Megosztás a következőn keresztül:

A CredSSP hibaelhárítása

  • Cikk

A következőkre vonatkozik: Azure Stack HCI, 22H2-es verzió

Egyes Azure Stack HCI-műveletek a Windows Remote Managementet (WinRM) használják, amely alapértelmezés szerint nem engedélyezi a hitelesítő adatok delegálását. A delegálás engedélyezéséhez a számítógépnek ideiglenesen engedélyeznie kell a Credential Security Support Provider (CredSSP) funkciót. A CredSSP egy biztonsági támogatási szolgáltató, amely lehetővé teszi, hogy az ügyfél hitelesítő adatokat delegáljon egy kiszolgálóra távoli hitelesítés céljából.

A CredSSP engedélyezése csökkentett biztonsági helyzet, és a legtöbb esetben le kell tiltani a feladatot vagy a műveletet.

A CredSSP engedélyezését igénylő tevékenységek közé tartoznak a következők:

  • Fürt létrehozása varázsló munkafolyamata
  • Active Directory-lekérdezések vagy -frissítések
  • SQL Server-lekérdezések vagy -frissítések
  • Fiókok vagy számítógépek keresése másik tartományon vagy nem tartományhoz csatlakoztatott környezetben

Hibaelhárítási tippek

Ha a CredSSP-vel kapcsolatos problémákat tapasztal, az alábbi hibaelhárítási tippek segíthetnek:

  • A Fürt létrehozása varázsló használatához, amikor a Windows Felügyeleti központot számítógép helyett egy kiszolgálón futtatja, a Windows Felügyeleti központ kiszolgáló átjáró-rendszergazdák csoportjának tagjának kell lennie. További információ: Felhasználói hozzáférés beállításai a Windows Felügyeleti központtal.

  • A Fürt létrehozása varázsló futtatásakor előfordulhat, hogy a CredSSP hibát jelez, ha az Active Directory-megbízhatósági kapcsolat nincs létrehozva vagy megszakadt. Ez akkor jön létre, ha munkacsoport-alapú kiszolgálókat használ a fürt létrehozásához. Ebben az esetben próbálja meg manuálisan újraindítani a fürt egyes kiszolgálóinak újraindítását.

  • Ha windowsos felügyeleti központot futtat egy kiszolgálón, győződjön meg arról, hogy a felhasználói fiók tagja az Átjárógazdák csoportnak.

  • Javasoljuk, hogy a Windows Felügyeleti központot olyan számítógépen futtassa, amely ugyanahhoz a tartományhoz tartozik, mint a felügyelt kiszolgálók.

  • Ha engedélyezni vagy letiltani szeretné a CredSSP-t egy kiszolgálón, győződjön meg arról, hogy a számítógépen az Átjárógazdák csoporthoz tartozik. További információ: A felhasználói hozzáférés-vezérlés és -engedélyek konfigurálása első két szakasza.

  • Ha újraindítja a WinRM szolgáltatást a fürt kiszolgálóin, előfordulhat, hogy újra létre kell hoznia a WinRM-kapcsolatot az egyes fürtkiszolgálók és a Windows Felügyeleti központ között.

    Ennek egyik módja az, ha az egyes fürtkiszolgálókra lép, majd az Eszközök menü Windows Felügyeleti központjában válassza a Szolgáltatások lehetőséget, válassza a WinRM lehetőséget, válassza az Újraindítás lehetőséget, majd a Szolgáltatás újraindítása párbeszédpanelen válassza az Igen lehetőséget.

Manuális hibaelhárítás

Ha a következő WinRM-hibaüzenet jelenik meg, próbálkozzon az ebben a szakaszban található manuális ellenőrzési lépésekkel a hiba megoldásához. Példa hibaüzenet:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

Az ebben a szakaszban található manuális ellenőrzési lépésekhez a következő számítógépeket kell konfigurálnia:

  • A Windows Felügyeleti központot futtató számítógép
  • A kiszolgáló, ahol a hibaüzenetet kapta

A hiba elhárításához szükség szerint próbálkozzon a következő megoldási lépésekkel:

1. jogorvoslat:

  1. Indítsa újra a Windows Felügyeleti központot és a kiszolgálót futtató számítógépet.

  2. Próbálja meg újra futtatni a Fürt létrehozása varázslót.

    A varázsló futtatásával kapcsolatos részletekért lásd : Azure Stack HCI-fürt létrehozása a Windows Felügyeleti központ használatával.

2. jogorvoslat:

  1. A Windows Felügyeleti központot futtató számítógépen nyissa meg rendszergazdaként a Windows PowerShellt, és futtassa a következő parancsokat:

    Disable-WsmanCredSSP -Role Client  

    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>

  2. Az RDP szolgáltatással csatlakozzon a kiszolgálóhoz, majd futtassa a következő PowerShell-parancsokat:

    Disable-WsmanCredSSP -Role Server  

    Enable-WsmanCredSSP -Role Server

  3. Próbálja meg újra futtatni a Fürt létrehozása varázslót.

    A varázsló futtatásával kapcsolatos részletekért lásd : Azure Stack HCI-fürt létrehozása a Windows Felügyeleti központ használatával.

3. jogorvoslat:

  1. A Windows Felügyeleti központot futtató számítógépen futtassa a következő PowerShell-parancsot a szolgáltatásnév (SPN) ellenőrzéséhez:

    setspn -Q WSMAN/<Windows Admin Center Computer Name>

    Az eredménynek a következő kimenetet kell felsorolnia:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Ha az eredmények nem szerepelnek a listában, futtassa a következő PowerShell-parancsokat az egyszerű szolgáltatásnév regisztrálásához:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>

  3. Az RDP szolgáltatással csatlakozzon a kiszolgálóhoz, majd futtassa a következő PowerShell-parancsot az egyszerű szolgáltatásnév ellenőrzéséhez:

    setspn -Q WSMAN/<Server Name>

    Az eredménynek a következő kimenetet kell felsorolnia:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Ha az eredmények nem szerepelnek a listában, futtassa a következő PowerShell-parancsokat az egyszerű szolgáltatásnév regisztrálásához:

    setspn -S WSMAN/<Server Name> <Server Name>  

    setspn -S WSMAN/<Server FQDN Name> <Server Name>

  5. Próbálja meg újra futtatni a Fürt létrehozása varázslót.

    A varázsló futtatásával kapcsolatos részletekért lásd : Azure Stack HCI-fürt létrehozása a Windows Felügyeleti központ használatával.

4. jogorvoslat:

Ha az előző jogorvoslati lépések valamelyike sikertelen volt vagy nem fejeződött be, ez rekordütközést jelezhet az Active Directoryban. Egy másik számítógépnévvel alaphelyzetbe állíthatja a rekordot új rekordként az Active Directoryban.

A rekord Active Directoryban való visszaállításához telepítse újra az Azure Stack HCI operációs rendszert egy új számítógépnévvel.

5. jogorvoslat:

Ha a megjelenő hibaüzenet említéseket NTLM tartalmaz, próbálkozzon a következőkkel:

  1. A Windows Felügyeleti központot (az "ügyfél" CredSSP szerepkörrel rendelkezőt) futtató számítógépen futtassa a következő parancsot a konfigurált szabályzatok megtekintéséhez:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  2. Ha AllowFreshCredentialsWithNTLMOnly hiányzik, futtassa a következőt:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    Majd futtassa:

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force

Következő lépések

További információ a CredSSP-ről: Hitelesítő adatok biztonsági támogatási szolgáltatója.