Kerberos z główną nazwą usługi (SPN)

Dotyczy: Azure Local, wersje 23H2 i 22H2; Windows Server 2022, Windows Server 2019

W tym artykule opisano sposób używania uwierzytelniania Kerberos z główną nazwą usługi (SPN).

Kontroler sieci obsługuje wiele metod uwierzytelniania na potrzeby komunikacji z klientami zarządzania. Możesz użyć uwierzytelniania opartego na protokole Kerberos, uwierzytelniania opartego na certyfikatach X509. Istnieje również możliwość użycia uwierzytelniania na potrzeby wdrożeń testowych.

Program System Center Virtual Machine Manager używa uwierzytelniania opartego na protokole Kerberos. Jeśli używasz uwierzytelniania opartego na protokole Kerberos, musisz skonfigurować nazwę SPN dla kontrolera sieci w usłudze Active Directory. Nazwa SPN jest unikatowym identyfikatorem wystąpienia usługi Kontrolera sieci, które jest używane przez uwierzytelnianie Kerberos w celu skojarzenia wystąpienia usługi z kontem logowania usługi. Aby uzyskać więcej informacji, zobacz Nazwy główne usługi.

Konfigurowanie głównych nazw usługi (SPN)

Kontroler sieci automatycznie konfiguruje nazwę SPN. Wystarczy podać uprawnienia dla maszyn kontrolera sieci do rejestrowania i modyfikowania nazwy SPN.

1. Na maszynie kontrolera domeny uruchom Użytkownicy i komputery usługi Active Directory.

2. Wybierz pozycję Wyświetl > zaawansowane.

3. W obszarze Komputery znajdź jedno z kont komputera kontrolera sieci, a następnie kliknij prawym przyciskiem myszy i wybierz polecenie Właściwości.

4. Wybierz kartę Zabezpieczenia i kliknij pozycję Zaawansowane.

5. Na liście, jeśli wszystkie konta maszyny kontrolera sieci lub grupy zabezpieczeń, które mają wszystkie konta komputera kontrolera sieci, nie są wyświetlane, kliknij przycisk Dodaj , aby go dodać.

6. Dla każdego konta maszyny kontrolera sieci lub jednej grupy zabezpieczeń zawierającej konta maszyny kontrolera sieci:

   1. Wybierz konto lub grupę i kliknij przycisk Edytuj.

   2. W obszarze Uprawnienia wybierz pozycję Weryfikuj nazwę usługi zapisuPrincipalName.

   3. Przewiń w dół i w obszarze Właściwości wybierz pozycję:

      • Odczyt servicePrincipalName

      • Zapisywanie nazwy servicePrincipalName

   4. Kliknij przycisk OK dwa razy.

7. Powtórz kroki 3–6 dla każdej maszyny kontrolera sieci.

8. Zamknij przystawkę Użytkownicy i komputery usługi Active Directory.

Nie można podać uprawnień do rejestracji lub modyfikacji głównej nazwy usługi

W nowym wdrożeniu systemu Windows Server 2019, jeśli wybrano protokół Kerberos na potrzeby uwierzytelniania klienta REST i nie autoryzuje węzłów kontrolera sieci do rejestrowania lub modyfikowania nazwy SPN, operacje REST na kontrolerze sieci zakończy się niepowodzeniem. Zapobiega to efektywnemu zarządzaniu infrastrukturą sieci SDN.

W przypadku uaktualnienia z systemu Windows Server 2016 do systemu Windows Server 2019 i wybrano protokół Kerberos na potrzeby uwierzytelniania klienta REST, operacje REST nie są blokowane, zapewniając przejrzystość istniejących wdrożeń produkcyjnych.

Jeśli nazwa SPN nie jest zarejestrowana, uwierzytelnianie klienta REST używa protokołu NTLM, co jest mniej bezpieczne. W kanale administracyjnym kanału zdarzeń NetworkController-Framework zostanie również wyświetlone zdarzenie krytyczne z prośbą o podanie uprawnień do węzłów kontrolera sieci w celu zarejestrowania nazwy SPN. Po podaniu uprawnień kontroler sieci automatycznie rejestruje nazwę SPN, a wszystkie operacje klienta używają protokołu Kerberos.

Następne kroki

• Zabezpieczanie kontrolera sieci.