Kerberos s hlavním názvem služby (SPN)

Platí pro: Azure Stack HCI verze 22H2 a 21H2; Windows Server 2022, Windows Server 2019

Síťový adaptér podporuje více metod ověřování pro komunikaci s klienty pro správu. Můžete použít ověřování na základě protokolu Kerberos, ověřování X509 založené na certifikátech. Máte také možnost nepoužívat žádné ověřování pro testovací nasazení.

System Center Virtual Machine Manager používá ověřování pomocí protokolu Kerberos. Pokud používáte ověřování pomocí protokolu Kerberos, musíte nakonfigurovat hlavní název služby (SPN) pro síťový adaptér ve službě Active Directory. Hlavní název služby (SPN) je jedinečný identifikátor instance služby síťového adaptéru, který se používá ověřováním protokolu Kerberos k přidružení instance služby k účtu přihlášení služby. Další podrobnosti najdete v tématu Hlavní názvy služeb.

Konfigurace hlavních názvů služby (SPN)

Síťový adaptér automaticky nakonfiguruje hlavní název služby (SPN). Jediné, co musíte udělat, je poskytnout počítačům síťového adaptéru oprávnění k registraci a úpravě hlavního názvu služby (SPN).

1. Na počítači řadiče domény spusťte Uživatelé a počítače služby Active Directory.

2. Vyberte Zobrazit > upřesnit.

3. V části Počítače vyhledejte jeden z účtů počítače síťového adaptéru, klikněte pravým tlačítkem a vyberte Vlastnosti.

4. Vyberte kartu Zabezpečení a klikněte na Upřesnit.

5. Pokud v seznamu nejsou uvedené všechny účty počítačů síťového adaptéru nebo skupina zabezpečení se všemi účty počítačů síťového adaptéru, kliknutím na Přidat je přidejte.

6. Pro každý účet počítače síťového adaptéru nebo jednu skupinu zabezpečení obsahující účty počítačů síťového adaptéru:

   a. Vyberte účet nebo skupinu a klikněte na Upravit.

   b. V části Oprávnění vyberte Ověřit službu zápisuPrincipalName.

   d. Posuňte se dolů a v části Vlastnosti vyberte:

   • Read servicePrincipalName

   • Write servicePrincipalName

   e. Klikněte dvakrát na OK.

7. Opakujte kroky 3 až 6 pro každý počítač síťového adaptéru.

8. Zavřete Uživatelé a počítače služby Active Directory.

Nepovedlo se poskytnout oprávnění k registraci nebo úpravě hlavního názvu služby (SPN)

Pokud v novém nasazení Windows Serveru 2019 zvolíte pro ověřování klientů REST protokol Kerberos a neudělíte uzlům síťového adaptéru oprávnění k registraci nebo úpravě hlavního názvu služby (SPN), operace REST na síťovém adaptéru selžou, což vám zabrání ve správě SDN.

Při upgradu z Windows Server 2016 na Windows Server 2019 a pro ověřování klientů REST zvolíte Kerberos, se operace REST neblokují, což zajišťuje transparentnost pro stávající produkční nasazení.

Pokud není zaregistrovaný hlavní název služby (SPN), ověřování klientů REST používá protokol NTLM, který je méně bezpečný. V Správa kanálu událostí NetworkController-Framework se také zobrazí kritická událost, která vás požádá o poskytnutí oprávnění uzlům síťového adaptéru k registraci hlavního názvu služby (SPN). Jakmile oprávnění poskytnete, síťový adaptér automaticky zaregistruje hlavní název služby (SPN) a všechny operace klienta používají protokol Kerberos.

Tip

Obvykle můžete síťový adaptér nakonfigurovat tak, aby pro operace založené na REST používal IP adresu nebo název DNS. Při konfiguraci protokolu Kerberos však nemůžete použít IP adresu pro dotazy REST na síťový adaptér. Můžete například použít <https://networkcontroller.consotso.com>, ale nemůžete použít <https://192.34.21.3>. Hlavní názvy služby nemůžou fungovat, pokud se používají IP adresy.

Pokud byste v Windows Server 2016 používali IP adresu pro operace REST společně s ověřováním protokolem Kerberos, byla by skutečná komunikace přes ověřování NTLM. V takovém nasazení po upgradu na Windows Server 2019 budete dál používat ověřování založené na protokolu NTLM. Pokud chcete přejít na ověřování založené na protokolu Kerberos, musíte pro operace REST použít název DNS síťového adaptéru a poskytnout uzlům síťového adaptéru oprávnění k registraci hlavního názvu služby (SPN).

---