Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Berlaku untuk: Azure Local 2311.2 dan yang lebih baru; Windows Server 2022, Windows Server 2019
Artikel ini menjelaskan cara menggunakan autentikasi Kerberos dengan Nama Prinsipal Layanan (SPN).
Pengontrol Jaringan mendukung beberapa metode autentikasi untuk komunikasi dengan klien manajemen. Anda dapat menggunakan autentikasi berbasis Kerberos, autentikasi berbasis sertifikat X509. Anda juga memiliki opsi untuk tidak menggunakan autentikasi untuk penyebaran pengujian.
System Center Virtual Machine Manager menggunakan autentikasi berbasis Kerberos. Jika Anda menggunakan autentikasi berbasis Kerberos, Anda harus mengonfigurasi SPN untuk Pengontrol Jaringan di Direktori Aktif. SPN adalah pengidentifikasi unik untuk instans layanan Pengontrol Jaringan, yang digunakan oleh autentikasi Kerberos untuk mengaitkan instans layanan dengan akun login layanan. Untuk detail selengkapnya, lihat Nama Perwakilan Layanan.
Mengonfigurasi Nama Prinsipal Layanan (SPN)
Pengontrol Jaringan secara otomatis mengonfigurasi SPN. Yang perlu Anda lakukan hanyalah memberikan izin bagi mesin Pengontrol Jaringan untuk mendaftar dan memodifikasi SPN.
Pada komputer Pengendali Domain, mulai Active Directory Users and Computers.
Pilih Tampilkan > Tingkat Lanjut.
Di bawah Komputer, temukan salah satu akun komputer Pengontrol Jaringan, lalu klik kanan dan pilih Properti.
Pilih tab Keamanan dan klik Tingkat Lanjut.
Dalam daftar, jika semua akun komputer Pengontrol Jaringan atau grup keamanan yang memiliki semua akun komputer Pengontrol Jaringan tidak tercantum, klik Tambahkan untuk menambahkannya.
Untuk setiap akun mesin Pengontrol Jaringan atau satu kelompok keamanan yang berisi akun mesin Pengontrol Jaringan:
Pilih akun atau grup dan klik Edit.
Di bawah Izin pilih Validasi Layanan TulisPrincipalName.
Gulir ke bawah dan di bawah Properti pilih:
Baca ServicePrincipalName
Tulis namaPelayananUtama
Klik OK dua kali.
Ulangi langkah 3 - 6 untuk setiap mesin Pengontrol Jaringan.
Tutup Pengguna Direktori Aktif dan Komputer.
Kegagalan untuk memberikan izin untuk pendaftaran atau modifikasi SPN
Pada penyebaran Windows Server 2019 baru, jika Anda memilih Kerberos untuk autentikasi klien REST dan tidak mengotorisasi simpul Pengontrol Jaringan untuk mendaftarkan atau memodifikasi SPN, operasi REST pada Pengontrol Jaringan akan gagal. Ini mencegah Anda mengelola infrastruktur SDN Anda secara efektif.
Untuk pembaruan dari Windows Server 2016 ke Windows Server 2019, jika Anda memilih Kerberos untuk autentikasi klien REST, operasi REST tidak akan diblokir, memastikan transparansi untuk penyebaran produksi yang ada.
Jika SPN tidak terdaftar, autentikasi klien REST menggunakan NTLM, yang kurang aman. Anda juga mendapat kejadian kritis di saluran Admin dari saluran peristiwa NetworkController-Framework yang meminta Anda memberikan izin kepada node Network Controller untuk mendaftarkan SPN. Setelah Anda memberikan izin, Pengontrol Jaringan mendaftarkan SPN secara otomatis, dan semua operasi klien menggunakan Kerberos.
Petunjuk / Saran
Umumnya, Anda dapat mengonfigurasi Pengontrol Jaringan untuk menggunakan alamat IP atau nama DNS untuk operasi berbasis REST. Namun, saat mengonfigurasi Kerberos, Anda tidak dapat menggunakan alamat IP untuk kueri REST ke Pengontrol Jaringan. Misalnya, Anda dapat menggunakan <https://networkcontroller.consotso.com>, tetapi Anda tidak dapat menggunakan <https://192.34.21.3>. Nama Prinsipal Layanan tidak dapat berfungsi apabila alamat IP digunakan.
Apabila Anda menggunakan alamat IP untuk operasi REST bersama dengan autentikasi Kerberos di Windows Server 2016, komunikasi aktual akan berlangsung melalui autentikasi NTLM. Dalam penyebaran seperti itu, setelah meningkatkan ke Windows Server 2019, Anda melanjutkan penggunaan autentikasi berbasis NTLM. Untuk berpindah ke autentikasi berbasis Kerberos, Anda harus menggunakan nama DNS Pengontrol Jaringan untuk operasi REST dan memberikan izin bagi node Pengontrol Jaringan untuk mendaftarkan SPN.