Resolver problemas de CredSSP

  • Artigo

Aplica-se a: Azure Stack HCI, versões 22H2 e 21H2

Algumas operações do Azure Stack HCI utilizam a Gestão Remota do Windows (WinRM), que não permite a delegação de credenciais por predefinição. Para permitir a delegação, o computador tem de ter o Fornecedor de Suporte de Segurança de Credenciais (CredSSP) ativado temporariamente. CredSSP é um fornecedor de suporte de segurança que permite a um cliente delegar credenciais a um servidor para autenticação remota.

Ativar o CredSSP é uma postura de segurança degradada e, na maioria das circunstâncias, deve ser desativada após a conclusão da tarefa ou operação.

Algumas tarefas que requerem a ativação do CredSSP incluem:

  • Criar fluxo de trabalho do assistente de Clusters
  • Consultas ou atualizações do Active Directory
  • SQL Server consultas ou atualizações
  • Localizar contas ou computadores num domínio diferente ou num ambiente não associado a um domínio

Sugestões de resolução de problemas

Se tiver problemas com o CredSSP, as seguintes sugestões de resolução de problemas poderão ajudar:

  • Para utilizar o assistente Criar Cluster ao executar Windows Admin Center num servidor em vez de num PC, tem de ser membro do grupo Administradores de gateway no servidor Windows Admin Center. Para obter mais informações, veja Opções de acesso de utilizador com Windows Admin Center.

  • Ao executar o assistente Criar Cluster, o CredSSP pode comunicar um problema se uma confiança do Active Directory não for estabelecida ou estiver quebrada. Isto resulta quando os servidores baseados em grupos de trabalho são utilizados para a criação de clusters. Neste caso, tente reiniciar manualmente cada servidor no cluster.

  • Ao executar Windows Admin Center num servidor, certifique-se de que a conta de utilizador é membro do grupo Administradores de gateway.

  • Recomendamos que execute Windows Admin Center num computador que seja membro do mesmo domínio que os servidores geridos.

  • Para poder ativar ou desativar o CredSSP num servidor, certifique-se de que pertence ao grupo Administradores de gateway nesse computador. Para obter mais informações, veja as duas primeiras secções de Configurar Controlo de Acesso e Permissões do Utilizador.

  • Reiniciar o serviço WinRM nos servidores no cluster poderá pedir-lhe para restabelecer a ligação WinRM entre cada servidor de cluster e Windows Admin Center.

    Uma forma de o fazer é aceder a cada servidor de cluster e, em Windows Admin Center no menu Ferramentas, selecionar Serviços, selecionar WinRM, selecionar Reiniciar e, em seguida, na linha de comandos Reiniciar Serviço, selecione Sim.

Resolução de problemas manual

Se receber a seguinte mensagem de erro winRM, experimente utilizar os passos de verificação manual nesta secção para resolver o erro. Mensagem de erro de exemplo:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

Os passos de verificação manual nesta secção exigem que configure os seguintes computadores:

  • O computador com Windows Admin Center
  • O servidor onde recebeu a mensagem de erro

Para resolver o erro, experimente os seguintes passos de solução, conforme necessário:

Remédio 1:

  1. Reinicie o computador com Windows Admin Center e o servidor.

  2. Tente executar novamente o assistente Criar Cluster.

    Para obter detalhes sobre como executar o assistente, veja Criar um cluster do Azure Stack HCI com Windows Admin Center.

Remédio 2:

  1. No computador com Windows Admin Center, abra Windows PowerShell como administrador e execute os seguintes comandos:

    Disable-WsmanCredSSP -Role Client  

    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>

  2. Utilize a funcionalidade RDP para ligar ao servidor e, em seguida, execute os seguintes comandos do PowerShell:

    Disable-WsmanCredSSP -Role Server  

    Enable-WsmanCredSSP -Role Server

  3. Tente executar novamente o assistente Criar Cluster.

    Para obter detalhes sobre como executar o assistente, veja Criar um cluster do Azure Stack HCI com Windows Admin Center.

Solução 3:

  1. No computador com Windows Admin Center, execute o seguinte comando do PowerShell para verificar o Nome do Principal do Serviço (SPN):

    setspn -Q WSMAN/<Windows Admin Center Computer Name>

    O resultado deve listar o seguinte resultado:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Se os resultados não estiverem listados, execute os seguintes comandos do PowerShell para registar o SPN:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>

  3. Utilize a funcionalidade RDP para ligar ao servidor e, em seguida, execute o seguinte comando do PowerShell para verificar o SPN:

    setspn -Q WSMAN/<Server Name>

    O resultado deve listar o seguinte resultado:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Se os resultados não estiverem listados, execute os seguintes comandos do PowerShell para registar o SPN:

    setspn -S WSMAN/<Server Name> <Server Name>  

    setspn -S WSMAN/<Server FQDN Name> <Server Name>

  5. Tente executar novamente o assistente Criar Cluster.

    Para obter detalhes sobre como executar o assistente, veja Criar um cluster do Azure Stack HCI com Windows Admin Center.

Solução 4:

Se algum dos passos anteriores da solução tiver falhado ou não tiver sido concluído, tal poderá indicar um conflito de registos no Active Directory. Pode utilizar um nome de computador diferente para repor o registo como um novo registo no Active Directory.

Para repor o registo no Active Directory, reinstale o sistema operativo Azure Stack HCI com um novo nome de computador.

Solução 5:

Se a mensagem de erro que está a ver mencionar NTLM , experimente o seguinte:

  1. No computador que executa Windows Admin Center (aquele com a função "cliente" CredSSP), execute o seguinte comando para ver que políticas estão configuradas:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  2. Se AllowFreshCredentialsWithNTLMOnly estiver em falta, execute:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    Em seguida, execute:

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force

Passos seguintes

Para obter mais informações sobre CredSSP, veja Fornecedor de Suporte de Segurança de Credenciais.