針對 CredSSP 進行疑難排解
適用於:Azure Stack HCI 版本 22H2
某些 Azure Stack HCI 作業使用 Windows 遠端管理 (WinRM),預設不允許認證委派。 若要允許委派,電腦必須暫時啟用認證安全性支援提供者 (CredSSP)。 CredSSP 是安全性支援提供者,可讓客戶端將認證委派給伺服器進行遠端驗證。
啟用 CredSSP 是降級的安全性狀態,在工作或作業完成之後,應該停用大部分情況。
需要啟用 CredSSP 的部分工作包括:
- 建立叢集精靈工作流程
- Active Directory 查詢或更新
- SQL Server 查詢或更新
- 在不同的網域或未加入網域的環境中尋找帳戶或計算機
疑難排解秘訣
如果您遇到 CredSSP 的問題,下列疑難解答秘訣可能會有説明:
若要在伺服器上執行 Windows Admin Center 而非計算機時使用 [建立叢集精靈],您必須是 Windows Admin Center 伺服器上的閘道系統管理員群組成員。 如需詳細資訊,請參閱 使用 Windows Admin Center 的使用者存取選項。
執行 [建立叢集精靈] 時,如果 Active Directory 信任未建立或中斷,CredSSP 可能會回報問題。 當工作組型伺服器用於叢集建立時,就會產生此結果。 在此情況下,請嘗試手動重新啟動叢集中的每部伺服器。
在伺服器上執行 Windows Admin Center 時,請確定使用者帳戶是閘道系統管理員群組的成員。
我們建議在與受管理伺服器相同網域成員的計算機上執行 Windows Admin Center。
若要能夠在伺服器上啟用或停用 CredSSP,請確定您屬於該電腦上的閘道系統管理員群組。 如需詳細資訊,請參閱設定使用者 存取控制 和許可權的前兩節。
重新啟動叢集中伺服器上的 WinRM 服務可能會提示您重新建立每個叢集伺服器與 Windows Admin Center 之間的 WinRM 連線。
其中一種方法是移至每個叢集伺服器,然後在 [工具] 功能表上的 [Windows Admin Center] 中,選取 [服務],選取 [WinRM],選取 [重新啟動],然後在 [重新啟動服務] 提示字元中,選取 [是]。
手動疑難解答
如果您收到下列 WinRM 錯誤訊息,請嘗試使用本節中的手動驗證步驟來解決錯誤。 錯誤訊息範例:
Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.
本節中的手動驗證步驟會要求您設定下列計算機:
- 執行 Windows Admin Center 的電腦
- 您收到錯誤訊息的伺服器
若要解決錯誤,請視需要嘗試下列補救步驟:
補救 1:
重新啟動執行 Windows Admin Center 和伺服器的電腦。
再次嘗試執行 [建立叢集精靈]。
如需執行精靈的詳細資訊,請參閱 使用 Windows Admin Center 建立 Azure Stack HCI 叢集。
補救 2:
在執行 Windows Admin Center 的計算機上,以系統管理員身分開啟 Windows PowerShell,然後執行下列命令:
Disable-WsmanCredSSP -Role Client
Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>
使用 RDP 功能連線到伺服器,然後執行下列 PowerShell 命令:
Disable-WsmanCredSSP -Role Server
Enable-WsmanCredSSP -Role Server
再次嘗試執行 [建立叢集精靈]。
如需執行精靈的詳細資訊,請參閱 使用 Windows Admin Center 建立 Azure Stack HCI 叢集。
補救 3:
在執行 Windows Admin Center 的電腦上,執行下列 PowerShell 命令來檢查服務主體名稱 (SPN):
setspn -Q WSMAN/<Windows Admin Center Computer Name>
結果應該會列出下列輸出:
WSMAN/<Windows Admin Center Computer Name>
WSMAN/<Windows Admin Center Computer FQDN Name>
如果未列出結果,請執行下列 PowerShell 命令來註冊 SPN:
setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>
setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>
使用 RDP 功能連線到伺服器,然後執行下列 PowerShell 命令來檢查 SPN:
setspn -Q WSMAN/<Server Name>
結果應該會列出下列輸出:
WSMAN/<Server Name>
WSMAN/<Server FQDN Name>
如果未列出結果,請執行下列 PowerShell 命令來註冊 SPN:
setspn -S WSMAN/<Server Name> <Server Name>
setspn -S WSMAN/<Server FQDN Name> <Server Name>
再次嘗試執行 [建立叢集精靈]。
如需執行精靈的詳細資訊,請參閱 使用 Windows Admin Center 建立 Azure Stack HCI 叢集。
補救 4:
如果上述任何補救步驟失敗或未完成,這可能表示 Active Directory 中的記錄衝突。 您可以使用不同的電腦名稱,將記錄重設為 Active Directory 中的新記錄。
若要重設 Active Directory 中的記錄,請使用新的電腦名稱重新安裝 Azure Stack HCI 操作系統。
補救 5:
如果您看到的錯誤訊息提及, NTLM
請嘗試下列動作:
在執行 Windows Admin Center 的電腦上(具有 “client” CredSSP 角色的計算機上,執行下列命令以查看已設定的原則:
Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
如果
AllowFreshCredentialsWithNTLMOnly
遺失,請執行:New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly
然後執行:
New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force
下一步
如需 CredSSP 的詳細資訊,請參閱 認證安全性支援提供者。