Risolvere i problemi relativi a CredSSP
Si applica a: Locale di Azure, versione 22H2
Importante
Azure Stack HCI is now part of Azure Local. La ridenominazione della documentazione del prodotto è in corso. Tuttavia, le versioni precedenti di Azure Stack HCI, ad esempio 22H2 continueranno a fare riferimento ad Azure Stack HCI e non rifletteranno la modifica del nome. Altre informazioni.
Alcune operazioni di Azure Stack HCI usano Gestione remota Windows (WinRM), che non consente la delega delle credenziali per impostazione predefinita. Per consentire la delega, il computer deve avere temporaneamente abilitato il Security Sypport Provider di supporto per le credenziali. CredSSP è un provider di supporto per la sicurezza che consente a un client di delegare le credenziali a un server per l'autenticazione remota.
L'abilitazione di CredSSP è un comportamento di sicurezza danneggiato e nella maggior parte dei casi deve essere disabilitata al termine dell'attività o dell'operazione.
Alcune attività che richiedono l'abilitazione di CredSSP includono:
- Creare il flusso di lavoro della creazione guidata cluster
- Query o aggiornamenti di Active Directory
- Query o aggiornamenti di SQL Server
- Individuazione di account o computer in un dominio diverso o in un ambiente non aggiunto a un dominio
Suggerimenti per la risoluzione dei problemi
Se si verificano problemi con CredSSP, i suggerimenti per la risoluzione dei problemi seguenti possono essere utili:
Per usare la creazione guidata cluster quando si esegue Windows Admin Center in un server invece di un PC, è necessario essere un membro del gruppo Amministratori gateway nel server windows Admin Center. Per altre informazioni, vedere Opzioni di accesso utente con Windows Admin Center.
Quando si esegue la creazione guidata cluster, CredSSP potrebbe segnalare un problema se un trust di Active Directory non viene stabilito o viene interrotto. Ciò comporta l'uso di server basati su gruppi di lavoro per la creazione del cluster. In questo caso, provare a riavviare manualmente ogni server nel cluster.
Quando si esegue Windows Admin Center in un server, assicurarsi che l'account utente sia membro del gruppo Amministratori gateway.
È consigliabile eseguire Windows Admin Center in un computer membro dello stesso dominio dei server gestiti.
Per abilitare o disabilitare CredSSP in un server, assicurarsi di appartenere al gruppo Amministratori gateway in tale computer. Per altre informazioni, vedere le prime due sezioni di Configurare l'Controllo di accesso utente e le autorizzazioni.
Il riavvio del servizio WinRM nei server del cluster potrebbe richiedere di ristabilire la connessione WinRM tra ogni server del cluster e Windows Admin Center.
Un modo per eseguire questa operazione consiste nel passare a ogni server del cluster e in Windows Admin Center nel menu Strumenti selezionare Servizi, selezionare WinRM, selezionare Riavvia e quindi nella richiesta Riavvia servizio selezionare Sì.
Risoluzione dei problemi manuali
Se viene visualizzato il messaggio di errore WinRM seguente, provare a usare i passaggi di verifica manuali in questa sezione per risolvere l'errore. Messaggio di errore di esempio:
Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.
I passaggi di verifica manuale in questa sezione richiedono di configurare i computer seguenti:
- Computer che esegue Windows Admin Center
- Il server in cui è stato ricevuto il messaggio di errore
Per risolvere l'errore, provare i passaggi seguenti per rimediare in base alle esigenze:
Rimedio 1:
Riavviare il computer che esegue Windows Admin Center e il server.
Provare a eseguire di nuovo la procedura guidata Crea cluster.
Per informazioni dettagliate sull'esecuzione della procedura guidata, vedere Creare un cluster Azure Stack HCI con Windows Admin Center.
Rimedio 2:
Nel computer che esegue Windows Admin Center aprire Windows PowerShell come amministratore ed eseguire i comandi seguenti:
Disable-WsmanCredSSP -Role Client
Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>
Usare la funzionalità RDP per connettersi al server e quindi eseguire i comandi di PowerShell seguenti:
Disable-WsmanCredSSP -Role Server
Enable-WsmanCredSSP -Role Server
Provare a eseguire di nuovo la procedura guidata Crea cluster.
Per informazioni dettagliate sull'esecuzione della procedura guidata, vedere Creare un cluster Azure Stack HCI con Windows Admin Center.
Rimedio 3:
Nel computer che esegue Windows Admin Center eseguire il comando di PowerShell seguente per controllare il nome dell'entità servizio (SPN):
setspn -Q WSMAN/<Windows Admin Center Computer Name>
Il risultato dovrebbe elencare l'output seguente:
WSMAN/<Windows Admin Center Computer Name>
WSMAN/<Windows Admin Center Computer FQDN Name>
Se i risultati non sono elencati, eseguire i comandi di PowerShell seguenti per registrare il nome SPN:
setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>
setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>
Usare la funzionalità RDP per connettersi al server e quindi eseguire il comando di PowerShell seguente per controllare il nome SPN:
setspn -Q WSMAN/<Server Name>
Il risultato dovrebbe elencare l'output seguente:
WSMAN/<Server Name>
WSMAN/<Server FQDN Name>
Se i risultati non sono elencati, eseguire i comandi di PowerShell seguenti per registrare il nome SPN:
setspn -S WSMAN/<Server Name> <Server Name>
setspn -S WSMAN/<Server FQDN Name> <Server Name>
Provare a eseguire di nuovo la procedura guidata Crea cluster.
Per informazioni dettagliate sull'esecuzione della procedura guidata, vedere Creare un cluster Azure Stack HCI con Windows Admin Center.
Rimedio 4:
Se uno dei passaggi precedenti del rimedio non è riuscito o non è stato completato, potrebbe indicare un conflitto di record in Active Directory. È possibile usare un nome computer diverso per reimpostare il record come nuovo record in Active Directory.
Per reimpostare il record in Active Directory, reinstallare il sistema operativo Azure Stack HCI con un nuovo nome computer.
Rimedio 5:
Se il messaggio di errore visualizzato contiene menzioni NTLM
, provare a eseguire le operazioni seguenti:
Nel computer che esegue Windows Admin Center (quello con il ruolo CredSSP "client"), eseguire il comando seguente per vedere quali criteri sono configurati:
Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
Se
AllowFreshCredentialsWithNTLMOnly
manca, eseguire:New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly
Eseguire quindi:
New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force
Passaggi successivi
Per altre informazioni su CredSSP, vedere Provider di supporto per la sicurezza delle credenziali.