Odstraňování potíží s chybou CredSSP

Platí pro: Azure Stack HCI, verze 21H2 a 20H2

některé Azure Stack operace HCI používají Vzdálená správa systému Windows (WinRM), což ve výchozím nastavení nepovoluje delegování přihlašovacích údajů. Aby bylo možné delegování povolit, musí mít počítač dočasně povolený zprostředkovatel zabezpečení (CredSSP) (Credential Security Support Provider). CredSSP je poskytovatel podpory zabezpečení, který umožňuje klientovi delegovat přihlašovací údaje na server pro vzdálené ověřování.

Povolení CredSSP je degradované zabezpečení stav a ve většině případů by mělo být zakázáno po dokončení úkolu nebo operace.

Mezi úlohy, které vyžadují, aby bylo možné povolit CredSSP, patří:

  • Pracovní postup Průvodce vytvořením clusteru
  • Dotazy nebo aktualizace služby Active Directory
  • SQL Server dotazy nebo aktualizace
  • Vyhledání účtů nebo počítačů v jiné doméně nebo prostředí, které není připojené k doméně

Rady pro řešení potíží

Pokud máte problémy se zprostředkovatelem CredSSP, může vám pomáhat následující tipy k odstraňování potíží:

  • pokud chcete při spuštění Windows centra pro správu na serveru místo počítače použít průvodce vytvořením clusteru, musíte být členem skupiny správci brány na serveru centra pro správu Windows. další informace najdete v tématu možnosti přístupu uživatele pomocí centra pro správu Windows.

  • Při spuštění Průvodce vytvořením clusteru může zprostředkovatel CredSSP ohlásit problém, pokud se nevytvoří vztah důvěryhodnosti služby Active Directory nebo dojde k jeho přerušení. Výsledkem je, že se pro vytvoření clusteru použijí servery založené na pracovní skupině. V takovém případě zkuste ručně restartovat každý server v clusteru.

  • pokud na serveru běží Windows centrum pro správu, ujistěte se, že uživatelský účet je členem skupiny správci brány.

  • doporučujeme spustit Windows centrum pro správu v počítači, který je členem stejné domény jako spravované servery.

  • Aby bylo možné povolit nebo zakázat zprostředkovatele CredSSP na serveru, ujistěte se, že jste členem skupiny správců brány na daném počítači. Další informace najdete v prvním dvou částech Konfigurace uživatelských Access Control a oprávnění.

  • po restartování služby winrm na serverech v clusteru se může zobrazit výzva k opětovnému vytvoření připojení WinRM mezi jednotlivými servery clusteru a centrem pro správu Windows.

    můžete to udělat tak, že na každém serveru clusteru kliknete a v centru pro správu Windows v nabídce nástroje vyberte služby, vyberte WinRM, vyberte restartovata pak na příkazovém řádku pro Restart služby vyberte ano.

Ruční odstraňování potíží

Pokud se zobrazí následující chybová zpráva služby WinRM, zkuste chybu vyřešit pomocí kroků ručního ověření v této části. Příklad chybové zprávy:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

Postup ručního ověření v této části vyžaduje, abyste nakonfigurovali následující počítače:

  • počítač se spuštěným centrem pro správu Windows
  • Server, na který se zobrazila chybová zpráva

Chcete-li vyřešit tuto chybu, proveďte následující opravné kroky podle potřeby:

Náprava 1:

  1. restartujte počítač se spuštěným centrem pro správu Windows a serverem.

  2. Zkuste znovu spustit Průvodce vytvořením clusteru.

    podrobnosti o spuštění průvodce najdete v tématu vytvoření clusteru Azure Stack HCI pomocí centra pro správu Windows.

Náprava 2:

  1. na počítači, na kterém je spuštěný Windows centrum pro správu, otevřete Windows PowerShell jako správce a spusťte následující příkazy:

    Disable-WsmanCredSSP -Role Client  
    
    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>
    
  2. Připojte se k serveru pomocí funkce RDP a pak spusťte následující příkazy PowerShellu:

    Disable-WsmanCredSSP -Role Server  
    
    Enable-WsmanCredSSP -Role Server  
    
  3. Zkuste znovu spustit Průvodce vytvořením clusteru.

    podrobnosti o spuštění průvodce najdete v tématu vytvoření clusteru Azure Stack HCI pomocí centra pro správu Windows.

Náprava 3:

  1. v počítači se spuštěným centrem pro správu Windows spusťte následující příkaz prostředí PowerShell pro kontrolu hlavního názvu služby (SPN):

    setspn -Q WSMAN/<Windows Admin Center Computer Name>  
    

    Výsledek by měl vypsat následující výstup:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Pokud nejsou uvedené výsledky, spusťte následující příkazy PowerShellu k registraci hlavního názvu služby (SPN):

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  
    
    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>  
    
  3. Pomocí funkce RDP se připojte k serveru a spusťte následující příkaz PowerShellu pro kontrolu hlavního názvu služby (SPN):

    setspn -Q WSMAN/<Server Name>  
    

    Výsledek by měl vypsat následující výstup:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Pokud nejsou uvedené výsledky, spusťte následující příkazy PowerShellu k registraci hlavního názvu služby (SPN):

    setspn -S WSMAN/<Server Name> <Server Name>  
    
    setspn -S WSMAN/<Server FQDN Name> <Server Name>  
    
  5. Zkuste znovu spustit Průvodce vytvořením clusteru.

    podrobnosti o spuštění průvodce najdete v tématu vytvoření clusteru Azure Stack HCI pomocí centra pro správu Windows.

Opravení 4:

Pokud některý z předchozích kroků nápravy selhal nebo nebyl dokončen, může to znamenat, že došlo ke konfliktu záznamů ve službě Active Directory. K resetování záznamu jako nového záznamu ve službě Active Directory můžete použít jiný název počítače.

Chcete-li obnovit záznam ve službě Active Directory, přeinstalujte operační systém Azure Stack HCI s novým názvem počítače.

Opravení 5:

Pokud se zobrazí chybová zpráva s oznámením, NTLM zkuste následující:

  1. na počítači, na kterém běží centrum pro správu Windows (účet s rolí CredSSP "klient"), spusťte následující příkaz, který zjistí, jaké zásady se nakonfigurují:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
    
  2. Pokud AllowFreshCredentialsWithNTLMOnly chybí, spusťte příkaz:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly
    

    Potom následujícím příkazem:

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force
    

Další kroky

Další informace o CredSSP najdete v tématu Zprostředkovatel podpory zabezpečení přihlašovacích údajů.