CredSSP 문제 해결Troubleshoot CredSSP

Azure Stack HCI 버전 v20H2에 적용 됩니다.Applies to Azure Stack HCI, version v20H2

일부 Azure Stack HCI 작업은 기본적으로 자격 증명 위임을 허용 하지 않는 WinRM (Windows 원격 관리)을 사용 합니다.Some Azure Stack HCI operations use Windows Remote Management (WinRM), which doesn't allow credential delegation by default. 위임을 허용 하려면 컴퓨터에서 CredSSP (Credential Security Support Provider)를 일시적으로 사용 하도록 설정 해야 합니다.To allow delegation, the computer needs to have Credential Security Support Provider (CredSSP) enabled temporarily. CredSSP는 클라이언트가 원격 인증을 위해 서버에 자격 증명을 위임할 수 있도록 하는 보안 지원 공급자입니다.CredSSP is a security support provider that allows a client to delegate credentials to a server for remote authentication.

CredSSP를 사용 하도록 설정 하는 것은 저하 된 보안 상태 이며, 대부분의 경우 작업 또는 작업이 완료 된 후에는 사용 하지 않도록 설정 해야 합니다.Enabling CredSSP is a degraded security posture, and in most circumstances should be disabled after the task or operation is completed.

CredSSP를 사용 하도록 설정 해야 하는 일부 작업은 다음과 같습니다.Some tasks that require CredSSP to be enabled include:

  • 클러스터 만들기 마법사 워크플로Create Cluster wizard workflow
  • Active Directory 쿼리 또는 업데이트Active Directory queries or updates
  • SQL Server 쿼리 또는 업데이트SQL Server queries or updates
  • 다른 도메인 또는 도메인에 가입 되지 않은 환경에서 계정이 나 컴퓨터 찾기Locating accounts or computers on a different domain or non-domain joined environment

문제 해결 팁Troubleshooting tips

CredSSP에 문제가 발생 하는 경우 다음과 같은 문제 해결 팁이 도움이 될 수 있습니다.If you experience issues with CredSSP, the following troubleshooting tips may help:

  • PC 대신 서버에서 Windows 관리 센터를 실행할 때 클러스터 만들기 마법사를 사용 하려면 Windows 관리 센터 서버에서 게이트웨이 관리자 그룹의 구성원 이어야 합니다.To use the Create Cluster wizard when running Windows Admin Center on a server instead of a PC, you must be a member of the Gateway administrators group on the Windows Admin Center server. 자세한 내용은 Windows 관리 센터를 사용 하는 사용자 액세스 옵션을 참조 하세요.For more information, see User access options with Windows Admin Center.

  • 클러스터 만들기 마법사를 실행할 때 Active Directory 트러스트가 설정 되지 않았거나 손상 된 경우 CredSSP에서 문제를 보고할 수 있습니다.When running the Create Cluster wizard, CredSSP may report an issue if an Active Directory trust isn't established or is broken. 이는 작업 그룹 기반 서버를 클러스터 만들기에 사용할 때 발생 합니다.This results when workgroup-based servers are used for cluster creation. 이 경우 클러스터의 각 서버를 수동으로 다시 시작 해 보십시오.In this case, try manually restarting each server in the cluster.

  • 서버에서 Windows 관리 센터를 실행 하는 경우 사용자 계정이 게이트웨이 관리자 그룹의 구성원 인지 확인 합니다.When running Windows Admin Center on a server, make sure the user account is a member of the Gateway administrators group.

  • 관리 되는 서버와 동일한 도메인의 구성원 인 컴퓨터에서 Windows 관리 센터를 실행 하는 것이 좋습니다.We recommend running Windows Admin Center on a computer that is a member of the same domain as the managed servers.

  • 서버에서 CredSSP를 사용 하거나 사용 하지 않도록 설정 하려면 해당 컴퓨터의 게이트웨이 관리자 그룹에 속해 있는지 확인 합니다.To be able to enable or disable CredSSP on a server, make sure you belong to the Gateway administrators group on that computer. 자세한 내용은 사용자 Access Control 구성의 처음 두 섹션과 사용 권한을 참조 하세요.For more information, see the first two sections of Configure User Access Control and Permissions.

  • 클러스터의 서버에서 WinRM 서비스를 다시 시작 하면 각 클러스터 서버와 Windows 관리 센터 간의 WinRM 연결을 다시 설정 하 라는 메시지가 표시 될 수 있습니다.Restarting the WinRM service on the servers in the cluster might prompt you to re-establish the WinRM connection between each cluster server and Windows Admin Center.

    이 작업을 수행 하는 한 가지 방법은 각 클러스터 서버로 이동 하 고, Windows 관리 센터의 도구 메뉴에서 서비스 를 선택 하 고, WinRM 을 선택 하 고, 다시 시작 을 선택한 다음, 서비스 다시 시작 프롬프트에서 를 선택 하는 것입니다.One way to do this is by going to each cluster server, and in Windows Admin Center on the Tools menu, select Services, select WinRM, select Restart, and then on the Restart Service prompt, select Yes.

수동 문제 해결Manual troubleshooting

다음 WinRM 오류 메시지가 표시 되 면이 섹션의 수동 확인 단계를 사용 하 여 오류를 해결 하십시오.If you receive the following WinRM error message, try using the manual verification steps in this section to resolve the error. 예제 오류 메시지:Example error message:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

이 섹션의 수동 확인 단계를 수행 하려면 다음 컴퓨터를 구성 해야 합니다.The manual verification steps in this section require you to configure the following computers:

  • Windows 관리 센터를 실행 하는 컴퓨터The computer running Windows Admin Center
  • 오류 메시지를 받은 서버The server where you received the error message

오류를 해결 하려면 필요에 따라 다음 해결 단계를 시도 합니다.To resolve the error, try the following remedy steps as needed:

해결 방법 1:Remedy 1:

  1. Windows 관리 센터 및 서버를 실행 하는 컴퓨터를 다시 시작 합니다.Restart the computer running Windows Admin Center and the server.

  2. 클러스터 만들기 마법사를 다시 실행 하세요.Try running the Create Cluster wizard again.

    마법사를 실행 하는 방법에 대 한 자세한 내용은 Windows 관리 센터를 사용 하 여 AZURE STACK HCI 클러스터 만들기를 참조 하세요.For details on running the wizard, see Create an Azure Stack HCI cluster using Windows Admin Center.

해결 방법 2:Remedy 2:

  1. Windows 관리 센터를 실행 하는 컴퓨터에서 관리자 권한으로 Windows PowerShell을 열고 다음 명령을 실행 합니다.On the computer running Windows Admin Center, open Windows PowerShell as an administrator and run the following commands:

    Disable-WsmanCredSSP -Role Client  
    
    Enable-WsmanCredSSP -Role Client -DelagateComputer <Server FQDN Name>
    
  2. RDP 기능을 사용 하 여 서버에 연결한 후 다음 PowerShell 명령을 실행 합니다.Use the RDP feature to connect to the server, and then run the following PowerShell commands:

    Disable-WsmanCredSSP -Role Server  
    
    Enable-WsmanCredSSP -Role Server  
    
  3. 클러스터 만들기 마법사를 다시 실행 하세요.Try running the Create Cluster wizard again.

    마법사를 실행 하는 방법에 대 한 자세한 내용은 Windows 관리 센터를 사용 하 여 AZURE STACK HCI 클러스터 만들기를 참조 하세요.For details on running the wizard, see Create an Azure Stack HCI cluster using Windows Admin Center.

해결 방법 3:Remedy 3:

  1. Windows 관리 센터를 실행 하는 컴퓨터에서 다음 PowerShell 명령을 실행 하 여 SPN (서비스 사용자 이름)을 확인 합니다.On the computer running Windows Admin Center, run the following PowerShell command to check the Service Principal Name (SPN):

    setspn -Q WSMAN/<Windows Admin Center Computer Name>  
    

    결과에는 다음 출력이 나열 됩니다.The result should list the following output:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. 결과가 나열 되지 않은 경우 다음 PowerShell 명령을 실행 하 여 SPN을 등록 합니다.If the results are not listed, run the following PowerShell commands to register the SPN:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  
    
    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>  
    
  3. RDP 기능을 사용 하 여 서버에 연결한 후 다음 PowerShell 명령을 실행 하 여 SPN을 확인 합니다.Use the RDP feature to connect to the server, and then run the following PowerShell command to check the SPN:

    setspn -Q WSMAN/<Server Name>  
    

    결과에는 다음 출력이 나열 됩니다.The result should list the following output:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. 결과가 나열 되지 않은 경우 다음 PowerShell 명령을 실행 하 여 SPN을 등록 합니다.If the results are not listed, run the following PowerShell commands to register the SPN:

    setspn -S WSMAN/<Server Name> <Server Name>  
    
    setspn -S WSMAN/<Server Name> <Server FQDN Name>  
    
  5. 클러스터 만들기 마법사를 다시 실행 하세요.Try running the Create Cluster wizard again.

    마법사를 실행 하는 방법에 대 한 자세한 내용은 Windows 관리 센터를 사용 하 여 AZURE STACK HCI 클러스터 만들기를 참조 하세요.For details on running the wizard, see Create an Azure Stack HCI cluster using Windows Admin Center.

해결 방법 4:Remedy 4:

이전 해결 단계 중 하나라도 실패 하거나 완료 되지 않은 경우 Active Directory의 레코드 충돌을 나타낼 수 있습니다.If any of the previous remedy steps failed or did not complete, this might indicate a record conflict in Active Directory. 다른 컴퓨터 이름을 사용 하 여 Active Directory에서 레코드를 새 레코드로 다시 설정할 수 있습니다.You can use a different computer name to reset the record as a new record in Active Directory.

Active Directory에서 레코드를 다시 설정 하려면 Azure Stack HCI 운영 체제를 새 컴퓨터 이름으로 다시 설치 합니다.To reset the record in Active Directory, reinstall the Azure Stack HCI operating system with a new computer name.

다음 단계Next steps

CredSSP에 대 한 자세한 내용은 자격 증명 보안 지원 공급자를 참조 하세요.For more information on CredSSP, see Credential Security Support Provider.