New-PSSession to foreign domain ends up in error 0x80090311

Question

Hi,
I try to reach a server in another domain with powershell remoting.
I use
$remote_session = New-PSSession -ComputerName "server.fqdn" -ConfigurationName KUCUK.Test -Credential "domain\user"

From 1 of my servers it works like a charme.
But all other machines I testet, I get this error:

>>

New-PSSession : [gusdc.emb.local] Beim Verbinden mit dem Remoteserver "gusdc.emb.local" ist folgender Fehler aufgetreten:
Die Anforderung kann von WinRM nicht verarbeitet werden. Bei Verwendung der Kerberos-Authentifizierung ist der folgende Fehler mit Fehlercode 0x80090311 aufgetreten: Sie können mit diesen Anmeldeinformationen nicht angemeldet werden, weil Ihre Domäne nicht verfügbar ist. Stellen Sie sicher, dass Ihr Gerät mit dem Netzwerk Ihrer Organisation verbunden ist, und versuchen Sie es erneut. Wenn Sie sich auf diesem Gerät zuvor mit anderen Anmeldeinformationen angemeldet haben, können Sie sich mit diesen Anmeldeinformationen anmelden. . Mögliche Ursachen: - Der angegebene Benutzername oder das angegebene Kennwort ist ungültig. - Kerberos wird verwendet, wenn keine Authentifizierungsmethode und kein Benutzername angegeben werden. - Kerberos akzeptiert Domänenbenutzernamen, aber keine lokale Benutzernamen. - Der Dienstprinzipalname (Service Principal Name, SPN) für den Remotecomputernamen und -port ist nicht vorhanden. - Der Clientcomputer und der Remotecomputer befinden sich in unterschiedlichen Domänen, zwischen denen keine Vertrauensbeziehung besteht. Wenn Sie die oben genannten Ursachen überprüft haben, probieren Sie folgende Aktionen aus: - Suchen Sie in der Ereignisanzeige nach Ereignissen im Zusammenhang mit der Authentifizierung. - Ändern Sie die Authentifizierungsmethode; fügen Sie den Zielcomputer der Konfigurationseinstellung "TrustedHosts" für WinRM hinzu, oder verwenden Sie den HTTPS-Transport. Beachten Sie, dass Computer in der TrustedHosts-Liste möglicherweise nicht authentifiziert sind. - Führen Sie den folgenden Befehl aus, um weitere Informationen zur WinRM-Konfiguration zu erhalten: "winrm help config". Weitere Informationen finden Sie im Hilfethema "about_Remote_Troubleshooting". In Zeile:1 Zeichen:19 + ... e_session = New-PSSession -ComputerName "gusdc.emb.local" -Configurat ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotingTran sportException + FullyQualifiedErrorId : AuthenticationFailed,PSSessionOpenFailed <<<

There is no entry in the eventlog on the destination server on that.
There is no impact on the Firewalls.
A connection to
telnet destination_server 5985
works from all machines.

What is the configuration difference on the working server?

Can somebody help me out?

kind regards,
Reiner Wolff

Answer 1

Check the client machine's WinRM trusts.

Get-Item WSMan:\localhost\Client\TrustedHosts

If necessary, modify that list to include the target machine:

winrm set winrm/config/client '@{TrustedHosts="remoteComputerName"}'

Also, both machines have to agree on common security protocol.

Answer 2

Hi @Reiner Wolff ,

There are a lot of information available in the internet related to this error. Maybe one of the links is helpful:

https://social.technet.microsoft.com/Forums/windowsserver/en-US/a634306f-ed4b-44fc-b642-938d5b237d38/remote-connect-to-powershell-errorcode-0x80090311?forum=exchange2010
https://jurelab.wordpress.com/2014/09/23/winrm-cannot-process-the-request-with-errorcode-0x80090311/
https://itluke.online/2019/12/03/solved-0x80090311-occurred-while-using-kerberos-authentication/
https://4sysops.com/archives/enable-powershell-remoting-on-a-standalone-workgroup-computer/

----------

(If the reply was helpful please don't forget to upvote and/or accept as answer, thank you)

Regards
Andreas Baumgarten

Answer 3

Hi Rich,
hi Andreas,

thank you for your help.
I knew it must be something simple because I got it already working on one machine for a year.
And of course I spent a couple of hours on doing research on this.

But I always thougt, that the TrustedHosts-List has to be configured on the destination server.
So it makes no sense for me to look for that on the client starting the remote-session.

The first link of Andreas helped me out here.
Afterwards I was able to read the answer from Rich correct.

But why it has to be configured on the source server?
Shouldn't be the destination in control which machines could do something remote on the destination system?

Kind regards,
Reiner Wolff

Answer 4

Hi @Reiner Wolff ,

If I remember right you have to set the TrustedHosts on both machines.
But maybe you set this on the destination machine on * before. The new client is covered in this TrustedHosts setting as well.

You could check this with running Get-Item WSMan:\localhost\Client\TrustedHosts on both machines.

I noticed the error message in your question is in German. Maybe this will help as well. There you can read the config needs to be done on both machines.

Die Konfiguration muss auf beiden Computern durchgeführt werden.

https://sid-500.com/2017/02/15/enter-pssession-trusted-hosts-konfigurieren/

----------

(If the reply was helpful please don't forget to upvote and/or accept as answer, thank you)

Regards
Andreas Baumgarten

Answer 5

Although the problem is solved, I checked at the destination server the TrustedHosts entries.
The list is empty.

I read in the book 'PowerShell 5' by Dr. Tobias Weltner that the TrustedHosts list is to secure the source system.
So you have control over your own system to whom it might connect to. This is because the source and the destination system are not in the same domain-forest and the authentication is therefore not on both sides.
The destination server is only secured by authentication credentials and his firewall settings.

So it should be right that the TrustedHosts list is empty on the destination server.

Thank you for clarifying that for me.