Kerberos met SPN (Service Principal Name)
Van toepassing op: Azure Stack HCI, versies 23H2 en 22H2; Windows Server 2022, Windows Server 2019
In dit artikel wordt beschreven hoe u Kerberos-verificatie gebruikt met Service Principal Name (SPN).
Netwerkcontroller ondersteunt meerdere verificatiemethoden voor communicatie met beheerclients. U kunt kerberos-verificatie gebruiken, verificatie op basis van X509-certificaten. U kunt ook geen verificatie gebruiken voor testimplementaties.
System Center Virtual Machine Manager maakt gebruik van verificatie op basis van Kerberos. Als u kerberos-verificatie gebruikt, moet u een SPN configureren voor netwerkcontroller in Active Directory. De SPN is een unieke id voor het service-exemplaar van de netwerkcontroller, die wordt gebruikt door Kerberos-verificatie om een service-exemplaar te koppelen aan een serviceaanmeldingsaccount. Zie Namen van service-principals voor meer informatie.
Service Principal Names (SPN) configureren
De netwerkcontroller configureert automatisch de SPN. U hoeft alleen maar machtigingen op te geven voor de netwerkcontrollercomputers om de SPN te registreren en te wijzigen.
Start Active Directory: gebruikers en computers op de domeincontrollercomputer.
Selecteer Geavanceerd weergeven>.
Zoek onder Computers een van de computeraccounts van de netwerkcontroller, klik met de rechtermuisknop en selecteer Eigenschappen.
Selecteer het tabblad Beveiliging en klik op Geavanceerd.
Als alle computeraccounts van de netwerkcontroller of een beveiligingsgroep met alle computeraccounts van de netwerkcontroller niet worden weergegeven, klikt u in de lijst op Toevoegen om deze toe te voegen.
Voor elk computeraccount van de netwerkcontroller of een enkele beveiligingsgroep met de computeraccounts van de netwerkcontroller:
Selecteer het account of de groep en klik op Bewerken.
Selecteer onder Machtigingen de optie Write servicePrincipalName valideren.
Schuif omlaag en selecteer onder Eigenschappen :
ServicePrincipalName lezen
ServicePrincipalName schrijven
Klik tweemaal op OK.
Herhaal stap 3 -6 voor elke netwerkcontrollercomputer.
Sluit Active Directory: gebruikers en computers.
Fout bij het opgeven van machtigingen voor SPN-registratie of -wijziging
In een nieuwe Windows Server 2019-implementatie, als u Kerberos hebt gekozen voor REST-clientverificatie en netwerkcontrollerknooppunten niet machtigt om de SPN te registreren of te wijzigen, zullen REST-bewerkingen op de netwerkcontroller mislukken. Dit voorkomt dat u uw SDN-infrastructuur effectief kunt beheren.
Voor een upgrade van Windows Server 2016 naar Windows Server 2019 en u kerberos hebt gekozen voor REST-clientverificatie, worden REST-bewerkingen niet geblokkeerd, waardoor de transparantie voor bestaande productie-implementaties wordt gewaarborgd.
Als SPN niet is geregistreerd, gebruikt REST-clientverificatie NTLM, wat minder veilig is. U krijgt ook een kritieke gebeurtenis in het Beheer-kanaal van het gebeurteniskanaal NetworkController-Framework waarin u wordt gevraagd om machtigingen te verlenen aan de netwerkcontrollerknooppunten om SPN te registreren. Zodra u toestemming hebt opgegeven, registreert netwerkcontroller de SPN automatisch en alle clientbewerkingen maken gebruik van Kerberos.
Tip
Normaal gesproken kunt u netwerkcontroller configureren voor het gebruik van een IP-adres of DNS-naam voor REST-bewerkingen. Wanneer u Kerberos configureert, kunt u echter geen IP-adres gebruiken voor REST-query's naar de netwerkcontroller. U kunt bijvoorbeeld gebruiken <https://networkcontroller.consotso.com>, maar niet <https://192.34.21.3>. Namen van service-principals werken niet als IP-adressen worden gebruikt.
Als u een IP-adres gebruikt voor REST-bewerkingen in combinatie met Kerberos-verificatie in Windows Server 2016, zou de werkelijke communicatie via NTLM-verificatie zijn geweest. In een dergelijke implementatie blijft u, zodra u een upgrade naar Windows Server 2019 uitvoert, verificatie op basis van NTLM gebruiken. Als u wilt overstappen op Kerberos-verificatie, moet u de DNS-naam van de netwerkcontroller gebruiken voor REST-bewerkingen en knooppunten van de netwerkcontroller toestemming geven om SPN te registreren.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor