none
SPN Eintrag blockiert den Server Manager (Windows Server 2019 Core, Root CA, NDES) RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Zusammen,
    ein Windows 2019 Server Core als Active Directory Certiface Service Server lässt sich sauber über den ServerManager von einem Windows 10 Client administrieren.

    Jetzt wollte ich die Rolle Network Device ENrollment Service mit installieren und habe mich an die Anleitung https://docs.microsoft.com/de-de/previous-versions/windows/server/hh831498(v=ws.11) Leitfaden für den Registrierungsdienst für Netzwerkgeräte gehalten. Ein Domänen user ndes wurde erstellt und über setspn -s http/<computername> <domainname>\<accountname> registriert. Nach einem Serverneustart komme ich nicht mehr über den Servermanager auf den Server.

    Folgenden Fehlercode bekomme ich Fehlercode 0x80090322
    Fehler    SERVER : Fehler beim Aktualisieren der Konfiguration: Die Metadaten konnten aufgrund des folgenden Fehlers nicht vom Server abgerufen werden: Die Anforderung kann von WinRM nicht verarbeitet werden. Bei Verwendung der Kerberos-Authentifizierung ist der folgende Fehler mit Fehlercode 0x80090322  aufgetreten: Unbekannter Sicherheitsfehler.  
    . Mögliche Ursachen:
      - Der angegebene Benutzername oder das angegebene Kennwort ist ungültig.
      - Kerberos wird verwendet, wenn keine Authentifizierungsmethode und kein Benutzername angegeben werden.
      - Kerberos akzeptiert Domänenbenutzernamen, aber keine lokale Benutzernamen.
      - Der Dienstprinzipalname (Service Principal Name, SPN) für den Remotecomputernamen und -port ist nicht vorhanden.
      - Der Clientcomputer und der Remotecomputer befinden sich in unterschiedlichen Domänen, zwischen denen keine Vertrauensbeziehung besteht.
     Wenn Sie die oben genannten Ursachen überprüft haben, probieren Sie folgende Aktionen aus:
      - Suchen Sie in der Ereignisanzeige nach Ereignissen im Zusammenhang mit der Authentifizierung.
      - Ändern Sie die Authentifizierungsmethode; fügen Sie den Zielcomputer der Konfigurationseinstellung "TrustedHosts" für WinRM hinzu, oder verwenden Sie den HTTPS-Transport.
     Beachten Sie, dass Computer in der TrustedHosts-Liste möglicherweise nicht authentifiziert sind.
      - Führen Sie den folgenden Befehl aus, um weitere Informationen zur WinRM-Konfiguration zu erhalten: "winrm help config".

    lösche ich den SPN Eintrag funktioniert auch wieder der Zugriff. 

    Frage: muss ich den User für NDES noch über SPN registrieren oder benötige ich das gar nicht mehr? Die oben genutze Anleitung ist für Windows Server 2012R2 für höhere Versionen habe ich leider keine passende Anleitung gefunden.

    Vielen Dank für eure Hilfe

    Gruß Björn


    • Bearbeitet BCS76 Donnerstag, 22. November 2018 12:14
    Donnerstag, 22. November 2018 12:14
    |

Alle Antworten