Kerberos con nome dell'entità servizio (SPN)

Si applica a: Locale di Azure, versioni 23H2 e 22H2; Windows Server 2022, Windows Server 2019

Questo articolo descrive come usare l'autenticazione Kerberos con il nome dell'entità servizio (SPN).

Il controller di rete supporta più metodi di autenticazione per la comunicazione con i client di gestione. È possibile usare l'autenticazione basata su Kerberos o l'autenticazione basata su certificati X509. È anche possibile non usare alcuna autenticazione per le distribuzioni di test.

System Center Virtual Machine Manager usa l'autenticazione basata su Kerberos. Se si usa l'autenticazione basata su Kerberos, è necessario configurare un nome SPN per il controller di rete in Active Directory. Il nome SPN è un identificatore univoco per l'istanza del servizio del controller di rete, che viene usata dall'autenticazione Kerberos per associare un'istanza del servizio a un account di accesso del servizio. Per ulteriori dettagli, vedere Nomi dell'entità servizio.

Configurazione dei nomi dell'entità servizio (SPN)

Il controller di rete configura automaticamente il nome SPN. È sufficiente fornire le autorizzazioni per i computer del controller di rete per registrare e modificare il nome SPN.

1. Nel controller di dominio avviare Utenti e computer di Active Directory.

2. Selezionare Visualizza > Avanzate.

3. In Computer, individuare uno degli account dei computer del controller di rete, quindi fare clic con il pulsante destro del mouse e selezionare Proprietà.

4. Nella scheda Protezione , scegliere Avanzate.

5. Nell'elenco, se tutti gli account computer del controller di rete o un gruppo di sicurezza con tutti gli account computer controller di rete non sono elencati, fare clic su Aggiungi per aggiungerlo.

6. Per ogni account di un computer del controller di rete o per un singolo gruppo di sicurezza contenente gli account dei computer del controller di rete:

   1. Selezionare l'account o il gruppo e fare clic su Modifica.

   2. In Autorizzazioni selezionare Convalida scrittura servicePrincipalName.

   3. Scorrere verso il basso e in Proprietà selezionare:

      • Lettura servicePrincipalName

      • Scrittura servicePrincipalName

   4. Fare clic su OK due volte.

7. Ripetere i passaggi da 3 a 6 per ogni computer controller di rete.

8. Chiudere Utenti e computer di Active Directory.

Errore di fornire autorizzazioni per la registrazione o la modifica del nome SPN

In una nuova distribuzione di Windows Server 2019, se si sceglie Kerberos per l'autenticazione client REST e non si autorizzano i nodi del controller di rete a registrare o modificare il nome SPN, le operazioni REST sul controller di rete avranno esito negativo. In questo modo si impedisce di gestire in modo efficace l'infrastruttura SDN.

Per un aggiornamento da Windows Server 2016 a Windows Server 2019 e si è scelto Kerberos per l'autenticazione client REST, le operazioni REST non vengono bloccate, garantendo trasparenza per le distribuzioni di produzione esistenti.

Se SPN non è registrato, l'autenticazione client REST usa NTLM, meno sicuro. Inoltre si riceve un evento critico nel canale di amministrazione del canale eventi NetworkController-Framework che chiede di fornire ai nodi del controller di rete le autorizzazioni per registrare il nome SPN. Dopo che si fornisce l'autorizzazione, il controller di rete registra automaticamente il nome SPN e tutte le operazioni client usano Kerberos.

Suggerimento

In genere, è possibile configurare il controller di rete affinché usi un indirizzo IP o un nome DNS per le operazioni basate su REST. Tuttavia, quando si configura Kerberos, non è possibile usare un indirizzo IP per le query REST al controller di rete. Ad esempio, è possibile usare <https://networkcontroller.consotso.com> ma non <https://192.34.21.3>. I nomi dell'entità servizio non funzionano se si usano indirizzi IP.

Se si usasse un indirizzo IP per le operazioni REST insieme all'autenticazione Kerberos in Windows Server 2016, la comunicazione effettiva avverrebbe tramite autenticazione NTLM. In una distribuzione di questo tipo, dopo l'aggiornamento a Windows Server 2019, si continua a usare l'autenticazione basata su NTLM. Per passare all'autenticazione basata su Kerberos, è necessario usare il nome DNS del controller di rete per le operazioni REST e fornire ai nodi del controller l'autorizzazione a registrare il nome SPN.

Passaggi successivi

• Proteggere il controller di rete.