Устранение неполадок CredSSP

Область применения: Azure Stack ХЦИ, версии 21H2 и 20H2

некоторые Azure Stack операции хЦи используют служба удаленного управления Windows (WinRM), что не допускает делегирования учетных данных по умолчанию. Чтобы разрешить делегирование, на компьютере должен быть временно включен поставщик поддержки безопасности учетных данных (CredSSP). CredSSP — это поставщик поддержки безопасности, позволяющий клиенту делегировать учетные данные серверу для удаленной проверки подлинности.

Включение CredSSP является сниженной степенью безопасности, и в большинстве случаев ее следует отключить после завершения задачи или операции.

Некоторые задачи, требующие включения CredSSP, включают:

  • Рабочий процесс мастера создания кластера
  • Active Directory запросы или обновления
  • SQL Server запросы или обновления
  • Поиск учетных записей или компьютеров в среде с другим доменом или без присоединения к домену

Советы по устранению неполадок

При возникновении проблем с CredSSP следующие советы по устранению неполадок могут помочь:

  • чтобы использовать мастер создания кластера при запуске Windows центра администрирования на сервере, а не на компьютере, необходимо быть членом группы администраторов шлюза на сервере центра администрирования Windows. дополнительные сведения см. в разделе параметры доступа пользователей с помощью центра администрирования Windows.

  • При запуске мастера создания кластера CredSSP может сообщить о возникшей ошибке, если доверие Active Directory не установлено или нарушено. Это происходит, когда серверы на основе рабочей группы используются для создания кластера. В этом случае попробуйте вручную перезапустить каждый сервер в кластере.

  • при запуске центра администрирования Windows на сервере убедитесь, что учетная запись пользователя является членом группы администраторов шлюза.

  • рекомендуется запускать центр администрирования Windows на компьютере, который является членом того же домена, что и управляемые серверы.

  • Чтобы включить или отключить CredSSP на сервере, убедитесь, что вы принадлежите к группе администраторов шлюза на этом компьютере. Дополнительные сведения см. в первых двух разделах настройки контроля доступа и разрешений пользователя.

  • перезапуск службы winrm на серверах в кластере может предложить вам повторно установить подключение winrm между каждым сервером кластера и Windows центром администрирования.

    один из способов сделать это — перейти на каждый сервер кластера, а в Windows центре администрирования в меню сервис выберите службы, выберите WinRM, затем перезапустить, а затем в командной строке перезапустить службу выберите да.

Устранение неполадок вручную

Если вы получаете следующее сообщение об ошибке WinRM, попробуйте воспользоваться инструкциями по проверке вручную в этом разделе, чтобы устранить эту ошибку. Пример сообщения об ошибке

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

Для выполнения действий по проверке вручную в этом разделе необходимо настроить следующие компьютеры:

  • компьютер, на котором работает центр администрирования Windows
  • Сервер, на котором было получено сообщение об ошибке

Чтобы устранить эту ошибку, при необходимости выполните следующие действия по исправлению:

Исправить 1:

  1. перезагрузите компьютер, на котором работает центр администрирования Windows и сервер.

  2. Попробуйте запустить мастер создания кластера еще раз.

    дополнительные сведения о запуске мастера см. в разделе создание кластера Azure Stack хЦи с помощью Windows центра администрирования.

Исправить 2:

  1. на компьютере, где работает центр администрирования Windows, откройте Windows PowerShell от имени администратора и выполните следующие команды:

    Disable-WsmanCredSSP -Role Client  
    
    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>
    
  2. Подключитесь к серверу с помощью компонента RDP, а затем выполните следующие команды PowerShell:

    Disable-WsmanCredSSP -Role Server  
    
    Enable-WsmanCredSSP -Role Server  
    
  3. Попробуйте запустить мастер создания кластера еще раз.

    дополнительные сведения о запуске мастера см. в разделе создание кластера Azure Stack хЦи с помощью Windows центра администрирования.

Исправить 3:

  1. на компьютере, где работает центр администрирования Windows, выполните следующую команду PowerShell, чтобы проверить имя участника-службы (SPN):

    setspn -Q WSMAN/<Windows Admin Center Computer Name>  
    

    Результат должен вывести на выходе следующие выходные данные:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Если результаты отсутствуют в списке, выполните следующие команды PowerShell, чтобы зарегистрировать имя субъекта-службы:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  
    
    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>  
    
  3. Подключитесь к серверу с помощью компонента RDP, а затем выполните следующую команду PowerShell, чтобы проверить имя субъекта-службы:

    setspn -Q WSMAN/<Server Name>  
    

    Результат должен вывести на выходе следующие выходные данные:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Если результаты отсутствуют в списке, выполните следующие команды PowerShell, чтобы зарегистрировать имя субъекта-службы:

    setspn -S WSMAN/<Server Name> <Server Name>  
    
    setspn -S WSMAN/<Server FQDN Name> <Server Name>  
    
  5. Попробуйте запустить мастер создания кластера еще раз.

    дополнительные сведения о запуске мастера см. в разделе создание кластера Azure Stack хЦи с помощью Windows центра администрирования.

Устранение 4:

Если какое-либо из предыдущих шагов исправления завершилось сбоем или не выполнено, это может указывать на конфликт записей в Active Directory. Можно использовать другое имя компьютера, чтобы сбросить запись в Active Directory.

Чтобы сбросить запись в Active Directory, переустановите операционную систему Azure Stack ХЦИ с новым именем компьютера.

Устранение 5:

Если сообщение об ошибке, которое вы видите, уже упоминается NTLM , попробуйте выполнить следующие действия.

  1. на компьютере, где работает центр администрирования Windows (с ролью "клиент", выполните следующую команду, чтобы увидеть, какие политики настроены:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
    
  2. Если AllowFreshCredentialsWithNTLMOnly отсутствует, выполните:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly
    

    Далее выполните:

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force
    

Дальнейшие действия

Дополнительные сведения о CredSSP см. в разделе поставщик поддержки безопасности учетных данных.