blub 115 Geschrieben 11. März 2016 Melden Teilen Geschrieben 11. März 2016 Das Powershell cmdlet Set-WSManQuickConfig konfiguriert dir ohne weitere Paramter serverseitig den winrm see: https://technet.microsoft.com/de-de/library/hh849867.aspx und mit winrm enumerate winrm/config/listener kannst du anschließend nachsehen, ob es geklappt hat. So sollte das Resultat etwa aussehen Listener Address = * Transport = HTTP Port = 5985 Hostname Enabled = true URLPrefix = wsman CertificateThumbprint ListeningOn = 127.0.0.1, 169.254.91.221, 169.254.105.146, 169.254.144.53, 169.254.173.18, 192.168.178.27, ::1, 2001:0:5ef5:79f.... Beide Befehle im Adminkontext am Server ausführen blub Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 13. März 2016 Melden Teilen Geschrieben 13. März 2016 Gibt wohl auch hier Menschen mit dem Interesse Hilfe zu Leisten und nicht einfach Links zu posten die ich selber finden kann. Kommt so rüber als Friss oder Stirb und nächster Bitte. Man hat mir angeraten hier nachzufragen. Der rat hier anzufragen war ein guter. Wenn wir dir helfen sollen geht das nur, wenn du auch schon fundiertes Grundwissen mitbringst. Wir betreiben hier ein Diskussionsforum um Hilfesuchenden zu helfen ihre IT Probleme zu lösen. Voraussetzung dafür dass wir kompetent helfen können ist ein grundlegendes Basis Wissen über die verwendeten Technologien. Ich verstehe dass du nur ein wie du sagst "privater Mann" bist der nur ausprobieren und lernen will, aber ohne dieses Grundwissen ist es für uns sehr schwer bis unmöglich dir zu helfen. Das Vermitteln von Grundlagen übersteigt leider die Möglichkeiten, welche wir mit diesem Forum haben. Mein Vorschlag ist du arbeitest dich in die Grundlagen ein und wenn du dazu Verständnis Fragen hast bist du hier herzlich willkommen um sie gemeinsam mit uns zu erörtern. Wenn du dann weiter Probleme mit deiner IT hast helfen wir dir gerne, was uns dann dank deines neu erworbenen Fachwissens auch gelingen wird. Ach ja, zum Einarbeiten in die Grundlagen gehört auch die Beherrschung der englischen Sprache, da die meisten guten Quellen für das Thema leider englischsprachig sind. Was hältst du davon? Zitieren Link zu diesem Kommentar
schwiz 0 Geschrieben 15. März 2016 Autor Melden Teilen Geschrieben 15. März 2016 (bearbeitet) Das Powershell cmdlet Set-WSManQuickConfig konfiguriert dir ohne weitere Paramter serverseitig den winrm see: https://technet.microsoft.com/de-de/library/hh849867.aspx und mit winrm enumerate winrm/config/listener kannst du anschließend nachsehen, ob es geklappt hat. So sollte das Resultat etwa aussehen Listener Address = * Transport = HTTP Port = 5985 Hostname Enabled = true URLPrefix = wsman CertificateThumbprint ListeningOn = 127.0.0.1, 169.254.91.221, 169.254.105.146, 169.254.144.53, 169.254.173.18, 192.168.178.27, ::1, 2001:0:5ef5:79f.... Beide Befehle im Adminkontext am Server ausführen blub winrm enumerate winrm/config/listener vorher: PS C:\Users\Administrator> winrm enumerate winrm/config/listener Listener Address = * Transport = HTTP Port = 5985 Hostname Enabled = true URLPrefix = wsman CertificateThumbprint ListeningOn = 127.0.0.1, 169.254.60.229, 192.168.0.2, ::1, fe80::5efe:169.254.60.229%14, fe80::5efe:192.168.0.2%16, fe80::ffff:ffff:fffe%13, fe80::54c6:96dc:90d8:3ce5%15 Das stimmt doch so alles oder? Listing on 192.168.0.2 ist der Management-Server. Nachdem ausführen von "Set-WSManQuickConfig": WinRM ist bereits zum Empfangen von Anforderungen auf diesem Computer konfiguriert. WinRM ist bereits für die Remoteverwaltung auf diesem Computer eingerichtet. Ausgabe von "winrm enumerate winrm/config/listener": Listener Address = * Transport = HTTP Port = 5985 Hostname Enabled = true URLPrefix = wsman CertificateThumbprint ListeningOn = 127.0.0.1, 169.254.60.229, 192.168.0.2, ::1, fe80::5efe:169.254.60.229%14, fe80::5efe:192.168.0.2%16, fe80::ffff:ffff:fffe%13, fe80::54c6:96dc:90d8:3ce5%15 Macht der Befehl "Set-WSManQuickConfig" und der cmd Befehl -> "winrm quickconfig" nicht das Gleiche? Leider klappts immer noch nicht :-( Habe sogar im Server-Manager den Remote-Server entfernt und neu hinzugefügt und gleich wieder der Kerberos Fehler :nene: :confused: Kann man winRM nicht irgendwie löschen? Als ich winRM installiert habe musste ich auch noch .NET und winRM Management Framework installieren. Da .NET noch von anderen Diensten abhängig ist kann ich das ja nicht alles nur weil winRM nicht geht deinstallieren... Was ratet ihr mir an? Ein Update von wimRM auf die neue WinRM Management Framework ist auch Fehlgeschlagen irgend ein Zertifikatfehler. Das Update für WinRM Management konnte ich auch nicht finden... Auch die zugehörige KB-Nummer steht nirgends. Habe winRM nach dieser Anleitung konfiguriert: http://blog.alekel.de/server-2008-und-2008-r2-mit-dem-server-manager-201-verwalten/ bearbeitet 15. März 2016 von schwiz Zitieren Link zu diesem Kommentar
Nobbyaushb 1.485 Geschrieben 15. März 2016 Melden Teilen Geschrieben 15. März 2016 Woher kommt die 169er APIPA IPv4 Adresse? Wie viele Netzwerkkarten sind drin, wie viele sind am Switch und wie konfiguriert? Warum hat der so viele IPv6 Adressen? Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 15. März 2016 Melden Teilen Geschrieben 15. März 2016 WinRM ist bereits zum Empfangen von Anforderungen auf diesem Computer konfiguriert. WinRM ist bereits für die Remoteverwaltung auf diesem Computer eingerichtet. Dann sollte es serverseitig doch funktionieren. Kannst du auf dem Server selbst eine Connection auf sich selbst öffnen? Powershell: Enter-PsSession $computername In der Registry kannst du die Listener auch manuell bearbeiten bzw. löschen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Listener\ (sofern du nicht mit GPOs arbeitest) ansonsten bitte mal in der Powershell "get-help about_remote" ansehen. Am Ende gibt es Verweise auf weitere Hilfen wie "get-help about_Remote_Requirements", in der du sicher wertvolle Tipps finden wirst. blub Zitieren Link zu diesem Kommentar
schwiz 0 Geschrieben 16. März 2016 Autor Melden Teilen Geschrieben 16. März 2016 (bearbeitet) Woher kommt die 169er APIPA IPv4 Adresse? Wie viele Netzwerkkarten sind drin, wie viele sind am Switch und wie konfiguriert? Warum hat der so viele IPv6 Adressen? Keine Ahnung woher diese APIPA-Adressen kommen. Eventuell hatte ich mal etwas falsch konfguriert und darum steht dort noch diese Adresse. ipconfig /all zeigt mir nirgends eine solche Adresse. Das Netzwerk läuft sonst gut! Ich komme mit beiden DCs ins Internet. Habe nur eine NIC. Meinst du den virtuellen Switch von HyperV? Screenshot vom Server aufdem der HyperV läuft: Screenshot vom virtuellen Server Wieso so viele IPv6-Adressen drin sind kann ich dir nicht sagen. Auf beiden DCs habe ich in den Netzwerkeinstellungen IPv6 deaktiviert da ich es nicht benutzte. Dann sollte es serverseitig doch funktionieren. Kannst du auf dem Server selbst eine Connection auf sich selbst öffnen? Powershell: Enter-PsSession $computername In der Registry kannst du die Listener auch manuell bearbeiten bzw. löschen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Listener\ (sofern du nicht mit GPOs arbeitest) ansonsten bitte mal in der Powershell "get-help about_remote" ansehen. Am Ende gibt es Verweise auf weitere Hilfen wie "get-help about_Remote_Requirements", in der du sicher wertvolle Tipps finden wirst. blub Also habe ich ausgeführt (Enter-PsSession testsrv2 (ohne Dollar-Zeichen gehts nur)): PS C:\Users\Administrator> Enter-PsSession $testsrv2 Enter-PSSession : Das Argument für den Parameter "Session" kann nicht überprüft werden. Das Argument ist NULL oder leer. Geben Sie ein Argument an, das nicht NULL oder leer ist, und führen Sie den Befehl erneut aus. In Zeile:1 Zeichen:17 + Enter-PsSession $testsrv2 + ~~~~~~~~~ + CategoryInfo : InvalidData: (:) [Enter-PSSession], ParameterBindingValidationException + FullyQualifiedErrorId : ParameterArgumentValidationError,Microsoft.PowerShell.Commands.EnterPSSessionCommand PS C:\Users\Administrator> Enter-PsSession testsrv2 [testsrv2]: PS C:\Users\Administrator\Documents> Enter-PsSession testsrv2 Was machte die Funktion? Wenn ich "Enter-PsSession testsrv3" eingebe kommt eine Fehlermeldung der Server ist der Remote-Server. Der Listener stimmt ja soweit?! bearbeitet 16. März 2016 von schwiz Zitieren Link zu diesem Kommentar
Nobbyaushb 1.485 Geschrieben 16. März 2016 Melden Teilen Geschrieben 16. März 2016 (bearbeitet) Wieso so viele IPv6-Adressen drin sind kann ich dir nicht sagen. Auf beiden DCs habe ich in den Netzwerkeinstellungen IPv6 deaktiviert da ich es nicht benutzte. Warum deaktiviert man IPv6? Das OS benutzt das? Und nur den Haken in der Netzwerkkarte raus heißt nicht, das es deaktiviert ist. Bereinige erst einmal die IPv4 Settings, dann sieht man ggf. weiter. Und wie du an den Tips von blub gesehen hast, ist das OS unten drunter auch englisch - also solltest du dich wohl oder über mal zeitnah damit beschäftigen, sonst wird das leider nichts, auch nicht, wenn du es aus Hobby-Gründen wissen möchtest. bearbeitet 16. März 2016 von Nobbyaushb Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 16. März 2016 Melden Teilen Geschrieben 16. März 2016 $computername = "testsrv3" #testsrv3 ist dein Rechnernameenter-PsSession $computername Zitieren Link zu diesem Kommentar
schwiz 0 Geschrieben 21. März 2016 Autor Melden Teilen Geschrieben 21. März 2016 Warum deaktiviert man IPv6? Das OS benutzt das? Und nur den Haken in der Netzwerkkarte raus heißt nicht, das es deaktiviert ist. Bereinige erst einmal die IPv4 Settings, dann sieht man ggf. weiter. Und wie du an den Tips von blub gesehen hast, ist das OS unten drunter auch englisch - also solltest du dich wohl oder über mal zeitnah damit beschäftigen, sonst wird das leider nichts, auch nicht, wenn du es aus Hobby-Gründen wissen möchtest. In der Ausbildung hatten wir IPv6 auch deaktiviert da wir das nicht benutzt hatten... Gut, das OS kann auch ohne IPv6 auskommen? Du meinst wohl die IPv6 bereinigen statt IPv4? Also soll ich mal IP46 wieder aktivieren? winRM ging vorher auch, obwohl IPv6 deaktiviert war. Eine Sprache perfekt beherrschen, sodass man alles versteht auch solche komplizierten IT-Themen ist nicht in ein paar Tagen gelernt ;-) Zudem ich jetzt schon 2 Sprache spreche :-) $computername = "testsrv3" #testsrv3 ist dein Rechnername enter-PsSession $computername Sorry, aber verstehe nicht was du mir genau sagen willst... Ich soll auf dem Host "testsrv2" enter-PsSession testsrv2 eingeben, dass klappt ja. Hingegen enter-PsSession testsrv3 geht auf dem "testsrv2" nicht. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 21. März 2016 Melden Teilen Geschrieben 21. März 2016 Ich soll auf dem Host "testsrv2" enter-PsSession testsrv2 eingeben, dass klappt ja. Hingegen enter-PsSession testsrv3 geht auf dem "testsrv2" nicht. dann hast du testsrv2 richtig konfiguriert und WinRM funktioniert. Warum der testsrv3 nicht an den testsrv2 hinkommt, findest du am besten mit einem Netzwerksniffer wie wireshark.org heraus. Unter dieser Seite gibt es reichlich sehr lohnenswerte Anleitungen für alle Level, falls du dich in dem Gebiet noch nicht so auskennst! Zitieren Link zu diesem Kommentar
schwiz 0 Geschrieben 22. März 2016 Autor Melden Teilen Geschrieben 22. März 2016 (bearbeitet) dann hast du testsrv2 richtig konfiguriert und WinRM funktioniert. Warum der testsrv3 nicht an den testsrv2 hinkommt, findest du am besten mit einem Netzwerksniffer wie wireshark.org heraus. Unter dieser Seite gibt es reichlich sehr lohnenswerte Anleitungen für alle Level, falls du dich in dem Gebiet noch nicht so auskennst! Gut zu hören. Aber es muss doch irgendwo an winRM liegen, was soll mir Wireshark da weiterhelfen. Im Log steht der Fehler wenn mir jemand sagen könnte, wie ich das Problem lösen könnte. Hier der Fehler: Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "testsrv2$" empfangen. Der verwendete Zielname war DEB\TESTSRV2$. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (DEB.TEST) von der Clientdomäne (DEB.TEST) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren. Der Fehler ist doch eindeutig. Was muss ich tun? Wie kann ich das Problem ändern? Ich habe versucht den Kerberos-Ticket-Cache zu löschen mit -> "klist ?" jedoch ohne Erfolg. Den Dienst "KDC" kann ich nicht starten als Fehler erhalte ich "Fehler 5: Zugriff verweigert". Jemand eine Idee wie ich den Dienst reparieren kann? Übrigens habe ich auf beiden DCs diese Nacht SFC durchlaufen lassen jedoch auch wieder ohne Erfolg :-( Der Dienst "KDC" scheint wohl so wie ich das erkenne, das Problem zu sein indem er sich nicht starten lässt. Auf beiden DCs! Wieso auch immer... Hoffe, dass euch diese neuen Erkenntnisse weiterhelfen. Schönen Abend bearbeitet 22. März 2016 von schwiz Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 22. März 2016 Melden Teilen Geschrieben 22. März 2016 dann hat sich der Fehler im Vergleich zum ersten Post aber verändert. Nicht funktionierende KDCs sind eine vollkommen andere Baustelle als die WinRM-Config. Wenn es eh nur 2 DCs in einer virtuellen Testumgebung sind, installier diese neu. Dann wird der KDC und damit der WinRM funktionieren. Beide Services gehören eher zu den Unkomplizierten ihrer Art. Zitieren Link zu diesem Kommentar
schwiz 0 Geschrieben 23. März 2016 Autor Melden Teilen Geschrieben 23. März 2016 (bearbeitet) dann hat sich der Fehler im Vergleich zum ersten Post aber verändert. Nicht funktionierende KDCs sind eine vollkommen andere Baustelle als die WinRM-Config. Wenn es eh nur 2 DCs in einer virtuellen Testumgebung sind, installier diese neu. Dann wird der KDC und damit der WinRM funktionieren. Beide Services gehören eher zu den Unkomplizierten ihrer Art. Also die Info stammt aus dem Ereignisprotokoll. Die Meldung im ersten Post steht weiterhin in den Aufgabendetails. Okay... Also ist nicht winRM sondern vielmehr Kerberos das Problem? Wie kann ich diesen KDC-Dienst neu installieren? Wie kann ich diesen Dienst wieder zum Laufen bringen? Ich habe aus eigenen Erfahrungen mit SFC bereits andere Dienste die nicht mehr funktionierten damit reparieren können. Leider beim KDC-Dienst ohne Erfolg. Also nicht beide DCs sind virtuelle nur einer davon. Alles neu installieren würde ich echt ungerne tun, nur weil winRM nicht mehr geht. Also dieser "KDC Proxyserver"- Dienst ist dafür das Kerberos richtig funktioniert und der sollte immer laufen? Weshalb ist der Starttyp auf manuell gesetzt? Im Ereignisprotokoll steht auch nix davon, dass der Dienst versucht wurde zu starten. //Edit: In der Fehlermeldung steht, dass Key Distrubution Center ein Problem hat. Welcher Dienst ist das den nun? Ich habe den Kerberos-Schlüsselverteilungscenter Dienst der läuft und der KDC-Proxyserverdienst (KPS) der eben nicht läuft. Verstehe nicht was dieser KDC-Dienst mit Proxy zu tun haben soll. bearbeitet 23. März 2016 von schwiz Zitieren Link zu diesem Kommentar
schwiz 0 Geschrieben 24. März 2016 Autor Melden Teilen Geschrieben 24. März 2016 Einfach nix zu machen... Hoffe, ihr könnt mir sagen wie ich diesen Dienst, wenn es dieser ist reparieren kann Google half nicht weiter. Zitieren Link zu diesem Kommentar
MurdocX 957 Geschrieben 26. März 2016 Melden Teilen Geschrieben 26. März 2016 (bearbeitet) dann hast du testsrv2 richtig konfiguriert und WinRM funktioniert. Warum der testsrv3 nicht an den testsrv2 hinkommt, findest du am besten mit einem Netzwerksniffer wie wireshark.org heraus. Unter dieser Seite gibt es reichlich sehr lohnenswerte Anleitungen für alle Level, falls du dich in dem Gebiet noch nicht so auskennst! Gut zu hören. Aber es muss doch irgendwo an winRM liegen, was soll mir Wireshark da weiterhelfen. Im Log steht der Fehler wenn mir jemand sagen könnte, wie ich das Problem lösen könnte. Hier der Fehler: Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "testsrv2$" empfangen. Der verwendete Zielname war DEB\TESTSRV2$. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (DEB.TEST) von der Clientdomäne (DEB.TEST) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren. Der Fehler ist doch eindeutig. Was muss ich tun? Wie kann ich das Problem ändern? Ich habe versucht den Kerberos-Ticket-Cache zu löschen mit -> "klist ?" jedoch ohne Erfolg. Den Dienst "KDC" kann ich nicht starten als Fehler erhalte ich "Fehler 5: Zugriff verweigert". Jemand eine Idee wie ich den Dienst reparieren kann? Übrigens habe ich auf beiden DCs diese Nacht SFC durchlaufen lassen jedoch auch wieder ohne Erfolg :-( Der Dienst "KDC" scheint wohl so wie ich das erkenne, das Problem zu sein indem er sich nicht starten lässt. Auf beiden DCs! Wieso auch immer... Hoffe, dass euch diese neuen Erkenntnisse weiterhelfen. Schönen Abend Ob es wohl sinnvoll ist, auf einen WinRM-Fehler zu bestehen, obwohl WinRM auf dem Server funktioniert? Ob es wohl sinnvoll ist, die Antwort von Blub in Frage zu stellen ohne sie 1. getestet zu haben oder 2. sie technisch mit Fachwissen bewerten zu können? "Der Fehler ist doch eindeutig" Fehler sind in der IT-Welt selten eindeutig, besonders wenn diese noch dazu Übersetzt worden sind. ;) Erkläre doch bitte mal dein Vorgehen strukturiert. Also aus welchem Grund du was tust und dir davon erwartest. Verstehe das bitte nicht falsch.. Es ist wirklich schwierig Dir zu folgen, weil du dich selbst mit deinen Handlungen nicht erklärst, geschweige denn die genannten Hilfestellungen umsetzt. Warum sollte Dir dann noch jemand hier helfen, wenn die Antwort der Kollegen eh nicht für ernst genommen wird :confused: ;) Probier´s mal auf dem DC mit "dcdiag" und analysiere die Fehler... bearbeitet 26. März 2016 von MurdocX Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.