WinRM Authentifizierungsfehler
Wie bereits in vielen Artikeln erwähnt setzt WinRM (Windows Remote Management) auf das implementierte WS-Verwaltungsprotokoll.
Die WS-Verwaltung ist ein Webdienstprotokoll für die Remoteverwaltung von Software und Hardware. Der WinRM-Dienst hört das Netzwerk auf WS-Verwaltungsanforderungen ab und verarbeitet diese. Er muss dafür mit dem Befehlszeilentool “winrm” oder über Gruppenrichtlinien mit einem Listener konfiguriert werden.
Der WinRM-Dienst erstellt automatisch „Listener“ auf dem Remote-Server, der für die Verarbeitung eingehender Verwaltungsanforderungen von Client-Computern verantwortlich ist. Diese Listener können so konfiguriert werden, dass sie verschiedene Transportprotokolle (HTTP oder HTTPS) und verschiedene Authentifizierungsmechanismen (Kerberos, NTLM oder Basic) verwenden.
Ein Listener bietet Zugriff auf WMI-Daten und ermöglicht die Ereigniserfassung. Die Erfassung und Abonnierung von Ereignissen setzt voraus, dass der Dienst ausgeführt wird. WinRM-Nachrichten verwenden HTTP und HTTPS als Transportprotokoll.
Es ist zu erkennen, das doch einiges an Konfigurationsarbeiten dazu gehört, damit WinRM sauber funktioniert. Somit bleiben Fehler in der täglichen Anwendung nicht aus.
Quelle: Microsoft Learn
WinRM Negotiate Fehlermeldung Ursachen
Es gibt eine Vielzahl von Gründen warum es zu einem Fehler bei der Authentifizierung kommen kann.
Zuerst sollten die DNS-Konfigurationen des entfernten Remote-Servers kontrolliert werden. Mit nslookup sollte sichergestellt werden, das der Server aufgelöst werden kann.
Stimmt die Systemzeit auf allen beteiligten Knoten überein? Eine abnormale Abweichung führt wie bei allen Kerberos-Verbindungen zu einem Fehler.
Sind für alle beteiligten Knoten die SPN-Einträge (Service Principal Name) vorhanden?
Gibt es in der Ereignisanzeige definierte Hinweise, sei es auf dem Client oder auf dem Server?
Sollte die Kerberos-Authentifizierung das Problem sein, dann macht es vorübergehend Sinn, auf NTLM umzustellen.