Solucionar problemas do CredSSP

Aplica-se a: Azure Stack HCI, versões 21H2 e 20H2

Algumas Azure Stack HCI usam Windows Gerenciamento Remoto (WinRM), que não permite a delegação de credenciais por padrão. Para permitir a delegação, o computador precisa ter o CredSSP (Provedor de Suporte de Segurança de Credencial) habilitado temporariamente. CredSSP é um provedor de suporte de segurança que permite que um cliente delegar credenciais a um servidor para autenticação remota.

A habilitação do CredSSP é uma postura de segurança degradada e, na maioria das circunstâncias, deve ser desabilitada após a conclusão da tarefa ou da operação.

Algumas tarefas que exigem que o CredSSP seja habilitado incluem:

  • Criar fluxo de trabalho do assistente de cluster
  • Consultas ou atualizações do Active Directory
  • SQL Server consultas ou atualizações
  • Localizando contas ou computadores em um domínio diferente ou em um ambiente não ingressados no domínio

Dicas de solução de problemas

Se você tiver problemas com CredSSP, as seguintes dicas de solução de problemas poderão ajudar:

  • Para usar o assistente para Criar Cluster ao executar o Windows Admin Center em um servidor em vez de um computador, você deve ser um membro do grupo Administradores de gateway no servidor Windows Admin Center. Para obter mais informações, consulte Opções de acesso do usuário com Windows Admin Center.

  • Ao executar o assistente Para Criar Cluster, o CredSSP poderá relatar um problema se uma relação de confiança do Active Directory não for estabelecida ou for interrompida. Isso resulta quando servidores baseados em grupo de trabalho são usados para criação de cluster. Nesse caso, tente reiniciar manualmente cada servidor no cluster.

  • Ao executar Windows Admin Center em um servidor, certifique-se de que a conta de usuário seja membro do grupo Administradores de gateway.

  • É recomendável executar Windows Admin Center em um computador que seja membro do mesmo domínio que os servidores gerenciados.

  • Para habilitar ou desabilitar o CredSSP em um servidor, certifique-se de pertencer ao grupo Administradores de gateway nesse computador. Para obter mais informações, consulte as duas primeiras seções de Configurar o controle de acesso do usuário e permissões.

  • Reiniciar o serviço WinRM nos servidores no cluster pode solicitar que você estabeleça novamente a conexão WinRM entre cada servidor de cluster e Windows Admin Center.

    Uma maneira de fazer isso é indo para cada servidor de cluster e, no Centro de Administração do Windows no menu Ferramentas, selecione Serviços,selecione WinRM, reiniciar e, em seguida, no prompt Reiniciar Serviço, selecione Sim.

Solução de problemas manual

Se você receber a seguinte mensagem de erro do WinRM, tente usar as etapas de verificação manual nesta seção para resolver o erro. Mensagem de erro de exemplo:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

As etapas de verificação manual nesta seção exigem que você configure os seguintes computadores:

  • O computador executando Windows Admin Center
  • O servidor em que você recebeu a mensagem de erro

Para resolver o erro, tente as seguintes etapas de solução conforme necessário:

Solução 1:

  1. Reinicie o computador Windows o Centro de Administração e o servidor.

  2. Tente executar o assistente Criar Cluster novamente.

    Para obter detalhes sobre como executar o assistente, consulte Criar um cluster Azure Stack HCI usando Windows Admin Center.

Solução 2:

  1. No computador que executa o Windows Admin Center, abra Windows PowerShell como administrador e execute os seguintes comandos:

    Disable-WsmanCredSSP -Role Client  
    
    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>
    
  2. Use o recurso RDP para se conectar ao servidor e execute os seguintes comandos do PowerShell:

    Disable-WsmanCredSSP -Role Server  
    
    Enable-WsmanCredSSP -Role Server  
    
  3. Tente executar o assistente Criar Cluster novamente.

    Para obter detalhes sobre como executar o assistente, consulte Criar um cluster Azure Stack HCI usando Windows Admin Center.

Solução 3:

  1. No computador que executa o Windows Admin Center, execute o seguinte comando do PowerShell para verificar o SPN (Nome da Entidade de Serviço):

    setspn -Q WSMAN/<Windows Admin Center Computer Name>  
    

    O resultado deve listar a seguinte saída:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Se os resultados não estão listados, execute os seguintes comandos do PowerShell para registrar o SPN:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  
    
    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>  
    
  3. Use o recurso RDP para se conectar ao servidor e execute o seguinte comando do PowerShell para verificar o SPN:

    setspn -Q WSMAN/<Server Name>  
    

    O resultado deve listar a seguinte saída:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Se os resultados não estão listados, execute os seguintes comandos do PowerShell para registrar o SPN:

    setspn -S WSMAN/<Server Name> <Server Name>  
    
    setspn -S WSMAN/<Server FQDN Name> <Server Name>  
    
  5. Tente executar o assistente Criar Cluster novamente.

    Para obter detalhes sobre como executar o assistente, consulte Criar um cluster Azure Stack HCI usando Windows Admin Center.

Solução 4:

Se alguma das etapas de solução anteriores falhou ou não foi concluída, isso pode indicar um conflito de registro no Active Directory. Você pode usar um nome de computador diferente para redefinir o registro como um novo registro no Active Directory.

Para redefinir o registro no Active Directory, reinstale Azure Stack HCI sistema operacional com um novo nome de computador.

Solução 5:

Se a mensagem de erro que você está vendo mencionar, NTLM tente o seguinte:

  1. No computador que executa Windows Admin Center (aquele com a função "cliente" CredSSP), execute o seguinte comando para ver quais políticas estão configuradas:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
    
  2. Se AllowFreshCredentialsWithNTLMOnly estiver ausente, execute:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly
    

    Em seguida, execute:

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force
    

Próximas etapas

Para obter mais informações sobre CredSSP, consulte Provedor de suporte de segurança de credenciais.