CredSSP 문제 해결

적용 대상: Azure Stack HCI, 버전 21H2 및 20H2

일부 Azure Stack HCI 작업은 기본적으로 자격 증명 위임을 허용하지 않는 winRM(Windows 원격 관리)을 사용합니다. 위임을 허용하려면 컴퓨터에 CredSSP(자격 증명 보안 지원 공급자)를 일시적으로 사용하도록 설정해야 합니다. CredSSP는 클라이언트가 원격 인증을 위해 서버에 자격 증명을 위임할 수 있도록 하는 보안 지원 공급자입니다.

CredSSP를 사용하도록 설정하면 보안 상태가 저하되며 대부분의 경우 작업 또는 작업이 완료된 후 사용하지 않도록 설정해야 합니다.

CredSSP를 사용하도록 설정해야 하는 일부 작업은 다음과 같습니다.

  • 클러스터 만들기 마법사 워크플로
  • Active Directory 쿼리 또는 업데이트
  • 쿼리 또는 업데이트 SQL Server
  • 다른 도메인 또는 비 도메인 가입 환경에서 계정 또는 컴퓨터 찾기

문제 해결 팁

CredSSP에 문제가 발생하는 경우 다음 문제 해결 팁이 도움이 될 수 있습니다.

  • PC 대신 서버에서 Windows 관리 센터를 실행할 때 클러스터 만들기 마법사를 사용하려면 Windows 관리 센터 서버에서 게이트웨이 관리자 그룹의 구성원이어야 합니다. 자세한 내용은 Windows 관리 센터의 사용자 액세스 옵션을 참조하세요.

  • 클러스터 만들기 마법사를 실행할 때 Active Directory 트러스트가 설정되지 않았거나 손상된 경우 CredSSP에서 문제를 보고할 수 있습니다. 이렇게 하면 클러스터를 만드는 데 작업 그룹 기반 서버가 사용됩니다. 이 경우 클러스터의 각 서버를 수동으로 다시 시작해 봅니다.

  • 서버에서 Windows 관리 센터를 실행하는 경우 사용자 계정이 게이트웨이 관리자 그룹의 구성원인지 확인합니다.

  • 관리 서버와 동일한 도메인의 구성원인 컴퓨터에서 Windows 관리 센터를 실행하는 것이 좋습니다.

  • 서버에서 CredSSP를 사용하거나 사용하지 않도록 설정하려면 해당 컴퓨터의 게이트웨이 관리자 그룹에 속해 있는지 확인합니다. 자세한 내용은 사용자 액세스 제어 및 권한 구성의 처음 두 섹션을 참조하세요.

  • 클러스터의 서버에서 WinRM 서비스를 다시 시작하면 각 클러스터 서버와 Windows 관리 센터 간에 WinRM 연결을 다시 설정하라는 메시지가 표시될 수 있습니다.

    이 작업을 수행하는 한 가지 방법은 각 클러스터 서버로 이동하고, 도구 메뉴의 Windows 관리 센터에서 서비스를 선택하고, WinRM을 선택하고, 다시 시작을 선택한 다음, 서비스 다시 시작 프롬프트에서 예를 선택합니다.

수동 문제 해결

다음 WinRM 오류 메시지가 표시되면 이 섹션의 수동 확인 단계를 사용하여 오류를 해결해 보세요. 예제 오류 메시지:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

이 섹션의 수동 확인 단계를 수행하려면 다음 컴퓨터를 구성해야 합니다.

  • Windows 관리 센터를 실행하는 컴퓨터
  • 오류 메시지를 받은 서버

오류를 해결하려면 필요에 따라 다음 해결 단계를 시도합니다.

해결 방법 1:

  1. Windows 관리 센터 및 서버를 실행하는 컴퓨터를 다시 시작합니다.

  2. 클러스터 만들기 마법사를 다시 실행해 보세요.

    마법사 실행에 대한 자세한 내용은 Windows 관리 센터를 사용하여 Azure Stack HCI 클러스터 만들기를 참조하세요.

해결 방법 2:

  1. Windows 관리 센터를 실행하는 컴퓨터에서 관리자 권한으로 Windows PowerShell 열고 다음 명령을 실행합니다.

    Disable-WsmanCredSSP -Role Client  
    
    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>
    
  2. RDP 기능을 사용하여 서버에 연결한 다음, 다음 PowerShell 명령을 실행합니다.

    Disable-WsmanCredSSP -Role Server  
    
    Enable-WsmanCredSSP -Role Server  
    
  3. 클러스터 만들기 마법사를 다시 실행해 보세요.

    마법사 실행에 대한 자세한 내용은 Windows 관리 센터를 사용하여 Azure Stack HCI 클러스터 만들기를 참조하세요.

해결 방법 3:

  1. Windows 관리 센터를 실행하는 컴퓨터에서 다음 PowerShell 명령을 실행하여 SPN(서비스 사용자 이름)을 확인합니다.

    setspn -Q WSMAN/<Windows Admin Center Computer Name>  
    

    결과는 다음 출력을 나열해야 합니다.

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. 결과가 나열되지 않으면 다음 PowerShell 명령을 실행하여 SPN을 등록합니다.

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  
    
    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>  
    
  3. RDP 기능을 사용하여 서버에 연결한 다음, 다음 PowerShell 명령을 실행하여 SPN을 확인합니다.

    setspn -Q WSMAN/<Server Name>  
    

    결과는 다음 출력을 나열해야 합니다.

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. 결과가 나열되지 않으면 다음 PowerShell 명령을 실행하여 SPN을 등록합니다.

    setspn -S WSMAN/<Server Name> <Server Name>  
    
    setspn -S WSMAN/<Server FQDN Name> <Server Name>  
    
  5. 클러스터 만들기 마법사를 다시 실행해 보세요.

    마법사 실행에 대한 자세한 내용은 Windows 관리 센터를 사용하여 Azure Stack HCI 클러스터 만들기를 참조하세요.

해결 방법 4:

이전 해결 단계가 실패했거나 완료되지 않은 경우 Active Directory에서 레코드 충돌이 발생할 수 있습니다. 다른 컴퓨터 이름을 사용하여 Active Directory에서 레코드를 새 레코드로 다시 설정할 수 있습니다.

Active Directory에서 레코드를 다시 설정하려면 새 컴퓨터 이름으로 Azure Stack HCI 운영 체제를 다시 설치합니다.

해결 방법 5:

멘션 NTLM 이 표시되는 오류 메시지가 표시되면 다음을 시도합니다.

  1. Windows 관리 센터를 실행하는 컴퓨터("클라이언트" CredSSP 역할이 있는 컴퓨터)에서 다음 명령을 실행하여 구성된 정책을 확인합니다.

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
    
  2. 누락된 경우 AllowFreshCredentialsWithNTLMOnly 다음을 실행합니다.

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly
    

    다음을 실행합니다.

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force
    

다음 단계

CredSSP에 대한 자세한 내용은 자격 증명 보안 지원 공급자를 참조하세요.