Problembehandlung für CredSSP

  • Artikel

Gilt für: Azure Stack HCI, Versionen 22H2 und 21H2

Bei einigen Azure Stack HCI-Vorgängen wird die Windows-Remoteverwaltung (WinRM) verwendet, die die Delegierung von Anmeldeinformationen standardmäßig nicht zulässt. Um die Delegierung zuzulassen, muss für den Computer vorübergehend der Credential Security Support Provider (CredSSP) aktiviert werden. CredSSP ist ein Security Support Provider, der es einem Client ermöglicht, Anmeldeinformationen zur Remoteauthentifizierung an einen Server zu delegieren.

Das Aktivieren von CredSSP beeinträchtigt den Sicherheitsstatus. Daher sollte CredSSP in den meisten Fällen nach Abschluss der Aufgabe oder des Vorgangs deaktiviert werden.

Für folgende Aufgaben muss CredSSP beispielsweise aktiviert werden:

  • Erstellen eines Workflows für den Clustererstellungs-Assistenten
  • Active Directory-Abfragen oder -Updates
  • SQL Server-Abfragen oder -Updates
  • Suchen nach Konten oder Computern in einer anderen Domäne oder einer nicht in die Domäne eingebundenen Umgebung

Tipps zur Problembehandlung

Wenn bei der Verwendung von CredSSP Probleme auftreten, können Ihnen die folgenden Tipps zur Problembehandlung möglicherweise weiterhelfen:

  • Um den Clustererstellungs-Assistenten zu verwenden, wenn Windows Admin Center auf einem Server und nicht auf einem PC ausgeführt wird, müssen Sie Mitglied der Gruppe „Gatewayadministratoren“ auf dem Windows Admin Center-Server sein. Weitere Informationen finden Sie unter Benutzerzugriffsoptionen in Windows Admin Center.

  • Wenn keine Active Directory-Vertrauensstellung eingerichtet wurde oder die Vertrauensstellung fehlerhaft ist, meldet CredSSP beim Ausführen des Clustererstellungs-Assistenten u. U. ein Problem. Dieses Problem tritt auf, wenn arbeitsgruppenbasierte Server zum Erstellen des Clusters werden. Versuchen Sie in diesem Fall, jeden Server im Cluster manuell neu zu starten.

  • Wenn Sie Windows Admin Center auf einem Server ausführen, muss das Benutzerkonto Mitglied der Gruppe „Gatewayadministratoren“ sein.

  • Es wird empfohlen, Windows Admin Center auf einem Computer auszuführen, der Mitglied derselben Domäne wie die verwalteten Server ist.

  • Um CredSSP auf einem Server aktivieren oder deaktivieren zu können, müssen Sie Mitglied der Gatewayadministratorgruppe auf diesem Computer sein. Weitere Informationen finden Sie in den ersten beiden Abschnitten des Artikels Konfigurieren der Benutzerzugriffssteuerung und von Berechtigungen.

  • Wenn Sie den WinRM-Dienst auf den Servern im Cluster neu starten, werden Sie unter Umständen aufgefordert, die WinRM-Verbindung zwischen den einzelnen Clusterservern und dem Windows Admin Center wiederherzustellen.

    Dazu können Sie beispielsweise auf jedem einzelnen Clusterserver im Windows Admin Center im Menü Tools die Option Dienste, WinRM, Neu starten und dann in der Eingabeaufforderung Dienst neu starten die Option Ja auswählen.

Manuelle Problembehandlung

Falls Sie die unten angegebene WinRM-Fehlermeldung erhalten, können Sie versuchen, die in diesem Abschnitt enthaltenen Schritte für die manuelle Überprüfung auszuführen, um den Fehler zu beheben. Beispiel für Fehlermeldung:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

Bei den Schritten für die manuelle Überprüfung in diesem Abschnitt müssen Sie die folgenden Computer konfigurieren:

  • Computer, auf dem Windows Admin Center ausgeführt wird
  • Server, auf dem Sie die Fehlermeldung erhalten haben

Führen Sie je nach Bedarf die folgenden Problembehandlungsschritte aus, um den Fehler zu beheben:

Problembehandlung 1:

  1. Starten Sie den Computer, auf dem Windows Admin Center ausgeführt wird, und den Server neu.

  2. Versuchen Sie erneut, den Clustererstellungs-Assistenten auszuführen.

    Ausführliche Informationen zum Ausführen des Assistenten finden Sie unter Erstellen eines Azure Stack HCI-Clusters mithilfe von Windows Admin Center.

Problembehandlung 2:

  1. Öffnen Sie Windows PowerShell auf dem Computer, auf dem Windows Admin Center ausgeführt wird, als Administrator, und führen Sie die folgenden Befehle aus:

    Disable-WsmanCredSSP -Role Client  

    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>

  2. Verwenden Sie das RDP-Feature, um eine Verbindung mit dem Server herzustellen, und führen Sie dann die folgenden PowerShell-Befehle aus:

    Disable-WsmanCredSSP -Role Server  

    Enable-WsmanCredSSP -Role Server

  3. Versuchen Sie erneut, den Clustererstellungs-Assistenten auszuführen.

    Ausführliche Informationen zum Ausführen des Assistenten finden Sie unter Erstellen eines Azure Stack HCI-Clusters mithilfe von Windows Admin Center.

Problembehandlung 3:

  1. Führen Sie auf dem Computer, auf dem Windows Admin Center ausgeführt wird, den folgenden PowerShell-Befehl aus, um den Dienstprinzipalnamen (SPN) zu überprüfen:

    setspn -Q WSMAN/<Windows Admin Center Computer Name>

    Als Ergebnis sollte in etwa die folgende Ausgabe angezeigt werden:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Führen Sie die folgenden PowerShell-Befehle aus, um den SPN zu registrieren, falls die Ergebnisse nicht aufgeführt sind:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>

  3. Verwenden Sie das RDP-Feature, um eine Verbindung mit dem Server herzustellen, und führen Sie dann den folgenden PowerShell-Befehl zum Überprüfen des SPN aus:

    setspn -Q WSMAN/<Server Name>

    Als Ergebnis sollte in etwa die folgende Ausgabe angezeigt werden:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Führen Sie die folgenden PowerShell-Befehle aus, um den SPN zu registrieren, falls die Ergebnisse nicht aufgeführt sind:

    setspn -S WSMAN/<Server Name> <Server Name>  

    setspn -S WSMAN/<Server FQDN Name> <Server Name>

  5. Versuchen Sie erneut, den Clustererstellungs-Assistenten auszuführen.

    Ausführliche Informationen zum Ausführen des Assistenten finden Sie unter Erstellen eines Azure Stack HCI-Clusters mithilfe von Windows Admin Center.

Problembehandlung 4:

Falls einer der obigen Problembehandlungsschritte nicht erfolgreich war oder nicht abgeschlossen werden konnte, kann dies ein Hinweis auf einen Datensatzkonflikt in Active Directory sein. Sie können einen anderen Computernamen verwenden, um eine Zurücksetzung durchzuführen und einen neuen Datensatz in Active Directory zu verwenden.

Führen Sie eine Neuinstallation des Azure Stack HCI-Betriebssystems mit einem neuen Computernamen durch, um den Datensatz in Active Directory zurückzusetzen.

Problembehandlung 5:

Wenn in der angezeigten Fehlermeldung NTLM erwähnt wird, versuchen Sie Folgendes:

  1. Führen Sie auf dem Computer, auf dem Windows Admin Center ausgeführt wird (der Computer mit der CredSSP-Rolle „Client“) den folgenden Befehl aus, um anzuzeigen, welche Richtlinien konfiguriert sind:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  2. Wenn AllowFreshCredentialsWithNTLMOnly fehlt, führen Sie Folgendes aus:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    Führen Sie dann Folgendes aus:

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force

Nächste Schritte

Weitere Informationen zu CredSSP finden Sie unter Credential Security Support Provider.