Tags: Remote-Verwaltung, Hyper-V, PowerShell, Troubleshooting
Möchte man auf einem Rechner WinRM aktivieren, dann kann es vorkommen, dass dies mit der Fehlermeldung scheitert, wonach ein Netzwerk vom Typ "Öffentlich" sei und die Firewall-Ausnahme deshalb nicht funktioniere. Läuft Hyper-V unter Windows 10, dann blockiert der Default Switch das Einschalten von WinRM.
WinRM wird für das PowerShell-Remoting sowie von Management-Tools wie dem Hyper-V Manager (seit Windows 10 und Server 2016) benötigt. Man kann es interaktiv über PowerShell oder das Tool winrm aktivieren, als Alternative bieten sich die Gruppenrichtlinien an.
Wirft der Hyper-V Manager die berüchtigte Meldung
Fehler beim Versuch, eine Verbindung mit dem Server <Name> herzustellen. Vergewissern Sie sich, dass der Verwaltungsdienst für virtuelle Computer ausgeführt wird und Sie zum Herstellen einer Verbindung mit dem Server berechtigt sind.
aus, dann sollte man als nicht-privilegierter Benutzer erst klären, ob man die nötigen Rechte hat.
WinRM aktivieren
Liegt es aber tatsächlich daran, dass am Zielrechner WinRM nicht aktiviert ist, dann kann man das mit dem PowerShell-Cmdlet
Enable-Remoting
oder mit
winrm quickconfig
nachholen.
Hierbei kann es zu folgendem Fehler kommen:
Fehlernummer: -2144108183 0x80338169
Die WinRM-Firewallausnahme funktioniert nicht, da einer der Netzwerkverbindungstypen auf diesem Computer auf "Öffentlich" festgelegt ist. Ändern Sie den Netzwerkverbindungstyp entweder in "Domäne" oder in "Privat", und wiederholen Sie den Vorgang.
Microsoft sieht offensichtlich ein Risiko darin, das Remote-Management über ein Netzwerk vom Typ Public zuzulassen. Ein gängiger Tipp besteht in dieser Situation darin,
Enable-Remoting -SkipNetworkProfileCheck
aufzurufen. Damit umgeht man die Prüfung des Netzwerktyps und erlaubt auch Zugriffe über öffentliche Netzwerke im gleichen Subnetz.
Bevor man dieses möglicherweise unsichere Vorgehen wählt, sollte man dem Rat der Fehlermeldung folgen und die Netzwerkverbindungen darauf prüfen, ob sie vom Typ "Öffentlich" sind und sie ggf. auf "Privat" zu ändern.
Das kann man über die GUI des Netzwerk -und Freigabecenters tun oder mittels PowerShell:
Get-NetConnectionProfile
Windows 10 bietet darüber hinaus in der App Einstellungen unter Netzwerk und Internet => Ethernet die Möglichkeit, eine Verbindung von "Öffentlich" auf "Privat" umzuschalten.
Mit PowerShell lässt sich dieses Ziel durch
Get-NetConnectionProfile | Set-NetConnectionProfile -NetworkCategory Private
für alle Interfaces erreichen.
Keine Typänderung für Domänennetzwerke
Das Ändern des Verbindungstyps klappt aber generell nicht für Domänennetzwerke, DomainAuthenticated wird nur automatisch vergeben. Dennoch kann es passieren, dass man auf einem PC mit Windows 10 Hyper-V die obige Fehlermeldung beim Aktivieren von WinRM erhält, wenn er Mitglied in einer Domäne ist.
Ursache des Übels ist der mit dem Release 1709 eingeführte Standard-Switch, dessen NAT-Netzwerk sich offenbar als "Öffentlich" zu erkennen gibt. Allerdings lässt sich das mit
Get-NetConnectionProfile -NetworkCategory Public
nicht anzeigen.
Nachdem sich der Default Switch weder ändern noch löschen lässt, braucht man hier eine alternative Lösung. Nachdem "Die WinRM-Firewallausnahme funktioniert nicht" letztlich nichts anderes bedeutet als dass die Regel Windows Remoteverwaltung (HTTP eingehend) für die Profile Domäne und Privat nicht aktiviert wurde, muss man das selbst nachholen.
Dafür bietet sich entweder die GUI von Windows Firewall mit erweiterter Sicherheit an oder einfach der PowerShell-Befehl
Set-NetFirewallRule -Name WINRM-HTTP-In-TCP-NoScope -Profile Domain -Enabled True
Alternativ könnte man den Standard Switch mit
Disable-NetAdapter -Name "vEthernet (Default Switch)"
temporär deaktivieren und danach erneut
winrm quickconfig
ausführen. Permanent abschalten lässt er sich ohnehin nicht, nach dem nächsten Reboot ist er wieder zurück.
Bei dieser Methode sollte man mit
Get-NetFirewallRule -Name WINRM-HTTP-In-TCP-NoScope
prüfen, ob die Firewall-Ausnahme wirklich gesetzt wurde.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- WinRM (Hyper-V Manager, PowerShell-Remoting) für Standardbenutzer zulassen
- Remote-Management: PowerShell Direct oder PS-Session über SSH
- Hyper-V Manager: "Zugriff verweigert. Es konnte keine Kommunikation zwischen [Server] und [Client] hergestellt werden"
- Windows-Dienst remote neu starten mit sc.exe oder Powershell
- Welche lokalen Gruppenrichtlinien sind auf dem Rechner aktiviert?
Weitere Links
1 Kommentar
Danke für den TIP!
genau damit habe ich mich am Wochenende beschäftigt und kam nicht weiter.