Odstraňování potíží s chybou CredSSP

Platí pro: Azure Stack HCI, verze 21H2 a 20H2

Některé Azure Stack HCI používají Windows (WinRM), která ve výchozím nastavení neumožňuje delegování přihlašovacích údajů. Aby bylo možné delegování povolit, musí mít počítač dočasně povoleného zprostředkovatele podpory zabezpečení přihlašovacích údajů (CredSSP). CredSSP je zprostředkovatel podpory zabezpečení, který umožňuje klientovi delegovat přihlašovací údaje na server pro vzdálené ověřování.

Povolení CredSSP je snížený výkon zabezpečení a ve většině případů by se po dokončení úlohy nebo operace mělo zakázat.

Mezi úlohy, které vyžadují povolení CredSSP, patří:

  • Pracovní postup průvodce vytvořením clusteru
  • Dotazy nebo aktualizace služby Active Directory
  • SQL Server dotazy nebo aktualizace
  • Vyhledání účtů nebo počítačů v jiném prostředí domény nebo prostředí, které není připojené k doméně

Rady pro řešení potíží

Pokud máte problémy s CredSSP, můžou vám pomoct následující tipy pro řešení potíží:

  • Pokud chcete průvodce vytvořením clusteru použít při spuštění centra Windows Admin Center na serveru místo počítače, musíte být členem skupiny Správci brány na serveru Windows Admin Center. Další informace najdete v tématu Možnosti uživatelského přístupu v Windows Admin Center.

  • Při spuštění průvodce vytvořením clusteru může CredSSP nahlásit problém, pokud není vytvořen vztah důvěryhodnosti služby Active Directory nebo je porušený. Výsledkem je použití serverů založených na pracovní skupině k vytvoření clusteru. V takovém případě zkuste ručně restartovat každý server v clusteru.

  • Při spuštění Windows Admin Center na serveru se ujistěte, že je uživatelský účet členem skupiny Správci brány.

  • Doporučujeme používat Windows Admin Center na počítači, který je členem stejné domény jako spravované servery.

  • Abyste mohli povolit nebo zakázat CredSSP na serveru, ujistěte se, že patříte do skupiny Správci brány na tomto počítači. Další informace najdete v prvních dvou částech tématu Konfigurace uživatelských Access Control a oprávnění.

  • Restartování služby WinRM na serverech v clusteru vás může vyzvat k opětovnému navázání připojení WinRM mezi jednotlivými servery clusteru a Windows Admin Center.

    Jedním ze způsobů, jak to provést, je, že se chystáte na každý server clusteru, v Centru pro správu Windows v nabídce Nástroje vyberete Služby ,vyberete WinRM,vyberete Restartovat a pak na příkazovém řádku Restart Service (Restartovat službu) vyberete Yes (Ano).

Ruční řešení potíží

Pokud se zobrazí následující chybová zpráva WinRM, zkuste chybu vyřešit pomocí kroků ručního ověření v této části. Příklad chybové zprávy:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

Kroky ručního ověření v této části vyžadují konfiguraci následujících počítačů:

  • Počítač se spuštěnou službou Windows Admin Center
  • Server, na kterém jste obdrželi chybovou zprávu

Pokud chcete chybu vyřešit, zkuste podle potřeby provést následující kroky nápravy:

Náprava 1:

  1. Restartujte počítač se Windows Admin Center a serverem.

  2. Zkuste znovu spustit průvodce vytvořením clusteru.

    Podrobnosti o spuštění průvodce najdete v tématu Vytvoření clusteru Azure Stack HCI pomocí Windows Admin Center.

Náprava 2:

  1. Na počítači se systémem Windows Admin Center otevřete Windows PowerShell správce a spusťte následující příkazy:

    Disable-WsmanCredSSP -Role Client  
    
    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>
    
  2. Pomocí funkce RDP se připojte k serveru a pak spusťte následující příkazy PowerShellu:

    Disable-WsmanCredSSP -Role Server  
    
    Enable-WsmanCredSSP -Role Server  
    
  3. Zkuste znovu spustit průvodce vytvořením clusteru.

    Podrobnosti o spuštění průvodce najdete v tématu Vytvoření clusteru Azure Stack HCI pomocí Windows Admin Center.

Náprava 3:

  1. Na počítači, na Windows Admin Center, spusťte následující příkaz PowerShellu a zkontrolujte hlavní název služby (SPN):

    setspn -Q WSMAN/<Windows Admin Center Computer Name>  
    

    Výsledek by měl zobrazit následující výstup:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Pokud výsledky nejsou uvedené, spuštěním následujících příkazů PowerShellu zaregistrujte hlavní název služby (SPN):

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  
    
    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>  
    
  3. Pomocí funkce RDP se připojte k serveru a spuštěním následujícího příkazu PowerShellu zkontrolujte hlavní název služby (SPN):

    setspn -Q WSMAN/<Server Name>  
    

    Výsledek by měl zobrazit následující výstup:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Pokud výsledky nejsou uvedené, spuštěním následujících příkazů PowerShellu zaregistrujte hlavní název služby (SPN):

    setspn -S WSMAN/<Server Name> <Server Name>  
    
    setspn -S WSMAN/<Server Name> <Server FQDN Name>  
    
  5. Zkuste znovu spustit průvodce vytvořením clusteru.

    Podrobnosti o spuštění průvodce najdete v tématu Vytvoření clusteru Azure Stack HCI pomocí Windows Admin Center.

Náprava 4:

Pokud některý z předchozích kroků nápravy selhal nebo nebyl dokončen, může to značit konflikt záznamů ve službě Active Directory. K resetování záznamu jako nového záznamu ve službě Active Directory můžete použít jiný název počítače.

Pokud chcete obnovit záznam ve službě Active Directory, přeinstalujte Azure Stack HCI operační systém s novým názvem počítače.

Náprava 5:

Pokud se zobrazí chybová zpráva, zkuste NTLM následující postup:

  1. Na počítači s Windows Admin Center (s rolí "klienta" CredSSP) spusťte následující příkaz, abyste viděli, jaké zásady jsou nakonfigurované:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
    
  2. Pokud AllowFreshCredentialsWithNTLMOnly chybí, spusťte:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly
    

    Potom následujícím příkazem:

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force
    

Další kroky

Další informace o CredSSP najdete v tématu Zprostředkovatel podpory zabezpečení přihlašovacích údajů.