Risolvere i problemi relativi a CredSSP
Si applica a: Azure Stack HCI, versioni 22H2 e 21H2
Alcune operazioni di Azure Stack HCI usano Gestione remota Windows (WinRM), che non consente la delega delle credenziali per impostazione predefinita. Per consentire la delega, il computer deve avere temporaneamente abilitato il provider di supporto per la sicurezza delle credenziali (CredSSP). CredSSP è un provider di supporto per la sicurezza che consente a un client di delegare le credenziali a un server per l'autenticazione remota.
L'abilitazione di CredSSP è una postura di sicurezza degradata e nella maggior parte dei casi deve essere disabilitata dopo il completamento dell'attività o dell'operazione.
Alcune attività che richiedono l'abilitazione di CredSSP includono:
- Creare il flusso di lavoro della procedura guidata cluster
- Query o aggiornamenti di Active Directory
- SQL Server query o aggiornamenti
- Individuazione di account o computer in un altro dominio o in un ambiente non aggiunto a un dominio diverso
Suggerimenti per la risoluzione dei problemi
Se si verificano problemi con CredSSP, i suggerimenti per la risoluzione dei problemi seguenti possono essere utili:
Per usare la creazione guidata cluster durante l'esecuzione di Windows Admin Center in un server anziché in un PC, è necessario essere un membro del gruppo amministratori del gateway nel server Windows Admin Center. Per altre informazioni, vedere Opzioni di accesso utente con Windows Admin Center.
Quando si esegue la creazione guidata cluster, CredSSP potrebbe segnalare un problema se un trust di Active Directory non viene stabilito o interrotto. Questo risultato viene generato quando i server basati su gruppi di lavoro vengono usati per la creazione del cluster. In questo caso, provare a riavviare manualmente ogni server nel cluster.
Quando si esegue Windows Admin Center in un server, assicurarsi che l'account utente sia membro del gruppo Amministratori gateway.
È consigliabile eseguire Windows Admin Center in un computer membro dello stesso dominio dei server gestiti.
Per abilitare o disabilitare CredSSP in un server, assicurarsi di appartenere al gruppo amministratori del gateway nel computer. Per altre informazioni, vedere le prime due sezioni di Configura Controllo di accesso utente e autorizzazioni.
Il riavvio del servizio WinRM nei server nel cluster potrebbe richiedere di ristabilire la connessione WinRM tra ogni server cluster e Windows Admin Center.
Un modo per eseguire questa operazione consiste nell'passare a ogni server del cluster e in Windows Admin Center nel menu Strumenti selezionare Servizi, selezionare WinRM, selezionare Riavvia e quindi nel prompt Riavvia servizio selezionare Sì.
Risoluzione dei problemi manuali
Se viene visualizzato il seguente messaggio di errore WinRM, provare a usare la procedura di verifica manuale in questa sezione per risolvere l'errore. Messaggio di errore di esempio:
Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.
I passaggi di verifica manuale in questa sezione richiedono di configurare i computer seguenti:
- Computer che esegue Windows Admin Center
- Server in cui è stato ricevuto il messaggio di errore
Per risolvere l'errore, provare i passaggi di rimedi seguenti in base alle esigenze:
Rimedio 1:
Riavviare il computer che esegue Windows Admin Center e il server.
Provare a eseguire di nuovo la creazione guidata cluster.
Per informazioni dettagliate sull'esecuzione guidata, vedere Creare un cluster Azure Stack HCI usando Windows Admin Center.
Rimedio 2:
Nel computer che esegue Windows Admin Center aprire Windows PowerShell come amministratore ed eseguire i comandi seguenti:
Disable-WsmanCredSSP -Role ClientEnable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>Usare la funzionalità RDP per connettersi al server e quindi eseguire i comandi di PowerShell seguenti:
Disable-WsmanCredSSP -Role ServerEnable-WsmanCredSSP -Role ServerProvare a eseguire di nuovo la creazione guidata cluster.
Per informazioni dettagliate sull'esecuzione guidata, vedere Creare un cluster Azure Stack HCI usando Windows Admin Center.
Rimedio 3:
Nel computer che esegue Windows Admin Center eseguire il comando powerShell seguente per controllare il nome dell'entità servizio (SPN):
setspn -Q WSMAN/<Windows Admin Center Computer Name>Il risultato deve elencare l'output seguente:
WSMAN/<Windows Admin Center Computer Name>WSMAN/<Windows Admin Center Computer FQDN Name>Se i risultati non sono elencati, eseguire i comandi di PowerShell seguenti per registrare il nome SPN:
setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>Usare la funzionalità RDP per connettersi al server e quindi eseguire il comando powerShell seguente per controllare il nome SPN:
setspn -Q WSMAN/<Server Name>Il risultato deve elencare l'output seguente:
WSMAN/<Server Name>WSMAN/<Server FQDN Name>Se i risultati non sono elencati, eseguire i comandi di PowerShell seguenti per registrare il nome SPN:
setspn -S WSMAN/<Server Name> <Server Name>setspn -S WSMAN/<Server FQDN Name> <Server Name>Provare a eseguire di nuovo la creazione guidata cluster.
Per informazioni dettagliate sull'esecuzione guidata, vedere Creare un cluster Azure Stack HCI usando Windows Admin Center.
Rimedio 4:
Se uno dei passaggi di rimedio precedenti non è riuscito o non è stato completato, questo potrebbe indicare un conflitto di record in Active Directory. È possibile usare un nome computer diverso per reimpostare il record come nuovo record in Active Directory.
Per reimpostare il record in Active Directory, reinstallare il sistema operativo Azure Stack HCI con un nuovo nome computer.
Rimedio 5:
Se viene visualizzato il messaggio di errore che viene visualizzato NTLM , provare quanto segue:
Nel computer che esegue Windows Admin Center (quella con il ruolo CredSSP "client"), eseguire il comando seguente per verificare quali criteri sono configurati:
Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegationSe
AllowFreshCredentialsWithNTLMOnlymanca, eseguire:New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnlyEseguire quindi:
New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force
Passaggi successivi
Per altre informazioni su CredSSP, vedere Provider di supporto per la sicurezza delle credenziali.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per