Resolver problemas de CredSSP
Aplica-se a: Azure Stack HCI, versão 22H2
Algumas operações HCI do Azure Stack usam o Gerenciamento Remoto do Windows (WinRM), que não permite a delegação de credenciais por padrão. Para permitir a delegação, o computador precisa ter o CredSSP (Credential Security Support Provider) habilitado temporariamente. CredSSP é um provedor de suporte de segurança que permite que um cliente delegue credenciais a um servidor para autenticação remota.
Habilitar o CredSSP é uma postura de segurança degradada e, na maioria das circunstâncias, deve ser desabilitada após a conclusão da tarefa ou operação.
Algumas tarefas que exigem que o CredSSP seja habilitado incluem:
- Fluxo de trabalho do assistente Criar Cluster
- Consultas ou atualizações do Ative Directory
- Consultas ou atualizações do SQL Server
- Localizando contas ou computadores em um domínio diferente ou ambiente que não ingressou no domínio
Sugestões de resolução de problemas
Se você tiver problemas com o CredSSP, as seguintes dicas de solução de problemas podem ajudar:
Para usar o assistente Criar Cluster ao executar o Windows Admin Center em um servidor em vez de um computador, você deve ser membro do grupo Administradores de gateway no servidor do Windows Admin Center. Para obter mais informações, consulte Opções de acesso do usuário com o Windows Admin Center.
Ao executar o assistente Criar Cluster, o CredSSP pode relatar um problema se uma relação de confiança do Ative Directory não for estabelecida ou for quebrada. Isso resulta quando servidores baseados em grupo de trabalho são usados para a criação de clusters. Nesse caso, tente reiniciar manualmente cada servidor no cluster.
Ao executar o Windows Admin Center em um servidor, verifique se a conta de usuário é membro do grupo Administradores de gateway.
Recomendamos executar o Windows Admin Center em um computador que seja membro do mesmo domínio que os servidores gerenciados.
Para poder habilitar ou desabilitar o CredSSP em um servidor, verifique se você pertence ao grupo de administradores de gateway nesse computador. Para obter mais informações, consulte as duas primeiras seções de Configurar controle de acesso de usuário e permissões.
Reiniciar o serviço WinRM nos servidores no cluster pode solicitar que você restabeleça a conexão do WinRM entre cada servidor de cluster e o Windows Admin Center.
Uma maneira de fazer isso é indo para cada servidor de cluster e, no Windows Admin Center, no menu Ferramentas , selecione Serviços, selecione WinRM, selecione Reiniciar e, no prompt Reiniciar Serviço , selecione Sim.
Solução de problemas manual
Se você receber a seguinte mensagem de erro do WinRM, tente usar as etapas de verificação manual nesta seção para resolver o erro. Exemplo de mensagem de erro:
Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.
As etapas de verificação manual nesta seção exigem que você configure os seguintes computadores:
- O computador que executa o Windows Admin Center
- O servidor onde recebeu a mensagem de erro
Para resolver o erro, tente as seguintes etapas de reparação, conforme necessário:
Solução 1:
Reinicie o computador que executa o Windows Admin Center e o servidor.
Tente executar o assistente Criar cluster novamente.
Para obter detalhes sobre como executar o assistente, consulte Criar um cluster HCI do Azure Stack usando o Windows Admin Center.
Solução 2:
No computador que executa o Windows Admin Center, abra o Windows PowerShell como administrador e execute os seguintes comandos:
Disable-WsmanCredSSP -Role Client
Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>
Use o recurso RDP para se conectar ao servidor e execute os seguintes comandos do PowerShell:
Disable-WsmanCredSSP -Role Server
Enable-WsmanCredSSP -Role Server
Tente executar o assistente Criar cluster novamente.
Para obter detalhes sobre como executar o assistente, consulte Criar um cluster HCI do Azure Stack usando o Windows Admin Center.
Solução 3:
No computador que executa o Windows Admin Center, execute o seguinte comando do PowerShell para verificar o SPN (Nome da Entidade de Serviço):
setspn -Q WSMAN/<Windows Admin Center Computer Name>
O resultado deve listar a seguinte saída:
WSMAN/<Windows Admin Center Computer Name>
WSMAN/<Windows Admin Center Computer FQDN Name>
Se os resultados não estiverem listados, execute os seguintes comandos do PowerShell para registrar o SPN:
setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>
setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>
Use o recurso RDP para se conectar ao servidor e execute o seguinte comando do PowerShell para verificar o SPN:
setspn -Q WSMAN/<Server Name>
O resultado deve listar a seguinte saída:
WSMAN/<Server Name>
WSMAN/<Server FQDN Name>
Se os resultados não estiverem listados, execute os seguintes comandos do PowerShell para registrar o SPN:
setspn -S WSMAN/<Server Name> <Server Name>
setspn -S WSMAN/<Server FQDN Name> <Server Name>
Tente executar o assistente Criar cluster novamente.
Para obter detalhes sobre como executar o assistente, consulte Criar um cluster HCI do Azure Stack usando o Windows Admin Center.
Solução 4:
Se qualquer uma das etapas de correção anteriores falhar ou não for concluída, isso pode indicar um conflito de registro no Ative Directory. Você pode usar um nome de computador diferente para redefinir o registro como um novo registro no Ative Directory.
Para redefinir o registro no Ative Directory, reinstale o sistema operacional Azure Stack HCI com um novo nome de computador.
Solução 5:
Se a mensagem de erro que você está vendo mencionar NTLM
, tente o seguinte:
No computador que executa o Windows Admin Center (aquele com a função CredSSP "cliente"), execute o seguinte comando para ver quais políticas estão configuradas:
Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
Se
AllowFreshCredentialsWithNTLMOnly
estiver faltando, execute:New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly
Em seguida, execute:
New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force
Próximos passos
Para obter mais informações sobre o CredSSP, consulte Credential Security Support Provider.