Устранение неполадок CredSSPTroubleshoot CredSSP

Применимо к Azure Stack ХЦИ, версия v20H2Applies to Azure Stack HCI, version v20H2

Некоторые Azure Stack операции ХЦИ используют служба удаленного управления Windows (WinRM), что не допускает делегирования учетных данных по умолчанию.Some Azure Stack HCI operations use Windows Remote Management (WinRM), which doesn't allow credential delegation by default. Чтобы разрешить делегирование, на компьютере должен быть временно включен поставщик поддержки безопасности учетных данных (CredSSP).To allow delegation, the computer needs to have Credential Security Support Provider (CredSSP) enabled temporarily. CredSSP — это поставщик поддержки безопасности, позволяющий клиенту делегировать учетные данные серверу для удаленной проверки подлинности.CredSSP is a security support provider that allows a client to delegate credentials to a server for remote authentication.

Включение CredSSP является сниженной степенью безопасности, и в большинстве случаев ее следует отключить после завершения задачи или операции.Enabling CredSSP is a degraded security posture, and in most circumstances should be disabled after the task or operation is completed.

Некоторые задачи, требующие включения CredSSP, включают:Some tasks that require CredSSP to be enabled include:

  • Рабочий процесс мастера создания кластераCreate Cluster wizard workflow
  • Active Directory запросы или обновленияActive Directory queries or updates
  • SQL Server запросы или обновленияSQL Server queries or updates
  • Поиск учетных записей или компьютеров в среде с другим доменом или без присоединения к доменуLocating accounts or computers on a different domain or non-domain joined environment

Советы по устранению неполадокTroubleshooting tips

При возникновении проблем с CredSSP следующие советы по устранению неполадок могут помочь:If you experience issues with CredSSP, the following troubleshooting tips may help:

  • Чтобы использовать мастер создания кластера при запуске центра администрирования Windows на сервере, а не на компьютере, необходимо быть членом группы администраторов шлюза на сервере центра администрирования Windows.To use the Create Cluster wizard when running Windows Admin Center on a server instead of a PC, you must be a member of the Gateway administrators group on the Windows Admin Center server. Дополнительные сведения см. в разделе Параметры доступа пользователей в центре администрирования Windows.For more information, see User access options with Windows Admin Center.

  • При запуске мастера создания кластера CredSSP может сообщить о возникшей ошибке, если доверие Active Directory не установлено или нарушено.When running the Create Cluster wizard, CredSSP may report an issue if an Active Directory trust isn't established or is broken. Это происходит, когда серверы на основе рабочей группы используются для создания кластера.This results when workgroup-based servers are used for cluster creation. В этом случае попробуйте вручную перезапустить каждый сервер в кластере.In this case, try manually restarting each server in the cluster.

  • При запуске центра администрирования Windows на сервере убедитесь, что учетная запись пользователя является членом группы администраторов шлюза.When running Windows Admin Center on a server, make sure the user account is a member of the Gateway administrators group.

  • Рекомендуется запускать центр администрирования Windows на компьютере, который является членом того же домена, что и управляемые серверы.We recommend running Windows Admin Center on a computer that is a member of the same domain as the managed servers.

  • Чтобы включить или отключить CredSSP на сервере, убедитесь, что вы принадлежите к группе администраторов шлюза на этом компьютере.To be able to enable or disable CredSSP on a server, make sure you belong to the Gateway administrators group on that computer. Дополнительные сведения см. в первых двух разделах настройки контроля доступа и разрешений пользователя.For more information, see the first two sections of Configure User Access Control and Permissions.

  • Перезапуск службы WinRM на серверах в кластере может предложить вам повторно установить подключение WinRM между каждым сервером кластера и центром администрирования Windows.Restarting the WinRM service on the servers in the cluster might prompt you to re-establish the WinRM connection between each cluster server and Windows Admin Center.

    Один из способов сделать это — перейти на каждый сервер кластера, а в центре администрирования Windows в меню Сервис выберите службы, выберите WinRM, затем перезапустить, а затем в командной строке перезапустить службу выберите Да.One way to do this is by going to each cluster server, and in Windows Admin Center on the Tools menu, select Services, select WinRM, select Restart, and then on the Restart Service prompt, select Yes.

Устранение неполадок вручнуюManual troubleshooting

Если вы получаете следующее сообщение об ошибке WinRM, попробуйте воспользоваться инструкциями по проверке вручную в этом разделе, чтобы устранить эту ошибку.If you receive the following WinRM error message, try using the manual verification steps in this section to resolve the error. Пример сообщения об ошибке:Example error message:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

Для выполнения действий по проверке вручную в этом разделе необходимо настроить следующие компьютеры:The manual verification steps in this section require you to configure the following computers:

  • Компьютер, на котором работает центр администрирования WindowsThe computer running Windows Admin Center
  • Сервер, на котором было получено сообщение об ошибкеThe server where you received the error message

Чтобы устранить эту ошибку, при необходимости выполните следующие действия по исправлению:To resolve the error, try the following remedy steps as needed:

Исправить 1:Remedy 1:

  1. Перезапустите компьютер, на котором запущен центр администрирования Windows и сервер.Restart the computer running Windows Admin Center and the server.

  2. Попробуйте запустить мастер создания кластера еще раз.Try running the Create Cluster wizard again.

    Дополнительные сведения о запуске мастера см. в статье Создание кластера Azure Stack хЦи с помощью центра администрирования Windows.For details on running the wizard, see Create an Azure Stack HCI cluster using Windows Admin Center.

Исправить 2:Remedy 2:

  1. На компьютере, на котором работает центр администрирования Windows, откройте Windows PowerShell от имени администратора и выполните следующие команды:On the computer running Windows Admin Center, open Windows PowerShell as an administrator and run the following commands:

    Disable-WsmanCredSSP -Role Client  
    
    Enable-WsmanCredSSP -Role Client -DelagateComputer <Server FQDN Name>
    
  2. Подключитесь к серверу с помощью компонента RDP, а затем выполните следующие команды PowerShell:Use the RDP feature to connect to the server, and then run the following PowerShell commands:

    Disable-WsmanCredSSP -Role Server  
    
    Enable-WsmanCredSSP -Role Server  
    
  3. Попробуйте запустить мастер создания кластера еще раз.Try running the Create Cluster wizard again.

    Дополнительные сведения о запуске мастера см. в статье Создание кластера Azure Stack хЦи с помощью центра администрирования Windows.For details on running the wizard, see Create an Azure Stack HCI cluster using Windows Admin Center.

Исправить 3:Remedy 3:

  1. На компьютере, работающем под управлением центра администрирования Windows, выполните следующую команду PowerShell, чтобы проверить имя участника-службы (SPN):On the computer running Windows Admin Center, run the following PowerShell command to check the Service Principal Name (SPN):

    setspn -Q WSMAN/<Windows Admin Center Computer Name>  
    

    Результат должен вывести на выходе следующие выходные данные:The result should list the following output:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Если результаты отсутствуют в списке, выполните следующие команды PowerShell, чтобы зарегистрировать имя субъекта-службы:If the results are not listed, run the following PowerShell commands to register the SPN:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  
    
    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>  
    
  3. Подключитесь к серверу с помощью компонента RDP, а затем выполните следующую команду PowerShell, чтобы проверить имя субъекта-службы:Use the RDP feature to connect to the server, and then run the following PowerShell command to check the SPN:

    setspn -Q WSMAN/<Server Name>  
    

    Результат должен вывести на выходе следующие выходные данные:The result should list the following output:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Если результаты отсутствуют в списке, выполните следующие команды PowerShell, чтобы зарегистрировать имя субъекта-службы:If the results are not listed, run the following PowerShell commands to register the SPN:

    setspn -S WSMAN/<Server Name> <Server Name>  
    
    setspn -S WSMAN/<Server Name> <Server FQDN Name>  
    
  5. Попробуйте запустить мастер создания кластера еще раз.Try running the Create Cluster wizard again.

    Дополнительные сведения о запуске мастера см. в статье Создание кластера Azure Stack хЦи с помощью центра администрирования Windows.For details on running the wizard, see Create an Azure Stack HCI cluster using Windows Admin Center.

Устранение 4:Remedy 4:

Если какое-либо из предыдущих шагов исправления завершилось сбоем или не выполнено, это может указывать на конфликт записей в Active Directory.If any of the previous remedy steps failed or did not complete, this might indicate a record conflict in Active Directory. Можно использовать другое имя компьютера, чтобы сбросить запись в Active Directory.You can use a different computer name to reset the record as a new record in Active Directory.

Чтобы сбросить запись в Active Directory, переустановите операционную систему Azure Stack ХЦИ с новым именем компьютера.To reset the record in Active Directory, reinstall the Azure Stack HCI operating system with a new computer name.

Дальнейшие действияNext steps

Дополнительные сведения о CredSSP см. в разделе поставщик поддержки безопасности учетных данных.For more information on CredSSP, see Credential Security Support Provider.