Problemen met CredSSP oplossen

  • Artikel

Van toepassing op: Azure Stack HCI, versies 22H2 en 21H2

Sommige Azure Stack HCI-bewerkingen maken gebruik van Windows Remote Management (WinRM), waardoor referentiedelegering standaard niet is toegestaan. Als u delegatie wilt toestaan, moet referentiebeveiligingsondersteuningsprovider (CredSSP) tijdelijk zijn ingeschakeld op de computer. CredSSP is een beveiligingsondersteuningsprovider waarmee een client referenties kan delegeren aan een server voor externe verificatie.

Het inschakelen van CredSSP is een verslechterde beveiligingspostuur en moet in de meeste gevallen worden uitgeschakeld nadat de taak of bewerking is voltooid.

Enkele taken waarvoor CredSSP moet worden ingeschakeld, zijn:

  • Werkstroom van de wizard Cluster maken
  • Active Directory-query's of -updates
  • query's of updates SQL Server
  • Accounts of computers in een andere domein- of niet-domein-gekoppelde omgeving zoeken

Tips voor probleemoplossing

Als u problemen ondervindt met CredSSP, kunnen de volgende tips voor probleemoplossing helpen:

  • Als u de wizard Cluster maken wilt gebruiken bij het uitvoeren van Windows Admin Center op een server in plaats van op een pc, moet u lid zijn van de groep Gatewaybeheerders op de Windows Admin Center-server. Zie Opties voor gebruikerstoegang met Windows Admin Center voor meer informatie.

  • Wanneer u de wizard Cluster maken uitvoert, kan CredSSP een probleem melden als er geen Active Directory-vertrouwensrelatie tot stand is gebracht of is verbroken. Dit resulteert wanneer op werkgroep gebaseerde servers worden gebruikt voor het maken van clusters. Probeer in dit geval elke server in het cluster handmatig opnieuw op te starten.

  • Wanneer u Windows Admin Center uitvoert op een server, moet u ervoor zorgen dat het gebruikersaccount lid is van de groep Gatewaybeheerders.

  • U wordt aangeraden Windows Admin Center uit te voeren op een computer die lid is van hetzelfde domein als de beheerde servers.

  • Als u CredSSP op een server wilt in- of uitschakelen, moet u lid zijn van de groep Gatewaybeheerders op die computer. Zie de eerste twee secties van Gebruikers Access Control en Machtigingen configureren voor meer informatie.

  • Als u de WinRM-service opnieuw start op de servers in het cluster, wordt u mogelijk gevraagd de WinRM-verbinding tussen elke clusterserver en Windows Admin Center opnieuw tot stand te brengen.

    U kunt dit onder andere doen door naar elke clusterserver te gaan en in Windows Admin Center in het menu Extraservices te selecteren, WinRM te selecteren, Opnieuw opstarten te selecteren en vervolgens ja te selecteren bij de prompt Service opnieuw opstarten.

Handmatige probleemoplossing

Als u het volgende WinRM-foutbericht ontvangt, kunt u de handmatige verificatiestappen in deze sectie gebruiken om de fout op te lossen. Voorbeeld van foutbericht:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

Voor de handmatige verificatiestappen in deze sectie moet u de volgende computers configureren:

  • De computer met Windows Admin Center
  • De server waarop u het foutbericht hebt ontvangen

Probeer de volgende stappen om de fout op te lossen, indien nodig:

Oplossing 1:

  1. Start de computer met Windows Admin Center en de server opnieuw op.

  2. Voer de wizard Cluster maken opnieuw uit.

    Zie Een Azure Stack HCI-cluster maken met behulp van Windows Admin Center voor meer informatie over het uitvoeren van de wizard.

Oplossing 2:

  1. Open Windows PowerShell als beheerder op de computer waarop Windows Admin Center wordt uitgevoerd en voer de volgende opdrachten uit:

    Disable-WsmanCredSSP -Role Client  

    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>

  2. Gebruik de RDP-functie om verbinding te maken met de server en voer vervolgens de volgende PowerShell-opdrachten uit:

    Disable-WsmanCredSSP -Role Server  

    Enable-WsmanCredSSP -Role Server

  3. Voer de wizard Cluster maken opnieuw uit.

    Zie Een Azure Stack HCI-cluster maken met behulp van Windows Admin Center voor meer informatie over het uitvoeren van de wizard.

Oplossing 3:

  1. Voer op de computer met Windows Admin Center de volgende PowerShell-opdracht uit om de SPN (Service Principal Name) te controleren:

    setspn -Q WSMAN/<Windows Admin Center Computer Name>

    Het resultaat moet de volgende uitvoer bevatten:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Als de resultaten niet worden weergegeven, voert u de volgende PowerShell-opdrachten uit om de SPN te registreren:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>

  3. Gebruik de RDP-functie om verbinding te maken met de server en voer vervolgens de volgende PowerShell-opdracht uit om de SPN te controleren:

    setspn -Q WSMAN/<Server Name>

    Het resultaat moet de volgende uitvoer bevatten:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Als de resultaten niet worden weergegeven, voert u de volgende PowerShell-opdrachten uit om de SPN te registreren:

    setspn -S WSMAN/<Server Name> <Server Name>  

    setspn -S WSMAN/<Server FQDN Name> <Server Name>

  5. Voer de wizard Cluster maken opnieuw uit.

    Zie Een Azure Stack HCI-cluster maken met behulp van Windows Admin Center voor meer informatie over het uitvoeren van de wizard.

Oplossing 4:

Als een van de vorige stappen is mislukt of niet is voltooid, kan dit duiden op een recordconflict in Active Directory. U kunt een andere computernaam gebruiken om de record opnieuw in te stellen als een nieuwe record in Active Directory.

Als u de record opnieuw wilt instellen in Active Directory, installeert u het besturingssysteem Azure Stack HCI opnieuw met een nieuwe computernaam.

Oplossing 5:

Als het foutbericht wordt weergegeven dat u vermeldingen NTLM ziet, probeert u het volgende:

  1. Voer op de computer met Windows Admin Center (de computer met de CredSSP-rol 'client' de volgende opdracht uit om te zien welke beleidsregels zijn geconfigureerd:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  2. Als AllowFreshCredentialsWithNTLMOnly er ontbreekt, voert u het volgende uit:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    Voer vervolgens

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force

Volgende stappen

Zie Referentiebeveiligingsondersteuningsprovider voor meer informatie over CredSSP.