Устранение неполадок CredSSP

  • Статья

Область применения: Azure Stack HCI версий 22H2 и 21H2

В некоторых операциях Azure Stack HCI используется удаленное управление Windows (WinRM), которое по умолчанию не разрешает делегирование учетных данных. Чтобы разрешить делегирование, на компьютере должен быть временно включен поставщик поддержки безопасности учетных данных (CredSSP). CredSSP — это поставщик поддержки безопасности, который позволяет клиенту делегировать учетные данные серверу для удаленной проверки подлинности.

Включение CredSSP является снижением уровня безопасности, и в большинстве случаев его следует отключить после завершения задачи или операции.

Ниже перечислены некоторые задачи, требующие включения CredSSP.

  • Рабочий процесс мастера создания кластеров
  • Запросы или обновления Active Directory
  • SQL Server запросов или обновлений
  • Поиск учетных записей или компьютеров в другом домене или в среде, не присоединенной к домену

Советы по устранению неполадок

При возникновении проблем с CredSSP могут помочь следующие советы по устранению неполадок:

  • Чтобы использовать мастер создания кластера при запуске Windows Admin Center на сервере, а не на компьютере, необходимо быть членом группы администраторов шлюза на сервере Windows Admin Center. Дополнительные сведения см. в статье Параметры доступа пользователей с помощью Windows Admin Center.

  • При запуске мастера создания кластера CredSSP может сообщить о проблеме, если доверие Active Directory не установлено или нарушено. Это происходит при использовании серверов на основе рабочей группы для создания кластера. В этом случае попробуйте вручную перезапустить каждый сервер в кластере.

  • При запуске Windows Admin Center на сервере убедитесь, что учетная запись пользователя входит в группу администраторов шлюза.

  • Рекомендуется запускать Windows Admin Center на компьютере, который входит в тот же домен, что и управляемые серверы.

  • Чтобы включить или отключить CredSSP на сервере, убедитесь, что вы принадлежите к группе администраторов шлюза на этом компьютере. Дополнительные сведения см. в первых двух разделах раздела Настройка контроль доступа пользователей и Разрешения.

  • При перезапуске службы WinRM на серверах в кластере может потребоваться повторно установить подключение WinRM между каждым сервером кластера и Windows Admin Center.

    Один из способов сделать это — перейти к каждому серверу кластера и в Windows Admin Center в меню Сервис выберите Службы, WinRM, Перезапустить, а затем в командной строке Перезапустить службу выберите Да.

Устранение неполадок вручную

Если появляется следующее сообщение об ошибке WinRM, попробуйте вручную выполнить проверку, описанную в этом разделе, чтобы устранить эту ошибку. Пример сообщения об ошибке

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

Действия по проверке вручную, описанные в этом разделе, требуют настройки следующих компьютеров:

  • Компьютер, на котором выполняется Windows Admin Center
  • Сервер, на котором вы получили сообщение об ошибке

Чтобы устранить эту ошибку, при необходимости выполните следующие действия по устранению неполадок:

Исправление 1:

  1. Перезагрузите компьютер под управлением Windows Admin Center и сервер.

  2. Попробуйте снова запустить мастер создания кластера.

    Дополнительные сведения о запуске мастера см. в статье Создание кластера Azure Stack HCI с помощью Windows Admin Center.

Исправление 2:

  1. На компьютере под управлением Windows Admin Center откройте Windows PowerShell от имени администратора и выполните следующие команды:

    Disable-WsmanCredSSP -Role Client  

    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>

  2. Используйте функцию RDP для подключения к серверу, а затем выполните следующие команды PowerShell:

    Disable-WsmanCredSSP -Role Server  

    Enable-WsmanCredSSP -Role Server

  3. Попробуйте снова запустить мастер создания кластера.

    Дополнительные сведения о запуске мастера см. в статье Создание кластера Azure Stack HCI с помощью Windows Admin Center.

Исправление 3:

  1. На компьютере под управлением Windows Admin Center выполните следующую команду PowerShell, чтобы проверка имя субъекта-службы (SPN):

    setspn -Q WSMAN/<Windows Admin Center Computer Name>

    Результат должен вывести следующие выходные данные:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Если результаты отсутствуют в списке, выполните следующие команды PowerShell, чтобы зарегистрировать имя субъекта-службы:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>

  3. Используйте функцию RDP для подключения к серверу, а затем выполните следующую команду PowerShell, чтобы проверка имени субъекта-службы:

    setspn -Q WSMAN/<Server Name>

    Результат должен вывести следующие выходные данные:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Если результаты отсутствуют в списке, выполните следующие команды PowerShell, чтобы зарегистрировать имя субъекта-службы:

    setspn -S WSMAN/<Server Name> <Server Name>  

    setspn -S WSMAN/<Server FQDN Name> <Server Name>

  5. Попробуйте снова запустить мастер создания кластера.

    Дополнительные сведения о запуске мастера см. в статье Создание кластера Azure Stack HCI с помощью Windows Admin Center.

Исправление 4:

Если какой-либо из предыдущих шагов по устранению проблемы завершился сбоем или не был выполнен, это может указывать на конфликт записей в Active Directory. Для сброса записи в Качестве новой записи в Active Directory можно использовать другое имя компьютера.

Чтобы сбросить запись в Active Directory, переустановите операционную систему Azure Stack HCI с новым именем компьютера.

Исправление 5:

Если отображается NTLM сообщение об ошибке, попробуйте сделать следующее:

  1. На компьютере под управлением Windows Admin Center (с ролью CredSSP "клиент") выполните следующую команду, чтобы узнать, какие политики настроены:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  2. Если AllowFreshCredentialsWithNTLMOnly отсутствует, выполните следующую команду:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    Далее выполните:

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force

Дальнейшие действия

Дополнительные сведения о CredSSP см. в разделе Поставщик поддержки безопасности учетных данных.