Kerberos s hlavním názvem služby (SPN)
Platí pro: Azure Local, verze 23H2 a 22H2; Windows Server 2022, Windows Server 2019
Tento článek popisuje, jak používat ověřování Kerberos s hlavním názvem služby (SPN).
Síťový adaptér podporuje více metod ověřování pro komunikaci s klienty pro správu. Můžete použít ověřování založené na protokolu Kerberos, ověřování založené na certifikátech X509. Máte také možnost použít pro testovací nasazení žádné ověřování.
System Center Virtual Machine Manager používá ověřování založené na protokolu Kerberos. Pokud používáte ověřování založené na protokolu Kerberos, musíte ve službě Active Directory nakonfigurovat hlavní název služby (SPN) pro síťový adaptér. Hlavní název služby (SPN) je jedinečný identifikátor instance služby síťového adaptéru, který používá ověřování kerberos k přidružení instance služby k přihlašovacímu účtu služby. Další podrobnosti najdete v tématu Hlavní názvy služeb.
Konfigurace hlavních názvů služby (SPN)
Síťový adaptér automaticky nakonfiguruje hlavní název služby (SPN). Stačí jen poskytnout oprávnění počítačům síťového adaptéru k registraci a úpravě hlavního názvu služby ( SPN).
Na počítači řadiče domény spusťte Uživatelé a počítače služby Active Directory.
Vyberte Zobrazit > upřesnit.
V části Počítače vyhledejte jeden z účtů počítače síťového adaptéru a klepněte pravým tlačítkem myši a vyberte Vlastnosti.
Vyberte kartu Zabezpečení a klikněte na Upřesnit.
Pokud v seznamu nejsou uvedené všechny účty počítačů síťového adaptéru nebo skupina zabezpečení se všemi účty počítačů síťového adaptéru, klikněte na přidat .
Pro každý účet počítače síťového adaptéru nebo jednu skupinu zabezpečení obsahující účty počítačů síťového adaptéru:
Vyberte účet nebo skupinu a klikněte na Upravit.
V části Oprávnění vyberte Ověřit zápis servicePrincipalName.
Posuňte se dolů a v části Vlastnosti vyberte:
Čtení servicePrincipalName
Zápis servicePrincipalName
Klikněte dvakrát na OK.
Opakujte kroky 3 až 6 pro každý počítač síťového adaptéru.
Zavřete Uživatelé a počítače služby Active Directory.
Nepodařilo se poskytnout oprávnění pro registraci nebo změnu hlavního názvu služby (SPN)
Pokud jste při novém nasazení Windows Serveru 2019 zvolili protokol Kerberos pro ověřování klienta REST a neovědělite uzly síťového adaptéru k registraci nebo úpravě hlavního názvu služby (SPN), operace REST na síťovém adaptéru selžou. To vám brání v efektivní správě infrastruktury SDN.
Pro upgrade z Windows Serveru 2016 na Windows Server 2019 a zvolili jste protokol Kerberos pro ověřování klientů REST, operace REST se neblokují a zajišťují transparentnost stávajících produkčních nasazení.
Pokud hlavní název služby není zaregistrovaný, ověřování klienta REST používá protokol NTLM, což je méně bezpečné. V kanálu událostí NetworkController-Framework získáte také kritickou událost v kanálu událostí NetworkController-Framework s žádostí o udělení oprávnění uzlům síťového adaptéru k registraci hlavního názvu služby (SPN). Jakmile udělíte oprávnění, síťový adaptér zaregistruje hlavní název služby (SPN) automaticky a všechny operace klienta používají protokol Kerberos.
Tip
Síťový adaptér obvykle můžete nakonfigurovat tak, aby pro operace založené na REST používal IP adresu nebo název DNS. Při konfiguraci protokolu Kerberos však nemůžete použít IP adresu pro dotazy REST na síťový adaptér. Můžete například použít <https://networkcontroller.consotso.com>, ale nemůžete použít <https://192.34.21.3>. Hlavní názvy služeb nemůžou fungovat, pokud se používají IP adresy.
Pokud byste používali IP adresu pro operace REST spolu s ověřováním Kerberos ve Windows Serveru 2016, skutečná komunikace by byla přes ověřování NTLM. V takovém nasazení budete po upgradu na Windows Server 2019 nadále používat ověřování založené na protokolu NTLM. Pokud chcete přejít na ověřování založené na protokolu Kerberos, musíte pro operace REST použít název DNS síťového adaptéru a poskytnout oprávnění pro uzly síťového adaptéru k registraci hlavního názvu služby (SPN).