lenny4me
Goto Top

Event Forwarding Ereignisanzeige Abonnements

Hallo Kollegen,

ich möchte gerne auf einem unserer DC's ein Abonnement erstellen das mir die Ereignislogs der anderen Server einsammelt.

habe auf den zu Sammelnden Servern ein winRM quickconfig ausgeführt und die per Assistenten geforderten Regeln erstellt.
Auf dem Server auf dem die Events auflaufen sollten wurde auch winRM quickconfig ausgeführt und ein Abo erstellt, die Server eingetragen, Filter definiert usw.
Im AD der Gruppe Ereignissprotokollleser die PC Konten und Netzwerkdienst eingetragen. ( Da ich den NW Dienst vergessen hatte, kam als erste Meldung Zugriff verweigert)

WinRm und Ereignisweiterleitungsdienst laufen auf allen Server...

Das Problem das ich nun habe ist das ich beim Abrufen der Ereignisse folgenden Fehler bekomme

[FQDN]- Fehler - Zeit der letzten Wiederholung: 05.01.2011 13:48:25. Code (0x5): <f:ProviderFault provider="Event Forwarding Plugin" path="%systemroot%\system32\wevtfwd.dll" xmlns:f="http://schemas.microsoft.com/wbem/wsman/1/wsmanfault"><t:ProviderError xmlns:t="http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog">Das Plug-In zur Windows-Ereignisweiterleitung konnte keine Ereignisse lesen.</t:ProviderError></f:ProviderFault> Zeit der nächsten Wiederholung: 05.01.2011 13:53:25.

Ich habe auch den "Master Server" als einen der abzufragenden Server eingetragen aber auch auf diesem bekomme ich genannte Fehlermeldung.

Ein winrm get winrm/config auf dem "masterserver" gibt folgenden output

MaxEnvelopeSizekb = 150
MaxTimeoutms = 60000
MaxBatchItems = 32000
MaxProviderRequests = 4294967295
Client
NetworkDelayms = 5000
URLPrefix = wsman
AllowUnencrypted = false
Auth
Basic = true
Digest = true
Kerberos = true
Negotiate = true
Certificate = true
CredSSP = false
DefaultPorts
HTTP = 5985
HTTPS = 5986
TrustedHosts
Service
RootSDDL = O:NSG:BAD:P(A;;GA;;;BA)S:P(AU;FA;GA;;;WD)(AU;SA;GWGX;;;WD)
MaxConcurrentOperations = 4294967295
MaxConcurrentOperationsPerUser = 15
EnumerationTimeoutms = 60000
MaxConnections = 25
MaxPacketRetrievalTimeSeconds = 120
AllowUnencrypted = false
Auth
Basic = false
Kerberos = true
Negotiate = true
Certificate = false
CredSSP = false
CbtHardeningLevel = Relaxed
DefaultPorts
HTTP = 5985
HTTPS = 5986
IPv4Filter = *
IPv6Filter = *
EnableCompatibilityHttpListener = false
EnableCompatibilityHttpsListener = false
CertificateThumbprint
Winrs
AllowRemoteShellAccess = true
IdleTimeout = 180000
MaxConcurrentUsers = 5
MaxShellRunTime = 2147483647
MaxProcessesPerShell = 15
MaxMemoryPerShellMB = 150
MaxShellsPerUser = 5


Ich bin langsam mit meinem Latein am Ende... Über einen Tip würde ich mich freuen.

EDIT: Die Konnektivitätstests funktionieren einwandfrei auf die konfigurierten Server.
Wenn ich das Abo auf einem Win7 Client ausführe klappt alles wie gewünscht... Aber das ist halt nicht Sinn der Übung.

mfg Lenny

Content-ID: 158049

Url: https://administrator.de/forum/event-forwarding-ereignisanzeige-abonnements-158049.html

Ausgedruckt am: 25.12.2024 um 13:12 Uhr

lenny4me
lenny4me 10.01.2011 um 07:28:24 Uhr
Goto Top
... push ... Keiner ne Idee
ThomasSB
ThomasSB 13.07.2016 um 15:47:51 Uhr
Goto Top
Hallo lenny4me,

ist ja schon etwas her, aber ich hab nun ein ähnliches Problem. Ein Windows 2012R2 DC soll die Security-Logs der anderen DCs nach Anmeldungen befragen.
Die Connectivity funktioniert, der Laufzeitstatus wirft den Fehler Code (0x138C): <f:ProviderFault provider="Event Forwarding Plugin" path="%systemroot%\system32\wevtfwd.dll"

Bevor ich das neu anfrage, hast Du das seinerzeit gelöst bekommen?

Danke.
lenny4me
lenny4me 13.07.2016 um 16:05:11 Uhr
Goto Top
Bitte keine Threads fleddern... keine Ahnung was ich da gemacht habe. Das ist eine Ewigkeit her.