Поделиться через


Устранение неполадок CredSSP

Область применения: локальная версия Azure, версия 22H2

Внимание

Azure Stack HCI теперь является частью Azure Local. Выполняется переименование документации по продукту. Однако старые версии Azure Stack HCI, например 22H2, будут продолжать ссылаться на Azure Stack HCI и не отражают изменение имени. Подробнее.

Некоторые операции Azure Stack HCI используют удаленное управление Windows (WinRM), что по умолчанию не разрешает делегирование учетных данных. Чтобы разрешить делегирование, компьютеру необходимо временно включить поставщик поддержки безопасности учетных данных (CredSSP). CredSSP — это поставщик поддержки безопасности, который позволяет клиенту делегировать учетные данные серверу для удаленной проверки подлинности.

Включение CredSSP является пониженным состоянием безопасности, и в большинстве случаев следует отключить после завершения задачи или операции.

Некоторые задачи, требующие включения CredSSP, включают:

  • Рабочий процесс создания кластера
  • Запросы или обновления Active Directory
  • Запросы или обновления SQL Server
  • Поиск учетных записей или компьютеров в другой среде, присоединенной к домену или не к домену

Советы по устранению неполадок

Если у вас возникли проблемы с CredSSP, могут помочь следующие советы по устранению неполадок:

  • Чтобы использовать мастер создания кластера при запуске Windows Admin Center на сервере вместо компьютера, необходимо быть членом группы администраторов шлюза на сервере Windows Admin Center. Дополнительные сведения см. в разделе "Параметры доступа пользователей" в Windows Admin Center.

  • При запуске мастера создания кластера CredSSP может сообщить о проблеме, если доверие Active Directory не установлено или не работает. Это приводит к использованию серверов на основе рабочей группы для создания кластера. В этом случае попробуйте вручную перезапустить каждый сервер в кластере.

  • При запуске Windows Admin Center на сервере убедитесь, что учетная запись пользователя входит в группу администраторов шлюза.

  • Рекомендуется запустить Windows Admin Center на компьютере, который является членом того же домена, что и управляемые серверы.

  • Чтобы включить или отключить CredSSP на сервере, убедитесь, что вы принадлежите группе администраторов шлюза на этом компьютере. Дополнительные сведения см. в первых двух разделах "Настройка пользовательских контроль доступа и разрешений".

  • Перезапуск службы WinRM на серверах в кластере может предложить повторно установить подключение WinRM между каждым сервером кластера и Центром администрирования Windows.

    Это можно сделать, перейдя на каждый сервер кластера и в Windows Admin Center в меню "Сервис", выберите "Службы", выберите "WinRM", выберите "Перезапустить", а затем в командной строке "Перезапустить службу" нажмите кнопку "Да".

Устранение неполадок вручную

Если вы получите следующее сообщение об ошибке WinRM, попробуйте выполнить действия проверки вручную, описанные в этом разделе, чтобы устранить эту ошибку. Пример сообщения об ошибке:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

Действия по проверке вручную в этом разделе требуют настройки следующих компьютеров:

  • Компьютер под управлением Windows Admin Center
  • Сервер, на котором вы получили сообщение об ошибке

Чтобы устранить эту ошибку, выполните следующие действия по устранению неполадок.

Исправление 1.

  1. Перезапустите компьютер под управлением Windows Admin Center и сервера.

  2. Повторите попытку запуска мастера создания кластера.

    Дополнительные сведения о запуске мастера см. в статье "Создание кластера Azure Stack HCI" с помощью Windows Admin Center.

Исправление 2.

  1. На компьютере под управлением Windows Admin Center откройте Windows PowerShell от имени администратора и выполните следующие команды:

    Disable-WsmanCredSSP -Role Client  
    
    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>
    
  2. Используйте функцию RDP для подключения к серверу, а затем выполните следующие команды PowerShell:

    Disable-WsmanCredSSP -Role Server  
    
    Enable-WsmanCredSSP -Role Server  
    
  3. Повторите попытку запуска мастера создания кластера.

    Дополнительные сведения о запуске мастера см. в статье "Создание кластера Azure Stack HCI" с помощью Windows Admin Center.

Исправление 3.

  1. На компьютере под управлением Windows Admin Center выполните следующую команду PowerShell, чтобы проверить имя субъекта-службы (SPN):

    setspn -Q WSMAN/<Windows Admin Center Computer Name>  
    

    Результат должен выводить следующие выходные данные:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Если результаты не указаны, выполните следующие команды PowerShell, чтобы зарегистрировать имя субъекта-службы:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  
    
    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>  
    
  3. Используйте функцию RDP для подключения к серверу, а затем выполните следующую команду PowerShell, чтобы проверить имя субъекта-службы:

    setspn -Q WSMAN/<Server Name>  
    

    Результат должен выводить следующие выходные данные:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Если результаты не указаны, выполните следующие команды PowerShell, чтобы зарегистрировать имя субъекта-службы:

    setspn -S WSMAN/<Server Name> <Server Name>  
    
    setspn -S WSMAN/<Server FQDN Name> <Server Name>  
    
  5. Повторите попытку запуска мастера создания кластера.

    Дополнительные сведения о запуске мастера см. в статье "Создание кластера Azure Stack HCI" с помощью Windows Admin Center.

Исправление 4.

Если какой-либо из предыдущих шагов исправления завершился или не выполнен, это может указывать на конфликт записей в Active Directory. Для сброса записи в Active Directory можно использовать другое имя компьютера.

Чтобы сбросить запись в Active Directory, переустановите операционную систему Azure Stack HCI с новым именем компьютера.

Исправление 5:

Если отображается сообщение об ошибке, NTLM попробуйте следующее:

  1. На компьютере под управлением Windows Admin Center (один с ролью CredSSP клиента) выполните следующую команду, чтобы узнать, какие политики настроены:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
    
  2. Если AllowFreshCredentialsWithNTLMOnly отсутствует, выполните следующую команду:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly
    

    Затем запустите:

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force
    

Следующие шаги

Дополнительные сведения о CredSSP см. в разделе "Поставщик поддержки безопасности учетных данных".