Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Şunlar için geçerlidir: Azure Yerel 2311.2 ve üzeri; Windows Server 2022, Windows Server 2019
Bu makalede, Hizmet Asıl Adı (SPN) ile Kerberos kimlik doğrulamasının nasıl kullanılacağı açıklanmaktadır.
Ağ Denetleyicisi, yönetim istemcileri ile iletişim için birden çok kimlik doğrulama yöntemini destekler. Kerberos tabanlı kimlik doğrulaması, X509 sertifika tabanlı kimlik doğrulaması kullanabilirsiniz. Test dağıtımları için kimlik doğrulaması kullanmamayı seçme seçeneğiniz de vardır.
System Center Virtual Machine Manager, Kerberos tabanlı kimlik doğrulamayı kullanır. Kerberos tabanlı kimlik doğrulaması kullanıyorsanız, Active Directory'de Ağ Denetleyicisi için bir SPN yapılandırmanız gerekir. SPN, Bir hizmet örneğini bir hizmet oturum açma hesabıyla ilişkilendirmek için Kerberos kimlik doğrulaması tarafından kullanılan Ağ Denetleyicisi hizmet örneği için benzersiz bir tanımlayıcıdır. Diğer ayrıntılar için bkz Hizmet Asıl Adları.
Hizmet Asıl Adlarını Yapılandırma (SPN)
Ağ Denetleyicisi SPN'yi otomatik olarak yapılandırıyor. Tek yapmanız gereken, Ağ Denetleyicisi makinelerinin SPN'yi kaydetmesi ve değiştirmesi için izinler sağlamaktır.
Etki Alanı Denetleyicisi makinesinde Active Directory Kullanıcıları ve Bilgisayarları başlatın.
Gelişmiş Görüntüle'yi >seçin.
Bilgisayarlar'ın altında Ağ Denetleyicisi makine hesaplarından birini bulun ve sağ tıklayıp Özellikler'i seçin.
Güvenlik sekmesini seçin ve Gelişmiş'i tıklatın.
Listede, tüm Ağ Denetleyicisi makine hesapları veya tüm Ağ Denetleyicisi makine hesaplarına sahip bir güvenlik grubu listelenmiyorsa, eklemek için Ekle'ye tıklayın.
Her Ağ Denetleyicisi makine hesabı veya Ağ Denetleyicisi makine hesaplarını içeren tek bir güvenlik grubu için:
Hesabı veya grubu seçin ve Düzenle'ye tıklayın.
İzinler altında Write servicePrincipalName doğrulayı seçin.
Aşağı kaydırın ve Özellikler'in altında şu seçeneği belirleyin:
servicePrincipalName'i oku
ServicePrincipalName yaz
Tamam 'ı iki kez tıklatın.
Her Ağ Denetleyicisi makinesi için 3- 6 arası adımları yineleyin.
Active Directory Kullanıcıları ve Bilgisayarları’nı kapatın.
SPN kaydı veya değişikliği için izin sağlanamıyor
Yeni bir Windows Server 2019 dağıtımında, REST istemci kimlik doğrulaması için Kerberos'ı seçerseniz ve Ağ Denetleyicisi düğümlerine SPN'yi kaydetme veya değiştirme yetkisi vermezseniz, Ağ Denetleyicisindeki REST işlemleri başarısız olur. Bu, SDN altyapınızı etkili bir şekilde yönetmenizi önler.
Windows Server 2016'dan Windows Server 2019'a yükseltme için ve REST istemci kimlik doğrulaması için Kerberos'un seçilmesi için REST işlemleri engellenmez ve mevcut üretim dağıtımları için saydamlık sağlar.
SPN kayıtlı değilse, REST istemci kimlik doğrulaması daha az güvenli olan NTLM kullanır. Ayrıca, Yönetim kanalında, NetworkController-Framework olay kanalında SPN'yi kaydetmek için Ağ Denetleyicisi düğümlerine izin vermenizi isteyen kritik bir uyarı mesajı alırsınız. İzin sağladıktan sonra Ağ Denetleyicisi SPN'yi otomatik olarak kaydeder ve tüm istemci işlemleri Kerberos kullanır.
İpucu
Normalde, Ağ Denetleyicisi'ni REST tabanlı işlemler için bir IP adresi veya DNS adı kullanacak şekilde yapılandırabilirsiniz. Ancak Kerberos'ı yapılandırırken, Ağ Denetleyicisi'ne REST sorguları için IP adresi kullanamazsınız. Örneğin, kullanabilirsiniz <https://networkcontroller.consotso.com>, ancak kullanamazsınız <https://192.34.21.3>. IP adresleri kullanılırsa Hizmet Asıl Adları çalışamaz.
Windows Server 2016'da REST işlemleri için IP adresi ve Kerberos kimlik doğrulaması kullanıyorsanız, gerçek iletişim NTLM kimlik doğrulaması üzerinden yapılmış olabilir. Böyle bir dağıtımda, Windows Server 2019'a yükseltdiğinizde NTLM tabanlı kimlik doğrulamasını kullanmaya devam edebilirsiniz. Kerberos tabanlı kimlik doğrulamasına geçmek için REST işlemleri için Ağ Denetleyicisi DNS adını kullanmanız ve Ağ Denetleyicisi düğümlerinin SPN'yi kaydetme iznini sağlamanız gerekir.
Sonraki adımlar
- Ağ Denetleyicisi'nin güvenliğini sağlayın.