Risolvere i problemi relativi a CredSSP

Si applica a: Azure Stack HCI, versioni 21H2 e 20H2

Alcune Azure Stack HCI usano Windows gestione remota (WinRM), che non consente la delega delle credenziali per impostazione predefinita. Per consentire la delega, il computer deve avere il provider di supporto per la sicurezza delle credenziali (CredSSP) abilitato temporaneamente. CredSSP è un provider di supporto della sicurezza che consente a un client di delegare le credenziali a un server per l'autenticazione remota.

L'abilitazione di CredSSP è una situazione di sicurezza degradata e nella maggior parte dei casi deve essere disabilitata dopo il completamento dell'attività o dell'operazione.

Alcune attività che richiedono che CredSSP sia abilitato includono:

  • Creazione guidata cluster - Flusso di lavoro
  • Query o aggiornamenti di Active Directory
  • SQL Server query o aggiornamenti
  • Individuazione di account o computer in un altro dominio o in un ambiente non aggiunto a un dominio

Suggerimenti per la risoluzione dei problemi

Se si verificano problemi con CredSSP, i suggerimenti per la risoluzione dei problemi seguenti possono essere utili:

  • Per usare la procedura guidata Crea cluster quando si esegue Windows Admin Center in un server anziché in un PC, è necessario essere membri del gruppo Amministratori gateway nel server Windows Admin Center. Per altre informazioni, vedere Opzioni di accesso utente con Windows Admin Center.

  • Quando si esegue la creazione guidata cluster, CredSSP può segnalare un problema se non viene stabilita o interrotta una relazione di trust di Active Directory. Ciò si verifica quando per la creazione del cluster vengono usati server basati su gruppi di lavoro. In questo caso, provare a riavviare manualmente ogni server nel cluster.

  • Quando si Windows Admin Center in un server, assicurarsi che l'account utente sia membro del gruppo Amministratori gateway.

  • È consigliabile Windows Admin Center in un computer membro dello stesso dominio dei server gestiti.

  • Per poter abilitare o disabilitare CredSSP in un server, assicurarsi di appartenere al gruppo Amministratori gateway nel computer. Per altre informazioni, vedere le prime due sezioni di Configurare il controllo di accesso utente e le autorizzazioni.

  • Il riavvio del servizio Gestione remota Windows nei server del cluster potrebbe richiedere di ristabilire la connessione WinRM tra ogni server del cluster e Windows Admin Center.

    Un modo per eseguire questa operazione è accedere a ogni server del cluster e nell'interfaccia di amministrazione di Windows dal menu Strumenti selezionare Servizi,winrm, riavvio e quindi nella richiesta Riavvia servizio selezionare .

Risoluzione manuale dei problemi

Se viene visualizzato il messaggio di errore winrm seguente, provare a usare la procedura di verifica manuale descritta in questa sezione per risolvere l'errore. Messaggio di errore di esempio:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

I passaggi di verifica manuale in questa sezione richiedono la configurazione dei computer seguenti:

  • Il computer che esegue Windows Admin Center
  • Il server in cui è stato ricevuto il messaggio di errore

Per risolvere l'errore, provare a seguire questa procedura in base alle esigenze:

Rimedio 1:

  1. Riavviare il computer che esegue Windows Admin Center e il server.

  2. Provare a eseguire di nuovo la Creazione guidata cluster.

    Per informazioni dettagliate sull'esecuzione della procedura guidata, vedere Creare un cluster Azure Stack HCI usando Windows Admin Center.

Rimedio 2:

  1. Nel computer che esegue Windows Admin Center aprire Windows PowerShell amministratore ed eseguire i comandi seguenti:

    Disable-WsmanCredSSP -Role Client  
    
    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>
    
  2. Usare la funzionalità RDP per connettersi al server e quindi eseguire i comandi di PowerShell seguenti:

    Disable-WsmanCredSSP -Role Server  
    
    Enable-WsmanCredSSP -Role Server  
    
  3. Provare a eseguire di nuovo la Creazione guidata cluster.

    Per informazioni dettagliate sull'esecuzione della procedura guidata, vedere Creare un cluster Azure Stack HCI usando Windows Admin Center.

Rimedio 3:

  1. Nel computer che esegue Windows Admin Center eseguire il comando di PowerShell seguente per controllare il nome dell'entità servizio :On the computer running Windows Admin Center, run the following PowerShell command to check the Service Principal Name (SPN):

    setspn -Q WSMAN/<Windows Admin Center Computer Name>  
    

    Il risultato dovrebbe elencare l'output seguente:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Se i risultati non sono elencati, eseguire i comandi di PowerShell seguenti per registrare il nome SPN:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  
    
    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>  
    
  3. Usare la funzionalità RDP per connettersi al server e quindi eseguire il comando di PowerShell seguente per controllare il nome SPN:

    setspn -Q WSMAN/<Server Name>  
    

    Il risultato dovrebbe elencare l'output seguente:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Se i risultati non sono elencati, eseguire i comandi di PowerShell seguenti per registrare il nome SPN:

    setspn -S WSMAN/<Server Name> <Server Name>  
    
    setspn -S WSMAN/<Server FQDN Name> <Server Name>  
    
  5. Provare a eseguire di nuovo la Creazione guidata cluster.

    Per informazioni dettagliate sull'esecuzione della procedura guidata, vedere Creare un cluster Azure Stack HCI usando Windows Admin Center.

Rimedio 4:

Se uno dei passaggi precedenti non è riuscito o non è stato completato, potrebbe essere presente un conflitto di record in Active Directory. È possibile usare un nome di computer diverso per reimpostare il record come nuovo record in Active Directory.

Per reimpostare il record in Active Directory, reinstallare il Azure Stack HCI sistema operativo con un nuovo nome computer.

Rimedio 5:

Se viene visualizzato il messaggio di NTLM errore, provare a eseguire le operazioni seguenti:

  1. Nel computer che esegue Windows Admin Center (quello con il ruolo CredSSP "client") eseguire il comando seguente per vedere quali criteri sono configurati:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
    
  2. Se AllowFreshCredentialsWithNTLMOnly manca, eseguire:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly
    

    Eseguire quindi:

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force
    

Passaggi successivi

Per altre informazioni su CredSSP, vedere Provider di supporto per la sicurezza delle credenziali.