Udostępnij za pośrednictwem


Kerberos z nazwą główną usługi (SPN)

Dotyczy: Azure Local 2311.2 i nowsze; Windows Server 2022, Windows Server 2019

W tym artykule opisano sposób używania uwierzytelniania Kerberos z główną nazwą usługi (SPN).

Kontroler sieci obsługuje wiele metod uwierzytelniania na potrzeby komunikacji z klientami zarządzania. Możesz użyć uwierzytelniania opartego na protokole Kerberos, uwierzytelniania opartego na certyfikatach X509. Istnieje również możliwość rezygnacji z uwierzytelniania na potrzeby wdrożeń testowych.

Program System Center Virtual Machine Manager używa uwierzytelniania opartego na protokole Kerberos. Jeśli używasz uwierzytelniania opartego na protokole Kerberos, musisz skonfigurować nazwę SPN dla kontrolera sieci w usłudze Active Directory. SPN jest unikatowym identyfikatorem instancji usługi Kontrolera sieci, który jest używany przez uwierzytelnianie Kerberos do skojarzenia instancji usługi z kontem logowania usługi. Aby uzyskać więcej informacji, zobacz Nazwy główne usługi.

Konfigurowanie głównych nazw usługi (SPN)

Kontroler sieci automatycznie konfiguruje SPN. Wystarczy podać uprawnienia dla maszyn kontrolera sieci do rejestrowania i modyfikowania nazwy SPN.

  1. Na maszynie kontrolera domeny uruchom przystawkę Użytkownicy i komputery usługi Active Directory.

  2. Wybierz pozycję Wyświetl > Zaawansowane.

  3. W obszarze Komputery znajdź jedno z kont komputera kontrolera sieci, a następnie kliknij prawym przyciskiem myszy i wybierz polecenie Właściwości.

  4. Wybierz kartę Zabezpieczenia i kliknij pozycję Zaawansowane.

  5. Na liście, jeśli wszystkie konta maszyn Kontrolera Sieci lub grupa zabezpieczeń zawierająca wszystkie konta maszyn Kontrolera Sieci nie są wyświetlane, kliknij przycisk Dodaj, aby je dodać.

  6. Dla każdego konta maszyny kontrolera sieci lub jednej grupy zabezpieczeń zawierającej konta maszyny kontrolera sieci:

    1. Wybierz konto lub grupę i kliknij przycisk Edytuj.

    2. W obszarze Uprawnienia wybierz pozycję Waliduj zapis servicePrincipalName.

    3. Przewiń w dół i w obszarze Właściwości wybierz pozycję:

      • Odczyt servicePrincipalName

      • Zapisywanie nazwy servicePrincipalName

    4. Kliknij dwukrotnie przycisk OK .

  7. Powtórz kroki 3–6 dla każdej maszyny kontrolera sieci.

  8. Zamknij Użytkownicy i komputery usługi Active Directory.

Brak dostarczenia uprawnień do rejestracji lub modyfikacji głównej nazwy usługi

W nowym wdrożeniu systemu Windows Server 2019, jeśli wybrano protokół Kerberos na potrzeby uwierzytelniania klienta REST i nie autoryzuje się węzłów kontrolera sieci do rejestrowania lub modyfikowania nazwy SPN, operacje REST na kontrolerze sieci zakończą się niepowodzeniem. Zapobiega to efektywnemu zarządzaniu infrastrukturą sieci SDN.

W przypadku uaktualnienia z systemu Windows Server 2016 do systemu Windows Server 2019 i wybrano protokół Kerberos na potrzeby uwierzytelniania klienta REST, operacje REST nie są blokowane, zapewniając przejrzystość istniejących wdrożeń produkcyjnych.

Jeśli nazwa SPN nie jest zarejestrowana, uwierzytelnianie klienta REST używa protokołu NTLM, co jest mniej bezpieczne. W kanale administratora kanału zdarzeń NetworkController-Framework wyświetlane jest również krytyczne zdarzenie z żądaniem udzielenia uprawnień węzłom kontrolera sieci do zarejestrowania SPN. Po podaniu uprawnień kontroler sieci automatycznie rejestruje nazwę SPN, a wszystkie operacje klienta używają protokołu Kerberos.

Wskazówka

Zazwyczaj można skonfigurować kontroler sieci do używania adresu IP lub nazwy DNS dla operacji opartych na protokole REST. Jednak podczas konfigurowania protokołu Kerberos nie można użyć adresu IP dla zapytań REST do kontrolera sieci. Można na przykład użyć <https://networkcontroller.consotso.com>, ale nie można użyć <https://192.34.21.3>. Nazwy główne usługi nie mogą działać, jeśli są używane adresy IP.

Gdybyś używał adresu IP do operacji REST wraz z uwierzytelnianiem Kerberos w systemie Windows Server 2016, rzeczywista komunikacja odbywałaby się poprzez uwierzytelnianie NTLM. W takim wdrożeniu po uaktualnieniu do systemu Windows Server 2019 nadal używasz uwierzytelniania opartego na protokole NTLM. Aby przejść do uwierzytelniania opartego na protokole Kerberos, należy użyć nazwy DNS kontrolera sieci dla operacji REST i udzielić uprawnień węzłom kontrolera sieci do rejestrowania nazwy SPN.

Następne kroki