Liste möglicherweise nicht authentifiziert sind. - Führen Sie den folgenden Befehl aus, um weitere Informationen zur WinRM-Konfiguration zu erhalten: "winrm help config". Weitere Informationen finden Sie im Hilfethema "about_Remote_Troubleshooting".
--------------------------------------------------------------------------------------------
Server3: -------------------------------------------------------------------------------------------- Beim Verbinden mit dem Remoteserver "Server3" ist folgender Fehler aufgetreten: Der Client kann keine Verbindung mit dem in der Anforderung angegebenen Ziel herstellen. Stellen Sie sicher, dass der Dienst auf dem Ziel ausgeführt wird und die Anforderungen akzeptiert. Lesen Sie die Protokolle und die Dokumentation für den WS-Verwaltungsdienst, der auf dem Ziel ausgeführt wird. Hierbei handelt es sich meistens um IIS oder WinRM. Wenn das Ziel der WinRM-Dienst ist, führen Sie den folgenden Befehl auf dem Ziel aus, um den WinRM-Dienst zu analysieren und zu konfigurieren: "winrm quickconfig". Weitere Informationen finden Sie im Hilfethema "about_Remote_Troubleshooting". --------------------------------------------------------------------------------------------
The servers get the Powershell remoteconfiguration and the Trusted Hosts via GPO.
I started to fix the problem on Server 1
First I tried to list the trusted hosts:
------------------------------------------------------------ PS C:\Windows\system32> Get-Item WSMan:\localhost\Client\TrustedHosts Get-Item : Der Pfad "WSMan:\localhost\Client\TrustedHosts" kann nicht gefunden werden, da er nicht vorhanden ist. Bei Zeile:1 Zeichen:9 + Get-Item <<<< WSMan:\localhost\Client\TrustedHosts + CategoryInfo : ObjectNotFound: (WSMan:\localhost\Client\TrustedHosts:String) [Get-Item], ItemNotFoundEx ception + FullyQualifiedErrorId : PathNotFound,Microsoft.PowerShell.Commands.GetItemCommand
-----------------------------------------------------------------------------------------------------------------------------
PS C:\Windows\system32> ls WSMan:\localhost\Client\TrustedHosts Get-ChildItem : Der Pfad "localhost\Client\TrustedHosts" kann nicht gefunden werden, da er nicht vorhanden ist. Bei Zeile:1 Zeichen:3 + ls <<<< WSMan:\localhost\Client\TrustedHosts + CategoryInfo : ObjectNotFound: (localhost\Client\TrustedHosts:String) [Get-ChildItem], ItemNotFoundExce ption + FullyQualifiedErrorId : PathNotFound,Microsoft.PowerShell.Commands.GetChildItemCommand ------------------------------------------------------------
Which runs in an Error.
I tried to run an "winrm quickconfig", but in runs also in an error:
------------------------------------------------------------ PS C:\Windows\system32> winrm quickconfig WinRM ist nicht zum Empfangen von Anforderungen auf diesem Computer konfiguriert. Folgende Änderungen müssen durchgeführt werden:
Legen Sie den WinRM-Diensttyp auf einen verzögerten automatischen Start fest.
Diese Änderungen durchführen [y/n]? j WSManFault Message = Die Anforderung kann von WinRM nicht verarbeitet werden. Bei Verwendung der Negotiate-Authentifizierung is t der folgende Fehler aufgetreten: Unbekannter Sicherheitsfehler. . Mögliche Ursachen: - Der angegebene Benutzername oder das angegebene Kennwort ist ungültig. - Kerberos wird verwendet, wenn keine Authentifizierungsmethode und kein Benutzername angegeben werden. - Kerberos akzeptiert Domänenbenutzernamen, aber keine lokale Benutzernamen. - Der Dienstprinzipalname (Service Principal Name, SPN) für den Remotecomputernamen und -port ist nicht vorhanden. - Der Clientcomputer und der Remotecomputer befinden sich in unterschiedlichen Domänen, zwischen denen keine Vertrauen sbeziehung besteht. Wenn Sie die oben genannten Ursachen überprüft haben, probieren Sie folgende Aktionen aus: - Suchen Sie in der Ereignisanzeige nach Ereignissen im Zusammenhang mit der Authentifizierung. - Ändern Sie die Authentifizierungsmethode; fügen Sie den Zielcomputer der Konfigurationseinstellung "TrustedHosts" fü r WinRM hinzu, oder verwenden Sie den HTTPS-Transport. Beachten Sie, dass Computer in der TrustedHosts-Liste möglicherweise nicht authentifiziert sind. - Führen Sie den folgenden Befehl aus, um weitere Informationen zur WinRM-Konfiguration zu erhalten: winrm help config
Fehlernummer: -2144108387 0x8033809D Unbekannter Sicherheitsfehler.
------------------------------------------------------------
The Service (WinRM) is running.
I have checkt the SPN
setspn.exe -L Server1
The Result was, that there was no entry for HTTP
setspn -A HTTP/Server1 Server1 Dienstprinzipalnamen (SPN) für CN=Server1,OU=2-Mo-\>Di,OU=Automatischer Neustart,O U=Server,OU=xxx,OU=yyyyyyyyyy,DC=xxxxxxxxxx,DC=LOCAL werden registriert. HTTP/Server1 Fehler beim Zuweisen des Dienstprinzipalnamen (SPN) auf Konto 'CN=Server1,OU=2-Mo- \>Di,OU=Automatischer Neustart,OU=xxxxxx,OU=xxxxxxx,OU=xxxxxx,DC=xxxxxxxx ,DC=LOCAL', Fehler 0x21c7/8647
What can I do to Fix it?
Thanks for your help.
Add comment