Rozwiązywanie problemów z protokołem CredSSP
Dotyczy: Azure Stack HCI, wersje 22H2 i 21H2
Niektóre operacje rozwiązania Azure Stack HCI używają zdalnego zarządzania systemem Windows (WinRM), który domyślnie nie zezwala na delegowanie poświadczeń. Aby zezwolić na delegowanie, komputer musi tymczasowo włączyć dostawcę obsługi zabezpieczeń poświadczeń (CredSSP). CredSSP to dostawca obsługi zabezpieczeń, który umożliwia klientowi delegowanie poświadczeń do serwera na potrzeby uwierzytelniania zdalnego.
Włączenie credSSP jest obniżonym stanem zabezpieczeń, a w większości sytuacji należy wyłączyć po zakończeniu zadania lub operacji.
Niektóre zadania, które wymagają włączenia programu CredSSP, obejmują:
- Przepływ pracy kreatora tworzenia klastra
- Zapytania lub aktualizacje usługi Active Directory
- SQL Server zapytań lub aktualizacji
- Lokalizowanie kont lub komputerów w innym środowisku domeny lub nieprzyłączonych do domeny
Wskazówki dotyczące rozwiązywania problemów
Jeśli wystąpią problemy z programem CredSSP, poniższe porady dotyczące rozwiązywania problemów mogą pomóc:
Aby użyć Kreatora tworzenia klastra podczas uruchamiania Windows Admin Center na serwerze zamiast komputera, musisz być członkiem grupy administratorzy bramy na serwerze Windows Admin Center. Aby uzyskać więcej informacji, zobacz Opcje dostępu użytkowników z Windows Admin Center.
Podczas uruchamiania kreatora tworzenia klastra dostawca CredSSP może zgłosić problem, jeśli relacja zaufania usługi Active Directory nie została ustanowiona lub została przerwana. Powoduje to, że serwery oparte na grupach roboczych są używane do tworzenia klastra. W takim przypadku spróbuj ręcznie uruchomić ponownie każdy serwer w klastrze.
Podczas uruchamiania Windows Admin Center na serwerze upewnij się, że konto użytkownika jest członkiem grupy administratorzy bramy.
Zalecamy uruchomienie Windows Admin Center na komputerze, który jest członkiem tej samej domeny co serwery zarządzane.
Aby włączyć lub wyłączyć program CredSSP na serwerze, upewnij się, że należysz do grupy administratorzy bramy na tym komputerze. Aby uzyskać więcej informacji, zobacz dwie pierwsze sekcje tematu Configure User Access Control and Permissions (Konfigurowanie Access Control użytkownika i uprawnienia).
Ponowne uruchomienie usługi WinRM na serwerach w klastrze może spowodować ponowne nawiązanie połączenia Usługi WinRM między każdym serwerem klastra a Windows Admin Center.
Jednym ze sposobów, aby to zrobić, jest przejście do każdego serwera klastra, a w Windows Admin Center w menu Narzędzia wybierz pozycję Usługi, wybierz pozycję WinRM, wybierz pozycję Uruchom ponownie, a następnie w wierszu polecenia Uruchom usługę wybierz pozycję Tak.
Ręczne rozwiązywanie problemów
Jeśli zostanie wyświetlony następujący komunikat o błędzie usługi WinRM, spróbuj wykonać kroki weryfikacji ręcznej w tej sekcji, aby rozwiązać ten problem. Przykładowy komunikat o błędzie:
Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.
Kroki weryfikacji ręcznej w tej sekcji wymagają skonfigurowania następujących komputerów:
- Komputer z systemem Windows Admin Center
- Serwer, na którym został wyświetlony komunikat o błędzie
Aby rozwiązać ten problem, spróbuj wykonać następujące kroki naprawcze zgodnie z potrzebami:
Środek 1:
Uruchom ponownie komputer z systemem Windows Admin Center i serwerem.
Spróbuj ponownie uruchomić kreatora tworzenia klastra.
Aby uzyskać szczegółowe informacje na temat uruchamiania kreatora, zobacz Tworzenie klastra usługi Azure Stack HCI przy użyciu Windows Admin Center.
Środek 2:
Na komputerze z systemem Windows Admin Center otwórz Windows PowerShell jako administrator i uruchom następujące polecenia:
Disable-WsmanCredSSP -Role ClientEnable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>Użyj funkcji RDP, aby nawiązać połączenie z serwerem, a następnie uruchom następujące polecenia programu PowerShell:
Disable-WsmanCredSSP -Role ServerEnable-WsmanCredSSP -Role ServerSpróbuj ponownie uruchomić kreatora tworzenia klastra.
Aby uzyskać szczegółowe informacje na temat uruchamiania kreatora, zobacz Tworzenie klastra usługi Azure Stack HCI przy użyciu Windows Admin Center.
Środek 3:
Na komputerze z systemem Windows Admin Center uruchom następujące polecenie programu PowerShell, aby sprawdzić nazwę główną usługi (SPN):
setspn -Q WSMAN/<Windows Admin Center Computer Name>Wynik powinien wyświetlić następujące dane wyjściowe:
WSMAN/<Windows Admin Center Computer Name>WSMAN/<Windows Admin Center Computer FQDN Name>Jeśli wyniki nie są wyświetlane, uruchom następujące polecenia programu PowerShell, aby zarejestrować nazwę SPN:
setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>Użyj funkcji RDP, aby nawiązać połączenie z serwerem, a następnie uruchom następujące polecenie programu PowerShell, aby sprawdzić nazwę SPN:
setspn -Q WSMAN/<Server Name>Wynik powinien wyświetlić następujące dane wyjściowe:
WSMAN/<Server Name>WSMAN/<Server FQDN Name>Jeśli wyniki nie są wyświetlane, uruchom następujące polecenia programu PowerShell, aby zarejestrować nazwę SPN:
setspn -S WSMAN/<Server Name> <Server Name>setspn -S WSMAN/<Server FQDN Name> <Server Name>Spróbuj ponownie uruchomić kreatora tworzenia klastra.
Aby uzyskać szczegółowe informacje na temat uruchamiania kreatora, zobacz Tworzenie klastra usługi Azure Stack HCI przy użyciu Windows Admin Center.
Środek 4:
Jeśli którekolwiek z poprzednich kroków zaradczych nie powiodło się lub nie zostało zakończone, może to wskazywać na konflikt rekordów w usłudze Active Directory. Możesz użyć innej nazwy komputera, aby zresetować rekord jako nowy rekord w usłudze Active Directory.
Aby zresetować rekord w usłudze Active Directory, zainstaluj ponownie system operacyjny Azure Stack HCI z nową nazwą komputera.
Środek 5:
Jeśli zostanie wyświetlony komunikat o błędzie, który zawiera wzmianki NTLM , spróbuj wykonać następujące czynności:
Na komputerze z uruchomioną Windows Admin Center (jedną z rolą CredSSP", uruchom następujące polecenie, aby zobaczyć, jakie zasady są skonfigurowane:
Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegationJeśli
AllowFreshCredentialsWithNTLMOnlybrakuje, uruchom polecenie:New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnlyNastępnie uruchom polecenie:
New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force
Następne kroki
Aby uzyskać więcej informacji na temat programu CredSSP, zobacz Dostawca pomocy technicznej zabezpieczeń poświadczeń.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla