Megosztás a következőn keresztül:

A CredSSP hibaelhárítása

  • Cikk

A következőkre vonatkozik: Azure Stack HCI, 22H2-es verzió

Fontos

Az Azure Stack HCI mostantól az Azure Local része. Az Azure Stack HCI régebbi verziói, például a 22H2 azonban továbbra is hivatkozni fognak az Azure Stack HCI-re, és nem tükrözik a névváltoztatást. További információ.

Egyes Azure Stack HCI-műveletek a Windows Remote Managementet (WinRM) használják, amely alapértelmezés szerint nem engedélyezi a hitelesítő adatok delegálását. A delegálás engedélyezéséhez a számítógépnek ideiglenesen engedélyeznie kell a Credential Security Support Provider (CredSSP) funkciót. A CredSSP egy biztonsági támogatási szolgáltató, amely lehetővé teszi, hogy az ügyfél hitelesítő adatokat delegáljon egy kiszolgálóra távoli hitelesítés céljából.

A CredSSP engedélyezése egy csökkentett biztonsági helyzetet eredményez, és a legtöbb esetben le kell tiltani a feladat vagy a művelet befejezése után.

A CredSSP engedélyezését igénylő tevékenységek közé tartoznak a következők:

  • A fürt létrehozása varázsló munkafolyamata
  • Active Directory-lekérdezések vagy -frissítések
  • SQL Server-lekérdezések vagy -frissítések
  • Fiókok vagy számítógépek keresése másik tartományon vagy nem tartományhoz csatlakoztatott környezetben

Hibaelhárítási tippek

Ha a CredSSP-vel kapcsolatos problémákat tapasztal, az alábbi hibaelhárítási tippek segíthetnek:

  • A Fürt létrehozása varázsló használatához, amikor a Windows Felügyeleti Központot egy szerveren futtatja számítógép helyett, a Windows Felügyeleti Központ kiszolgálón lévő átjáró-rendszergazdák csoportjának tagja kell legyen. További információ: Felhasználói hozzáférés beállításai a Windows Felügyeleti központtal.

  • A Klaszter létrehozása varázsló futtatásakor előfordulhat, hogy a CredSSP hibát jelez, ha az Active Directory-trust kapcsolat nincs létrehozva, vagy megszakadt. Ez következik be, amikor munkacsoport-alapú kiszolgálókat használnak a fürt létrehozásához. Ebben az esetben próbálja meg manuálisan újraindítani a fürt minden kiszolgálóját.

  • Ha windowsos felügyeleti központot futtat egy kiszolgálón, győződjön meg arról, hogy a felhasználói fiók tagja az Átjárógazdák csoportnak.

  • Javasoljuk, hogy a Windows Felügyeleti központot olyan számítógépen futtassa, amely ugyanahhoz a tartományhoz tartozik, mint a felügyelt kiszolgálók.

  • Ha engedélyezni vagy letiltani szeretné a CredSSP-t egy kiszolgálón, győződjön meg arról, hogy a számítógépen az Átjárógazdák csoporthoz tartozik. További információ: A felhasználói hozzáférés-vezérlés és -engedélyek konfigurálása első két szakasza.

  • Ha újraindítja a WinRM szolgáltatást a klaszterben lévő kiszolgálókon, lehet, hogy újra létre kell hoznia a WinRM-kapcsolatot az egyes fürtkiszolgálók és a Windows felügyeleti központ között.

    Ennek egyik módja az, ha az egyes fürtkiszolgálókra lép, majd az Eszközök menü Windows Felügyeleti központjában válassza a Szolgáltatások lehetőséget, válassza a WinRM lehetőséget, válassza az Újraindítás lehetőséget, majd a Szolgáltatás újraindítása párbeszédpanelen válassza az Igen lehetőséget.

Manuális hibaelhárítás

Ha a következő WinRM-hibaüzenet jelenik meg, próbálkozzon az ebben a szakaszban található manuális ellenőrzési lépésekkel a hiba megoldásához. Példa hibaüzenet:

Connecting to remote <sever name> failed with the following error message: The WinRM client cannot process the request. A computer policy does not allow the delegation of the user credentials to the target computer because the computer is not trusted. The identity of the target computer can be verified if you configure the WSMAN service to use a valid certificate.

Az ebben a szakaszban található manuális ellenőrzési lépésekhez a következő számítógépeket kell konfigurálnia:

  • A Windows Felügyeleti központot futtató számítógép
  • A kiszolgáló, ahol a hibaüzenetet kapta

A hiba elhárításához szükség szerint próbálkozzon a következő megoldási lépésekkel:

1. jogorvoslat:

  1. Indítsa újra a Windows Felügyeleti központot és a kiszolgálót futtató számítógépet.

  2. Próbálja meg újra futtatni a Klaszter létrehozása varázslót.

    A varázsló futtatásával kapcsolatos részletekért lásd : Azure Stack HCI-fürt létrehozása a Windows Felügyeleti központ használatával.

2. jogorvoslat:

  1. A Windows Felügyeleti központot futtató számítógépen nyissa meg rendszergazdaként a Windows PowerShellt, és futtassa a következő parancsokat:

    Disable-WsmanCredSSP -Role Client  

    Enable-WsmanCredSSP -Role Client -DelegateComputer <Server FQDN Name>

  2. Az RDP szolgáltatással csatlakozzon a kiszolgálóhoz, majd futtassa a következő PowerShell-parancsokat:

    Disable-WsmanCredSSP -Role Server  

    Enable-WsmanCredSSP -Role Server

  3. Próbálja meg újra futtatni a Klaszterkészítő varázslót.

    A varázsló futtatásával kapcsolatos részletekért lásd : Azure Stack HCI-fürt létrehozása a Windows Felügyeleti központ használatával.

3. jogorvoslat:

  1. A Windows Felügyeleti központot futtató számítógépen futtassa a következő PowerShell-parancsot a szolgáltatásnév (SPN) ellenőrzéséhez:

    setspn -Q WSMAN/<Windows Admin Center Computer Name>

    Az eredménynek a következő kimenetet kell felsorolnia:

    WSMAN/<Windows Admin Center Computer Name>

    WSMAN/<Windows Admin Center Computer FQDN Name>

  2. Ha az eredmények nem szerepelnek a listában, futtassa a következő PowerShell-parancsokat az SPN (Szolgáltatási főnév) regisztrálásához:

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer Name>  

    setspn -S WSMAN/<Windows Admin Center Computer Name> <Windows Admin Center Computer FQDN Name>

  3. Az RDP funkció segítségével csatlakozzon a kiszolgálóhoz, majd futtassa a következő PowerShell-parancsot az SPN ellenőrzéséhez:

    setspn -Q WSMAN/<Server Name>

    Az eredménynek a következő kimenetet kell felsorolnia:

    WSMAN/<Server Name>

    WSMAN/<Server FQDN Name>

  4. Ha az eredmények nem szerepelnek a listában, futtassa a következő PowerShell-parancsokat az SPN regisztrálására:

    setspn -S WSMAN/<Server Name> <Server Name>  

    setspn -S WSMAN/<Server FQDN Name> <Server Name>

  5. Próbálja meg újra futtatni a Klaszter létrehozása varázslót.

    A varázsló futtatásával kapcsolatos részletekért lásd : Azure Stack HCI-fürt létrehozása a Windows Felügyeleti központ használatával.

4. jogorvoslat:

Ha az előző jogorvoslati lépések valamelyike sikertelen volt vagy nem fejeződött be, ez rekordütközést jelezhet az Active Directoryban. Egy másik számítógépnévvel alaphelyzetbe állíthatja a rekordot új rekordként az Active Directoryban.

A rekord Active Directoryban való visszaállításához telepítse újra az Azure Stack HCI operációs rendszert egy új számítógépnévvel.

5. jogorvoslat:

Ha a megjelenő hibaüzenet említéseket NTLM tartalmaz, próbálkozzon a következőkkel:

  1. A Windows Felügyeleti központot (az "ügyfél" CredSSP szerepkörrel rendelkezőt) futtató számítógépen futtassa a következő parancsot a konfigurált szabályzatok megtekintéséhez:

    Get-ChildItem hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation

  2. Ha AllowFreshCredentialsWithNTLMOnly hiányzik, futtassa a következőt:

    New-Item hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly

    Majd futtassa:

    New-ItemProperty hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value "wsman/<Server FQDN Name>" -Force

Következő lépések

További információ a CredSSP-ről: hitelesítőadat-biztonsági támogatási szolgáltató.