Compartilhar via


Kerberos com o nome da entidade de serviço (SPN)

Aplica-se a: Azure Local, versões 23H2 e 22H2; Windows Server 2022, Windows Server 2019

Este artigo descreve como usar a autenticação Kerberos com o SPN (Nome da Entidade de Serviço).

O Controlador de Rede dá suporte a vários métodos de autenticação para a comunicação com clientes de gerenciamento. Você pode usar a autenticação baseada em Kerberos ou autenticação baseada no certificado X509. Também há a opção de não usar nenhuma autenticação para a implantações de teste.

O System Center Virtual Machine Manager usa a autenticação baseada em Kerberos. Se você estiver usando a autenticação baseada em Kerberos, deverá configurar um SPN para o Controlador de Rede no Active Directory. O SPN é um identificador exclusivo para a instância de serviço do Controlador de Rede, o qual é usado pela autenticação do Kerberos para associar uma instância de serviço a uma conta de logon de serviço. Para obter mais detalhes, confira Nomes da entidade de serviço.

Configurar o SPN (Nome da entidade de serviço)

O Controlador de Rede configura o SPN automaticamente. Você só precisa dar permissões para que os computadores do Controlador de Rede registrem e modifiquem o SPN.

  1. No computador do controlador de domínio, inicie Usuários e Computadores do Active Directory.

  2. Selecone Exibir > Avançado.

  3. Em Computadores, localize uma das contas de computador do Controlador de Rede, clique com o botão direito do mouse e selecione Propriedades.

  4. Selecione a guia Segurança , clique em Avançado.

  5. Na lista, se todas as contas de computador do Controlador de Rede ou um grupo de segurança com todas as contas de computador do Controlador de Rede não estiverem listadas, clique em Adicionar para adicioná-lo.

  6. Para cada conta de computador do Controlador de Rede ou um único grupo de segurança contendo as contas de computador do Controlador de Rede:

    1. Selecione a conta ou o grupe e clique em Editar.

    2. Em Permissões, selecione Validar Gravação de servicePrincipalName.

    3. Role para baixo e, em Propriedades, selecione:

      • Ler servicePrincipalName

      • Gravar servicePrincipalName

    4. Clique duas vezes em OK .

  7. Repita as etapas 3 a 6 para cada computador do Controlador de Rede.

  8. Feche Usuários e Computadores do Active Directory.

Falha ao fornecer permissões para registro ou modificação de SPN

Em uma nova implantação do Windows Server 2019, se você escolher Kerberos para autenticação de cliente REST e não autorizar os nós do Controlador de Rede a registrar ou modificar o SPN, as operações REST no Controlador de Rede falharão. Isso impede que você gerencie com eficiência sua infraestrutura de SDN.

Para uma atualização do Windows Server 2016 para o Windows Server 2019 e você escolheu Kerberos para autenticação de cliente REST, as operações REST não são bloqueadas, garantindo transparência para implantações de produção existentes.

Se o SPN não estiver registrado, a autenticação do cliente REST usará o NTLM, que é menos seguro. Você também verá um evento crítico no canal de Administração do canal de eventos NetworkController-Framework solicitando a concessão de permissões aos nós do Controlador de Rede para registrar o SPN. Depois de conceder permissão, o Controlador de Rede registrará o SPN automaticamente, e todas as operações de cliente usarão o Kerberos.

Dica

Geralmente, você pode configurar o Controlador de Rede para usar um endereço IP ou nome DNS para operações baseadas em REST. No entanto, ao configurar o Kerberos, não é possível usar um endereço IP para consultas REST para o Controlador de Rede. Por exemplo, você pode usar <https://networkcontroller.consotso.com>, mas não pode usar <https://192.34.21.3>. Os nomes da entidade de serviço não funcionarão se os endereços IP forem usados.

Se você estivesse usando o endereço IP para operações REST junto com a autenticação do Kerberos no Windows Server 2016, a comunicação real teria sido sobre a autenticação NTLM. Nessa implantação, depois de atualizar para o Windows Server 2019, você continuará usando a autenticação baseada em NTLM. Para migrar para a autenticação baseada em Kerberos, você deve usar o nome DNS do Controlador de Rede para operações REST e conceder permissão para que os nós do Controlador de Rede registrem o SPN.

Próximas etapas