Aracılığıyla paylaş

CredSSP sorunlarını giderme

  • Makale

Şunlar için geçerlidir: Azure Stack HCI, sürüm 22H2

Bazı Azure Stack HCI işlemleri, varsayılan olarak kimlik bilgisi temsilcisi seçmeye izin vermeyen Windows Uzaktan Yönetimi 'ni (WinRM) kullanır. Temsilci seçmeye izin vermek için bilgisayarda Kimlik Bilgisi Güvenlik Destek Sağlayıcısı'nın (CredSSP) geçici olarak etkinleştirilmesi gerekir. CredSSP, istemcinin kimlik bilgilerini uzaktan kimlik doğrulaması için bir sunucuya devretmesine olanak tanıyan bir güvenlik destek sağlayıcısıdır.

CredSSP'nin etkinleştirilmesi düzeyi düşürülmüş bir güvenlik duruşudur ve çoğu durumda görev veya işlem tamamlandıktan sonra devre dışı bırakılmalıdır.

CredSSP'nin etkinleştirilmesini gerektiren bazı görevler şunlardır:

  • Küme oluşturma sihirbazı iş akışı
  • Active Directory sorguları veya güncelleştirmeleri
  • SQL Server sorguları veya güncelleştirmeleri
  • Farklı bir etki alanında veya etki alanına katılmamış ortamda hesapları veya bilgisayarları bulma

Sorun giderme ipuçları

CredSSP ile ilgili sorunlarla karşılaşırsanız aşağıdaki sorun giderme ipuçları yardımcı olabilir:

  • Windows Yönetim Merkezi'ni bilgisayar yerine bir sunucuda çalıştırırken Küme Oluşturma sihirbazını kullanmak için, Windows Admin Center sunucusundaki Ağ Geçidi yöneticileri grubunun bir üyesi olmanız gerekir. Daha fazla bilgi için bkz . Windows Yönetim Merkezi ile kullanıcı erişimi seçenekleri.

  • Küme Oluşturma sihirbazını çalıştırırken, Active Directory güveni kurulmadıysa veya bozulursa CredSSP bir sorun bildirebilir. Bu, küme oluşturma için çalışma grubu tabanlı sunucular kullanıldığında sonuç verir. Bu durumda, kümedeki her sunucuyu el ile yeniden başlatmayı deneyin.

  • Windows Admin Center'ı bir sunucuda çalıştırırken, kullanıcı hesabının Ağ Geçidi yöneticileri grubunun üyesi olduğundan emin olun.

  • Yönetilen sunucuyla aynı etki alanının üyesi olan bir bilgisayarda Windows Admin Center'ı çalıştırmanızı öneririz.

  • Bir sunucuda CredSSP'yi etkinleştirebilmek veya devre dışı bırakabilmek için, o bilgisayardaki Ağ Geçidi yöneticileri grubuna ait olduğunuzdan emin olun. Daha fazla bilgi için Kullanıcı Erişim Denetimini ve İzinlerini Yapılandırma'nın ilk iki bölümüne bakın.

  • Kümedeki sunucularda WinRM hizmetini yeniden başlatmak, her küme sunucusu ile Windows Yönetim Merkezi arasında WinRM bağlantısını yeniden kurmanızı isteyebilir.

    Bunu yapmak için her küme sunucusuna gidin ve Araçlar menüsünde Windows Yönetim Merkezi'nde Hizmetler'i, WinRM'yi, Yeniden Başlat'ı ve ardından Hizmeti Yeniden Başlat isteminde Evet'i seçin.

El ile sorun giderme

Aşağıdaki WinRM hata iletisini alırsanız, hatayı çözmek için bu bölümdeki el ile doğrulama adımlarını kullanmayı deneyin. Örnek hata iletisi:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

Bu bölümdeki el ile doğrulama adımları aşağıdaki bilgisayarları yapılandırmanızı gerektirir:

  • Windows Admin Center çalıştıran bilgisayar
  • Hata iletisini aldığınız sunucu

Hatayı çözmek için aşağıdaki çözüm adımlarını gerektiği gibi deneyin:

Çözüm 1:

  1. Windows Admin Center'ı ve sunucuyu çalıştıran bilgisayarı yeniden başlatın.

  2. Küme Oluşturma sihirbazını yeniden çalıştırmayı deneyin.

    Sihirbazı çalıştırma hakkında ayrıntılı bilgi için bkz . Windows Admin Center kullanarak Azure Stack HCI kümesi oluşturma.

Çözüm 2:

  1. Windows Yönetim Merkezi'ni çalıştıran bilgisayarda, Windows PowerShell'i yönetici olarak açın ve aşağıdaki komutları çalıştırın:

    Disable-WsmanCredSSP -Role Client  

    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>

  2. Sunucuya bağlanmak için RDP özelliğini kullanın ve ardından aşağıdaki PowerShell komutlarını çalıştırın:

    Disable-WsmanCredSSP -Role Server  

    Enable-WsmanCredSSP -Role Server

  3. Küme Oluşturma sihirbazını yeniden çalıştırmayı deneyin.

    Sihirbazı çalıştırma hakkında ayrıntılı bilgi için bkz . Windows Admin Center kullanarak Azure Stack HCI kümesi oluşturma.

Çözüm 3:

  1. Windows Admin Center çalıştıran bilgisayarda, Hizmet Asıl Adını (SPN) denetlemek için aşağıdaki PowerShell komutunu çalıştırın:

    setspn -Q WSMAN/<Windows Admin Center Computer Name>

    Sonuç aşağıdaki çıkışı listelemelidir:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Sonuçlar listelenmiyorsa SPN'yi kaydetmek için aşağıdaki PowerShell komutlarını çalıştırın:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>

  3. Sunucuya bağlanmak için RDP özelliğini kullanın ve ardından SPN'yi denetlemek için aşağıdaki PowerShell komutunu çalıştırın:

    setspn -Q WSMAN/<Server Name>

    Sonuç aşağıdaki çıkışı listelemelidir:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Sonuçlar listelenmiyorsa SPN'yi kaydetmek için aşağıdaki PowerShell komutlarını çalıştırın:

    setspn -S WSMAN/<Server Name> <Server Name>  

    setspn -S WSMAN/<Server FQDN Name> <Server Name>

  5. Küme Oluşturma sihirbazını yeniden çalıştırmayı deneyin.

    Sihirbazı çalıştırma hakkında ayrıntılı bilgi için bkz . Windows Admin Center kullanarak Azure Stack HCI kümesi oluşturma.

Çözüm 4:

Önceki düzeltme adımlarından herhangi biri başarısız olduysa veya tamamlanmadıysa, bu Active Directory'de bir kayıt çakışması olduğunu gösterebilir. Kaydı Active Directory'de yeni kayıt olarak sıfırlamak için farklı bir bilgisayar adı kullanabilirsiniz.

Active Directory'deki kaydı sıfırlamak için Azure Stack HCI işletim sistemini yeni bir bilgisayar adıyla yeniden yükleyin.

Çözüm 5:

Gördüğünüz hata iletisinde bahsediliyorsa NTLM aşağıdakileri deneyin:

  1. Windows Yönetim Merkezi'ni ("client" CredSSP rolüne sahip olan) çalıştıran bilgisayarda, hangi ilkelerin yapılandırıldığını görmek için aşağıdaki komutu çalıştırın:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  2. Eksikse AllowFreshCredentialsWithNTLMOnly şunu çalıştırın:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    Ardından şunu çalıştırın:

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force

Sonraki adımlar

CredSSP hakkında daha fazla bilgi için bkz . Kimlik Bilgisi Güvenliği Destek Sağlayıcısı.