Поделиться через

Устранение неполадок CredSSP

  • Статья

Область применения: Azure Stack HCI версии 22H2

Внимание

Azure Stack HCI теперь является частью Azure Local. Однако старые версии Azure Stack HCI, например 22H2, будут продолжать ссылаться на Azure Stack HCI и не отражают изменение имени. Подробнее.

Некоторые операции Azure Stack HCI используют удаленное управление Windows (WinRM), что по умолчанию не разрешает делегирование учетных данных. Чтобы разрешить делегирование, на компьютере необходимо временно включить службу защиты учетных данных (CredSSP). CredSSP — это поставщик поддержки безопасности, который позволяет клиенту делегировать учетные данные серверу для удаленной проверки подлинности.

Включение CredSSP является пониженным состоянием безопасности, и в большинстве случаев следует отключить после завершения задачи или операции.

Некоторые задачи, требующие включения CredSSP, включают:

  • Рабочий процесс создания кластера
  • Запросы или обновления Active Directory
  • Запросы или обновления SQL Server
  • Поиск учетных записей или компьютеров в другом домене или в среде, не присоединенной к домену.

Советы по устранению неполадок

Если у вас возникли проблемы с CredSSP, могут помочь следующие советы по устранению неполадок:

  • Чтобы использовать мастер создания кластера при запуске Windows Admin Center на сервере вместо компьютера, необходимо быть членом группы администраторов шлюза на сервере Windows Admin Center. Дополнительные сведения см. в разделе "Параметры доступа пользователей" в Windows Admin Center.

  • При запуске мастера создания кластера CredSSP может сообщить о проблеме, если доверие Active Directory не установлено или не работает. Это приводит к использованию серверов на основе рабочей группы для создания кластера. В этом случае попробуйте вручную перезапустить каждый сервер в кластере.

  • При запуске Windows Admin Center на сервере убедитесь, что учетная запись пользователя входит в группу администраторов шлюза.

  • Рекомендуется запустить Windows Admin Center на компьютере, который является членом того же домена, что и управляемые серверы.

  • Чтобы включить или отключить CredSSP на сервере, убедитесь, что вы принадлежите группе администраторов шлюза на этом компьютере. Дополнительные сведения см. в первых двух разделах "Настройка пользовательских контроль доступа и разрешений".

  • Перезапуск службы WinRM на серверах в кластере может потребовать повторного установления подключения каждого серверного узла с Центром администрирования Windows.

    Это можно сделать, перейдя на каждый сервер кластера и в Windows Admin Center в меню "Сервис", выберите "Службы", выберите "WinRM", выберите "Перезапустить", а затем в командной строке "Перезапустить службу" нажмите кнопку "Да".

Устранение неполадок вручную

Если вы получите следующее сообщение об ошибке WinRM, попробуйте выполнить действия проверки вручную, описанные в этом разделе, чтобы устранить эту ошибку. Пример сообщения об ошибке:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

Действия по проверке вручную в этом разделе требуют настройки следующих компьютеров:

  • Компьютер под управлением Windows Admin Center
  • Сервер, на котором вы получили сообщение об ошибке

Чтобы устранить эту ошибку, выполните следующие действия по устранению неполадок.

Исправление 1.

  1. Перезапустите компьютер под управлением Windows Admin Center и сервера.

  2. Повторите попытку запуска мастера создания кластера.

    Дополнительные сведения о запуске мастера см. в статье "Создание кластера Azure Stack HCI" с помощью Windows Admin Center.

Исправление 2.

  1. На компьютере под управлением Windows Admin Center откройте Windows PowerShell от имени администратора и выполните следующие команды:

    Disable-WsmanCredSSP -Role Client  

    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>

  2. Используйте функцию RDP для подключения к серверу, а затем выполните следующие команды PowerShell:

    Disable-WsmanCredSSP -Role Server  

    Enable-WsmanCredSSP -Role Server

  3. Повторите попытку запуска мастера создания кластера.

    Дополнительные сведения о запуске мастера см. в статье "Создание кластера Azure Stack HCI" с помощью Windows Admin Center.

Исправление 3.

  1. На компьютере под управлением Windows Admin Center выполните следующую команду PowerShell, чтобы проверить имя субъекта-службы (SPN):

    setspn -Q WSMAN/<Windows Admin Center Computer Name>

    Результат должен выводить следующие выходные данные:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Если результаты не указаны, выполните следующие команды PowerShell, чтобы зарегистрировать SPN:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>

  3. Используйте возможность RDP для подключения к серверу, а затем выполните следующую команду PowerShell, чтобы проверить SPN:

    setspn -Q WSMAN/<Server Name>

    Результат должен выводить следующие выходные данные:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Если результаты не указаны, выполните следующие команды PowerShell для регистрации SPN:

    setspn -S WSMAN/<Server Name> <Server Name>  

    setspn -S WSMAN/<Server FQDN Name> <Server Name>

  5. Повторите попытку запуска мастера создания кластера.

    Дополнительные сведения о запуске мастера см. в статье "Создание кластера Azure Stack HCI" с помощью Windows Admin Center.

Исправление 4.

Если какой-либо из предыдущих шагов исправления завершился неудачей или не был завершен, это может указывать на конфликт записей в Active Directory. Чтобы сбросить запись как новую в Active Directory, можно использовать другое имя компьютера.

Чтобы сбросить запись в Active Directory, переустановите операционную систему Azure Stack HCI с новым именем компьютера.

Исправление 5:

Если в сообщении об ошибке упоминается NTLM, попробуйте следующее:

  1. На компьютере под управлением Windows Admin Center (один с ролью CredSSP клиента) выполните следующую команду, чтобы узнать, какие политики настроены:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  2. Если AllowFreshCredentialsWithNTLMOnly отсутствует, выполните следующую команду:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    Затем запустите:

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force

Следующие шаги

Дополнительные сведения о поставщике поддержки безопасности учетных данных CredSSP см. в .