Kerberos con nome dell'entità servizio (SPN)

Si applica a: Azure Stack HCI, versioni 22H2 e 21H2; Windows Server 2022, Windows Server 2019

Il controller di rete supporta più metodi di autenticazione per la comunicazione con i client di gestione. È possibile usare l'autenticazione basata su Kerberos, l'autenticazione basata su certificati X509. È anche possibile usare nessuna autenticazione per le distribuzioni di test.

System Center Virtual Machine Manager usa l'autenticazione basata su Kerberos. Se si usa l'autenticazione basata su Kerberos, è necessario configurare un nome dell'entità servizio (SPN) per il controller di rete in Active Directory. Il nome SPN è un identificatore univoco per l'istanza del servizio Controller di rete, utilizzata dall'autenticazione Kerberos per associare un'istanza del servizio a un account di accesso del servizio. Per altre informazioni, vedere Nomi entità servizio.

Configurare i nomi dell'entità servizio (SPN)

Il controller di rete configura automaticamente il nome SPN. Tutto ciò che è necessario fare consiste nel fornire le autorizzazioni per i computer controller di rete per registrare e modificare il nome SPN.

  1. Nel controller di dominio avviare Utenti e computer di Active Directory.

  2. Selezionare Visualizza > Avanzate.

  3. In Computer individuare uno degli account del computer controller di rete e quindi fare clic con il pulsante destro del mouse e selezionare Proprietà.

  4. Nella scheda Protezione , scegliere Avanzate.

  5. Nell'elenco, se tutti gli account del computer Controller di rete o un gruppo di sicurezza con tutti gli account del computer controller di rete non sono elencati, fare clic su Aggiungi per aggiungerlo.

  6. Per ogni account del computer controller di rete o un singolo gruppo di sicurezza contenente gli account del computer controller di rete:

    a. Selezionare l'account o il gruppo e fare clic su Modifica.

    b. In Autorizzazioni selezionare Convalida servizio di scritturaPrincipalName.

    d. Scorrere verso il basso e in Proprietà selezionare:

    • Lettura servicePrincipalName

    • Scrittura servicePrincipalName

    e. Fare clic su OK due volte.

  7. Ripetere i passaggi 3 - 6 per ogni computer controller di rete.

  8. Chiudere Utenti e computer di Active Directory.

Non è possibile fornire autorizzazioni per la registrazione/modifica di SPN

In una nuova distribuzione di Windows Server 2019, se si sceglie Kerberos per l'autenticazione client REST e non si concede l'autorizzazione per i nodi del controller di rete per registrare o modificare le operazioni SPN, le operazioni REST sul controller di rete non riescono a impedire la gestione del nome SDN.

Per un aggiornamento da Windows Server 2016 a Windows Server 2019 e si è scelto Kerberos per l'autenticazione client REST, le operazioni REST non vengono bloccate, garantendo la trasparenza per le distribuzioni di produzione esistenti.

Se SPN non è registrato, l'autenticazione client REST usa NTLM, che è meno sicura. Si ottiene anche un evento critico nel canale Amministrazione del canale di eventi NetworkController-Framework che richiede di fornire le autorizzazioni ai nodi del controller di rete per registrare SPN. Dopo aver fornito l'autorizzazione, il controller di rete registra automaticamente il nome SPN e tutte le operazioni client usano Kerberos.

Suggerimento

In genere, è possibile configurare il controller di rete per usare un indirizzo IP o un nome DNS per le operazioni basate su REST. Tuttavia, quando si configura Kerberos, non è possibile usare un indirizzo IP per le query REST nel controller di rete. Ad esempio, è possibile usare , ma non è possibile usare <https://networkcontroller.consotso.com><https://192.34.21.3>. I nomi dell'entità servizio non possono funzionare se vengono usati indirizzi IP.

Se si usava l'indirizzo IP per le operazioni REST insieme all'autenticazione Kerberos in Windows Server 2016, la comunicazione effettiva sarebbe stata eseguita tramite l'autenticazione NTLM. In tale distribuzione, una volta eseguito l'aggiornamento a Windows Server 2019, si continua a usare l'autenticazione basata su NTLM. Per passare all'autenticazione basata su Kerberos, è necessario usare il nome DNS del controller di rete per le operazioni REST e fornire l'autorizzazione per i nodi del controller di rete per registrare SPN.