Udostępnij za pośrednictwem

Rozwiązywanie problemów z protokołem CredSSP

  • Artykuł

Dotyczy: Azure Stack HCI, wersja 22H2

Niektóre operacje rozwiązania Azure Stack HCI używają zdalnego zarządzania systemem Windows (WinRM), który domyślnie nie zezwala na delegowanie poświadczeń. Aby zezwolić na delegowanie, komputer musi tymczasowo włączyć dostawcę obsługi zabezpieczeń poświadczeń (CredSSP). CredSSP to dostawca obsługi zabezpieczeń, który umożliwia klientowi delegowanie poświadczeń do serwera na potrzeby uwierzytelniania zdalnego.

Włączenie protokołu CredSSP jest obniżonym stanem zabezpieczeń i w większości przypadków powinno być wyłączone po zakończeniu zadania lub operacji.

Niektóre zadania wymagające włączenia dostawcy CredSSP obejmują:

  • Przepływ pracy kreatora tworzenia klastra
  • Zapytania lub aktualizacje usługi Active Directory
  • Zapytania lub aktualizacje programu SQL Server
  • Lokalizowanie kont lub komputerów w innej domenie lub nieprzyłączonych do domeny

Wskazówki dotyczące rozwiązywania problemów

Jeśli wystąpią problemy z protokołem CredSSP, mogą pomóc następujące porady dotyczące rozwiązywania problemów:

  • Aby użyć Kreatora tworzenia klastra podczas uruchamiania programu Windows Admin Center na serwerze zamiast komputera, musisz być członkiem grupy administratorzy bramy na serwerze Windows Admin Center. Aby uzyskać więcej informacji, zobacz Opcje dostępu użytkowników w centrum administracyjnym systemu Windows.

  • Podczas uruchamiania kreatora tworzenia klastra dostawca CredSSP może zgłosić problem, jeśli zaufanie usługi Active Directory nie zostanie ustanowione lub nie zostanie przerwane. Powoduje to, że serwery oparte na grupach roboczych są używane do tworzenia klastra. W takim przypadku spróbuj ręcznie uruchomić ponownie każdy serwer w klastrze.

  • Podczas uruchamiania programu Windows Admin Center na serwerze upewnij się, że konto użytkownika jest członkiem grupy administratorów bramy.

  • Zalecamy uruchomienie programu Windows Admin Center na komputerze, który jest członkiem tej samej domeny co serwery zarządzane.

  • Aby włączyć lub wyłączyć dostawcę CredSSP na serwerze, upewnij się, że należysz do grupy administratorzy bramy na tym komputerze. Aby uzyskać więcej informacji, zobacz pierwsze dwie sekcje tematu Configure User Access Control and Permissions (Konfigurowanie kontroli dostępu użytkowników i uprawnień).

  • Ponowne uruchomienie usługi WinRM na serwerach w klastrze może spowodować wyświetlenie monitu o ponowne nawiązanie połączenia usługi WinRM między każdym serwerem klastra i centrum administracyjnym systemu Windows.

    Jednym ze sposobów, aby to zrobić, jest przejście do każdego serwera klastra, a następnie w Centrum administracyjnym systemu Windows w menu Narzędzia wybierz pozycję Usługi, wybierz pozycję WinRM, wybierz pozycję Uruchom ponownie, a następnie w wierszu polecenia Uruchom ponownie usługę wybierz pozycję Tak.

Ręczne rozwiązywanie problemów

Jeśli zostanie wyświetlony następujący komunikat o błędzie usługi WinRM, spróbuj wykonać czynności weryfikacji ręcznej w tej sekcji, aby rozwiązać ten problem. Przykładowy komunikat o błędzie:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

Czynności weryfikacji ręcznej w tej sekcji wymagają skonfigurowania następujących komputerów:

  • Komputer z centrum administracyjnym systemu Windows
  • Serwer, na którym został wyświetlony komunikat o błędzie

Aby rozwiązać ten problem, spróbuj wykonać następujące kroki w razie potrzeby:

Środek zaradczy 1:

  1. Uruchom ponownie komputer z programem Windows Admin Center i serwerem.

  2. Spróbuj ponownie uruchomić kreatora tworzenia klastra.

    Aby uzyskać szczegółowe informacje na temat uruchamiania kreatora, zobacz Create an Azure Stack HCI cluster using Windows Admin Center (Tworzenie klastra rozwiązania Azure Stack HCI przy użyciu centrum administracyjnego systemu Windows).

Środek zaradczy 2:

  1. Na komputerze z programem Windows Admin Center otwórz program Windows PowerShell jako administrator i uruchom następujące polecenia:

    Disable-WsmanCredSSP -Role Client  

    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>

  2. Użyj funkcji RDP, aby nawiązać połączenie z serwerem, a następnie uruchom następujące polecenia programu PowerShell:

    Disable-WsmanCredSSP -Role Server  

    Enable-WsmanCredSSP -Role Server

  3. Spróbuj ponownie uruchomić kreatora tworzenia klastra.

    Aby uzyskać szczegółowe informacje na temat uruchamiania kreatora, zobacz Create an Azure Stack HCI cluster using Windows Admin Center (Tworzenie klastra rozwiązania Azure Stack HCI przy użyciu centrum administracyjnego systemu Windows).

Środek zaradczy 3:

  1. Na komputerze z programem Windows Admin Center uruchom następujące polecenie programu PowerShell, aby sprawdzić nazwę główną usługi (SPN):

    setspn -Q WSMAN/<Windows Admin Center Computer Name>

    Wynik powinien wyświetlić następujące dane wyjściowe:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Jeśli wyniki nie są wyświetlane, uruchom następujące polecenia programu PowerShell, aby zarejestrować nazwę SPN:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>

  3. Użyj funkcji RDP, aby nawiązać połączenie z serwerem, a następnie uruchom następujące polecenie programu PowerShell, aby sprawdzić nazwę SPN:

    setspn -Q WSMAN/<Server Name>

    Wynik powinien wyświetlić następujące dane wyjściowe:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Jeśli wyniki nie są wyświetlane, uruchom następujące polecenia programu PowerShell, aby zarejestrować nazwę SPN:

    setspn -S WSMAN/<Server Name> <Server Name>  

    setspn -S WSMAN/<Server FQDN Name> <Server Name>

  5. Spróbuj ponownie uruchomić kreatora tworzenia klastra.

    Aby uzyskać szczegółowe informacje na temat uruchamiania kreatora, zobacz Create an Azure Stack HCI cluster using Windows Admin Center (Tworzenie klastra rozwiązania Azure Stack HCI przy użyciu centrum administracyjnego systemu Windows).

Środek zaradczy 4:

Jeśli którykolwiek z poprzednich kroków zaradczych zakończył się niepowodzeniem lub nie został ukończony, może to oznaczać konflikt rekordów w usłudze Active Directory. Możesz użyć innej nazwy komputera, aby zresetować rekord jako nowy rekord w usłudze Active Directory.

Aby zresetować rekord w usłudze Active Directory, zainstaluj ponownie system operacyjny Azure Stack HCI przy użyciu nowej nazwy komputera.

Środek zaradczy 5:

Jeśli wyświetlany komunikat o błędzie zawiera wzmianki NTLM , spróbuj wykonać następujące czynności:

  1. Na komputerze z uruchomionym centrum administracyjnym systemu Windows (z rolą CredSSP "klient" uruchom następujące polecenie, aby zobaczyć, jakie zasady są skonfigurowane:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  2. Jeśli AllowFreshCredentialsWithNTLMOnly brakuje, uruchom polecenie:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    Następnie uruchom polecenie:

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force

Następne kroki

Aby uzyskać więcej informacji na temat protokołu CredSSP, zobacz Dostawca obsługi zabezpieczeń poświadczeń.