Delen via

Problemen met CredSSP oplossen

  • Artikel

Van toepassing op: Azure Local, versie 22H2

Belangrijk

Azure Stack HCI maakt nu deel uit van Azure Local. De naam van productdocumentatie wordt nog steeds bijgewerkt. Oudere versies van Azure Stack HCI, bijvoorbeeld 22H2, blijven verwijzen naar Azure Stack HCI en geven de naamwijziging niet weer. Meer informatie.

Sommige Azure Stack HCI-bewerkingen maken gebruik van Windows Remote Management (WinRM), waardoor standaard geen referentiedelegering is toegestaan. Als u delegatie wilt toestaan, moet de computer referentiesbeveiligingsondersteuningsprovider (CredSSP) tijdelijk hebben ingeschakeld. CredSSP is een beveiligingsondersteuningsprovider waarmee een client referenties kan delegeren aan een server voor externe verificatie.

Het inschakelen van CredSSP is een gedegradeerd beveiligingspostuur en in de meeste gevallen moet worden uitgeschakeld nadat de taak of bewerking is voltooid.

Enkele taken waarvoor CredSSP moet worden ingeschakeld, zijn:

  • Werkstroom van de wizard Cluster maken
  • Active Directory-query's of -updates
  • SQL Server-query's of -updates
  • Accounts of computers zoeken in een ander domein of niet-domein gekoppelde omgeving

Tips voor probleemoplossing

Als u problemen ondervindt met CredSSP, kunnen de volgende tips voor het oplossen van problemen helpen:

  • Als u de wizard Cluster maken wilt gebruiken bij het uitvoeren van Windows Admin Center op een server in plaats van een pc, moet u lid zijn van de groep Gateway-beheerders op de Windows Admin Center-server. Zie Opties voor gebruikerstoegang met Het Windows-beheercentrum voor meer informatie.

  • Wanneer u de wizard Cluster maken uitvoert, kan CredSSP een probleem melden als er geen Active Directory-vertrouwensrelatie tot stand is gebracht of is verbroken. Dit resulteert wanneer op werkgroep gebaseerde servers worden gebruikt voor het maken van clusters. Probeer in dit geval elke server in het cluster handmatig opnieuw op te starten.

  • Wanneer u Windows Admin Center uitvoert op een server, moet u ervoor zorgen dat het gebruikersaccount lid is van de groep Gateway-beheerders.

  • U wordt aangeraden Windows Admin Center uit te voeren op een computer die lid is van hetzelfde domein als de beheerde servers.

  • Als u CredSSP op een server wilt in- of uitschakelen, moet u ervoor zorgen dat u deel uitmaakt van de groep Gatewaybeheerders op die computer. Zie de eerste twee secties van Gebruikerstoegangsbeheer en machtigingen configureren voor meer informatie.

  • Als u de WinRM-service opnieuw start op de servers in het cluster, wordt u mogelijk gevraagd om de WinRM-verbinding tussen elke clusterserver en het Windows-beheercentrum opnieuw tot stand te brengen.

    Een manier om dit te doen, is door naar elke clusterserver te gaan en in het menu Extra in het Windows-beheercentrum services te selecteren, WinRM te selecteren, Opnieuw opstarten te selecteren en vervolgens bij de prompt Service opnieuw opstarten te selecteren, Ja.

Handmatige probleemoplossing

Als u het volgende WinRM-foutbericht ontvangt, gebruikt u de handmatige verificatiestappen in deze sectie om de fout op te lossen. Voorbeeld van foutbericht:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

Voor de handmatige verificatiestappen in deze sectie moet u de volgende computers configureren:

  • De computer waarop Het Windows-beheercentrum wordt uitgevoerd
  • De server waarop u het foutbericht hebt ontvangen

Probeer indien nodig de volgende oplossingsstappen om de fout op te lossen:

Remedie 1:

  1. Start de computer met Het Windows-beheercentrum en de server opnieuw op.

  2. Voer de wizard Cluster maken opnieuw uit.

    Zie Een Azure Stack HCI-cluster maken met behulp van het Windows-beheercentrum voor meer informatie over het uitvoeren van de wizard.

Remedie 2:

  1. Open Windows PowerShell op de computer met Windows Admin Center als beheerder en voer de volgende opdrachten uit:

    Disable-WsmanCredSSP -Role Client  

    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>

  2. Gebruik de RDP-functie om verbinding te maken met de server en voer vervolgens de volgende PowerShell-opdrachten uit:

    Disable-WsmanCredSSP -Role Server  

    Enable-WsmanCredSSP -Role Server

  3. Voer de wizard Cluster maken opnieuw uit.

    Zie Een Azure Stack HCI-cluster maken met behulp van het Windows-beheercentrum voor meer informatie over het uitvoeren van de wizard.

Remedie 3:

  1. Voer op de computer met Windows Admin Center de volgende PowerShell-opdracht uit om de SPN (Service Principal Name) te controleren:

    setspn -Q WSMAN/<Windows Admin Center Computer Name>

    Het resultaat moet de volgende uitvoer bevatten:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Als de resultaten niet worden vermeld, voert u de volgende PowerShell-opdrachten uit om de SPN te registreren:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>

  3. Gebruik de RDP-functie om verbinding te maken met de server en voer vervolgens de volgende PowerShell-opdracht uit om de SPN te controleren:

    setspn -Q WSMAN/<Server Name>

    Het resultaat moet de volgende uitvoer bevatten:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Als de resultaten niet worden vermeld, voert u de volgende PowerShell-opdrachten uit om de SPN te registreren:

    setspn -S WSMAN/<Server Name> <Server Name>  

    setspn -S WSMAN/<Server FQDN Name> <Server Name>

  5. Voer de wizard Cluster maken opnieuw uit.

    Zie Een Azure Stack HCI-cluster maken met behulp van het Windows-beheercentrum voor meer informatie over het uitvoeren van de wizard.

Remedie 4:

Als een van de vorige herstelstappen is mislukt of niet is voltooid, kan dit duiden op een recordconflict in Active Directory. U kunt een andere computernaam gebruiken om de record opnieuw in te stellen als een nieuwe record in Active Directory.

Als u de record opnieuw wilt instellen in Active Directory, installeert u het Azure Stack HCI-besturingssysteem opnieuw met een nieuwe computernaam.

Remedie 5:

Als het foutbericht dat u vermeldingen NTLM ziet, probeert u het volgende:

  1. Voer op de computer met Windows Admin Center (de computer met de rol 'client' CredSSP) de volgende opdracht uit om te zien welke beleidsregels zijn geconfigureerd:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  2. Als AllowFreshCredentialsWithNTLMOnly dit ontbreekt, voert u het volgende uit:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    Voer vervolgens het volgende uit:

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force

Volgende stappen

Zie Referentiebeveiligingsondersteuningsprovider voor meer informatie over CredSSP.