Sdílet prostřednictvím

Odstraňování potíží s chybou CredSSP

  • Článek

Platí pro: Azure Stack HCI verze 22H2

Některé operace Azure Stack HCI používají vzdálenou správu Windows (WinRM), která ve výchozím nastavení nepovoluje delegování přihlašovacích údajů. Aby bylo možné delegování povolit, musí mít počítač dočasně povolený zprostředkovatele podpory zabezpečení přihlašovacích údajů (CredSSP). CredSSP je zprostředkovatel podpory zabezpečení, který klientovi umožňuje delegovat přihlašovací údaje na server pro vzdálené ověřování.

Povolení credSSP je snížený stav zabezpečení a ve většině případů by se po dokončení úlohy nebo operace měla zakázat.

Mezi úlohy, které vyžadují povolení CredSSP, patří:

  • Vytvoření pracovního postupu průvodce clusterem
  • Dotazy nebo aktualizace služby Active Directory
  • Dotazy nebo aktualizace SQL Serveru
  • Vyhledání účtů nebo počítačů v jiném prostředí připojeném k doméně nebo jiném prostředí, které není připojené k doméně

Rady pro řešení potíží

Pokud narazíte na problémy s CredSSP, můžou vám pomoct následující tipy pro řešení potíží:

  • Pokud chcete použít průvodce vytvořením clusteru při spuštění centra Windows Admin Center na serveru místo počítače, musíte být členem skupiny Správci brány na serveru Windows Admin Center. Další informace najdete v tématu Možnosti přístupu uživatelů pomocí Centra pro správu Systému Windows.

  • Při spuštění průvodce vytvořením clusteru může CredSSP hlásit problém, pokud není vytvořený vztah důvěryhodnosti služby Active Directory nebo je poškozený. Výsledkem je použití serverů založených na pracovní skupině k vytvoření clusteru. V takovém případě zkuste ručně restartovat každý server v clusteru.

  • Při spuštění Centra pro správu Systému Windows na serveru se ujistěte, že je uživatelský účet členem skupiny Správci brány.

  • Službu Windows Admin Center doporučujeme spustit na počítači, který je členem stejné domény jako spravované servery.

  • Pokud chcete povolit nebo zakázat CredSSP na serveru, ujistěte se, že patříte do skupiny správci brány na tomto počítači. Další informace najdete v prvních dvou částech konfigurace řízení přístupu a oprávnění uživatele.

  • Restartováním služby WinRM na serverech v clusteru se může zobrazit výzva k opětovnému navázání připojení WinRM mezi jednotlivými servery clusteru a centrem Windows Admin Center.

    Jedním ze způsobů, jak to udělat, je přejít na každý server clusteru a v Centru pro správu Systému Windows v nabídce Nástroje vyberte Služby, vyberte WinRM, vyberte Restartovat a pak na příkazovém řádku Restartovat službu vyberte Ano.

Ruční řešení potíží

Pokud se zobrazí následující chybová zpráva WinRM, zkuste chybu vyřešit pomocí kroků ručního ověření v této části. Příklad chybové zprávy:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

Kroky ručního ověření v této části vyžadují, abyste nakonfigurovali následující počítače:

  • Počítač se systémem Windows Admin Center
  • Server, na kterém jste obdrželi chybovou zprávu

Pokud chcete chybu vyřešit, vyzkoušejte podle potřeby následující kroky nápravy:

Náprava 1:

  1. Restartujte počítač se systémem Windows Admin Center a serverem.

  2. Zkuste znovu spustit Průvodce vytvořením clusteru.

    Podrobnosti o spuštění průvodce najdete v tématu Vytvoření clusteru Azure Stack HCI pomocí Centra pro správu Windows.

Náprava 2:

  1. Na počítači se systémem Windows Admin Center otevřete Windows PowerShell jako správce a spusťte následující příkazy:

    Disable-WsmanCredSSP -Role Client  

    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>

  2. Pomocí funkce RDP se připojte k serveru a spusťte následující příkazy PowerShellu:

    Disable-WsmanCredSSP -Role Server  

    Enable-WsmanCredSSP -Role Server

  3. Zkuste znovu spustit Průvodce vytvořením clusteru.

    Podrobnosti o spuštění průvodce najdete v tématu Vytvoření clusteru Azure Stack HCI pomocí Centra pro správu Windows.

Náprava 3:

  1. Na počítači se systémem Windows Admin Center spusťte následující příkaz PowerShellu a zkontrolujte hlavní název služby (SPN):

    setspn -Q WSMAN/<Windows Admin Center Computer Name>

    Výsledek by měl obsahovat následující výstup:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Pokud výsledky nejsou uvedené, spusťte následující příkazy PowerShellu pro registraci hlavního názvu služby (SPN):

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>

  3. Pomocí funkce RDP se připojte k serveru a spuštěním následujícího příkazu PowerShellu zkontrolujte hlavní název služby (SPN):

    setspn -Q WSMAN/<Server Name>

    Výsledek by měl obsahovat následující výstup:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Pokud výsledky nejsou uvedené, spusťte následující příkazy PowerShellu pro registraci hlavního názvu služby (SPN):

    setspn -S WSMAN/<Server Name> <Server Name>  

    setspn -S WSMAN/<Server FQDN Name> <Server Name>

  5. Zkuste znovu spustit Průvodce vytvořením clusteru.

    Podrobnosti o spuštění průvodce najdete v tématu Vytvoření clusteru Azure Stack HCI pomocí Centra pro správu Windows.

Náprava 4:

Pokud některý z předchozích kroků nápravy selhal nebo se nedokončil, může to znamenat konflikt záznamů ve službě Active Directory. K resetování záznamu jako nového záznamu ve službě Active Directory můžete použít jiný název počítače.

Pokud chcete obnovit záznam ve službě Active Directory, přeinstalujte operační systém Azure Stack HCI s novým názvem počítače.

Náprava 5:

Pokud se zobrazí chybová zpráva, která se vám zobrazuje, NTLM zkuste následující:

  1. Na počítači se systémem Windows Admin Center (ten s rolí CredSSP klienta) spusťte následující příkaz, abyste zjistili, jaké zásady jsou nakonfigurované:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  2. Pokud AllowFreshCredentialsWithNTLMOnly chybí, spusťte:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    Pak spusťte tyto příkazy:

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force

Další kroky

Další informace o CredSSP naleznete v tématu Zprostředkovatel podpory zabezpečení přihlašovacích údajů.