Bagikan melalui

Klien Kerberos mengizinkan nama host alamat IPv4 dan IPv6 di Nama Perwakilan Layanan (SPN)

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016

Dimulai dengan Windows 10 versi 1507 dan Windows Server 2016, klien Kerberos dapat dikonfigurasi untuk mendukung nama host IPv4 dan IPv6 di SPN.

Secara default Windows tidak akan mencoba autentikasi Kerberos untuk host jika nama host adalah alamat IP. Ini akan kembali ke protokol autentikasi lain yang diaktifkan seperti NTLM. Namun, aplikasi terkadang dikodekan secara permanen untuk menggunakan alamat IP yang berarti aplikasi akan kembali ke NTLM dan tidak menggunakan Kerberos. Ini dapat menyebabkan masalah kompatibilitas saat lingkungan berpindah untuk menonaktifkan NTLM.

Untuk mengurangi dampak menonaktifkan NTLM, kemampuan baru diperkenalkan yang memungkinkan administrator menggunakan alamat IP sebagai nama host di Nama Perwakilan Layanan. Kemampuan ini diaktifkan pada klien melalui nilai kunci registri.

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" /v TryIPSPN /t REG_DWORD /d 1 /f

Untuk mengonfigurasi dukungan untuk nama host alamat IP di SPN, buat entri TryIPSPN. Entri ini tidak ada di registri secara default. Setelah Anda membuat entri, ubah nilai DWORD menjadi 1. Nilai registri ini perlu diatur pada setiap komputer klien yang perlu mengakses sumber daya yang dilindungi Kerberos berdasarkan alamat IP.

Mengonfigurasi Nama Perwakilan Layanan sebagai Alamat IP

Nama Perwakilan Layanan adalah pengidentifikasi unik yang digunakan selama autentikasi Kerberos untuk mengidentifikasi layanan di jaringan. SPN terdiri dari layanan, nama host, dan secara opsional port dalam bentuk service/hostname[:port] seperti host/fs.contoso.com. Windows akan mendaftarkan beberapa SPN ke objek komputer ketika komputer digabungkan ke Direktori Aktif.

Alamat IP biasanya tidak digunakan sebagai pengganti nama host karena alamat IP sering bersifat sementara. Ini dapat menyebabkan konflik dan kegagalan autentikasi karena sewa alamat kedaluwarsa dan diperpanjang. Oleh karena itu mendaftarkan SPN berbasis alamat IP adalah proses manual dan hanya boleh digunakan ketika tidak mungkin untuk beralih ke nama host berbasis DNS.

Pendekatan yang direkomendasikan adalah menggunakan alat Setspn.exe . Perhatikan bahwa SPN hanya dapat didaftarkan ke satu akun di Direktori Aktif pada satu waktu sehingga disarankan agar alamat IP memiliki sewa statis jika DHCP digunakan.

Setspn -s <service>/ip.address> <domain-user-account>

Contoh:

Setspn -s host/192.168.1.1 server01