Étapes de post-déploiement pour contrôleur de réseau

• S’applique à:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

Lorsque vous installez le contrôleur de réseau, vous pouvez choisir des déploiements Kerberos ou non Kerberos.

Pour les déploiements non Kerberos, vous devez configurer des certificats.

Configurer des certificats pour les déploiements non Kerberos

Si les ordinateurs ou machines virtuelles pour le contrôleur de réseau et le client de gestion ne sont pas joints à un domaine, vous devez configurer l’authentification basée sur les certificats en effectuant les étapes suivantes.

• Créez un certificat sur le contrôleur de réseau pour l’authentification de l’ordinateur. Le nom d’objet du certificat doit être le même que le nom DNS du Contrôleur de réseau ou machine virtuelle.

• Créez un certificat sur le client de gestion. Ce certificat doit être approuvé par le contrôleur de réseau.

• Inscrivez un certificat sur l’ordinateur ou la machine virtuelle du contrôleur de réseau. Le certificat doit répondre aux critères suivants.

  • L’objectif d’authentification du serveur et l’objectif d’authentification du client doivent être configurés dans les extensions Utilisation améliorée de la clé (EKU) ou Stratégies d’application. L’identificateur d’objet pour l’authentification du serveur est 1.3.6.1.5.5.7.3.1. L’identificateur d’objet pour l’authentification du client est 1.3.6.1.5.5.7.3.2.

  • Le nom de l’objet du certificat doit être résolu en :

    • Adresse IP de l’ordinateur ou de la machine virtuelle du contrôleur de réseau, si le contrôleur de réseau est déployé sur un seul ordinateur ou machine virtuelle.

    • Adresse IP REST, si le contrôleur de réseau est déployé sur plusieurs ordinateurs, plusieurs machines virtuelles ou les deux.

  • Ce certificat doit être approuvé par tous les clients REST. Le certificat doit également être approuvé par le multiplexeur MUX (Software Load Balancing) et les ordinateurs hôtes en direction sud qui sont gérés par le contrôleur de réseau.

  • Le certificat peut être inscrit par une autorité de certification ou peut être un certificat auto-signé. Les certificats auto-signés ne sont pas recommandés pour les déploiements de production, mais sont acceptables pour les environnements de laboratoire de test.

  • Le même certificat doit être provisionné sur tous les nœuds du contrôleur de réseau. Après avoir créé le certificat sur un nœud, vous pouvez exporter le certificat (avec une clé privée) et l’importer sur les autres nœuds.

Pour plus d’informations, voir Contrôleur de réseau.