A CredSSP hibaelhárítása

  • Cikk

A következőkre vonatkozik: Azure Stack HCI, 22H2 és 21H2 verzió

Egyes Azure Stack HCI-műveletek a Windows Remote Managementet (WinRM) használják, amely alapértelmezés szerint nem engedélyezi a hitelesítő adatok delegálását. A delegálás engedélyezéséhez a számítógépnek ideiglenesen engedélyeznie kell a hitelesítőadat-biztonsági támogatási szolgáltatót (CredSSP). A CredSSP egy biztonsági támogatási szolgáltató, amely lehetővé teszi, hogy az ügyfél hitelesítő adatokat delegáljon egy kiszolgálóra távoli hitelesítés céljából.

A CredSSP engedélyezése csökkentett biztonsági helyzet, és a legtöbb esetben le kell tiltani a feladat vagy a művelet befejezése után.

A CredSSP engedélyezését igénylő feladatok közé tartoznak a következők:

  • Fürt létrehozása varázsló munkafolyamata
  • Active Directory-lekérdezések vagy -frissítések
  • lekérdezések vagy frissítések SQL Server
  • Fiókok vagy számítógépek keresése másik tartományban vagy nem tartományhoz csatlakoztatott környezetben

Hibaelhárítási tippek

Ha a CredSSP-vel kapcsolatos problémákat tapasztal, az alábbi hibaelhárítási tippek segíthetnek:

  • Ha a Fürt létrehozása varázslót szeretné használni, amikor a Windows Admin Center számítógép helyett egy kiszolgálón futtatja, akkor a Windows Admin Center-kiszolgálón az Átjáró-rendszergazdák csoport tagjának kell lennie. További információ: Felhasználói hozzáférési lehetőségek Windows Admin Center.

  • A Fürt létrehozása varázsló futtatásakor előfordulhat, hogy a CredSSP hibát jelez, ha az Active Directory-megbízhatóság nem jött létre vagy megszakadt. Ez akkor jön létre, ha munkacsoport-alapú kiszolgálókat használ a fürt létrehozásához. Ebben az esetben próbálja meg manuálisan újraindítani a fürt minden kiszolgálóját.

  • Ha Windows Admin Center futtat egy kiszolgálón, győződjön meg arról, hogy a felhasználói fiók tagja az Átjáró-rendszergazdák csoportnak.

  • Javasoljuk, hogy futtassa Windows Admin Center egy olyan számítógépen, amely ugyanahhoz a tartományhoz tartozik, mint a felügyelt kiszolgálók.

  • Ha engedélyezni vagy letiltani szeretné a CredSSP-t egy kiszolgálón, győződjön meg arról, hogy a számítógép Átjáró-rendszergazdák csoportjához tartozik. További információt a Felhasználói Access Control és engedélyek konfigurálása című cikk első két szakaszában talál.

  • Ha újraindítja a WinRM szolgáltatást a fürt kiszolgálóin, előfordulhat, hogy újra létre kell hoznia a WinRM-kapcsolatot az egyes fürtkiszolgálók és a Windows Admin Center között.

    Ennek egyik módja, ha az egyes fürtkiszolgálókra lép, és az Eszközök menü Windows Admin Center válassza a Szolgáltatások, a WinRM, az Újraindítás lehetőséget, majd a Szolgáltatás újraindítása kérdésben válassza az Igen lehetőséget.

Manuális hibaelhárítás

Ha a következő WinRM-hibaüzenet jelenik meg, próbálkozzon az ebben a szakaszban található manuális ellenőrzési lépésekkel a hiba elhárításához. Példa hibaüzenet:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

Az ebben a szakaszban szereplő manuális ellenőrzési lépésekhez a következő számítógépeket kell konfigurálnia:

  • A Windows Admin Center futtató számítógép
  • A kiszolgáló, ahol a hibaüzenetet kapta

A hiba elhárításához szükség szerint próbálkozzon az alábbi megoldási lépésekkel:

1. jogorvoslat:

  1. Indítsa újra a Windows Admin Center és a kiszolgálót futtató számítógépet.

  2. Próbálja meg újra futtatni a Fürt létrehozása varázslót.

    A varázsló futtatásával kapcsolatos részletekért lásd: Azure Stack HCI-fürt létrehozása Windows Admin Center használatával.

2. jogorvoslat:

  1. A Windows Admin Center futtató számítógépen nyissa meg a Windows PowerShell rendszergazdaként, és futtassa a következő parancsokat:

    Disable-WsmanCredSSP -Role Client  

    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>

  2. Az RDP szolgáltatással csatlakozzon a kiszolgálóhoz, majd futtassa a következő PowerShell-parancsokat:

    Disable-WsmanCredSSP -Role Server  

    Enable-WsmanCredSSP -Role Server

  3. Próbálja meg újra futtatni a Fürt létrehozása varázslót.

    A varázsló futtatásával kapcsolatos részletekért lásd: Azure Stack HCI-fürt létrehozása Windows Admin Center használatával.

3. jogorvoslat:

  1. A Windows Admin Center futtató számítógépen futtassa a következő PowerShell-parancsot a szolgáltatásnév (SPN) ellenőrzéséhez:

    setspn -Q WSMAN/<Windows Admin Center Computer Name>

    Az eredménynek a következő kimenetet kell tartalmaznia:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Ha az eredmények nem szerepelnek a listában, futtassa a következő PowerShell-parancsokat az egyszerű szolgáltatásnév regisztrálásához:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>

  3. Az RDP szolgáltatással csatlakozzon a kiszolgálóhoz, majd futtassa a következő PowerShell-parancsot az egyszerű szolgáltatásnév ellenőrzéséhez:

    setspn -Q WSMAN/<Server Name>

    Az eredménynek a következő kimenetet kell tartalmaznia:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Ha az eredmények nem szerepelnek a listában, futtassa a következő PowerShell-parancsokat az egyszerű szolgáltatásnév regisztrálásához:

    setspn -S WSMAN/<Server Name> <Server Name>  

    setspn -S WSMAN/<Server FQDN Name> <Server Name>

  5. Próbálja meg újra futtatni a Fürt létrehozása varázslót.

    A varázsló futtatásával kapcsolatos részletekért lásd: Azure Stack HCI-fürt létrehozása Windows Admin Center használatával.

4. jogorvoslat:

Ha az előző javítási lépések bármelyike sikertelen volt vagy nem fejeződött be, ez rekordütközést jelezhet az Active Directoryban. Másik számítógépnév használatával új rekordként állíthatja vissza a rekordot az Active Directoryban.

Ha alaphelyzetbe szeretné állítani a rekordot az Active Directoryban, telepítse újra az Azure Stack HCI operációs rendszert egy új számítógépnévvel.

5. jogorvoslat:

Ha a megjelenő hibaüzenet említéseket NTLM tartalmaz, próbálkozzon a következőkkel:

  1. A Windows Admin Center (ügyfél) CredSSP szerepkörrel rendelkező számítógépen futtassa a következő parancsot a konfigurált szabályzatok megtekintéséhez:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  2. Ha AllowFreshCredentialsWithNTLMOnly hiányzik, futtassa a következőt:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    Majd futtassa ezt:

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force

Következő lépések

További információ a CredSSP-ről: Hitelesítőadat-biztonsági támogatási szolgáltató.