Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A következőkre vonatkozik: Azure Local 2311.2 és újabb; Windows Server 2022, Windows Server 2019
Ez a cikk a Kerberos-hitelesítés szolgáltatásnévvel (SPN) való használatát ismerteti.
A Hálózati vezérlő több hitelesítési módszert is támogat a felügyeleti ügyfelekkel való kommunikációhoz. Kerberos-alapú, X509-alapú hitelesítést is használhat. Lehetősége van arra is, hogy ne használjon hitelesítést a teszttelepítésekhez.
A System Center Virtual Machine Manager Kerberos-alapú hitelesítést használ. Ha Kerberos-alapú hitelesítést használ, konfigurálnia kell egy spN-t a hálózati vezérlőhöz az Active Directoryban. A szolgáltatásnév (SPN) a Hálózati vezérlő szolgáltatáspéldányának egyedi azonosítója, amelyet a Kerberos-hitelesítés használ arra, hogy egy szolgáltatáspéldányt társítson egy belépési fiókhoz. További részletekért lásd a Szolgáltatás főneveket.
Szolgáltatásnévnevek (SPN) konfigurálása
A hálózati vezérlő automatikusan konfigurálja az SPN-t. Mindössze annyit kell tennie, hogy engedélyeket biztosít a hálózati vezérlő gépek számára az SPN regisztrálásához és módosításához.
A tartományvezérlő gépen indítsa el az Active Directory – felhasználók és számítógépek eszközt.
Válassza a Speciális nézet lehetőséget>.
A Számítógépek területen keresse meg a Hálózati vezérlő számítógépfiókjainak egyikét, majd kattintson a jobb gombbal, és válassza a Tulajdonságok lehetőséget.
Válassza a Biztonság lapot, és kattintson a Speciális gombra.
Ha a listában nem szerepel az összes hálózativezérlő-számítógépfiókot tartalmazó számítógépfiók vagy biztonsági csoport, kattintson a Hozzáadás gombra a hozzáadáshoz.
Minden hálózati vezérlő számítógépfiókja vagy a Hálózati vezérlő számítógépfiókokat tartalmazó egyetlen biztonsági csoport esetében:
Jelölje ki a fiókot vagy csoportot, és kattintson a Szerkesztés gombra.
Az Engedélyek alatt válassza a Validate Write servicePrincipalName lehetőséget.
Görgessen le és a Tulajdonságok csoportban válassza a következőt:
ServicePrincipalName olvasása
ServicePrincipalName írása
Kattintson kétszer az OK gombra .
Ismételje meg a 3–6. lépést minden hálózati vezérlőgép esetében.
Zárja be az Active Directory felhasználóit és számítógépeit.
Nem sikerült megadni az spn-regisztrációhoz vagy -módosításhoz szükséges engedélyeket
Új Windows Server 2019 telepítés esetén, ha a Kerberost választja a REST-ügyfélhitelesítéshez és nem hatalmazza fel a Hálózati Vezérlő csomópontjait az egyszerű szolgáltatásnév regisztrálására vagy módosítására, a Hálózati Vezérlő REST-műveletei meghiúsulnak. Ez megakadályozza, hogy hatékonyan kezelje az SDN-infrastruktúrát.
A Windows Server 2016-ról a Windows Server 2019-re való frissítés során, amennyiben a REST-ügyfélhitelesítéshez a Kerberost választja, a REST-műveletek nem kerülnek blokkolásra, ezáltal biztosítva a meglévő éles környezetek átláthatóságát.
Ha az SPN nincs regisztrálva, a REST-ügyfélhitelesítés NTLM-et használ, ami kevésbé biztonságos. Kap egy kritikus eseményt a rendszergazda csatornáján a NetworkController-Framework eseménycsatornának, amely arra kéri, hogy adjon meg engedélyeket a hálózati vezérlő csomópontjainak az SPN regisztrálásához. Miután megadja az engedélyt, a Hálózati Vezérlő automatikusan regisztrálja az SPN-t, és minden ügyfélművelet a Kerberost használja.
Tipp.
A hálózati vezérlőt általában úgy konfigurálhatja, hogy a REST-alapú műveletekhez IP-címet vagy DNS-nevet használjon. A Kerberos konfigurálásakor azonban nem használhat IP-címet REST-lekérdezésekhez a hálózati vezérlőbe. Használhatja például, <https://networkcontroller.consotso.com>de nem használhatja <https://192.34.21.3>. A szolgáltatásnévnevek nem működnek, ha IP-címeket használnak.
Ha a Windows Server 2016-ban a Kerberos-hitelesítéssel együtt IP-címet használt REST-műveletekhez, a tényleges kommunikáció NTLM-hitelesítésen keresztül történt volna. Egy ilyen üzembe helyezés során a Windows Server 2019-re való frissítés után továbbra is NTLM-alapú hitelesítést fog használni. A Kerberos-alapú hitelesítésre való áttéréshez a hálózati vezérlő DNS-nevét kell használnia a REST-műveletekhez, és engedélyt kell adnia a hálózati vezérlő csomópontjai számára az SPN regisztrálásához.