Compartilhar via

Solucionar problemas do CredSSP

  • Artigo

Aplica-se a: Azure Stack HCI, versão 22H2

Algumas operações do Azure Stack HCI usam o WinRM (Gerenciamento Remoto do Windows), que não permite a delegação de credenciais por padrão. Para permitir a delegação, o computador precisará ter o CredSSP (Credential Security Support Provider) habilitado temporariamente. O CredSSP é um provedor de suporte de segurança que permite que um cliente delegue credenciais a um servidor para autenticação remota.

Habilitar o CredSSP é uma postura de segurança degradada e, na maioria das circunstâncias, deve ser desabilitada após a conclusão da tarefa ou operação.

Algumas tarefas que exigem que o CredSSP seja habilitado incluem:

  • Fluxo de trabalho do assistente Criar cluster
  • Consultas ou atualizações do Active Directory
  • Consultas ou atualizações do SQL Server
  • Localizando contas ou computadores em um domínio diferente ou em um ambiente não ingressado no domínio

Dicas de solução de problemas

Se você tiver problemas com o CredSSP, as seguintes dicas de solução de problemas podem ajudar:

  • Para usar o assistente Criar Cluster ao executar Windows Admin Center em um servidor em vez de em um computador, você deve ser membro do grupo Administradores de gateway no servidor Windows Admin Center. Para obter mais informações, consulte Opções de acesso do usuário com Windows Admin Center.

  • Ao executar o assistente Criar Cluster, o CredSSP pode relatar um problema se uma relação de confiança do Active Directory não for estabelecida ou estiver quebrada. Isso ocorre quando servidores baseados em grupo de trabalho são usados para criação de cluster. Nesse caso, tente reiniciar manualmente cada servidor no cluster.

  • Ao executar Windows Admin Center em um servidor, verifique se a conta de usuário é membro do grupo Administradores do gateway.

  • É recomendável executar Windows Admin Center em um computador que seja membro do mesmo domínio que os servidores gerenciados.

  • Para poder habilitar ou desabilitar o CredSSP em um servidor, verifique se você pertence ao grupo Administradores do Gateway nesse computador. Para obter mais informações, consulte as duas primeiras seções de Configurar o controle de acesso e as permissões do usuário.

  • Reiniciar o serviço WinRM nos servidores no cluster pode solicitar que você restabeleça a conexão WinRM entre cada servidor de cluster e Windows Admin Center.

    Uma maneira de fazer isso é acessando cada servidor de cluster e, no Windows Admin Center, no menu Ferramentas , selecione Serviços, selecione WinRM, selecione Reiniciar e, em seguida, no prompt Reiniciar Serviço , selecione Sim.

Solução de problemas manual

Se você receber a seguinte mensagem de erro do WinRM, tente usar as etapas de verificação manual nesta seção para resolver o erro. Mensagem de erro de exemplo:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

As etapas de verificação manual nesta seção exigem que você configure os seguintes computadores:

  • O computador que executa o Windows Admin Center
  • O servidor onde você recebeu a mensagem de erro

Para resolver o erro, tente as seguintes etapas de correção, conforme necessário:

Remédio 1:

  1. Reinicie o computador que executa o Windows Admin Center e o servidor.

  2. Tente executar o assistente Criar Cluster novamente.

    Para obter detalhes sobre como executar o assistente, consulte Criar um cluster do Azure Stack HCI usando o Windows Admin Center.

Remédio 2:

  1. No computador que executa o Windows Admin Center, abra o Windows PowerShell como administrador e execute os seguintes comandos:

    Disable-WsmanCredSSP -Role Client  

    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>

  2. Use o recurso RDP para se conectar ao servidor e execute os seguintes comandos do PowerShell:

    Disable-WsmanCredSSP -Role Server  

    Enable-WsmanCredSSP -Role Server

  3. Tente executar o assistente Criar Cluster novamente.

    Para obter detalhes sobre como executar o assistente, consulte Criar um cluster do Azure Stack HCI usando o Windows Admin Center.

Solução 3:

  1. No computador que executa o Windows Admin Center, execute o seguinte comando do PowerShell para verificar o SPN (Nome da Entidade de Serviço):

    setspn -Q WSMAN/<Windows Admin Center Computer Name>

    O resultado deve listar a seguinte saída:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Se os resultados não estiverem listados, execute os seguintes comandos do PowerShell para registrar o SPN:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>

  3. Use o recurso RDP para se conectar ao servidor e execute o seguinte comando do PowerShell para verificar o SPN:

    setspn -Q WSMAN/<Server Name>

    O resultado deve listar a seguinte saída:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Se os resultados não estiverem listados, execute os seguintes comandos do PowerShell para registrar o SPN:

    setspn -S WSMAN/<Server Name> <Server Name>  

    setspn -S WSMAN/<Server FQDN Name> <Server Name>

  5. Tente executar o assistente Criar Cluster novamente.

    Para obter detalhes sobre como executar o assistente, consulte Criar um cluster do Azure Stack HCI usando o Windows Admin Center.

Remédio 4:

Se qualquer uma das etapas de correção anteriores falhar ou não for concluída, isso poderá indicar um conflito de registro no Active Directory. Você pode usar um nome de computador diferente para redefinir o registro como um novo registro no Active Directory.

Para redefinir o registro no Active Directory, reinstale o sistema operacional Azure Stack HCI com um novo nome de computador.

Solução 5:

Se a mensagem de erro que você está vendo mencionar NTLM , tente o seguinte:

  1. No computador que executa o Windows Admin Center (aquele com a função CredSSP "cliente"), execute o seguinte comando para ver quais políticas estão configuradas:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  2. Se AllowFreshCredentialsWithNTLMOnly estiver faltando, execute:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    Em seguida, execute:

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force

Próximas etapas

Para obter mais informações sobre o CredSSP, consulte Provedor de suporte de segurança de credenciais.