Řešení CredSSPTroubleshoot CredSSP

Platí pro Azure Stack HCI, verze v20H2Applies to Azure Stack HCI, version v20H2

Některé Azure Stack operace HCI používají Vzdálená správa systému Windows (WinRM), což ve výchozím nastavení nepovoluje delegování přihlašovacích údajů.Some Azure Stack HCI operations use Windows Remote Management (WinRM), which doesn't allow credential delegation by default. Aby bylo možné delegování povolit, musí mít počítač dočasně povolený zprostředkovatel zabezpečení (CredSSP) (Credential Security Support Provider).To allow delegation, the computer needs to have Credential Security Support Provider (CredSSP) enabled temporarily. CredSSP je poskytovatel podpory zabezpečení, který umožňuje klientovi delegovat přihlašovací údaje na server pro vzdálené ověřování.CredSSP is a security support provider that allows a client to delegate credentials to a server for remote authentication.

Povolení CredSSP je degradované zabezpečení stav a ve většině případů by mělo být zakázáno po dokončení úkolu nebo operace.Enabling CredSSP is a degraded security posture, and in most circumstances should be disabled after the task or operation is completed.

Mezi úlohy, které vyžadují, aby bylo možné povolit CredSSP, patří:Some tasks that require CredSSP to be enabled include:

  • Pracovní postup Průvodce vytvořením clusteruCreate Cluster wizard workflow
  • Dotazy nebo aktualizace služby Active DirectoryActive Directory queries or updates
  • SQL Server dotazy nebo aktualizaceSQL Server queries or updates
  • Vyhledání účtů nebo počítačů v jiné doméně nebo prostředí, které není připojené k doméněLocating accounts or computers on a different domain or non-domain joined environment

Rady pro řešení potížíTroubleshooting tips

Pokud máte problémy se zprostředkovatelem CredSSP, může vám pomáhat následující tipy k odstraňování potíží:If you experience issues with CredSSP, the following troubleshooting tips may help:

  • Chcete-li použít Průvodce vytvořením clusteru při spuštění centra pro správu systému Windows na serveru místo počítače, musíte být členem skupiny Správci brány na serveru centra pro správu systému Windows.To use the Create Cluster wizard when running Windows Admin Center on a server instead of a PC, you must be a member of the Gateway administrators group on the Windows Admin Center server. Další informace najdete v tématu Možnosti přístupu uživatele v centru pro správu systému Windows.For more information, see User access options with Windows Admin Center.

  • Při spuštění Průvodce vytvořením clusteru může zprostředkovatel CredSSP ohlásit problém, pokud se nevytvoří vztah důvěryhodnosti služby Active Directory nebo dojde k jeho přerušení.When running the Create Cluster wizard, CredSSP may report an issue if an Active Directory trust isn't established or is broken. Výsledkem je, že se pro vytvoření clusteru použijí servery založené na pracovní skupině.This results when workgroup-based servers are used for cluster creation. V takovém případě zkuste ručně restartovat každý server v clusteru.In this case, try manually restarting each server in the cluster.

  • Při spuštění centra pro správu systému Windows na serveru se ujistěte, že uživatelský účet je členem skupiny Správci brány.When running Windows Admin Center on a server, make sure the user account is a member of the Gateway administrators group.

  • Doporučujeme spustit centrum pro správu systému Windows v počítači, který je členem stejné domény jako spravované servery.We recommend running Windows Admin Center on a computer that is a member of the same domain as the managed servers.

  • Aby bylo možné povolit nebo zakázat zprostředkovatele CredSSP na serveru, ujistěte se, že jste členem skupiny správců brány na daném počítači.To be able to enable or disable CredSSP on a server, make sure you belong to the Gateway administrators group on that computer. Další informace najdete v prvním dvou částech Konfigurace uživatelských Access Control a oprávnění.For more information, see the first two sections of Configure User Access Control and Permissions.

  • Restartování služby WinRM na serverech v clusteru vás může vyzvat k opětovnému vytvoření připojení WinRM mezi jednotlivými servery clusteru a centrem pro správu systému Windows.Restarting the WinRM service on the servers in the cluster might prompt you to re-establish the WinRM connection between each cluster server and Windows Admin Center.

    Můžete to udělat tak, že na každém serveru clusteru kliknete a v centru pro správu systému Windows v nabídce nástroje vyberte služby, vyberte WinRM, vyberte restartovat a pak na příkazovém řádku pro restart služby vyberte Ano.One way to do this is by going to each cluster server, and in Windows Admin Center on the Tools menu, select Services, select WinRM, select Restart, and then on the Restart Service prompt, select Yes.

Ruční odstraňování potížíManual troubleshooting

Pokud se zobrazí následující chybová zpráva služby WinRM, zkuste chybu vyřešit pomocí kroků ručního ověření v této části.If you receive the following WinRM error message, try using the manual verification steps in this section to resolve the error. Příklad chybové zprávy:Example error message:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

Postup ručního ověření v této části vyžaduje, abyste nakonfigurovali následující počítače:The manual verification steps in this section require you to configure the following computers:

  • Počítač s centrem pro správu systému WindowsThe computer running Windows Admin Center
  • Server, na který se zobrazila chybová zprávaThe server where you received the error message

Chcete-li vyřešit tuto chybu, proveďte následující opravné kroky podle potřeby:To resolve the error, try the following remedy steps as needed:

Náprava 1:Remedy 1:

  1. Restartujte počítač s centrem pro správu systému Windows a serverem.Restart the computer running Windows Admin Center and the server.

  2. Zkuste znovu spustit Průvodce vytvořením clusteru.Try running the Create Cluster wizard again.

    Podrobnosti o spuštění Průvodce najdete v tématu Vytvoření clusteru Azure Stack HCI pomocí centra pro správu systému Windows.For details on running the wizard, see Create an Azure Stack HCI cluster using Windows Admin Center.

Náprava 2:Remedy 2:

  1. V počítači, na kterém je spuštěný centrum pro správu Windows, otevřete Windows PowerShell jako správce a spusťte následující příkazy:On the computer running Windows Admin Center, open Windows PowerShell as an administrator and run the following commands:

    Disable-WsmanCredSSP -Role Client  
    
    Enable-WsmanCredSSP -Role Client -DelagateComputer <Server FQDN Name>
    
  2. Připojte se k serveru pomocí funkce RDP a pak spusťte následující příkazy PowerShellu:Use the RDP feature to connect to the server, and then run the following PowerShell commands:

    Disable-WsmanCredSSP -Role Server  
    
    Enable-WsmanCredSSP -Role Server  
    
  3. Zkuste znovu spustit Průvodce vytvořením clusteru.Try running the Create Cluster wizard again.

    Podrobnosti o spuštění Průvodce najdete v tématu Vytvoření clusteru Azure Stack HCI pomocí centra pro správu systému Windows.For details on running the wizard, see Create an Azure Stack HCI cluster using Windows Admin Center.

Náprava 3:Remedy 3:

  1. V počítači s centrem pro správu systému Windows spusťte následující příkaz prostředí PowerShell pro kontrolu hlavního názvu služby (SPN):On the computer running Windows Admin Center, run the following PowerShell command to check the Service Principal Name (SPN):

    setspn -Q WSMAN/<Windows Admin Center Computer Name>  
    

    Výsledek by měl vypsat následující výstup:The result should list the following output:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Pokud nejsou uvedené výsledky, spusťte následující příkazy PowerShellu k registraci hlavního názvu služby (SPN):If the results are not listed, run the following PowerShell commands to register the SPN:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  
    
    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>  
    
  3. Pomocí funkce RDP se připojte k serveru a spusťte následující příkaz PowerShellu pro kontrolu hlavního názvu služby (SPN):Use the RDP feature to connect to the server, and then run the following PowerShell command to check the SPN:

    setspn -Q WSMAN/<Server Name>  
    

    Výsledek by měl vypsat následující výstup:The result should list the following output:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Pokud nejsou uvedené výsledky, spusťte následující příkazy PowerShellu k registraci hlavního názvu služby (SPN):If the results are not listed, run the following PowerShell commands to register the SPN:

    setspn -S WSMAN/<Server Name> <Server Name>  
    
    setspn -S WSMAN/<Server Name> <Server FQDN Name>  
    
  5. Zkuste znovu spustit Průvodce vytvořením clusteru.Try running the Create Cluster wizard again.

    Podrobnosti o spuštění Průvodce najdete v tématu Vytvoření clusteru Azure Stack HCI pomocí centra pro správu systému Windows.For details on running the wizard, see Create an Azure Stack HCI cluster using Windows Admin Center.

Opravení 4:Remedy 4:

Pokud některý z předchozích kroků nápravy selhal nebo nebyl dokončen, může to znamenat, že došlo ke konfliktu záznamů ve službě Active Directory.If any of the previous remedy steps failed or did not complete, this might indicate a record conflict in Active Directory. K resetování záznamu jako nového záznamu ve službě Active Directory můžete použít jiný název počítače.You can use a different computer name to reset the record as a new record in Active Directory.

Chcete-li obnovit záznam ve službě Active Directory, přeinstalujte operační systém Azure Stack HCI s novým názvem počítače.To reset the record in Active Directory, reinstall the Azure Stack HCI operating system with a new computer name.

Další krokyNext steps

Další informace o CredSSP najdete v tématu Zprostředkovatel podpory zabezpečení přihlašovacích údajů.For more information on CredSSP, see Credential Security Support Provider.