Kerberos 搭配服務主體名稱 (SPN)
適用於:Azure 本機版本 23H2 和 22H2;Windows Server 2022、Windows Server 2019
本文說明如何搭配服務主體名稱 (SPN) 使用 Kerberos 驗證。
網路控制卡支援多個驗證方法,以便與管理用戶端通訊。 您可以使用 Kerberos 型驗證、X509 憑證型驗證。 您也可以選擇對測試部署不使用驗證。
System Center Virtual Machine Manager 使用 Kerberos 型驗證。 如果您使用 Kerberos 型驗證,則必須在 Active Directory 中設定網路控制站的 SPN。 SPN 是網路控制卡服務執行個體的唯一標識碼,由 Kerberos 驗證用來將服務執行個體與服務登入帳戶產生關聯。 如需詳細資訊,請參閱服務主體名稱。
設定服務主體名稱 (SPN)
網路控制卡會自動設定 SPN。 您只需要為網路控制卡機器提供註冊和修改 SPN 的權限。
在網域控制站上,開啟 [Active Directory 使用者和電腦]。
選取 [檢視] > [進階]。
在 [電腦] 下,找出其中一個網路控制卡機器帳戶,然後按一下滑鼠右鍵並選取 [屬性]。
選取 [安全性] 索引標籤,然後按一下 [進階] 。
在清單中,如果未列出所有網路控制站電腦帳戶或具有所有網路控制站計算機帳戶的安全組,請按兩下 [新增 ] 加以新增。
針對每個網路控制卡機器帳戶或是一個包含網路控制卡機器帳戶的單一安全性群組:
選取帳戶或群組,然後按一下 [編輯]。
在 [權限] 底下,選取 [驗證寫入 servicePrincipalName]。
向下捲動並在 [屬性] 底下選取:
讀取 servicePrincipalName
寫入 servicePrincipalName
按兩次 [確定]。
針對每個網路控制站電腦重複步驟 3 - 6。
關閉 [Active Directory 使用者和電腦]。
無法提供SPN註冊或修改的許可權
在新的 Windows Server 2019 部署上,如果您選擇 Kerberos 進行 REST 用戶端驗證,且不授權網路控制站節點註冊或修改 SPN,網路控制站上的 REST 作業將會失敗。 這可防止您有效地管理 SDN 基礎結構。
若要從 Windows Server 2016 升級至 Windows Server 2019,而且您選擇 Kerberos 進行 REST 客戶端驗證,REST 作業不會遭到封鎖,以確保現有生產部署的透明度。
如果未註冊SPN,REST用戶端驗證會使用較不安全的NTLM。 您也可以在 NetworkController-Framework 事件通道的 [管理員] 通道收到重要事件,要求您提供網路控制卡節點的權限來註冊 SPN。 提供權限之後,網路控制卡會自動註冊 SPN,而且所有用戶端作業都會使用 Kerberos。
提示
一般而言,您可以將網路控制卡設定為針對 REST 型作業使用 IP 位址或 DNS 名稱。 不過,當您設定 Kerberos 時,無法對網路控制卡使用 REST 查詢的 IP 位址。 例如,您可以使用 <https://networkcontroller.consotso.com>,但無法使用 <https://192.34.21.3>。 如果使用 IP 位址,則服務主體名稱就無法運作。
如果您使用 IP 位址進行 REST 作業,以及 Windows Server 2016 中的 Kerberos 驗證,實際的通訊會透過 NTLM 驗證。 在這類部署中,當您升級至 Windows Server 2019 之後,您就可以繼續使用 NTLM 型驗證。 若要移至 Kerberos 型驗證,您必須使用網路控制卡 DNS 名稱進行 REST 作業,並提供網路控制卡節點註冊 SPN 的權限。