Kerberos met een Service Principal Name (SPN)
Van toepassing op: Azure Local 2311.2 en hoger; Windows Server 2022, Windows Server 2019
In dit artikel wordt beschreven hoe u Kerberos-verificatie gebruikt met Service Principal Name (SPN).
Netwerkcontroller ondersteunt meerdere verificatiemethoden voor communicatie met beheerclients. U kunt verificatie op basis van Kerberos, X509-verificatie op basis van certificaten gebruiken. U kunt ook geen verificatie gebruiken voor testimplementaties.
System Center Virtual Machine Manager maakt gebruik van verificatie op basis van Kerberos. Als u verificatie op basis van Kerberos gebruikt, moet u een SPN configureren voor netwerkcontroller in Active Directory. De SPN is een unieke id voor het service-exemplaar van de netwerkcontroller, dat wordt gebruikt door Kerberos-verificatie om een service-exemplaar te koppelen aan een serviceaanmeldingsaccount. Zie Service Principal Names voor meer informatie.
SPN (Service Principal Names) configureren
De netwerkcontroller configureert automatisch de SPN. U hoeft alleen maar machtigingen te verlenen voor de netwerkcontrollermachines om de SPN te registreren en te wijzigen.
Start Active Directory Gebruikers en Computers op de domeincontroller.
Selecteer Weergeven > Geavanceerd.
Zoek onder Computers een van de computeraccounts van de netwerkcontroller en klik met de rechtermuisknop en selecteer Eigenschappen.
Selecteer het tabblad Beveiliging en klik op Geavanceerd.
Als in de lijst alle netwerkcontrollercomputeraccounts of een beveiligingsgroep met alle netwerkcontrollercomputeraccounts niet worden weergegeven, klikt u op Toevoegen om deze toe te voegen.
Voor elk netwerkcontrollercomputeraccount of één beveiligingsgroep met de netwerkcontrollercomputeraccounts:
Selecteer het account of de groep en klik op Bewerken.
Selecteer onder Machtigingen de optie Write servicePrincipalName valideren.
Schuif omlaag en selecteer onder Eigenschappen :
ServicePrincipalName lezen
ServicePrincipalName schrijven
Klik op OK twee keer.
Herhaal stap 3 - 6 voor elke netwerkcontrollercomputer.
Sluit Active Directory Gebruikers en Computers.
Kan geen machtigingen opgeven voor SPN-registratie of -wijziging
Als u bij een nieuwe Implementatie van Windows Server 2019 Kerberos voor REST-clientverificatie hebt gekozen en netwerkcontrollerknooppunten niet autoriseert om de SPN te registreren of te wijzigen, mislukken REST-bewerkingen op de netwerkcontroller. Dit voorkomt dat u uw SDN-infrastructuur effectief beheert.
Voor een upgrade van Windows Server 2016 naar Windows Server 2019 en u Kerberos voor REST-clientverificatie hebt gekozen, worden REST-bewerkingen niet geblokkeerd, waardoor transparantie voor bestaande productie-implementaties wordt gegarandeerd.
Als SPN niet is geregistreerd, gebruikt REST-clientverificatie NTLM, wat minder veilig is. U krijgt ook een kritieke gebeurtenis in het beheerkanaal van NetworkController-Framework-gebeurteniskanaal waarin u wordt gevraagd om machtigingen te verlenen aan de netwerkcontrollerknooppunten om SPN te registreren. Zodra u toestemming hebt verleend, registreert de netwerkcontroller de SPN automatisch en gebruiken alle clientbewerkingen Kerberos.
Tip
Normaal gesproken kunt u netwerkcontroller configureren voor het gebruik van een IP-adres of DNS-naam voor OP REST gebaseerde bewerkingen. Wanneer u Kerberos configureert, kunt u echter geen IP-adres gebruiken voor REST-query's naar de netwerkcontroller. U kunt bijvoorbeeld gebruiken <https://networkcontroller.consotso.com>, maar u kunt het niet gebruiken <https://192.34.21.3>. Service Principal Names kunnen niet functioneren als IP-adressen worden gebruikt.
Als u IP-adres gebruikt voor REST-bewerkingen, samen met Kerberos-verificatie in Windows Server 2016, zou de werkelijke communicatie via NTLM-verificatie zijn geweest. Zodra u een upgrade uitvoert naar Windows Server 2019, blijft u in een dergelijke implementatie gebruikmaken van verificatie op basis van NTLM. Als u wilt overstappen op verificatie op basis van Kerberos, moet u de DNS-naam van de netwerkcontroller gebruiken voor REST-bewerkingen en toestemming geven voor netwerkcontrollerknooppunten om SPN te registreren.