Condividi tramite


I client Kerberos consentono nomi host con indirizzi IPv4 e IPv6 nei nomi delle entità servizio

A partire da Windows 10, versione 1507, e Windows Server 2016, i client Kerberos possono essere configurati per supportare i nomi host con indirizzi IPv4 e IPv6 nei nomi delle entità servizio.

Per impostazione predefinita, Windows non tenta l'autenticazione Kerberos per un host se il nome host è un indirizzo IP. Verrà eseguito il fallback ad altri protocolli di autenticazione abilitati, ad esempio NTLM. Tuttavia, talvolta le applicazioni contengono codice hardcoded per l'utilizzo di indirizzi IP e quindi l'applicazione eseguirà il fallback all'autenticazione NTLM e non userà Kerberos. Questo scenario può causare problemi di compatibilità man mano che gli ambienti si evolvono per disabilitare NTLM.

Per ridurre l'impatto della disabilitazione di NTLM è stata introdotta una nuova funzionalità che consente agli amministratori di usare gli indirizzi IP come nomi host nei nomi delle entità servizio. Questa funzionalità è abilitata nel client tramite un valore di chiave del registro.

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" /v TryIPSPN /t REG_DWORD /d 1 /f

Per configurare il supporto per i nomi host con indirizzi IP nei nomi delle entità servizio, creare una voce TryIPSPN. Questa voce non è disponibile nel registro per impostazione predefinita. Dopo aver creato la voce, modificare il valore di DWORD e impostarlo su 1. Questo valore del Registro di sistema dovrà essere impostato in ogni computer client che deve accedere alle risorse protette da Kerberos tramite l'indirizzo IP.

Configurazione di un nome dell'entità servizio come indirizzo IP

Un nome dell'entità servizio è un identificatore univoco usato durante l'autenticazione Kerberos per identificare un servizio nella rete. Un nome dell'entità servizio è costituito da un servizio, un nome host e, facoltativamente, una porta sotto forma di service/hostname[:port], ad esempio host/fs.contoso.com. Windows registrerà più nomi dell'entità servizio in un oggetto computer quando un computer viene aggiunto ad Active Directory.

Gli indirizzi IP non vengono in genere usati al posto dei nomi host perché gli indirizzi IP sono spesso temporanei. Questo scenario può causare conflitti ed errori di autenticazione alla scadenza e al rinnovo dei lease degli indirizzi. Di conseguenza, la registrazione di un nome dell'entità servizio basato su indirizzo IP è un processo manuale e deve essere usata solo quando è impossibile passare a un nome host basato su DNS.

L'approccio consigliato consiste nell'usare lo strumento Setspn.exe. Si noti che un nome dell'entità servizio può essere registrato solo in un singolo account in Active Directory alla volta, quindi è consigliabile che gli indirizzi IP abbiano lease statici se si usa DHCP.

Setspn -s <service>/ip.address> <domain-user-account>

Esempio

Setspn -s host/192.168.1.1 server01