none
Remote Management funktioniert bei einigen Servern nicht, alle Server sind identisch konfiguriert RRS feed

  • Frage

  • Hallo an Alle,

    wir haben bei uns 50 Virtuelle Server (VMWare, 2008 R2). All diese Server wurden vom einem Servertemplate "geklont" und durch das selbe Script konfiguriert (hostname,domainjoin,network etc.)

    Wir haben herausgefunden dass eineige z.B. über Powershell nicht erreichbar sind.

    Bei Invoke-Command server47 {hostname}

    kommt: server47

    Bei Invoke-Command server50 {hostname}

    kommt:

    [server50] Connecting to remote server fisrds49 failed with the following error message : WinRM cannot process the
    request. The following error with errorcode 0x80090322 occurred while using Kerberos authentication: An unknown
    security error occurred.
     Possible causes are:
      -The user name or password specified are invalid.
      -Kerberos is used when no authentication method and no user name are specified.
      -Kerberos accepts domain user names, but not local user names.
      -The Service Principal Name (SPN) for the remote computer name and port does not exist.
      -The client and remote computers are in different domains and there is no trust between the two domains.
     After checking for the above issues, try the following:
      -Check the Event Viewer for events related to authentication.
      -Change the authentication method; add the destination computer to the WinRM TrustedHosts configuration setting or
    use HTTPS transport.
     Note that computers in the TrustedHosts list might not be authenticated.
       -For more information about WinRM configuration, run the following command: winrm help config. For more
    information, see the about_Remote_Troubleshooting Help topic.
        + CategoryInfo          : OpenError: (fisrds49:String) [], PSRemotingTransportException
        + FullyQualifiedErrorId : -2144108387,PSSessionStateBroken

    Auf den Servern wo dies nicht funktioniert, funktioniert auch folgendes nicht:

    C:\>wmic /node:xxxxxxx.xx.xxx os get osarchitecture
    Node - xxxxxxx.xx.xxx
    ERROR:
    Description = The RPC server is unavailable.

    Leider kommen wir da nicht weiter.

    Vielen Dank vorab für jede Idee.

    Dienstag, 12. Januar 2016 14:22

Antworten

Alle Antworten

  • > request. The following error with errorcode 0x80090322 occurred while
     
    # for hex 0x80090322 / decimal -2146893022 :
      SEC_E_WRONG_PRINCIPAL
    winerror.h
    # The target principal name is incorrect.
    # 1 matches found for "0x80090322"
     
    Du hast vmtl. entweder fehlende oder doppelte SPNs... SETSPN ist jetzt
    wohl Dein Freund.
     
    Dienstag, 12. Januar 2016 14:32
  • Vielen Dank schonmal, darauf bin ich auch schonmal heute gestoßen, leider nichts konkreteres. Hättest Du vielleicht eine Konkrete Idee?

    Dienstag, 12. Januar 2016 15:00
  • > request. The following error with errorcode 0x80090322 occurred while
     
    # for hex 0x80090322 / decimal -2146893022 :
      SEC_E_WRONG_PRINCIPAL
    winerror.h
    # The target principal name is incorrect.
    # 1 matches found for "0x80090322"
     
    Du hast vmtl. entweder fehlende oder doppelte SPNs... SETSPN ist jetzt
    wohl Dein Freund.
     
    Vielen Dank schonmal, darauf bin ich auch schonmal heute gestoßen, leider nichts konkreteres. Hättest Du vielleicht eine Konkrete Idee?
    Dienstag, 12. Januar 2016 15:05
  • Überprüfe bei den funktionierenden Servern, welche SPNs sie registriert
    haben. Haben die nicht funktionierenden die auch alle? (setspn -l)
     
    Suche nach doppelten SPNs. (setspn -x)
     
    Wenn beides nicht zum Ergebnis führt: Ist das krbtgt-Kennwort auf allen
    DCs noch synchron?
     
    Dienstag, 12. Januar 2016 16:39
  • Überprüfe bei den funktionierenden Servern, welche SPNs sie registriert
    haben. Haben die nicht funktionierenden die auch alle? (setspn -l)
     
    Suche nach doppelten SPNs. (setspn -x)
     
    Wenn beides nicht zum Ergebnis führt: Ist das krbtgt-Kennwort auf allen
    DCs noch synchron?
     

    Vielan dank nochmal!

    Ich habe die SPNs überprüft, schaut bei allen servern gleich aus, kein Unterschied zwischen den die funktionieren und den die nicht funktionieren.

    Ich habe auch gemerkt, dass der sich Fehler immer auf anderen Servern zeigt.

    Wie könnt ich denn am besten testen ob das krbtgt pwd synchron ist?

    Mittwoch, 20. Januar 2016 07:52
  • > Wie könnt ich denn am besten testen ob das krbtgt pwd synchron ist?
     
    Attribut "pwdLastSet" des Accounts könnte Dir das verraten :)
     
    Dienst "kdc" nacheinander auf allen DCs außer dem PDC-Emulator
    deaktivieren und neu booten. Das verhindert, daß die DCs sich selbst ein
    TGT ausstellen können, sie müssen es dann von woanders holen. Dann kdc
    wieder aktivieren und starten.
     
    Mittwoch, 20. Januar 2016 11:47