Solucionar problemas do CredSSP

Aplica-se a: Azure Stack HCI, versões 21H2 e 20H2

algumas Azure Stack operações de HCI usam Gerenciamento Remoto do Windows (WinRM), que não permite a delegação de credenciais por padrão. Para permitir a delegação, o computador precisa ter o provedor de suporte de segurança de credencial (CredSSP) habilitado temporariamente. O CredSSP é um provedor de suporte de segurança que permite que um cliente delegue credenciais a um servidor para autenticação remota.

Habilitar o CredSSP é uma postura de segurança degradada e, na maioria das circunstâncias, deve ser desabilitado após a conclusão da tarefa ou da operação.

Algumas tarefas que exigem CredSSP para serem habilitadas incluem:

  • Fluxo de trabalho do assistente para criação de cluster
  • Active Directory consultas ou atualizações
  • SQL Server consultas ou atualizações
  • Localizando contas ou computadores em um domínio diferente ou em um ambiente não ingressado no domínio

Dicas de solução de problemas

Se você tiver problemas com o CredSSP, as seguintes dicas de solução de problemas podem ajudar:

  • para usar o assistente para criar Cluster ao executar Windows centro de administração em um servidor em vez de um PC, você deve ser um membro do grupo administradores de Gateway no servidor do centro de administração do Windows. para obter mais informações, consulte opções de acesso do usuário com o centro de administração do Windows.

  • Ao executar o assistente para criar cluster, o CredSSP poderá relatar um problema se uma Active Directory confiança não for estabelecida ou interrompida. Isso resulta quando servidores baseados em grupo de trabalho são usados para a criação do cluster. Nesse caso, tente reiniciar manualmente cada servidor no cluster.

  • ao executar Windows centro de administração em um servidor, verifique se a conta de usuário é membro do grupo administradores de Gateway.

  • é recomendável executar Windows centro de administração em um computador que seja membro do mesmo domínio que os servidores gerenciados.

  • Para poder habilitar ou desabilitar o CredSSP em um servidor, verifique se você pertence ao grupo de administradores de gateway nesse computador. Para obter mais informações, consulte as duas primeiras seções de Configurar o controle de acesso do usuário e as permissões.

  • reiniciar o serviço winrm nos servidores do cluster pode solicitar que você restabeleça a conexão do WinRM entre cada servidor de cluster e Windows centro de administração.

    uma maneira de fazer isso é acessando cada servidor de cluster e, no centro de administração do Windows no menu ferramentas , selecione serviços, selecione WinRM, reiniciare, em seguida, no prompt reiniciar serviço , selecione sim.

Solução de problemas manual

Se você receber a seguinte mensagem de erro do WinRM, tente usar as etapas de verificação manual nesta seção para resolver o erro. Mensagem de erro de exemplo:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

As etapas de verificação manual nesta seção exigem que você configure os seguintes computadores:

  • o computador que executa o centro de administração do Windows
  • O servidor em que você recebeu a mensagem de erro

Para resolver o erro, tente as seguintes etapas de solução, conforme necessário:

Solução 1:

  1. reinicie o computador que executa Windows centro de administração e o servidor.

  2. Tente executar o assistente para criar cluster novamente.

    para obter detalhes sobre como executar o assistente, consulte criar um Azure Stack cluster HCI usando o centro de administração do Windows.

Solução 2:

  1. no computador que executa o Windows Admin Center, abra Windows PowerShell como administrador e execute os seguintes comandos:

    Disable-WsmanCredSSP -Role Client  
    
    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>
    
  2. Use o recurso RDP para se conectar ao servidor e, em seguida, execute os seguintes comandos do PowerShell:

    Disable-WsmanCredSSP -Role Server  
    
    Enable-WsmanCredSSP -Role Server  
    
  3. Tente executar o assistente para criar cluster novamente.

    para obter detalhes sobre como executar o assistente, consulte criar um Azure Stack cluster HCI usando o centro de administração do Windows.

Solução 3:

  1. no computador que executa o Windows Admin Center, execute o seguinte comando do PowerShell para verificar o SPN (nome da entidade de serviço):

    setspn -Q WSMAN/<Windows Admin Center Computer Name>  
    

    O resultado deve listar a seguinte saída:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Se os resultados não estiverem listados, execute os seguintes comandos do PowerShell para registrar o SPN:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  
    
    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>  
    
  3. Use o recurso RDP para se conectar ao servidor e, em seguida, execute o seguinte comando do PowerShell para verificar o SPN:

    setspn -Q WSMAN/<Server Name>  
    

    O resultado deve listar a seguinte saída:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Se os resultados não estiverem listados, execute os seguintes comandos do PowerShell para registrar o SPN:

    setspn -S WSMAN/<Server Name> <Server Name>  
    
    setspn -S WSMAN/<Server Name> <Server FQDN Name>  
    
  5. Tente executar o assistente para criar cluster novamente.

    para obter detalhes sobre como executar o assistente, consulte criar um Azure Stack cluster HCI usando o centro de administração do Windows.

Solução 4:

Se alguma das etapas de correção anteriores tiver falhado ou não tiver sido concluída, isso poderá indicar um conflito de registro em Active Directory. Você pode usar um nome de computador diferente para redefinir o registro como um novo registro no Active Directory.

Para redefinir o registro no Active Directory, reinstale o sistema operacional Azure Stack HCI com um novo nome de computador.

Solução 5:

Se a mensagem de erro que você está vendo mencionar NTLM , tente o seguinte:

  1. no computador que executa o Windows Admin Center (aquele com a função de CredSSP "cliente"), execute o seguinte comando para ver quais políticas estão configuradas:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
    
  2. Se AllowFreshCredentialsWithNTLMOnly estiver ausente, execute:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly
    

    Em seguida, execute:

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force
    

Próximas etapas

Para obter mais informações sobre CredSSP, consulte provedor de suporte à segurança de credenciais.