Die Deinstallation eines Windows-Features schlägt fehl mit Fehlermeldung "The service is configured to not accept any remote shell requests."

Folgendes Szenario angenommen:

  • Eine Windows-Rolle betreffend Active Directory Certificate Services (Zertifzierungsstelle, Registrierungsdienst für Netzwerkgeräte (NDES), Zertifizierungsstellen-Webregistrierung (CAWE), Zertifikatregistrierungs-Webdienste (CEP, CES) oder Onlineresponder (OCSP)) soll deinstalliert werden.
  • Die Deinstallation schlägt fehl mit folgender Fehlermeldung:
The status of the role services on the target machine cannot be determined. Please retry. The error is The WS-Management service cannot process the request. The service is configured to not accept any remote shell requests.

Dabei spielt es keine Rolle, ob die Deinstallation über den Server Manager oder die Windows PowerShell vorgenommen wird.

Im Server Manager sieht man, dass der Status für "Remote Management" auf "Unknown" steht.

Beim Anklicken des Status erhält man eine Fehlermeldung.

Über die Kommandozeile kann der Fehler mit folgendem Befehl eingegrenzt werden:

winrm enumerate winrm/config/listener

Ursachen

Ostmals ist die zugrundeliegende Ursache eine Härtungsmaßnahme, die in diesem Fall unerwünschte Nebenwirkungen zeigt.

Das Fehlerbild kann folgende Ursachen haben:

  • Es werden keine Remote Shell Verbindungen akzeptiert
  • Die Negotiate Authentifizierung ist für den WinRM Client deaktiviert
  • Die Negotiate Authentifizierung ist für den WinRM Server deaktiviert

Details: Es werden keine Remote Shell Verbindungen akzeptiert

Die Einstellung kann via Gruppenrichtlinien gesetzt werden. Sie ist zu finden unter "Computer Configuration" – "Administrative Templates" – "Windows Components" – "Windows Remote Shell".

Die Option "Allow Remote Shell Access" muss auf "Enabled" (oder "Not configured") gesetzt sein.

In der Registry ist die Einstellung in folgendem Pfad abgebildet:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\WinRS]
"AllowRemoteShellAccess"=dword:00000001

Details: Die Negotiate Authentifizierung ist für den WinRM Client deaktiviert

Die Einstellung kann via Gruppenrichtlinien gesetzt werden. Sie ist zu finden unter"Computer Configuration" – "Administrative Templates" – "Windows Components" – "Windows Remote Management (WinRM)" – "Client".

Die Option "Disallow Negotiate Authentication" muss auf "Disabled" (oder "Not configured") gesetzt sein.

In der Registry ist die Einstellung in folgendem Pfad abgebildet:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WinRM\Client]
"AllowNegotiate"=dword:00000001

Details: Die Negotiate Authentifizierung ist für den WinRM Dienst deaktiviert

Die Einstellung kann via Gruppenrichtlinien gesetzt werden. Sie ist zu finden unter "Computer Configuration" – "Administrative Templates" – "Windows Components" – "Windows Remote Management (WinRM)" – "Service".

Die Option "Disallow Negotiate Authentication" muss auf "Disabled" (oder "Not configured") gesetzt sein.

In der Registry ist die Einstellung in folgendem Pfad abgebildet:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WinRM\Service]
"AllowNegotiate"=dword:00000001

Nach Änderung via Registry ist ein Neustart des Windows Remote Management Dienstes erforderlich.

Restart-Service WinRM

Weiterführende Links:

Externe Quellen