Felsöka CredSSP
Gäller för: Azure Stack HCI, version 22H2
Vissa Azure Stack HCI-åtgärder använder Windows Remote Management (WinRM), som inte tillåter delegering av autentiseringsuppgifter som standard. För att tillåta delegering måste datorn ha CredSSP (CredSSP) aktiverat tillfälligt. CredSSP är en säkerhetssupportleverantör som gör att en klient kan delegera autentiseringsuppgifter till en server för fjärrautentisering.
Att aktivera CredSSP är en försämrad säkerhetsstatus och bör i de flesta fall inaktiveras när uppgiften eller åtgärden har slutförts.
Några uppgifter som kräver att CredSSP aktiveras är:
- Arbetsflöde för guiden Skapa kluster
- Active Directory-frågor eller uppdateringar
- SQL Server-frågor eller -uppdateringar
- Hitta konton eller datorer i en annan domän eller icke-domänansluten miljö
Felsökningstips
Om du får problem med CredSSP kan följande felsökningstips vara till hjälp:
Om du vill använda guiden Skapa kluster när du kör Administrationscenter för Windows på en server i stället för en dator måste du vara medlem i gruppen Gateway-administratörer på Windows Admin Center-servern. Mer information finns i Alternativ för användaråtkomst med Windows Administrationscenter.
När du kör guiden Skapa kluster kan CredSSP rapportera ett problem om ett Active Directory-förtroende inte har upprättats eller är brutet. Detta resulterar när arbetsgruppsbaserade servrar används för att skapa kluster. I det här fallet kan du prova att starta om varje server manuellt i klustret.
När du kör Windows Admin Center på en server kontrollerar du att användarkontot är medlem i gruppen Gateway-administratörer.
Vi rekommenderar att du kör Windows Admin Center på en dator som är medlem i samma domän som de hanterade servrarna.
För att kunna aktivera eller inaktivera CredSSP på en server kontrollerar du att du tillhör gruppen Gatewayadministratörer på datorn. Mer information finns i de två första avsnitten i Konfigurera användaråtkomstkontroll och behörigheter.
Om du startar om WinRM-tjänsten på servrarna i klustret kan du uppmanas att återupprätta WinRM-anslutningen mellan varje klusterserver och Windows Admin Center.
Ett sätt att göra detta är genom att gå till varje klusterserver, och i Windows Administrationscenter på menyn Verktyg väljer du Tjänster, väljer WinRM, väljer Starta om och väljer sedan Ja i prompten Starta om tjänsten.
Manuell felsökning
Om du får följande WinRM-felmeddelande kan du prova att använda de manuella verifieringsstegen i det här avsnittet för att lösa felet. Exempel på felmeddelande:
Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.
De manuella verifieringsstegen i det här avsnittet kräver att du konfigurerar följande datorer:
- Datorn som kör Administrationscenter för Windows
- Servern där du fick felmeddelandet
Lös felet genom att prova följande åtgärdssteg efter behov:
Åtgärd 1:
Starta om datorn som kör Windows Admin Center och servern.
Prova att köra guiden Skapa kluster igen.
Mer information om hur du kör guiden finns i Skapa ett Azure Stack HCI-kluster med hjälp av Windows Admin Center.
Åtgärd 2:
På datorn som kör Windows Admin Center öppnar du Windows PowerShell som administratör och kör följande kommandon:
Disable-WsmanCredSSP -Role ClientEnable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>Använd RDP-funktionen för att ansluta till servern och kör sedan följande PowerShell-kommandon:
Disable-WsmanCredSSP -Role ServerEnable-WsmanCredSSP -Role ServerProva att köra guiden Skapa kluster igen.
Mer information om hur du kör guiden finns i Skapa ett Azure Stack HCI-kluster med hjälp av Windows Admin Center.
Åtgärd 3:
På datorn som kör Windows Admin Center kör du följande PowerShell-kommando för att kontrollera tjänstens huvudnamn (SPN):
setspn -Q WSMAN/<Windows Admin Center Computer Name>Resultatet bör visa följande utdata:
WSMAN/<Windows Admin Center Computer Name>WSMAN/<Windows Admin Center Computer FQDN Name>Om resultatet inte visas kör du följande PowerShell-kommandon för att registrera SPN:
setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>Använd RDP-funktionen för att ansluta till servern och kör sedan följande PowerShell-kommando för att kontrollera SPN:
setspn -Q WSMAN/<Server Name>Resultatet bör visa följande utdata:
WSMAN/<Server Name>WSMAN/<Server FQDN Name>Om resultatet inte visas kör du följande PowerShell-kommandon för att registrera SPN:
setspn -S WSMAN/<Server Name> <Server Name>setspn -S WSMAN/<Server FQDN Name> <Server Name>Prova att köra guiden Skapa kluster igen.
Mer information om hur du kör guiden finns i Skapa ett Azure Stack HCI-kluster med hjälp av Windows Admin Center.
Åtgärd 4:
Om något av de föregående åtgärdsstegen misslyckades eller inte slutfördes kan detta tyda på en postkonflikt i Active Directory. Du kan använda ett annat datornamn för att återställa posten som en ny post i Active Directory.
Om du vill återställa posten i Active Directory installerar du om operativsystemet Azure Stack HCI med ett nytt datornamn.
Åtgärd 5:
Om felmeddelandet du ser nämns NTLM kan du prova följande:
Kör följande kommando på datorn som kör Windows Admin Center (det med rollen "klient" CredSSP) för att se vilka principer som har konfigurerats:
Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegationOm
AllowFreshCredentialsWithNTLMOnlysaknas kör du:New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnlyKör sedan:
New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force
Nästa steg
Mer information om CredSSP finns i Credential Security Support Provider.