Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Bei der Serverüberwachung mit WinRM-HTTPS wird nach der Erneuer... - Knowledge Base - Palo Alto Networks

Bei der Serverüberwachung mit WinRM-HTTPS wird nach der Erneuerung des Serverzertifikats der Status "Verbindung verweigert (0)" angezeigt.

15297
Created On 07/28/23 21:40 PM - Last Modified 03/24/25 15:25 PM


Symptom


  • Nach der Erneuerung des Serverzertifikats zeigt die Serverüberwachung mit WinRM-HTTPS den Status "Verbindung verweigert (0)" an.
GUI: Geräte- > Benutzeridentifikation > Benutzerzuordnung > Serverüberwachung
Bild.png
 
  • Benutzer-ID-Protokolle (abzüglich mp-log useridd.log) melden den Fehler "Verbindung fehlgeschlagen. Antwortcode = 0,".
Error:  pan_user_id_winrm_verify_cert_cb(pan_user_id_win.c:2814): Unable to get basic constraints
Error:  pan_user_id_winrm_verify_cert_cb(pan_user_id_win.c:2873): X509_verify_cert returned error 20, error = 'unable to get local issuer certificate'
Error:  pan_user_id_winrm_query(pan_user_id_win.c:2654): failed to connect to winrm server server.pantac.local.lab in vsys 1
Error:  pan_user_id_winrm_query(pan_user_id_win.c:2698): Connection failed. response code = 0, error: Peer certificate cannot be authenticated with given CA certificates in vsys 1, server=server.pantac.local.lab.


Environment


  • Palo Alto Firewalls
  • PAN-OS 9.1.16
  • Erneuerung des Serverzertifikats, das für die Benutzer-ID WinRM-HTTPS verwendet wird.
  • Domänencontroller, der mit WinRM-HTTPS als Transportmethode überwacht wird.

Cause


  • Nach dem Erneuern des Serverzertifikats wurde der Zertifikatfingerabdruck auf dem Server nicht aktualisiert.
  • Der WinRM-Dienst konnte das Zertifikat nicht überprüfen.

Resolution


Um das Problem zu beheben, aktualisieren Sie den Fingerabdruck des neuen Zertifikats auf dem Server. Die unten aufgeführten Schritte sind aufgeführt.
  1. Löschen Sie den bereits ausgeführten WinRM-Listener mit der Konfiguration Address=* und Transport=HTTPS, und geben Sie den folgenden Befehl ein:
c:>winrm delete winrm/config/Listener?Address=*+Transport=HTTPS
  1. Erstellen Sie einen neuen WinrRM-Listener mit der Konfiguration Address=* und Transport=HTTPS mit dem neuen Fingerabdruck des Serverzertifikats, und geben Sie den folgenden Befehl ein:
c:>winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname=”<hostname>";CertificateThumbprint=”Certificate Thumbprint"}
  • "hostname" ist der Hostname des Windows-Servers
  • "Zertifikatfingerabdruck" ist der Wert, den Sie aus dem neuen Serverzertifikat kopiert haben.

Hinweis: Entfernen Sie alle Leerzeichen im Zertifikatfingerabdruck, um sicherzustellen, dass WinRM das Zertifikat überprüfen kann.

  1. Geben Sie den folgenden Befehl ein, um zu überprüfen, ob WinRM über HTTPS kommuniziert, und um zu bestätigen, dass die Ausgabe Transport = HTTPS anzeigt:
c:>winrm enumerate winrm/config/listener

 

Anmerkung: Stellen Sie sicher, dass Sie das Stammzertifikat für die Dienstzertifikate, die der Windows-Server für WinRM verwendet, erfolgreich in die Firewall importiert haben, und ordnen Sie das Zertifikat dem Benutzer-ID-Zertifikatprofil zu.

GUI: Geräte- > Benutzeridentifikation > Benutzerzuordnung > Serverüberwachung:

Bild.png

Additional Information
Other users also viewed:
Updating results
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000g1y0CAA&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language