Kerberos z główną nazwą usługi (SPN)
Dotyczy: Azure Stack HCI, wersje 23H2 i 22H2; Windows Server 2022, Windows Server 2019
W tym artykule opisano sposób używania uwierzytelniania Kerberos z główną nazwą usługi (SPN).
Kontroler sieci obsługuje wiele metod uwierzytelniania na potrzeby komunikacji z klientami zarządzania. Można użyć uwierzytelniania opartego na protokole Kerberos, uwierzytelniania opartego na certyfikatach X509. Istnieje również możliwość użycia uwierzytelniania dla wdrożeń testowych.
System Center Virtual Machine Manager używa uwierzytelniania opartego na protokole Kerberos. Jeśli używasz uwierzytelniania opartego na protokole Kerberos, musisz skonfigurować nazwę SPN kontrolera sieci w usłudze Active Directory. Nazwa SPN jest unikatowym identyfikatorem wystąpienia usługi kontrolera sieci, które jest używane przez uwierzytelnianie Kerberos w celu skojarzenia wystąpienia usługi z kontem logowania usługi. Aby uzyskać więcej informacji, zobacz Nazwy główne usługi.
Konfigurowanie głównych nazw usługi (SPN)
Kontroler sieci automatycznie konfiguruje nazwę SPN. Wystarczy podać uprawnienia dla maszyn kontrolera sieci w celu zarejestrowania i zmodyfikowania nazwy SPN.
Na maszynie kontrolera domeny uruchom Użytkownicy i komputery usługi Active Directory.
Wybierz pozycję Wyświetl > zaawansowane.
W obszarze Komputery znajdź jedno z kont komputera kontrolera sieci, a następnie kliknij prawym przyciskiem myszy i wybierz pozycję Właściwości.
Wybierz kartę Zabezpieczenia i kliknij pozycję Zaawansowane.
Jeśli na liście znajdują się wszystkie konta maszyny kontrolera sieci lub grupa zabezpieczeń z wszystkimi kontami maszyny kontrolera sieci, kliknij przycisk Dodaj , aby dodać je.
Dla każdego konta komputera kontrolera sieci lub jednej grupy zabezpieczeń zawierającej konta komputera kontrolera sieci:
Wybierz konto lub grupę, a następnie kliknij przycisk Edytuj.
W obszarze Uprawnienia wybierz pozycję Weryfikuj nazwę usługi zapisuPrincipalName.
Przewiń w dół i w obszarze Właściwości wybierz:
Read servicePrincipalName
Write servicePrincipalName
Kliknij dwukrotnie przycisk OK.
Powtórz kroki 3–6 dla każdej maszyny kontrolera sieci.
Zamknij przystawkę Użytkownicy i komputery usługi Active Directory.
Nie można podać uprawnień do rejestracji lub modyfikacji nazwy SPN
W przypadku nowego wdrożenia systemu Windows Server 2019 w przypadku wybrania protokołu Kerberos na potrzeby uwierzytelniania klienta REST i nie autoryzowanie węzłów kontrolera sieci do rejestrowania ani modyfikowania nazwy SPN operacje REST na kontrolerze sieci nie powiedzą się. Zapobiega to efektywnemu zarządzaniu infrastrukturą sieci SDN.
W przypadku uaktualnienia z Windows Server 2016 do systemu Windows Server 2019 i wybrano protokół Kerberos na potrzeby uwierzytelniania klienta REST, operacje REST nie są blokowane, zapewniając przejrzystość istniejących wdrożeń produkcyjnych.
Jeśli nazwa SPN nie jest zarejestrowana, uwierzytelnianie klienta REST używa protokołu NTLM, co jest mniej bezpieczne. Zdarzenie krytyczne jest również dostępne w kanale Administracja kanału zdarzeń NetworkController-Framework z prośbą o podanie uprawnień do węzłów kontrolera sieci w celu zarejestrowania nazwy SPN. Po podaniu uprawnień kontroler sieci automatycznie rejestruje nazwę SPN, a wszystkie operacje klienta używają protokołu Kerberos.
Porada
Zazwyczaj można skonfigurować kontroler sieci do używania adresu IP lub nazwy DNS dla operacji opartych na protokole REST. Jednak podczas konfigurowania protokołu Kerberos nie można użyć adresu IP dla zapytań REST do kontrolera sieci. Na przykład można użyć <https://networkcontroller.consotso.com>polecenia , ale nie można użyć <https://192.34.21.3>polecenia . Nazwy główne usługi nie mogą działać, jeśli są używane adresy IP.
Jeśli używasz adresu IP dla operacji REST wraz z uwierzytelnianiem Kerberos w Windows Server 2016, rzeczywista komunikacja byłaby uwierzytelnianiem NTLM. W takim wdrożeniu po uaktualnieniu do systemu Windows Server 2019 nadal używasz uwierzytelniania opartego na protokole NTLM. Aby przejść do uwierzytelniania opartego na protokole Kerberos, należy użyć nazwy DNS kontrolera sieci dla operacji REST i udzielić uprawnień węzłom kontrolera sieci do zarejestrowania nazwy SPN.