none
WinRM; Код ошибки: -2144108387 0x8033809D RRS feed

  • Вопрос

  • Доброго времени суток.

    Случилась напасть с WinRM. К серверу нельзя удаленно подключиться через диспетчер сервера.

    Сообщение об ошибке:WinRM не удается обработать запрос. При использовании проверки подлинности Kerberos возникла ошибка: Произошла неизвестная ошибка безопасности. Локально на проблемном сервере WinRM отказывается выполнять любые действия, выводит только help.

    Вот пример выполнения winrm id

    C:\Users\asd>winrm id
    WSManFault
        Message = WinRM не удается обработать запрос. При использовании проверки подлинности Negotiate возникла ошибка: Произошла неизвестная ошибка безопасности.
     Возможные причины:
      - Указаны неверные имя пользователя или пароль.
      - При отсутствии заданного метода проверки подлинности и имени пользователя используется проверка подлинности Kerberos.
      - Kerberos принимает имена пользователей домена, но не принимает имена локальных пользователей.
      - Имя участника-службы для имени и порта удаленного компьютера не существует.
      - Компьютер клиента и удаленный компьютер находятся в разных доменах, между которыми отсутствует доверительное отношение.
     После проверки указанных выше проблем попробуйте выполнить следующее:
      - Просмотрите в средстве "Просмотр событий" события, относящиеся к проверке подлинности.
     -Измените метод проверки подлинности, добавьте компьютер назначения к значениям параметра конфигурации TrustedHosts для WinRM либо воспользуйтесь транс
    портом HTTPS.
     Помните о том, что в списке TrustedHosts компьютеры могут находиться без проверки подлинности.
      Чтобы получить дополнительные сведения о настройке WinRM, выполните следующую команду: winrm help config.

    Код ошибки:  -2144108387 0x8033809D
    Произошла неизвестная ошибка безопасности.

     Windows 2008R2, роль SharePoint 2010, сервер виртуальный, на Hyper-V.


    • Изменено v_urak 14 октября 2012 г. 17:56
    14 октября 2012 г. 7:56

Ответы

  • Видимо добавить недостающие SPN не позволяет религия. WinRM так же работает через Kerberos. Судя из ошибки ему нужно имя http/npz-sp.

    Setspn -A HTTP/имя_сервера

     Закрыто так закрыто.


    MCP,MCTS
    Если вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"


    16 октября 2012 г. 8:06
  • Какие атрибуты не убили?

    Небось, это был атрибут servicePrincipalName со значением "HTTP/npz-sp"? Тогда связь с предыдущей ошибкой на клиенте прослеживается явным образом: WinRM пытется обратиться к участнику безопасности Kerberos с SPN HTTP/npz-sp, полагая что это - учетная запись машины, а это оказывается учетная запись для фермы Sharepoint. В норме, без Sharepoint, этого SPN не было бы и KDC работал бы с учетной записью компьютера, т.к. она имеет SPN HOST/npz-sp


    Слава России!

    • Помечено в качестве ответа Rotar MaksimModerator 23 октября 2012 г. 19:41
    16 октября 2012 г. 9:19

Все ответы

  • У вас, однозначно, проблемы в инфраструктуре с Kerberos. А точнее совместное проживание KDC на разношерстных контроллерах.  У меня было такое же поведение при следующих условиях:

    • Домен и лес в режиме 2003
    • Сосуществуют контроллеры 2003/2008/2008R2

    Это не единственное неудобство которое вы заметили, есть много сервисов завязанные на керберос и с ними у вас также могут возникнуть проблемы в дальнейшем.

    Решение которое мне помогло: Избавился в инфраструктуре от последних 2003 КД. Перевел домен и лес до уровня 2008. Полгода полет нормальных.

    Вот тема моего обсуждения, на первый взгляд не связанная, а в итоге получилось что связанная.


    MCP,MCTS
    Если вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"


    15 октября 2012 г. 6:17
  • Контроллеры у нас одношерстные,)),2003R2.

    Напасть случилась на одном компутере, после внедрении проверки подлинности Kerberos на SharePoint, который как раз на этом компутере и проживает.


    • Изменено v_urak 15 октября 2012 г. 6:34
    15 октября 2012 г. 6:32
  • Контроллеры у нас одношерстные,)),2003R2.

    Напасть случилась на одном компутере, после внедрении проверки подлинности Kerberos на SharePoint, который как раз на этом компутере и проживает.



    Тогда Вам вот сюда

    MCP,MCTS
    Если вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

    15 октября 2012 г. 7:49
  • Конечно же, благодарствую, но меня больше интересует моя напасть, которая случилось с WinRM. С SharePoint пока проблем не наблюдается.
    15 октября 2012 г. 7:55
  • Окей. Вопрос в лоб: на проблемной машине и на машине инициаторе в логах при попытке соединения winrm есть ошибки:

    KDC_ERR_PREAUTH_FAILED

    KDC_ERR_BADOPTION

    На какое-нибудь недостающее имя SPN ругается? Или на дублирующее имя SPN?

    Выполните на проблемной машине setspn -L hostname  какие результаты?


    MCP,MCTS
    Если вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"


    15 октября 2012 г. 9:48
  • "Окей. Вопрос в лоб: на проблемной машине и на машине инициаторе в логах при попытке соединения winrm есть ошибки:

    KDC_ERR_PREAUTH_FAILED

    KDC_ERR_BADOPTION"

    - Ни на проблемной, ни на машине инициаторе таких ошибок нет.  

    "Выполните на проблемной машине setspn -L hostname  какие результаты?"

    - C:\Users\asd>setspn -L npz-sp

    Зарегестрирован ServicePrincipalNames для CN=NPZ-SP,DC=ponpz,DC=ru:
            WSMAN/NPZ-SP
            WSMAN/NPZ-SP.ponpz.ru
            RestrictedKrbHost/NPZ-SP
            HOST/NPZ-SP
            RestrictedKrbHost/NPZ-SP.ponpz.ru
            HOST/NPZ-SP.ponpz.ru

    По поводу ошибок:

    Есть вот такая ошибка на машине инициаторе в журнале "System" при выполнении - winrs -r:npz-sp ipconfig /all 

    "Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера npz-sp$. Использовалось конечное имя HTTP/npz-sp. Это означает, что конечному серверу не удалось расшифровать билет, предоставленный клиентом. Это может быть из-за того, что имя участника службы конечного сервера (SPN) зарегистрировано на учетной записи, отличной от учетной записи, используемой конечной службой. Убедитесь, что конечное имя SPN зарегистрировано только на учетной записи, используемой сервером. Причиной этой ошибки может быть еще и то, что конечная служба использует другой пароль для учетной записи конечной службы, отличный от пароля центра распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убедитесь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий пароль. Если имя сервера задано не полностью и конечный домен (PONPZ.RU) отличен от домена клиента (PONPZ.RU), проверьте, нет ли серверных учетных записей с таким же именем в этих двух доменах, или используйте полное имя для идентификации сервера."

    Ошибка в журнале "System" на проблемной машине возникает при выполнении - winrm qc

    "Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера npz-sp$. Использовалось конечное имя HTTP/NPZ-SP.ponpz.ru. Это означает, что конечному серверу не удалось расшифровать билет, предоставленный клиентом. Это может быть из-за того, что имя участника службы конечного сервера (SPN) зарегистрировано на учетной записи, отличной от учетной записи, используемой конечной службой. Убедитесь, что конечное имя SPN зарегистрировано только на учетной записи, используемой сервером. Причиной этой ошибки может быть еще и то, что конечная служба использует другой пароль для учетной записи конечной службы, отличный от пароля центра распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убедитесь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий пароль. Если имя сервера задано не полностью и конечный домен (PONPZ.RU) отличен от домена клиента (PONPZ.RU), проверьте, нет ли серверных учетных записей с таким же именем в этих двух доменах, или используйте полное имя для идентификации сервера."

    15 октября 2012 г. 22:02
  • Не вижу у вас в списке необходимых SPN имен для Sharepoint.

    http://www.windowsecurity.com/articles/Kerberos-Sharepoint-Environment.html - для ознакомления

    http://support.microsoft.com/?kbid=832769 - пройдите по шагам все ли у вас сделано для правильного включения

     


    MCP,MCTS
    Если вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

    16 октября 2012 г. 3:36
  • На момент написания предыдущего послания проверка Kerberos была убрана с SharePoint. В данный момент на IIS и SharePoint установлено NTLM.

    Напасть на winrm осталась. Winrm не выполняет ни одного действия, выводит описанную в первом послании ошибку.

    • Изменено v_urak 16 октября 2012 г. 5:12
    16 октября 2012 г. 5:03
  • Тема закрыта.

    Спасибо за участие.

    16 октября 2012 г. 7:43
  • Видимо добавить недостающие SPN не позволяет религия. WinRM так же работает через Kerberos. Судя из ошибки ему нужно имя http/npz-sp.

    Setspn -A HTTP/имя_сервера

     Закрыто так закрыто.


    MCP,MCTS
    Если вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"


    16 октября 2012 г. 8:06
  • Религия тут не причем, однако. Обыкновенная несогласованность действий, одни товарищи не убили атрибуты учетной записи приложения SharePoint, а я не проверил. Но, все таки, явная связь атрибутов учетной записи приложения с ошибкой явно не прослеживается.
    • Изменено v_urak 16 октября 2012 г. 8:35
    16 октября 2012 г. 8:28
  • Какие атрибуты не убили?

    Небось, это был атрибут servicePrincipalName со значением "HTTP/npz-sp"? Тогда связь с предыдущей ошибкой на клиенте прослеживается явным образом: WinRM пытется обратиться к участнику безопасности Kerberos с SPN HTTP/npz-sp, полагая что это - учетная запись машины, а это оказывается учетная запись для фермы Sharepoint. В норме, без Sharepoint, этого SPN не было бы и KDC работал бы с учетной записью компьютера, т.к. она имеет SPN HOST/npz-sp


    Слава России!

    • Помечено в качестве ответа Rotar MaksimModerator 23 октября 2012 г. 19:41
    16 октября 2012 г. 9:19
  • Да, этот атрибут.

    Видимо, я не такой хороший специалист чтобы увидеть это явный образ)). Значит есть еще куда расти.

    16 октября 2012 г. 9:39