Solucionar problemas do CredSSP

  • Artigo

Aplica-se a: Azure Stack HCI, versões 22H2 e 21H2

Algumas operações do Azure Stack HCI usam o WinRM (Gerenciamento Remoto do Windows), que não permite a delegação de credenciais por padrão. Para permitir a delegação, o computador precisará ter o CredSSP (Credential Security Support Provider) habilitado temporariamente. CredSSP é um provedor de suporte de segurança que permite a um cliente delegar credenciais a um servidor para autenticação remota.

Habilitar o CredSSP é uma postura de segurança degradada e, na maioria das circunstâncias, deve ser desabilitada após a conclusão da tarefa ou operação.

Algumas tarefas que exigem que o CredSSP seja habilitado incluem:

  • Criar fluxo de trabalho do assistente de cluster
  • Consultas ou atualizações do Active Directory
  • SQL Server consultas ou atualizações
  • Localizando contas ou computadores em um ambiente diferente de domínio ou não ingressado no domínio

Dicas de solução de problemas

Se você tiver problemas com o CredSSP, as seguintes dicas de solução de problemas poderão ajudar:

  • Para usar o assistente Criar Cluster ao executar Windows Admin Center em um servidor em vez de um computador, você deve ser um membro do grupo Administradores de gateway no servidor Windows Admin Center. Para obter mais informações, consulte Opções de acesso do usuário com Windows Admin Center.

  • Ao executar o assistente Criar Cluster, o CredSSP poderá relatar um problema se uma relação de confiança do Active Directory não for estabelecida ou estiver quebrada. Isso resulta quando servidores baseados em grupo de trabalho são usados para criação de cluster. Nesse caso, tente reiniciar manualmente cada servidor no cluster.

  • Ao executar Windows Admin Center em um servidor, verifique se a conta de usuário é membro do grupo administradores do Gateway.

  • É recomendável executar Windows Admin Center em um computador que seja membro do mesmo domínio que os servidores gerenciados.

  • Para poder habilitar ou desabilitar o CredSSP em um servidor, certifique-se de pertencer ao grupo de administradores do Gateway nesse computador. Para obter mais informações, consulte as duas primeiras seções de Configurar Controle de Acesso de Usuário e Permissões.

  • Reiniciar o serviço WinRM nos servidores no cluster pode solicitar que você restabeleça a conexão WinRM entre cada servidor de cluster e Windows Admin Center.

    Uma maneira de fazer isso é acessando cada servidor de cluster e, em Windows Admin Center no menu Ferramentas, selecione Serviços, Selecione WinRM, Reinicie e, em seguida, no prompt Reiniciar Serviço, selecione Sim.

Solução de problemas manual

Se você receber a seguinte mensagem de erro do WinRM, tente usar as etapas de verificação manual nesta seção para resolve o erro. Mensagem de erro de exemplo:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

As etapas de verificação manual nesta seção exigem que você configure os seguintes computadores:

  • O computador que executa Windows Admin Center
  • O servidor no qual você recebeu a mensagem de erro

Para resolve o erro, tente as seguintes etapas de correção conforme necessário:

Remédio 1:

  1. Reinicie o computador executando Windows Admin Center e o servidor.

  2. Tente executar o assistente Criar Cluster novamente.

    Para obter detalhes sobre como executar o assistente, consulte Criar um cluster do Azure Stack HCI usando Windows Admin Center.

Remédio 2:

  1. No computador que executa Windows Admin Center, abra Windows PowerShell como administrador e execute os seguintes comandos:

    Disable-WsmanCredSSP -Role Client  

    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>

  2. Use o recurso RDP para se conectar ao servidor e execute os seguintes comandos do PowerShell:

    Disable-WsmanCredSSP -Role Server  

    Enable-WsmanCredSSP -Role Server

  3. Tente executar o assistente Criar Cluster novamente.

    Para obter detalhes sobre como executar o assistente, consulte Criar um cluster do Azure Stack HCI usando Windows Admin Center.

Remédio 3:

  1. No computador que executa Windows Admin Center, execute o seguinte comando do PowerShell para marcar o SPN (Nome da Entidade de Serviço):

    setspn -Q WSMAN/<Windows Admin Center Computer Name>

    O resultado deve listar a seguinte saída:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Se os resultados não estiverem listados, execute os seguintes comandos do PowerShell para registrar o SPN:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>

  3. Use o recurso RDP para se conectar ao servidor e execute o seguinte comando do PowerShell para marcar o SPN:

    setspn -Q WSMAN/<Server Name>

    O resultado deve listar a seguinte saída:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Se os resultados não estiverem listados, execute os seguintes comandos do PowerShell para registrar o SPN:

    setspn -S WSMAN/<Server Name> <Server Name>  

    setspn -S WSMAN/<Server FQDN Name> <Server Name>

  5. Tente executar o assistente Criar Cluster novamente.

    Para obter detalhes sobre como executar o assistente, consulte Criar um cluster do Azure Stack HCI usando Windows Admin Center.

Remédio 4:

Se alguma das etapas anteriores do recurso falhou ou não foi concluída, isso pode indicar um conflito de registro no Active Directory. Você pode usar um nome de computador diferente para redefinir o registro como um novo registro no Active Directory.

Para redefinir o registro no Active Directory, reinstale o sistema operacional Azure Stack HCI com um novo nome de computador.

Remédio 5:

Se a mensagem de erro que você está vendo menções NTLM , tente o seguinte:

  1. No computador que executa Windows Admin Center (aquele com a função "cliente" CredSSP), execute o seguinte comando para ver quais políticas estão configuradas:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  2. Se AllowFreshCredentialsWithNTLMOnly estiver ausente, execute:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    Em seguida, execute:

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force

Próximas etapas

Para obter mais informações sobre o CredSSP, consulte Provedor de Suporte à Segurança de Credencial.