Freigeben über

Kerberos mit Dienstprinzipalname (SPN)

  • Artikel

Gilt für: Azure Local, Versionen 23H2 und 22H2; Windows Server 2022, Windows Server 2019

In diesem Artikel wird beschrieben, wie Sie die Kerberos-Authentifizierung mit dem Dienstprinzipalnamen (Service Principal Name, SPN) verwenden.

Der Netzwerkcontroller unterstützt mehrere Authentifizierungsmethoden für die Kommunikation mit Verwaltungsclients. Sie können eine Kerberos-basierte oder eine X.509-zertifikatbasierte Authentifizierung verwenden. Für Testbereitstellungen haben Sie außerdem die Möglichkeit, keine Authentifizierung zu verwenden.

System Center Virtual Machine Manager verwendet die Kerberos-basierte Authentifizierung. Wenn Sie kerberosbasierte Authentifizierung verwenden, müssen Sie einen SPN für Netzwerkcontroller in Active Directory konfigurieren. Der SPN ist ein eindeutiger Bezeichner für die Netzwerkcontroller-Dienstinstanz und wird von der Kerberos-Authentifizierung verwendet, um eine Dienstinstanz einem Dienstanmeldungskonto zuzuordnen. Ausführlichere Informationen finden Sie unter Dienstprinzipalnamen.

Konfigurieren von Dienstprinzipalnamen (Service Principal Names, SPNs)

Der SPN wird vom Netzwerkcontroller automatisch konfiguriert. Sie müssen lediglich Berechtigungen zum Registrieren und Ändern des SPN für die Netzwerkcontrollercomputer erteilen.

  1. Starten Sie auf dem Computer mit dem Domänencontroller Active Directory-Benutzer und -Computer.

  2. Wählen Sie Ansicht > Erweitert aus.

  3. Suchen Sie unter Computer nach einem der Netzwerkcontroller-Computerkonten, und klicken Sie dann mit der rechten Maustaste auf Eigenschaften.

  4. Wählen Sie die Registerkarte Sicherheit aus, und klicken Sie auf Erweitert.

  5. Wenn in der Liste alle Netzwerkcontrollercomputerkonten oder eine Sicherheitsgruppe mit allen Netzwerkcontrollercomputerkonten nicht aufgeführt ist, klicken Sie auf "Hinzufügen ", um es hinzuzufügen.

  6. Führen Sie für jedes Netzwerkcontroller-Computerkonto bzw. für eine einzelne Sicherheitsgruppe, die die Netzwerkcontroller-Computerkonten enthält, die folgenden Schritte aus:

    1. Wählen Sie das Konto oder die Gruppe aus, und klicken Sie anschließend auf Bearbeiten.

    2. Wählen Sie unter „Berechtigungen“ die Option Validate Write servicePrincipalName (Schreibberechtigung für servicePrincipalName überprüfen) aus.

    3. Scrollen Sie nach unten, und wählen Sie unter Eigenschaften die folgenden Optionen aus:

      • Read servicePrincipalName (Leseberechtigung für servicePrincipalName)

      • Write servicePrincipalName (Schreibberechtigung für servicePrincipalName)

    4. Klicken Sie zweimal auf OK .

  7. Wiederholen Sie die Schritte 3 bis 6 für jeden Netzwerkcontrollercomputer.

  8. Schließen Sie Active Directory-Benutzer und -Computer.

Fehler bei der Bereitstellung von Berechtigungen für die SPN-Registrierung oder -Änderung

Wenn Sie bei einer neuen Windows Server 2019-Bereitstellung Kerberos für die REST-Clientauthentifizierung ausgewählt haben und keine Netzwerkcontrollerknoten zum Registrieren oder Ändern des SPN autorisieren, schlägt REST-Vorgänge auf dem Netzwerkcontroller fehl. Dadurch wird verhindert, dass Sie Ihre SDN-Infrastruktur effektiv verwalten.

Für ein Upgrade von Windows Server 2016 auf Windows Server 2019 und Sie haben Kerberos für die REST-Clientauthentifizierung ausgewählt, REST-Vorgänge werden nicht blockiert, wodurch Transparenz für vorhandene Produktionsbereitstellungen sichergestellt wird.

Wenn SPN nicht registriert ist, verwendet die REST-Clientauthentifizierung NTLM, was weniger sicher ist. Sie erhalten auch ein kritisches Ereignis im Adminkanal des Ereigniskanals NetworkController-Framework mit der Aufforderung, Berechtigungen zum Registrieren des SPN für die Netzwerkcontrollerknoten zu erteilen. Nach Erteilung der Berechtigung registriert der Netzwerkcontroller den SPN automatisch, und bei allen Clientvorgängen wird Kerberos verwendet.

Tipp

Üblicherweise können Sie den Netzwerkcontroller für die Verwendung einer IP-Adresse oder eines DNS-Namens für REST-basierte Vorgänge konfigurieren. Wenn Sie allerdings Kerberos konfigurieren, können Sie keine IP-Adresse für REST-Abfragen verwenden, die an den Netzwerkcontroller gerichtet werden. Beispielsweise können Sie <https://networkcontroller.consotso.com> verwenden, aber nicht <https://192.34.21.3>. Dienstprinzipalnamen funktionieren nicht, wenn IP-Adressen verwendet werden.

Wenn Sie in Windows Server 2016 eine Kombination aus einer IP-Adresse für REST-Vorgänge und der Kerberos-Authentifizierung verwendet haben, wurde die eigentliche Kommunikation über die NTLM-Authentifizierung abgewickelt. Bei einer solchen Bereitstellung wird nach einem Upgrade auf Windows Server 2019 weiterhin die NTLM-basierte Authentifizierung verwendet. Wenn Sie zur Kerberos-basierten Authentifizierung wechseln möchten, müssen Sie den DNS-Namen des Netzwerkcontrollers für REST-Vorgänge verwenden und die Berechtigung zum Registrieren des SPN für Netzwerkcontrollerknoten erteilen.

Nächste Schritte