Risolvere i problemi relativi a CredSSPTroubleshoot CredSSP

Si applica a Azure Stack HCI, versione v20H2Applies to Azure Stack HCI, version v20H2

Alcune operazioni di Azure Stack HCI utilizzano Gestione remota Windows (WinRM), che non consente la delega delle credenziali per impostazione predefinita.Some Azure Stack HCI operations use Windows Remote Management (WinRM), which doesn't allow credential delegation by default. Per consentire la delega, è necessario che nel computer sia abilitato temporaneamente Credential Security Support Provider (CredSSP).To allow delegation, the computer needs to have Credential Security Support Provider (CredSSP) enabled temporarily. CredSSP è un Security Support Provider che consente a un client di delegare le credenziali a un server per l'autenticazione remota.CredSSP is a security support provider that allows a client to delegate credentials to a server for remote authentication.

L'abilitazione di CredSSP è un comportamento di sicurezza ridotto e nella maggior parte dei casi deve essere disabilitato dopo il completamento dell'attività o dell'operazione.Enabling CredSSP is a degraded security posture, and in most circumstances should be disabled after the task or operation is completed.

Alcune attività che richiedono l'abilitazione di CredSSP includono:Some tasks that require CredSSP to be enabled include:

  • Flusso di lavoro creazione guidata clusterCreate Cluster wizard workflow
  • Query o aggiornamenti Active DirectoryActive Directory queries or updates
  • Query o aggiornamenti SQL ServerSQL Server queries or updates
  • Individuazione di account o computer in un dominio diverso o in un ambiente non appartenente a un dominioLocating accounts or computers on a different domain or non-domain joined environment

Suggerimenti per la risoluzione dei problemiTroubleshooting tips

Se si verificano problemi con CredSSP, possono essere utili i seguenti suggerimenti per la risoluzione dei problemi:If you experience issues with CredSSP, the following troubleshooting tips may help:

  • Per usare la creazione guidata cluster quando si esegue l'interfaccia di amministrazione di Windows in un server anziché in un PC, è necessario essere un membro del gruppo amministratori del gateway nel server dell'interfaccia di amministrazione di Windows.To use the Create Cluster wizard when running Windows Admin Center on a server instead of a PC, you must be a member of the Gateway administrators group on the Windows Admin Center server. Per altre informazioni, vedere Opzioni di accesso utente con l'interfaccia di amministrazione di Windows.For more information, see User access options with Windows Admin Center.

  • Quando si esegue la creazione guidata cluster, CredSSP può segnalare un problema se non è stata stabilita una relazione di trust Active Directory o è interruppe.When running the Create Cluster wizard, CredSSP may report an issue if an Active Directory trust isn't established or is broken. Questo risultato si verifica quando vengono usati server basati su gruppo di lavoro per la creazione del cluster.This results when workgroup-based servers are used for cluster creation. In questo caso, provare a riavviare manualmente ogni server del cluster.In this case, try manually restarting each server in the cluster.

  • Quando si esegue l'interfaccia di amministrazione di Windows in un server, verificare che l'account utente sia un membro del gruppo amministratori del gateway.When running Windows Admin Center on a server, make sure the user account is a member of the Gateway administrators group.

  • Si consiglia di eseguire l'interfaccia di amministrazione di Windows in un computer membro dello stesso dominio dei server gestiti.We recommend running Windows Admin Center on a computer that is a member of the same domain as the managed servers.

  • Per abilitare o disabilitare CredSSP in un server, assicurarsi di appartenere al gruppo amministratori del gateway nel computer.To be able to enable or disable CredSSP on a server, make sure you belong to the Gateway administrators group on that computer. Per ulteriori informazioni, vedere le prime due sezioni di configurare il controllo di accesso utente e le autorizzazioni.For more information, see the first two sections of Configure User Access Control and Permissions.

  • Il riavvio del servizio WinRM nei server del cluster potrebbe richiedere di ristabilire la connessione WinRM tra ogni server del cluster e l'interfaccia di amministrazione di Windows.Restarting the WinRM service on the servers in the cluster might prompt you to re-establish the WinRM connection between each cluster server and Windows Admin Center.

    A tale scopo, passare a ogni server del cluster e nell'interfaccia di amministrazione di Windows scegliere Servizi dal menu strumenti , selezionare WinRM, quindi Riavvia, quindi, al prompt dei comandi di riavvio , selezionare .One way to do this is by going to each cluster server, and in Windows Admin Center on the Tools menu, select Services, select WinRM, select Restart, and then on the Restart Service prompt, select Yes.

Risoluzione dei problemi manualiManual troubleshooting

Se viene visualizzato il messaggio di errore WinRM seguente, provare a usare i passaggi di verifica manuale in questa sezione per risolvere l'errore.If you receive the following WinRM error message, try using the manual verification steps in this section to resolve the error. Messaggio di errore di esempio:Example error message:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

I passaggi di verifica manuale di questa sezione richiedono la configurazione dei computer seguenti:The manual verification steps in this section require you to configure the following computers:

  • Il computer che esegue il centro di amministrazione di WindowsThe computer running Windows Admin Center
  • Il server in cui è stato ricevuto il messaggio di erroreThe server where you received the error message

Per risolvere l'errore, provare a eseguire le operazioni correttive seguenti in base alle esigenze:To resolve the error, try the following remedy steps as needed:

Soluzione 1:Remedy 1:

  1. Riavviare il computer che esegue il centro di amministrazione di Windows e il server.Restart the computer running Windows Admin Center and the server.

  2. Provare a eseguire di nuovo la creazione guidata cluster.Try running the Create Cluster wizard again.

    Per informazioni dettagliate su come eseguire la procedura guidata, vedere creare un cluster Azure stack HCI usando l'interfaccia di amministrazione di Windows.For details on running the wizard, see Create an Azure Stack HCI cluster using Windows Admin Center.

Remedy 2:Remedy 2:

  1. Nel computer che esegue l'interfaccia di amministrazione di Windows aprire Windows PowerShell come amministratore ed eseguire i comandi seguenti:On the computer running Windows Admin Center, open Windows PowerShell as an administrator and run the following commands:

    Disable-WsmanCredSSP -Role Client  
    
    Enable-WsmanCredSSP -Role Client -DelagateComputer <Server FQDN Name>
    
  2. Usare la funzionalità RDP per connettersi al server e quindi eseguire i comandi di PowerShell seguenti:Use the RDP feature to connect to the server, and then run the following PowerShell commands:

    Disable-WsmanCredSSP -Role Server  
    
    Enable-WsmanCredSSP -Role Server  
    
  3. Provare a eseguire di nuovo la creazione guidata cluster.Try running the Create Cluster wizard again.

    Per informazioni dettagliate su come eseguire la procedura guidata, vedere creare un cluster Azure stack HCI usando l'interfaccia di amministrazione di Windows.For details on running the wizard, see Create an Azure Stack HCI cluster using Windows Admin Center.

Remedy 3:Remedy 3:

  1. Nel computer che esegue l'interfaccia di amministrazione di Windows eseguire il comando PowerShell seguente per verificare il nome dell'entità servizio (SPN):On the computer running Windows Admin Center, run the following PowerShell command to check the Service Principal Name (SPN):

    setspn -Q WSMAN/<Windows Admin Center Computer Name>  
    

    Il risultato dovrebbe elencare l'output seguente:The result should list the following output:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Se i risultati non sono elencati, eseguire i comandi di PowerShell seguenti per registrare il nome SPN:If the results are not listed, run the following PowerShell commands to register the SPN:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  
    
    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>  
    
  3. Usare la funzionalità RDP per connettersi al server e quindi eseguire il comando di PowerShell seguente per verificare il nome SPN:Use the RDP feature to connect to the server, and then run the following PowerShell command to check the SPN:

    setspn -Q WSMAN/<Server Name>  
    

    Il risultato dovrebbe elencare l'output seguente:The result should list the following output:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Se i risultati non sono elencati, eseguire i comandi di PowerShell seguenti per registrare il nome SPN:If the results are not listed, run the following PowerShell commands to register the SPN:

    setspn -S WSMAN/<Server Name> <Server Name>  
    
    setspn -S WSMAN/<Server Name> <Server FQDN Name>  
    
  5. Provare a eseguire di nuovo la creazione guidata cluster.Try running the Create Cluster wizard again.

    Per informazioni dettagliate su come eseguire la procedura guidata, vedere creare un cluster Azure stack HCI usando l'interfaccia di amministrazione di Windows.For details on running the wizard, see Create an Azure Stack HCI cluster using Windows Admin Center.

Remedy 4:Remedy 4:

Se uno dei passaggi di correzione precedenti ha avuto esito negativo o non è stato completato, questo potrebbe indicare un conflitto di record in Active Directory.If any of the previous remedy steps failed or did not complete, this might indicate a record conflict in Active Directory. È possibile utilizzare un nome di computer diverso per reimpostare il record come un nuovo record in Active Directory.You can use a different computer name to reset the record as a new record in Active Directory.

Per reimpostare il record in Active Directory, reinstallare il sistema operativo Azure Stack HCI con un nuovo nome computer.To reset the record in Active Directory, reinstall the Azure Stack HCI operating system with a new computer name.

Passaggi successiviNext steps

Per ulteriori informazioni su CredSSP, vedere Credential Security Support Provider.For more information on CredSSP, see Credential Security Support Provider.