Kerberos med tjänstens huvudnamn (SPN)

Gäller för: Azure Stack HCI, versionerna 23H2 och 22H2; Windows Server 2022, Windows Server 2019

Den här artikeln beskriver hur du använder Kerberos-autentisering med tjänstens huvudnamn (SPN).

Nätverksstyrenheten stöder flera autentiseringsmetoder för kommunikation med hanteringsklienter. Du kan använda Kerberos-baserad autentisering, X509-certifikatbaserad autentisering. Du kan också välja att inte använda någon autentisering för testdistributioner.

System Center Virtual Machine Manager använder Kerberos-baserad autentisering. Om du använder Kerberos-baserad autentisering måste du konfigurera ett SPN för nätverksstyrenheten i Active Directory. SPN är en unik identifierare för nätverksstyrenhetstjänstinstansen, som används av Kerberos-autentisering för att associera en tjänstinstans med ett tjänstinloggningskonto. Mer information finns i Namn på tjänstens huvudnamn.

Konfigurera tjänsthuvudnamn (SPN)

Nätverksstyrenheten konfigurerar automatiskt SPN. Allt du behöver göra är att ge nätverksstyrenhetens datorer behörighet att registrera och ändra SPN.

1. Starta Active Directory - användare och datorer på domänkontrollantdatorn.

2. Välj Visa > avancerat.

3. Under Datorer letar du upp ett av nätverksstyrenhetsdatorkontona och högerklickar och väljer Egenskaper.

4. Välj fliken Säkerhet och klicka på Avancerat.

5. Om alla nätverksstyrenhetsdatorkonton eller en säkerhetsgrupp som har alla nätverksstyrenhetsdatorkonton inte visas i listan i listan klickar du på Lägg till för att lägga till den.

6. För varje nätverksstyrenhetsdatorkonto eller en enda säkerhetsgrupp som innehåller nätverksstyrenhetens datorkonton:

   1. Välj kontot eller gruppen och klicka på Redigera.

   2. Under Behörigheter väljer du Verifiera skrivtjänstenPrincipalName.

   3. Rulla nedåt och under Egenskaper väljer du:

      • Läs servicePrincipalName

      • Skriva servicePrincipalName

   4. Klicka på OK två gånger.

7. Upprepa steg 3–6 för varje nätverksstyrenhetsdator.

8. Stäng Active Directory - användare och datorer.

Det gick inte att ange behörigheter för SPN-registrering eller ändring

Om du väljer Kerberos för REST-klientautentisering i en ny Windows Server 2019-distribution och inte tillåter noder i nätverksstyrenheten att registrera eller ändra SPN misslyckas REST-åtgärderna på nätverksstyrenheten. Detta hindrar dig från att effektivt hantera din SDN-infrastruktur.

För en uppgradering från Windows Server 2016 till Windows Server 2019 och du valde Kerberos för REST-klientautentisering blockeras inte REST-åtgärder, vilket säkerställer transparens för befintliga produktionsdistributioner.

Om SPN inte är registrerat använder REST-klientautentisering NTLM, vilket är mindre säkert. Du får också en kritisk händelse i Admin-kanalen i NetworkController-Framework-händelsekanalen där du uppmanas att ge behörigheter till nätverksstyrenhetsnoderna för att registrera SPN. När du har angett behörighet registrerar nätverksstyrenheten SPN automatiskt och alla klientåtgärder använder Kerberos.

Tips

Vanligtvis kan du konfigurera nätverksstyrenheten att använda en IP-adress eller ETT DNS-namn för REST-baserade åtgärder. Men när du konfigurerar Kerberos kan du inte använda en IP-adress för REST-frågor till nätverksstyrenheten. Du kan till exempel använda <https://networkcontroller.consotso.com>, men du kan inte använda <https://192.34.21.3>. Tjänstens huvudnamn kan inte fungera om IP-adresser används.

Om du använde IP-adress för REST-åtgärder tillsammans med Kerberos-autentisering i Windows Server 2016 skulle den faktiska kommunikationen ha varit över NTLM-autentisering. När du uppgraderar till Windows Server 2019 i en sådan distribution fortsätter du att använda NTLM-baserad autentisering. Om du vill gå över till Kerberos-baserad autentisering måste du använda DNS-namnet för nätverksstyrenheten för REST-åtgärder och ge behörighet för nätverksstyrenhetsnoder att registrera SPN.

Nästa steg

• Skydda nätverksstyrenheten