CredSSP sorunlarını giderme

  • Makale

Şunlar için geçerlidir: Azure Stack HCI, sürüm 22H2 ve 21H2

Bazı Azure Stack HCI işlemleri, kimlik bilgisi temsilcisi seçmeye varsayılan olarak izin vermeyen Windows Uzaktan Yönetimi'ni (WinRM) kullanır. Temsilci seçmeye izin vermek için bilgisayarda Kimlik Bilgisi Güvenlik Desteği Sağlayıcısı'nın (CredSSP) geçici olarak etkinleştirilmesi gerekir. CredSSP, istemcinin kimlik bilgilerini uzaktan kimlik doğrulaması için bir sunucuya devretmesine olanak tanıyan bir güvenlik destek sağlayıcısıdır.

CredSSP'nin etkinleştirilmesi düzeyi düşürülmüş bir güvenlik duruşudur ve çoğu durumda görev veya işlem tamamlandıktan sonra devre dışı bırakılmalıdır.

CredSSP'nin etkinleştirilmesini gerektiren bazı görevler şunlardır:

  • Küme oluşturma sihirbazı iş akışı
  • Active Directory sorguları veya güncelleştirmeleri
  • Sorguları veya güncelleştirmeleri SQL Server
  • Farklı bir etki alanında veya etki alanına katılmamış ortamda hesapları veya bilgisayarları bulma

Sorun giderme ipuçları

CredSSP ile ilgili sorun yaşıyorsanız aşağıdaki sorun giderme ipuçları yardımcı olabilir:

  • Windows Admin Center bilgisayar yerine sunucuda çalıştırırken Küme Oluşturma sihirbazını kullanmak için Windows Admin Center sunucusundaki Ağ Geçidi yöneticileri grubunun üyesi olmanız gerekir. Daha fazla bilgi için bkz. Windows Admin Center ile kullanıcı erişimi seçenekleri.

  • Küme Oluşturma sihirbazını çalıştırırken, Active Directory güveni kurulmadıysa veya bozulursa CredSSP bir sorun bildirebilir. Bu, küme oluşturma için çalışma grubu tabanlı sunucular kullanıldığında sonuç verir. Bu durumda, kümedeki her sunucuyu el ile yeniden başlatmayı deneyin.

  • sunucuda Windows Admin Center çalıştırırken, kullanıcı hesabının Ağ Geçidi yöneticileri grubunun bir üyesi olduğundan emin olun.

  • Windows Admin Center yönetilen sunucuyla aynı etki alanının üyesi olan bir bilgisayarda çalıştırmanızı öneririz.

  • Bir sunucuda CredSSP'yi etkinleştirebilmek veya devre dışı bırakabilmek için bu bilgisayardaki Ağ Geçidi yöneticileri grubuna ait olduğunuzdan emin olun. Daha fazla bilgi için, Kullanıcı Access Control ve İzinleri Yapılandırma'nın ilk iki bölümüne bakın.

  • Kümedeki sunucularda WinRM hizmetini yeniden başlatmak, her küme sunucusu ile Windows Admin Center arasında WinRM bağlantısını yeniden kurmanızı isteyebilir.

    Bunu yapmak için her küme sunucusuna gidin ve Araçlar menüsündeki Windows Admin Center Hizmetler'i, WinRM'yi, Yeniden Başlat'ı ve ardından Hizmeti Yeniden Başlat isteminde Evet'i seçin.

El ile sorun giderme

Aşağıdaki WinRM hata iletisini alırsanız, hatayı çözmek için bu bölümdeki el ile doğrulama adımlarını kullanmayı deneyin. Örnek hata iletisi:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

Bu bölümdeki el ile doğrulama adımları aşağıdaki bilgisayarları yapılandırmanızı gerektirir:

  • Windows Admin Center çalıştıran bilgisayar
  • Hata iletisini aldığınız sunucu

Hatayı çözmek için aşağıdaki çözüm adımlarını gerektiği gibi deneyin:

Çözüm 1:

  1. Windows Admin Center ve sunucuyu çalıştıran bilgisayarı yeniden başlatın.

  2. Küme Oluşturma sihirbazını yeniden çalıştırmayı deneyin.

    Sihirbazı çalıştırma hakkında ayrıntılı bilgi için bkz. Windows Admin Center kullanarak Azure Stack HCI kümesi oluşturma.

Çözüm 2:

  1. Windows Admin Center çalıştıran bilgisayarda, Windows PowerShell yönetici olarak açın ve aşağıdaki komutları çalıştırın:

    Disable-WsmanCredSSP -Role Client  

    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>

  2. Sunucuya bağlanmak için RDP özelliğini kullanın ve ardından aşağıdaki PowerShell komutlarını çalıştırın:

    Disable-WsmanCredSSP -Role Server  

    Enable-WsmanCredSSP -Role Server

  3. Küme Oluşturma sihirbazını yeniden çalıştırmayı deneyin.

    Sihirbazı çalıştırma hakkında ayrıntılı bilgi için bkz. Windows Admin Center kullanarak Azure Stack HCI kümesi oluşturma.

Çözüm 3:

  1. Windows Admin Center çalıştıran bilgisayarda, Hizmet Asıl Adını (SPN) denetlemek için aşağıdaki PowerShell komutunu çalıştırın:

    setspn -Q WSMAN/<Windows Admin Center Computer Name>

    Sonuçta aşağıdaki çıkış listelenmelidir:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Sonuçlar listelenmiyorsa SPN'yi kaydetmek için aşağıdaki PowerShell komutlarını çalıştırın:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>

  3. Sunucuya bağlanmak için RDP özelliğini kullanın ve ardından SPN'yi denetlemek için aşağıdaki PowerShell komutunu çalıştırın:

    setspn -Q WSMAN/<Server Name>

    Sonuçta aşağıdaki çıkış listelenmelidir:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Sonuçlar listelenmiyorsa SPN'yi kaydetmek için aşağıdaki PowerShell komutlarını çalıştırın:

    setspn -S WSMAN/<Server Name> <Server Name>  

    setspn -S WSMAN/<Server FQDN Name> <Server Name>

  5. Küme Oluşturma sihirbazını yeniden çalıştırmayı deneyin.

    Sihirbazı çalıştırma hakkında ayrıntılı bilgi için bkz. Windows Admin Center kullanarak Azure Stack HCI kümesi oluşturma.

Çözüm 4:

Önceki çözüm adımlarından herhangi biri başarısız olduysa veya tamamlanamadıysa, bu Active Directory'de bir kayıt çakışması olduğunu gösterebilir. Active Directory'de kaydı yeni kayıt olarak sıfırlamak için farklı bir bilgisayar adı kullanabilirsiniz.

Active Directory'de kaydı sıfırlamak için Azure Stack HCI işletim sistemini yeni bir bilgisayar adıyla yeniden yükleyin.

Çözüm 5:

Gördüğünüz hata iletisinde bahsediliyorsa NTLM aşağıdakileri deneyin:

  1. Windows Admin Center çalıştıran bilgisayarda ("client" CredSSP rolüne sahip olan), hangi ilkelerin yapılandırıldığına bakmak için aşağıdaki komutu çalıştırın:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  2. Eksikse AllowFreshCredentialsWithNTLMOnly şunu çalıştırın:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    Ardından şunu çalıştırın:

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force

Sonraki adımlar

CredSSP hakkında daha fazla bilgi için bkz . Kimlik Bilgileri Güvenlik Desteği Sağlayıcısı.