Odstraňování potíží s chybou CredSSP

  • Článek

Platí pro: Azure Stack HCI verze 22H2 a 21H2

Některé operace Azure Stack HCI používají vzdálenou správu Systému Windows (WinRM), která ve výchozím nastavení delegování přihlašovacích údajů nepovoluje. Aby bylo možné delegování povolit, musí mít počítač dočasně povoleného zprostředkovatele podpory zabezpečení přihlašovacích údajů (CredSSP). CredSSP je zprostředkovatel podpory zabezpečení, který umožňuje klientovi delegovat přihlašovací údaje na server pro vzdálené ověřování.

Povolení CredSSP představuje snížený stav zabezpečení a ve většině případů by se po dokončení úlohy nebo operace mělo zakázat.

Mezi úlohy, které vyžadují povolení CredSSP, patří:

  • Pracovní postup průvodce vytvořením clusteru
  • Dotazy nebo aktualizace služby Active Directory
  • SQL Server dotazů nebo aktualizací
  • Vyhledání účtů nebo počítačů v jiné doméně nebo prostředí, které není připojené k doméně

Rady pro řešení potíží

Pokud dochází k problémům s CredSSP, můžou vám pomoct následující tipy pro řešení potíží:

  • Pokud chcete použít Průvodce vytvořením clusteru při spuštění Windows Admin Center na serveru místo na počítači, musíte být na Windows Admin Center serveru členem skupiny Správci brány. Další informace najdete v tématu Možnosti přístupu uživatele s Windows Admin Center.

  • Při spuštění průvodce vytvořením clusteru může CredSSP hlásit problém, pokud není navázán vztah důvěryhodnosti Active Directory nebo je poškozený. To je výsledkem při použití serverů založených na pracovní skupině k vytvoření clusteru. V takovém případě zkuste ručně restartovat každý server v clusteru.

  • Pokud používáte Windows Admin Center na serveru, ujistěte se, že je uživatelský účet členem skupiny Správci brány.

  • Doporučujeme spustit Windows Admin Center na počítači, který je členem stejné domény jako spravované servery.

  • Pokud chcete povolit nebo zakázat CredSSP na serveru, ujistěte se, že na tomto počítači patříte do skupiny Správci brány. Další informace najdete v prvních dvou částech tématu Konfigurace uživatelských Access Control a Oprávnění.

  • Restartování služby WinRM na serverech v clusteru vás může vyzvat k opětovnému navázání připojení WinRM mezi jednotlivými servery clusteru a Windows Admin Center.

    Jedním ze způsobů, jak to udělat, je přejít na každý server clusteru a v Windows Admin Center v nabídce Nástroje vyberte Služby, vyberte WinRM, vyberte Restartovat a pak na příkazovém řádku Restartovat službu vyberte Ano.

Ruční řešení potíží

Pokud se zobrazí následující chybová zpráva WinRM, zkuste chybu vyřešit pomocí postupu ručního ověření v této části. Příklad chybové zprávy:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

Postup ručního ověření v této části vyžaduje, abyste nakonfigurovali následující počítače:

  • Počítač se systémem Windows Admin Center
  • Server, na kterém se zobrazila chybová zpráva

Pokud chcete tuto chybu vyřešit, zkuste podle potřeby provést následující nápravné kroky:

Náprava 1:

  1. Restartujte počítač se systémem Windows Admin Center a server.

  2. Zkuste znovu spustit průvodce vytvořením clusteru.

    Podrobnosti o spuštění průvodce najdete v tématu Vytvoření clusteru Azure Stack HCI pomocí Windows Admin Center.

Náprava 2:

  1. Na počítači se systémem Windows Admin Center otevřete Windows PowerShell jako správce a spusťte následující příkazy:

    Disable-WsmanCredSSP -Role Client  

    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>

  2. Pomocí funkce RDP se připojte k serveru a pak spusťte následující příkazy PowerShellu:

    Disable-WsmanCredSSP -Role Server  

    Enable-WsmanCredSSP -Role Server

  3. Zkuste znovu spustit průvodce vytvořením clusteru.

    Podrobnosti o spuštění průvodce najdete v tématu Vytvoření clusteru Azure Stack HCI pomocí Windows Admin Center.

Náprava 3:

  1. Na počítači se systémem Windows Admin Center spusťte následující příkaz PowerShellu a zkontrolujte hlavní název služby (SPN):

    setspn -Q WSMAN/<Windows Admin Center Computer Name>

    Výsledek by měl obsahovat následující výstup:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Pokud nejsou výsledky uvedené, spuštěním následujících příkazů PowerShellu zaregistrujte hlavní název služby (SPN):

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>

  3. Pomocí funkce RDP se připojte k serveru a spuštěním následujícího příkazu PowerShellu zkontrolujte hlavní název služby (SPN):

    setspn -Q WSMAN/<Server Name>

    Výsledek by měl obsahovat následující výstup:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Pokud nejsou výsledky uvedené, spuštěním následujících příkazů PowerShellu zaregistrujte hlavní název služby (SPN):

    setspn -S WSMAN/<Server Name> <Server Name>  

    setspn -S WSMAN/<Server FQDN Name> <Server Name>

  5. Zkuste znovu spustit průvodce vytvořením clusteru.

    Podrobnosti o spuštění průvodce najdete v tématu Vytvoření clusteru Azure Stack HCI pomocí Windows Admin Center.

Náprava 4:

Pokud některý z předchozích kroků nápravy selhal nebo se nedokončil, může to znamenat konflikt záznamů ve službě Active Directory. K resetování záznamu jako nového záznamu ve službě Active Directory můžete použít jiný název počítače.

Pokud chcete resetovat záznam ve službě Active Directory, přeinstalujte operační systém Azure Stack HCI s novým názvem počítače.

Náprava 5:

Pokud se v chybové zprávě zobrazují zmínky NTLM , zkuste následující:

  1. Na počítači se systémem Windows Admin Center (ten s rolí CredSSP "client") spusťte následující příkaz, abyste zjistili, jaké zásady jsou nakonfigurované:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  2. Pokud AllowFreshCredentialsWithNTLMOnly chybí, spusťte:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    Potom následujícím příkazem:

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force

Další kroky

Další informace o CredSSP najdete v tématu Poskytovatel podpory zabezpečení přihlašovacích údajů.