Memecahkan masalah CredSSP
Berlaku untuk: Azure Stack HCI, versi 22H2
Beberapa operasi Azure Stack HCI menggunakan Windows Remote Management (WinRM), yang tidak mengizinkan informasi masuk secara default. Untuk memungkinkan delegasi, komputer harus mengaktifkan Credential Security Support Provider (CredSSP) sementara. CredSSP adalah penyedia dukungan keamanan yang memungkinkan klien mendelegasikan informasi masuk ke server untuk autentikasi jarak jauh.
Mengaktifkan CredSSP adalah postur keamanan yang diturunkan, dan di kebanyakan kasus harus dinonaktifkan setelah tugas atau operasi selesai.
Beberapa tugas yang memerlukan CredSSP diaktifkan meliputi:
- Membuat alur kerja wizard Kluster
- Kueri atau pembaruan Active Directory
- Kueri atau pembaruan SQL Server
- Menemukan akun atau komputer di lingkungan gabungan non-domain atau domain yang berbeda
Kiat pemecahan masalah
Jika Anda mengalami masalah dengan CredSSP, tips pemecahan masalah berikut dapat membantu:
Untuk menggunakan panduan Buat Kluster saat menjalankan Windows Admin Center pada server, bukan PC, Anda harus menjadi anggota grup administrator Gateway di server Windows Admin Center. Untuk informasi selengkapnya, lihat Opsi akses pengguna dengan Windows Admin Center.
Saat menjalankan wizard Buat kluster, CredSSP dapat melaporkan masalah jika kepercayaan Active Directory tidak ditetapkan atau rusak. Ini terjadi ketika server berbasis grup kerja digunakan untuk pembuatan kluster. Dalam hal ini, coba mulai ulang setiap server secara manual di kluster.
Saat menjalankan Windows Admin Center pada server, pastikan akun pengguna adalah anggota grup administrator Gateway.
Sebaiknya jalankan Windows Admin Center di komputer yang merupakan anggota dari domain yang sama dengan server terkelola.
Untuk dapat mengaktifkan atau menonaktifkan CredSSP di server, pastikan Anda termasuk dalam grup administrator Gateway di komputer tersebut. Untuk informasi selengkapnya, lihat dua bagian pertama Mengonfigurasi Layanan Kontrol Akses dan Izin Pengguna.
Saat memulai ulang layanan WinRM pada server di kluster, Anda mungkin diminta untuk menyambungkan ulang koneksi WinRM antara setiap server kluster dan Windows Admin Center.
Salah satu caranya yaitu dengan membuka setiap server kluster, dan di Windows Admin Center pada menu Alat, pilih Layanan, pilih WinRM, pilih Mulai Ulang, lalu di perintah Mulai Ulang Layanan, pilih Ya.
Pemecahan masalah manual
Jika Anda menerima pesan kesalahan WinRM berikut, coba gunakan langkah verifikasi manual di bagian ini untuk mengatasi kesalahan. Contoh pesan kesalahan:
Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.
Langkah-langkah verifikasi manual di bagian ini mengharuskan Anda mengonfigurasi komputer berikut:
- Komputer yang menjalankan Windows Admin Center
- Server tempat Anda menerima pesan kesalahan
Untuk mengatasi kesalahan, coba langkah-langkah pemulihan berikut sesuai kebutuhan:
Pemulihan 1:
Mulai ulang komputer yang menjalankan Windows Admin Center dan servernya.
Coba jalankan wizard Buat kluster lagi.
Untuk detail tentang menjalankan wizard, lihat Membuat kluster Azure Stack HCI menggunakan Windows Admin Center.
Pemulihan 2:
Di komputer yang menjalankan Windows Admin Center, buka Windows PowerShell sebagai administrator dan jalankan perintah berikut:
Disable-WsmanCredSSP -Role Client
Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>
Gunakan fitur RDP untuk tersambung ke server, lalu jalankan perintah PowerShell berikut:
Disable-WsmanCredSSP -Role Server
Enable-WsmanCredSSP -Role Server
Coba jalankan wizard Buat kluster lagi.
Untuk detail tentang menjalankan wizard, lihat Membuat kluster Azure Stack HCI menggunakan Windows Admin Center.
Pemulihan 3:
Di komputer yang menjalankan Windows Admin Center, jalankan perintah PowerShell berikut untuk memeriksa Nama Prinsipal Layanan (SPN):
setspn -Q WSMAN/<Windows Admin Center Computer Name>
Hasilnya akan berisi output berikut:
WSMAN/<Windows Admin Center Computer Name>
WSMAN/<Windows Admin Center Computer FQDN Name>
Jika hasilnya tidak tercantum, jalankan perintah PowerShell berikut untuk mendaftarkan SPN:
setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>
setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>
Gunakan fitur RDP untuk tersambung ke server, lalu jalankan perintah PowerShell berikut untuk memeriksa SPN:
setspn -Q WSMAN/<Server Name>
Hasilnya akan berisi output berikut:
WSMAN/<Server Name>
WSMAN/<Server FQDN Name>
Jika hasilnya tidak tercantum, jalankan perintah PowerShell berikut untuk mendaftarkan SPN:
setspn -S WSMAN/<Server Name> <Server Name>
setspn -S WSMAN/<Server FQDN Name> <Server Name>
Coba jalankan wizard Buat kluster lagi.
Untuk detail tentang menjalankan wizard, lihat Membuat kluster Azure Stack HCI menggunakan Windows Admin Center.
Pemulihan 4:
Jika salah satu langkah pemulihan sebelumnya gagal atau tidak diselesaikan, ini mungkin menunjukkan ada masalah rekaman di Active Directory. Anda dapat menggunakan nama komputer yang berbeda untuk mengatur ulang rekaman sebagai rekaman baru di Active Directory.
Untuk mengatur ulang rekaman di Active Directory, instal ulang sistem operasi Azure Stack HCI dengan nama komputer baru.
Pemulihan 5:
Jika pesan kesalahan yang Anda lihat menyebutkan NTLM
, maka coba lakukan hal berikut:
Di komputer yang menjalankan Windows Admin Center (yang memiliki peran CredSSP "klien"), jalankan perintah berikut untuk melihat kebijakan yang dikonfigurasi:
Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
Jika
AllowFreshCredentialsWithNTLMOnly
tidak ada, jalankan:New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly
Kemudian jalankan:
New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force
Langkah berikutnya
Untuk informasi selengkapnya tentang CredSSP, lihat Penyedia Dukungan Keamanan Informasi Masuk.