Acara
29 Apr, 14 - 30 Apr, 19
Bergabunglah dengan acara virtual Windows Server utama 29-30 April untuk sesi teknis mendalam dan tanya jawab langsung dengan teknisi Microsoft.
Daftar sekarangKlien Kerberos mengizinkan nama host alamat IPv4 dan IPv6 di Nama Perwakilan Layanan (SPN)
Dimulai dengan Windows 10 versi 1507 dan Windows Server 2016, klien Kerberos dapat dikonfigurasi untuk mendukung nama host IPv4 dan IPv6 di SPN.
Secara default Windows tidak akan mencoba autentikasi Kerberos untuk host jika nama host adalah alamat IP. Ini akan kembali ke protokol autentikasi lain yang diaktifkan seperti NTLM. Namun, aplikasi terkadang dikodekan secara permanen untuk menggunakan alamat IP yang berarti aplikasi akan kembali ke NTLM dan tidak menggunakan Kerberos. Ini dapat menyebabkan masalah kompatibilitas saat lingkungan berpindah untuk menonaktifkan NTLM.
Untuk mengurangi dampak menonaktifkan NTLM, kemampuan baru diperkenalkan yang memungkinkan administrator menggunakan alamat IP sebagai nama host di Nama Perwakilan Layanan. Kemampuan ini diaktifkan pada klien melalui nilai kunci registri.
Windows Command Prompt
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" /v TryIPSPN /t REG_DWORD /d 1 /f
Untuk mengonfigurasi dukungan untuk nama host alamat IP di SPN, buat entri TryIPSPN. Entri ini tidak ada di registri secara default. Setelah Anda membuat entri, ubah nilai DWORD menjadi 1. Nilai registri ini perlu diatur pada setiap komputer klien yang perlu mengakses sumber daya yang dilindungi Kerberos berdasarkan alamat IP.
Nama Perwakilan Layanan adalah pengidentifikasi unik yang digunakan selama autentikasi Kerberos untuk mengidentifikasi layanan di jaringan. SPN terdiri dari layanan, nama host, dan secara opsional port dalam bentuk service/hostname[:port] seperti host/fs.contoso.com. Windows akan mendaftarkan beberapa SPN ke objek komputer ketika komputer digabungkan ke Direktori Aktif.
Alamat IP biasanya tidak digunakan sebagai pengganti nama host karena alamat IP sering bersifat sementara. Ini dapat menyebabkan konflik dan kegagalan autentikasi karena sewa alamat kedaluwarsa dan diperpanjang. Oleh karena itu mendaftarkan SPN berbasis alamat IP adalah proses manual dan hanya boleh digunakan ketika tidak mungkin untuk beralih ke nama host berbasis DNS.
Pendekatan yang direkomendasikan adalah menggunakan alat Setspn.exe . Perhatikan bahwa SPN hanya dapat didaftarkan ke satu akun di Direktori Aktif pada satu waktu sehingga disarankan agar alamat IP memiliki sewa statis jika DHCP digunakan.
Setspn -s <service>/ip.address> <domain-user-account>
Contoh:
Setspn -s host/192.168.1.1 server01
Sumber Daya Tambahan:
Pelatihan
Modul
Configure IP network connectivity - Training
This module explores configuring Windows clients to communicate over IPv4 and IPv6 networks.
Dokumentasi
-
Gambaran Umum Autentikasi Kerberos
Pelajari tentang autentikasi Kerberos di Windows Server 2012 dan Windows 8.
-
Autentikasi Kunci Umum Perangkat yang bergabung dengan domain
Pelajari selengkapnya tentang: Autentikasi Kunci Umum Perangkat yang bergabung dengan domain
-
Gambaran Umum Delegasi yang Dibatasi Kerberos
Pelajari tentang kemampuan baru untuk delegasi yang dibatasi Kerberos di Windows Server 2012 R2 dan Windows Server 2012.