Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Azure Local 2311.2 und höher; Windows Server 2022, Windows Server 2019
Dieser Artikel beschreibt, wie Sie die Kerberos-Authentifizierung mit Service Principal Name (SPN) verwenden.
Der Netzwerkcontroller unterstützt mehrere Authentifizierungsmethoden für die Kommunikation mit Verwaltungsclients. Sie können eine Kerberos-basierte oder eine X.509-zertifikatbasierte Authentifizierung verwenden. Für Testbereitstellungen haben Sie außerdem die Möglichkeit, keine Authentifizierung zu verwenden.
System Center Virtual Machine Manager verwendet die Kerberos-basierte Authentifizierung. Wenn Sie die Kerberos-basierte Authentifizierung verwenden, müssen Sie einen SPN für Network Controller in Active Directory konfigurieren. Der SPN ist ein eindeutiger Bezeichner für die Netzwerkcontroller-Dienstinstanz und wird von der Kerberos-Authentifizierung verwendet, um eine Dienstinstanz einem Dienstanmeldungskonto zuzuordnen. Weitere Informationen finden Sie unter Dienstprinzipalnamen.
Konfigurieren von Dienstprinzipalnamen (Service Principal Names, SPNs)
Der SPN wird vom Netzwerkcontroller automatisch konfiguriert. Sie müssen lediglich Berechtigungen zum Registrieren und Ändern des SPN für die Netzwerkcontrollercomputer erteilen.
Starten Sie auf dem Computer mit dem Domänencontroller Active Directory-Benutzer und -Computer.
Wählen Sie "Erweitert anzeigen" >aus.
Suchen Sie unter "Computer" eines der Computerkonten des Netzwerkcontrollers, und klicken Sie dann mit der rechten Maustaste, und wählen Sie "Eigenschaften" aus.
Wählen Sie die Registerkarte "Sicherheit " aus, und klicken Sie auf "Erweitert".
Wenn in der Liste alle Netzwerkcontrollercomputerkonten oder eine Sicherheitsgruppe mit allen Netzwerkcontrollercomputerkonten nicht aufgeführt ist, klicken Sie auf "Hinzufügen ", um es hinzuzufügen.
Führen Sie für jedes Netzwerkcontroller-Computerkonto bzw. für eine einzelne Sicherheitsgruppe, die die Netzwerkcontroller-Computerkonten enthält, die folgenden Schritte aus:
Wählen Sie das Konto oder die Gruppe aus, und klicken Sie auf "Bearbeiten".
Wählen Sie unter "Berechtigungen" die Option "Write-Dienstprinzipalnamen validieren" aus.
Scrollen Sie nach unten, und wählen Sie unter "Eigenschaften" folgendes aus:
ServicePrincipalName lesen
servicePrincipalName schreiben
Klicken Sie zweimal auf OK .
Wiederholen Sie die Schritte 3 bis 6 für jeden Netzwerkcontrollercomputer.
Schließen Sie Active Directory-Benutzer und -Computer.
Fehlende Berechtigungen für die SPN-Registrierung oder Änderung
Wenn Sie bei einer neuen Windows Server 2019-Installation Kerberos für die REST-Client-Authentifizierung gewählt haben und die Netzwerk-Controller-Knoten nicht autorisieren, den SPN zu registrieren oder zu ändern, schlagen die REST-Operationen auf dem Netzwerk-Controller fehl. Dies hindert Sie daran, Ihre SDN-Infrastruktur effektiv zu verwalten.
Bei einem Upgrade von Windows Server 2016 auf Windows Server 2019 und wenn Sie Kerberos für die REST-Client-Authentifizierung gewählt haben, werden die REST-Vorgänge nicht blockiert, so dass die Transparenz für bestehende Produktionsimplementierungen gewährleistet ist.
Wenn der SPN nicht registriert ist, verwendet die REST-Client-Authentifizierung NTLM, was weniger sicher ist. Außerdem erhalten Sie ein kritisches Ereignis im Administratorkanal des NetworkController-Framework-Ereigniskanals , in dem Sie aufgefordert werden, Berechtigungen für die Netzwerkcontrollerknoten zum Registrieren von SPN bereitzustellen. Nach Erteilung der Berechtigung registriert der Netzwerkcontroller den SPN automatisch, und bei allen Clientvorgängen wird Kerberos verwendet.
Tipp
Üblicherweise können Sie den Netzwerkcontroller für die Verwendung einer IP-Adresse oder eines DNS-Namens für REST-basierte Vorgänge konfigurieren. Wenn Sie allerdings Kerberos konfigurieren, können Sie keine IP-Adresse für REST-Abfragen verwenden, die an den Netzwerkcontroller gerichtet werden. Beispielsweise können Sie <https://networkcontroller.consotso.com> verwenden, aber nicht <https://192.34.21.3>. Dienstprinzipalnamen funktionieren nicht, wenn IP-Adressen verwendet werden.
Wenn Sie in Windows Server 2016 eine Kombination aus einer IP-Adresse für REST-Vorgänge und der Kerberos-Authentifizierung verwendet haben, wurde die eigentliche Kommunikation über die NTLM-Authentifizierung abgewickelt. Bei einer solchen Bereitstellung wird nach einem Upgrade auf Windows Server 2019 weiterhin die NTLM-basierte Authentifizierung verwendet. Wenn Sie zur Kerberos-basierten Authentifizierung wechseln möchten, müssen Sie den DNS-Namen des Netzwerkcontrollers für REST-Vorgänge verwenden und die Berechtigung zum Registrieren des SPN für Netzwerkcontrollerknoten erteilen.