Passaggi di post-distribuzione per il controller di rete

• Si applica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

Quando si installa Controller di rete, è possibile scegliere distribuzioni Kerberos o non Kerberos.

Per le distribuzioni non Kerberos, è necessario configurare i certificati.

Configurare i certificati per distribuzioni non Kerberos

Se i computer o le macchine virtuali per Controller di rete e il client di gestione non sono aggiunti a un dominio, è necessario configurare l'autenticazione basata su certificati completando i passaggi seguenti.

• Creare un certificato in Controller di rete per l'autenticazione computer. Il nome soggetto del certificato deve essere uguale al nome DNS del computer o della macchina virtuale del Controller di rete.

• Creare un certificato nel client di gestione. Questo certificato deve essere considerato attendibile dal Controller di rete.

• Registrare un certificato nel computer o nella macchina virtuale del Controller di rete. Il certificato deve soddisfare i requisiti seguenti.

  • Sia lo scopo dell'autenticazione server che lo scopo dell'autenticazione client devono essere configurati nelle estensioni di Utilizzo chiavi avanzato (Enhanced Key Usage) o Criteri di applicazione. L'identificatore dell'oggetto per l'autenticazione server è 1.3.6.1.5.5.7.3.1. L'identificatore dell'oggetto per l'autenticazione client è 1.3.6.1.5.5.7.3.2.

  • Il nome soggetto del certificato deve essere risolto in:

    • Indirizzo IP del computer o della macchina virtuale del Controller di rete, se il Controller di rete viene distribuito in un singolo computer o macchina virtuale.

    • Indirizzo IP REST, se il Controller di rete viene distribuito in più computer, più macchine virtuali o entrambi.

  • Questo certificato deve essere considerato attendibile da tutti i client REST. Il certificato deve essere considerato attendibile anche dal Multiplexer (MUX) del Bilanciamento del carico software (SLB) e dai computer host southbound gestiti dal Controller di rete.

  • Il certificato può essere registrato da un'autorità di certificazione (CA) o può essere un certificato autofirmato. I certificati autofirmati non sono consigliati per le distribuzioni di produzione, ma sono accettabili per gli ambienti lab di test.

  • È necessario eseguire il provisioning dello stesso certificato in tutti i nodi del controller di rete. Dopo aver creato il certificato in un nodo, è possibile esportare il certificato (con chiave privata) e importarlo negli altri nodi.

Per altre informazioni, vedere Controller di rete.