Condividi tramite

Kerberos con Nome Principale del Servizio (SPN)

  • Articolo

Si applica a: Locale di Azure 2311.2 e versioni successive; Windows Server 2022, Windows Server 2019

Questo articolo descrive come usare l'autenticazione Kerberos con il nome dell'entità servizio (SPN).

Il controller di rete supporta più metodi di autenticazione per la comunicazione con i client di gestione. È possibile usare l'autenticazione basata su Kerberos o l'autenticazione basata su certificati X509. È anche possibile non usare alcuna autenticazione per le distribuzioni di test.

System Center Virtual Machine Manager usa l'autenticazione basata su Kerberos. Se si usa l'autenticazione basata su Kerberos, è necessario configurare un nome SPN per il controller di rete in Active Directory. Il nome SPN è un identificatore univoco per l'istanza del servizio del controller di rete, che viene usata dall'autenticazione Kerberos per associare un'istanza del servizio a un account di accesso del servizio. Per ulteriori dettagli, vedere Nomi Principali del Servizio.

Configurazione dei Principal Names del Servizio (SPN)

Il Network Controller configura automaticamente l'SPN. È sufficiente fornire le autorizzazioni alle macchine del Controller di rete per registrare e modificare l'SPN.

  1. Nella macchina del controller di dominio, avviare Utenti e computer di Active Directory.

  2. Selezionare Visualizza > Avanzato.

  3. In Computer, individuare uno degli account dei computer del controller di rete, quindi fare clic con il pulsante destro del mouse e selezionare Proprietà.

  4. Nella scheda Protezione , scegliere Avanzate.

  5. Nell'elenco, se tutti gli account computer del controller di rete o un gruppo di sicurezza con tutti gli account computer controller di rete non sono elencati, fare clic su Aggiungi per aggiungerlo.

  6. Per ogni account di un computer del controller di rete o per un singolo gruppo di sicurezza contenente gli account dei computer del controller di rete:

    1. Selezionare l'account o il gruppo e fare clic su Modifica.

    2. In Autorizzazioni, selezionare Convalida la scrittura di servicePrincipalName.

    3. Scorrere verso il basso e in Proprietà selezionare:

      • Leggere servicePrincipalName

      • Scrittura servicePrincipalName

    4. Fare clic su OK due volte.

  7. Ripetere i passaggi da 3 a 6 per ogni computer controller di rete.

  8. Chiudere Utenti e computer di Active Directory.

Mancanza di autorizzazioni per la registrazione o la modifica del nome SPN

In una nuova distribuzione di Windows Server 2019, se si sceglie Kerberos per l'autenticazione client REST e non si autorizzano i nodi del controller di rete a registrare o modificare il nome SPN, le operazioni REST sul controller di rete avranno esito negativo. In questo modo si impedisce di gestire in modo efficace l'infrastruttura SDN.

Per un aggiornamento da Windows Server 2016 a Windows Server 2019 e si è scelto Kerberos per l'autenticazione client REST, le operazioni REST non vengono bloccate, garantendo trasparenza per le distribuzioni di produzione esistenti.

Se SPN non è registrato, l'autenticazione client REST usa NTLM, meno sicuro. Inoltre si riceve un evento critico nel canale di amministrazione NetworkController-Framework che chiede di fornire ai nodi del controller di rete le autorizzazioni per registrare l'SPN. Dopo aver fornito l'autorizzazione, il controller di rete registra automaticamente l'SPN e tutte le operazioni client utilizzano Kerberos.

Suggerimento

In genere, è possibile configurare il controller di rete affinché usi un indirizzo IP o un nome DNS per le operazioni basate su REST. Tuttavia, quando si configura Kerberos, non è possibile usare un indirizzo IP per le query REST al controller di rete. Ad esempio, è possibile usare <https://networkcontroller.consotso.com> ma non <https://192.34.21.3>. I nomi principali del servizio non possono funzionare se si usano indirizzi IP.

Se si usasse un indirizzo IP per le operazioni REST insieme all'autenticazione Kerberos in Windows Server 2016, la comunicazione effettiva avverrebbe tramite autenticazione NTLM. In una distribuzione di questo tipo, dopo l'aggiornamento a Windows Server 2019, si continua a usare l'autenticazione basata su NTLM. Per passare all'autenticazione basata su Kerberos, è necessario usare il nome DNS del controller di rete per le operazioni REST e fornire ai nodi del controller l'autorizzazione a registrare il nome SPN.

Passaggi successivi