Resolver problemas de CredSSP

Aplica-se a: Azure Stack HCI, versões 21H2 e 20H2

Algumas operações HCI da Azure Stack utilizam Windows Gestão Remota (WinRM), que não permite a delegação de credenciais por defeito. Para permitir a delegação, o computador precisa de ter o Fornecedor de Suporte de Segurança Credencial (CredSSP) ativado temporariamente. O CredSSP é um fornecedor de suporte de segurança que permite que um cliente delegue credenciais num servidor para autenticação remota.

Permitir que o CredSSP seja uma postura de segurança degradada, e na maioria das circunstâncias deve ser desativada após a tarefa ou operação estar concluída.

Algumas tarefas que exigem que o CredSSP seja ativado incluem:

  • Criar fluxo de trabalho de assistente de cluster
  • Consultas ou atualizações de diretório ativo
  • SQL Server consultas ou atualizações
  • Localizar contas ou computadores num ambiente de união de domínios ou não-domínios diferentes

Sugestões de resolução de problemas

Se tiver problemas com o CredSSP, as seguintes dicas de resolução de problemas podem ajudar:

  • Para utilizar o assistente De criar cluster ao executar Windows Centro de Administração num servidor em vez de um PC, deve ser membro do grupo de administradores Gateway no servidor Windows Admin Center. Para obter mais informações, consulte as opções de acesso ao Utilizador com Windows Centro de Administração.

  • Ao executar o assistente Criar Cluster, o CredSSP pode reportar um problema se um fundo de diretório ativo não estiver estabelecido ou estiver quebrado. Isto resulta quando os servidores baseados em grupos de trabalho são usados para a criação de clusters. Neste caso, tente reiniciar manualmente cada servidor do cluster.

  • Ao executar Windows Admin Center num servidor, certifique-se de que a conta de utilizador é membro do grupo de administradores Gateway.

  • Recomendamos executar Windows Admin Center num computador que seja membro do mesmo domínio que os servidores geridos.

  • Para poder ativar ou desativar o CredSSP num servidor, certifique-se de que pertence ao grupo de administradores Gateway nesse computador. Para mais informações, consulte as duas primeiras secções de Configurar o Controlo e Permissõesde Acesso ao Utilizador.

  • Reiniciar o serviço WinRM nos servidores do cluster pode levar-lhe a restabelecer a ligação WinRM entre cada servidor de cluster e Windows Centro de Administração.

    Uma maneira de o fazer é indo para cada servidor de cluster, e em Windows Centro de Administração no menu Ferramentas, selecione Serviços, selecione WinRM, selecione Restart, e, em seguida, no pedido de Serviço de Reinício, selecione Sim.

Resolução manual de problemas

Se receber a seguinte mensagem de erro WinRM, tente utilizar as etapas de verificação manual nesta secção para resolver o erro. Mensagem de erro de exemplo:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

As etapas de verificação manual nesta secção exigem que configuure os seguintes computadores:

  • O computador que funciona Windows Centro de Administração
  • O servidor onde recebeu a mensagem de erro

Para resolver o erro, experimente os seguintes passos de reparação conforme necessário:

Remédio 1:

  1. Reinicie o computador que funciona Windows Centro de Administração e o servidor.

  2. Tente executar novamente o assistente criar cluster.

    Para obter detalhes sobre a execução do assistente, consulte criar um cluster HCI Azure Stack utilizando Windows Centro de Administração.

Remédio 2:

  1. No computador em execução Windows Admin Center, abra Windows PowerShell como administrador e execute os seguintes comandos:

    Disable-WsmanCredSSP -Role Client  
    
    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>
    
  2. Utilize a função RDP para ligar ao servidor e, em seguida, executar os seguintes comandos PowerShell:

    Disable-WsmanCredSSP -Role Server  
    
    Enable-WsmanCredSSP -Role Server  
    
  3. Tente executar novamente o assistente criar cluster.

    Para obter detalhes sobre a execução do assistente, consulte criar um cluster HCI Azure Stack utilizando Windows Centro de Administração.

Remédio 3:

  1. No computador em execução Windows Admin Center, executar o seguinte comando PowerShell para verificar o nome principal de serviço (SPN):

    setspn -Q WSMAN/<Windows Admin Center Computer Name>  
    

    O resultado deve enumerar a seguinte saída:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Se os resultados não estiverem listados, executar os seguintes comandos PowerShell para registar o SPN:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  
    
    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>  
    
  3. Utilize a função RDP para ligar ao servidor e, em seguida, executar o seguinte comando PowerShell para verificar o SPN:

    setspn -Q WSMAN/<Server Name>  
    

    O resultado deve enumerar a seguinte saída:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Se os resultados não estiverem listados, executar os seguintes comandos PowerShell para registar o SPN:

    setspn -S WSMAN/<Server Name> <Server Name>  
    
    setspn -S WSMAN/<Server Name> <Server FQDN Name>  
    
  5. Tente executar novamente o assistente criar cluster.

    Para obter detalhes sobre a execução do assistente, consulte criar um cluster HCI Azure Stack utilizando Windows Centro de Administração.

Remédio 4:

Se alguma das medidas de reparação anteriores falhar ou não tiver sido concluída, isso poderá indicar um conflito recorde no Ative Directory. Pode utilizar um nome de computador diferente para redefinir o registo como um novo registo no Ative Directory.

Para redefinir o registo no Ative Directory, reinstale o sistema operativo Azure Stack HCI com um novo nome de computador.

Remédio 5:

Se a mensagem de erro que está a ver NTLM menciona, tente o seguinte:

  1. No computador em execução Windows Admin Center (o que tem a função "cliente" CredSSP), executar o seguinte comando para ver que políticas estão configuradas:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
    
  2. Se AllowFreshCredentialsWithNTLMOnly faltar, corra:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly
    

    Em seguida, execute:

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force
    

Passos seguintes

Para obter mais informações sobre o CredSSP, consulte o Fornecedor de Suporte de Segurança Credencial.