Kerberos с именем субъекта-службы (SPN)
Область применения: Azure Stack HCI версий 23H2 и 22H2; Windows Server 2022, Windows Server 2019
В этой статье описывается, как использовать проверку подлинности Kerberos с именем субъекта-службы (SPN).
Сетевой контроллер поддерживает несколько методов проверки подлинности для взаимодействия с клиентами управления. Вы можете использовать проверку подлинности на основе Kerberos и проверку подлинности X509 на основе сертификатов. Вы также можете использовать проверку подлинности без проверки подлинности для тестовых развертываний.
System Center Virtual Machine Manager использует проверку подлинности на основе Kerberos. Если вы используете проверку подлинности на основе Kerberos, необходимо настроить имя субъекта-службы для сетевого контроллера в Active Directory. Имя субъекта-службы — это уникальный идентификатор экземпляра службы сетевого контроллера, который используется проверкой подлинности Kerberos для связывания экземпляра службы с учетной записью для входа в службу. Дополнительные сведения см. в разделе Имена субъектов-служб.
Настройка имен субъектов-служб (SPN)
Сетевой контроллер автоматически настраивает имя субъекта-службы. Все, что вам нужно сделать, — предоставить компьютерам сетевого контроллера разрешения на регистрацию и изменение имени субъекта-службы.
На контроллере домена запустите Пользователи и компьютеры Active Directory.
ВыберитеВид > Дополнительно.
В разделе Компьютеры найдите одну из учетных записей компьютера сетевого контроллера, а затем щелкните правой кнопкой мыши и выберите Свойства.
Перейдите на вкладку Безопасность и нажмите кнопку Дополнительно.
Если в списке нет всех учетных записей компьютера сетевого контроллера или группы безопасности со всеми учетными записями компьютера сетевого контроллера, нажмите кнопку Добавить , чтобы добавить ее.
Для каждой учетной записи компьютера сетевого контроллера или отдельной группы безопасности, содержащей учетные записи компьютера сетевого контроллера:
Выберите учетную запись или группу и нажмите кнопку Изменить.
В разделе "Разрешения" выберите Проверить запись servicePrincipalName.
Выполните прокрутку вниз и в разделе Свойства выберите:
Чтение servicePrincipalName
Запись servicePrincipalName
Щелкните дважды ОК.
Повторите шаги 3–6 для каждого компьютера сетевого контроллера.
Закройте окно Пользователи и компьютеры Active Directory.
Не удалось предоставить разрешения для регистрации или изменения имени субъекта-службы
В новом развертывании Windows Server 2019, если вы выбрали Kerberos для проверки подлинности клиента REST и не авторизуете узлы сетевого контроллера для регистрации или изменения имени субъекта-службы, операции REST на сетевом контроллере завершатся ошибкой. Это не позволяет эффективно управлять инфраструктурой SDN.
Для обновления с Windows Server 2016 до Windows Server 2019 и выбора Kerberos для проверки подлинности клиента REST операции REST не блокируются, обеспечивая прозрачность существующих рабочих развертываний.
Если имя субъекта-службы не зарегистрировано, проверка подлинности клиента REST использует NTLM, что менее безопасно. Вы также получаете критическое событие в канале Администратор канала событий NetworkController-Framework с запросом на предоставление разрешений узлам сетевого контроллера для регистрации имени субъекта-службы. После предоставления разрешения сетевой контроллер автоматически регистрирует имя субъекта-службы, и все клиентские операции используют Kerberos.
Совет
Как правило, сетевой контроллер можно настроить для использования IP-адреса или DNS-имени для операций на основе REST. Однако при настройке Kerberos нельзя использовать IP-адрес для запросов REST к сетевому контроллеру. Например, можно использовать <https://networkcontroller.consotso.com>, но нельзя использовать <https://192.34.21.3>. Имена субъектов-служб не могут работать, если используются IP-адреса.
Если бы вы использовали IP-адрес для операций REST вместе с проверкой подлинности Kerberos в Windows Server 2016, фактическое взаимодействие было бы через проверку подлинности NTLM. В таком развертывании после обновления до Windows Server 2019 вы продолжаете использовать проверку подлинности на основе NTLM. Чтобы перейти на проверку подлинности на основе Kerberos, необходимо использовать DNS-имя сетевого контроллера для операций REST и предоставить узлам сетевого контроллера разрешение на регистрацию имени субъекта-службы.