CredSSP sorunlarını gidermeTroubleshoot CredSSP

Azure Stack HI, sürüm v20H2 için geçerlidirApplies to Azure Stack HCI, version v20H2

Bazı Azure Stack HCı işlemleri varsayılan olarak kimlik bilgisi temsilcisiyle izin verilmeyen Windows Uzaktan Yönetimi (WinRM) kullanır.Some Azure Stack HCI operations use Windows Remote Management (WinRM), which doesn't allow credential delegation by default. Temsilciye izin vermek için bilgisayarda kimlik bilgisi güvenlik desteği sağlayıcısı 'nın (CredSSP) geçici olarak etkinleştirilmiş olması gerekir.To allow delegation, the computer needs to have Credential Security Support Provider (CredSSP) enabled temporarily. CredSSP, istemcinin uzaktan kimlik doğrulaması için kimlik bilgilerini bir sunucuya temsilciliğini sağlayan bir güvenlik desteği sağlayıcısıdır.CredSSP is a security support provider that allows a client to delegate credentials to a server for remote authentication.

CredSSP 'yi etkinleştirmek, düşürülmüş bir güvenlik duruşunu ve çoğu durumda görev ya da işlem tamamlandıktan sonra devre dışı bırakılmalıdır.Enabling CredSSP is a degraded security posture, and in most circumstances should be disabled after the task or operation is completed.

CredSSP 'nin etkinleştirilmesini gerektiren bazı görevler şunlardır:Some tasks that require CredSSP to be enabled include:

  • Küme oluşturma Sihirbazı iş akışıCreate Cluster wizard workflow
  • Sorgu veya güncelleştirme Active DirectoryActive Directory queries or updates
  • Sorgu veya güncelleştirme SQL ServerSQL Server queries or updates
  • Farklı bir etki alanında veya etki alanına katılmış olmayan bir ortamda hesapları veya bilgisayarları bulmaLocating accounts or computers on a different domain or non-domain joined environment

Sorun giderme ipuçlarıTroubleshooting tips

CredSSP ile ilgili sorunlarla karşılaşırsanız, aşağıdaki sorun giderme ipuçları yardımcı olabilir:If you experience issues with CredSSP, the following troubleshooting tips may help:

  • Windows yönetici merkezini bir BILGISAYAR yerine bir sunucuda çalıştırırken küme oluşturma Sihirbazı 'nı kullanmak için, Windows Yönetim Merkezi sunucusunda ağ geçidi yöneticileri grubunun bir üyesi olmanız gerekir.To use the Create Cluster wizard when running Windows Admin Center on a server instead of a PC, you must be a member of the Gateway administrators group on the Windows Admin Center server. Daha fazla bilgi için bkz. Windows Yönetim Merkezi 'Nde Kullanıcı erişimi seçenekleri.For more information, see User access options with Windows Admin Center.

  • Küme oluşturma Sihirbazı 'nı çalıştırırken, Active Directory bir güven kurulmadıysa veya kesilmediğinde CredSSP bir sorun bildirebilir.When running the Create Cluster wizard, CredSSP may report an issue if an Active Directory trust isn't established or is broken. Bu durum, küme oluşturma için çalışma grubu tabanlı sunucular kullanıldığında oluşur.This results when workgroup-based servers are used for cluster creation. Bu durumda, kümedeki her sunucuyu el ile yeniden başlatmayı deneyin.In this case, try manually restarting each server in the cluster.

  • Windows Yönetim Merkezi 'ni bir sunucuda çalıştırırken, Kullanıcı hesabının ağ geçidi yöneticileri grubunun bir üyesi olduğundan emin olun.When running Windows Admin Center on a server, make sure the user account is a member of the Gateway administrators group.

  • Windows yönetici merkezi 'ni, yönetilen sunucularla aynı etki alanının üyesi olan bir bilgisayarda çalıştırmayı öneririz.We recommend running Windows Admin Center on a computer that is a member of the same domain as the managed servers.

  • Bir sunucuda CredSSP 'yi etkinleştirmek veya devre dışı bırakmak için, o bilgisayardaki Gateway Administrators grubuna ait olduğunuzdan emin olun.To be able to enable or disable CredSSP on a server, make sure you belong to the Gateway administrators group on that computer. Daha fazla bilgi için, kullanıcı Access Control yapılandırma ve Izinleri yapılandırmabölümünün ilk iki bölümüne bakın.For more information, see the first two sections of Configure User Access Control and Permissions.

  • Kümedeki sunucularda WinRM hizmetini yeniden başlatmak, her küme sunucusu ve Windows Yönetim Merkezi arasında WinRM bağlantısını yeniden oluşturmanızı isteyebilir.Restarting the WinRM service on the servers in the cluster might prompt you to re-establish the WinRM connection between each cluster server and Windows Admin Center.

    Bunu yapmanın bir yolu, her bir küme sunucusuna gidip Windows Yönetim Merkezi 'nde Araçlar menüsünde Hizmetler' i seçin, WinRM' yi seçin, Yeniden Başlat' ı seçin ve ardından hizmeti yeniden Başlat isteminde Evet' i seçin.One way to do this is by going to each cluster server, and in Windows Admin Center on the Tools menu, select Services, select WinRM, select Restart, and then on the Restart Service prompt, select Yes.

El ile sorun gidermeManual troubleshooting

Aşağıdaki WinRM hata iletisini alırsanız, hatayı çözmek için bu bölümdeki el ile doğrulama adımlarını kullanmayı deneyin.If you receive the following WinRM error message, try using the manual verification steps in this section to resolve the error. Örnek hata iletisi:Example error message:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

Bu bölümdeki el ile doğrulama adımları aşağıdaki bilgisayarları yapılandırmanızı gerektirir:The manual verification steps in this section require you to configure the following computers:

  • Windows Yönetim Merkezi 'Ni çalıştıran bilgisayarThe computer running Windows Admin Center
  • Hata iletisini aldığınız sunucuThe server where you received the error message

Hatayı gidermek için, gerektiğinde aşağıdaki çözüm adımlarını deneyin:To resolve the error, try the following remedy steps as needed:

Çözüm 1:Remedy 1:

  1. Windows yönetici merkezini ve sunucusunu çalıştıran bilgisayarı yeniden başlatın.Restart the computer running Windows Admin Center and the server.

  2. Küme oluşturma Sihirbazı 'nı yeniden çalıştırmayı deneyin.Try running the Create Cluster wizard again.

    Sihirbazı çalıştırma hakkında ayrıntılı bilgi için bkz. Windows yönetici merkezini kullanarak Azure Stack HCI kümesi oluşturma.For details on running the wizard, see Create an Azure Stack HCI cluster using Windows Admin Center.

2. Çözüm:Remedy 2:

  1. Windows Yönetim Merkezi 'ni çalıştıran bilgisayarda, yönetici olarak Windows PowerShell 'i açın ve aşağıdaki komutları çalıştırın:On the computer running Windows Admin Center, open Windows PowerShell as an administrator and run the following commands:

    Disable-WsmanCredSSP -Role Client  
    
    Enable-WsmanCredSSP -Role Client -DelagateComputer <Server FQDN Name>
    
  2. Sunucuya bağlanmak için RDP özelliğini kullanın ve ardından aşağıdaki PowerShell komutlarını çalıştırın:Use the RDP feature to connect to the server, and then run the following PowerShell commands:

    Disable-WsmanCredSSP -Role Server  
    
    Enable-WsmanCredSSP -Role Server  
    
  3. Küme oluşturma Sihirbazı 'nı yeniden çalıştırmayı deneyin.Try running the Create Cluster wizard again.

    Sihirbazı çalıştırma hakkında ayrıntılı bilgi için bkz. Windows yönetici merkezini kullanarak Azure Stack HCI kümesi oluşturma.For details on running the wizard, see Create an Azure Stack HCI cluster using Windows Admin Center.

Çözüm 3:Remedy 3:

  1. Windows Yönetim Merkezi 'ni çalıştıran bilgisayarda, hizmet asıl adını (SPN) denetlemek için aşağıdaki PowerShell komutunu çalıştırın:On the computer running Windows Admin Center, run the following PowerShell command to check the Service Principal Name (SPN):

    setspn -Q WSMAN/<Windows Admin Center Computer Name>  
    

    Sonuç aşağıdaki çıktıyı listelemelidir:The result should list the following output:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Sonuçlar listelenmiyorsa SPN 'yi kaydetmek için aşağıdaki PowerShell komutlarını çalıştırın:If the results are not listed, run the following PowerShell commands to register the SPN:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  
    
    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>  
    
  3. Sunucuya bağlanmak için RDP özelliğini kullanın ve ardından SPN 'YI denetlemek için aşağıdaki PowerShell komutunu çalıştırın:Use the RDP feature to connect to the server, and then run the following PowerShell command to check the SPN:

    setspn -Q WSMAN/<Server Name>  
    

    Sonuç aşağıdaki çıktıyı listelemelidir:The result should list the following output:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Sonuçlar listelenmiyorsa SPN 'yi kaydetmek için aşağıdaki PowerShell komutlarını çalıştırın:If the results are not listed, run the following PowerShell commands to register the SPN:

    setspn -S WSMAN/<Server Name> <Server Name>  
    
    setspn -S WSMAN/<Server Name> <Server FQDN Name>  
    
  5. Küme oluşturma Sihirbazı 'nı yeniden çalıştırmayı deneyin.Try running the Create Cluster wizard again.

    Sihirbazı çalıştırma hakkında ayrıntılı bilgi için bkz. Windows yönetici merkezini kullanarak Azure Stack HCI kümesi oluşturma.For details on running the wizard, see Create an Azure Stack HCI cluster using Windows Admin Center.

Çözüm 4:Remedy 4:

Önceki bir çözüm adımı başarısız olduysa veya tamamlanmadıysa, bu Active Directory bir kayıt çakışması olduğunu gösterebilir.If any of the previous remedy steps failed or did not complete, this might indicate a record conflict in Active Directory. Kaydı Active Directory yeni bir kayıt olarak sıfırlamak için farklı bir bilgisayar adı kullanabilirsiniz.You can use a different computer name to reset the record as a new record in Active Directory.

Active Directory kaydı sıfırlamak için Azure Stack HIP işletim sistemini yeni bir bilgisayar adıyla yeniden yükleyin.To reset the record in Active Directory, reinstall the Azure Stack HCI operating system with a new computer name.

Sonraki adımlarNext steps

CredSSP hakkında daha fazla bilgi için bkz. kimlik bilgileri güvenlik desteği sağlayıcısı.For more information on CredSSP, see Credential Security Support Provider.