Действия после развертывания для сетевого контроллера

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

При установке сетевого контроллера можно выбрать развертывания Kerberos или не Kerberos.

Для развертываний, отличных от Kerberos, необходимо настроить сертификаты.

Настройка сертификатов для развертываний, отличных от Kerberos

Если компьютеры или виртуальные машины (виртуальные машины) для сетевого контроллера и клиента управления не присоединены к домену, необходимо настроить проверку подлинности на основе сертификатов, выполнив следующие действия.

• Создайте сертификат на сетевом контроллере для проверки подлинности компьютера. Имя субъекта сертификата должно совпадать с DNS-именем компьютера или виртуальной машины сетевого контроллера.

• Создайте сертификат на клиенте управления. Этот сертификат должен быть доверенным сетевым контроллером.

• Зарегистрируйте сертификат на компьютере или виртуальной машине сетевого контроллера. Сертификат должен соответствовать следующим требованиям.

  • Назначение проверки подлинности сервера и назначение проверки подлинности клиента должны быть настроены в расширениях расширенного использования ключей (EKU) или политик приложений. Идентификатор объекта для проверки подлинности сервера — 1.3.6.1.5.5.7.3.1. Идентификатор объекта для проверки подлинности клиента — 1.3.6.1.5.5.7.3.2.

  • Имя субъекта сертификата должно разрешаться:

    • IP-адрес компьютера или виртуальной машины сетевого контроллера, если сетевой контроллер развернут на одном компьютере или виртуальной машине.

    • IP-адрес REST, если сетевой контроллер развернут на нескольких компьютерах, нескольких виртуальных машинах или обоих.

  • Этот сертификат должен быть доверенным всеми клиентами REST. Сертификат также должен быть доверенным мультиплексером балансировки нагрузки программного обеспечения (SLB) (MUX) и компьютерами узла на юге, управляемыми сетевым контроллером.

  • Сертификат можно зарегистрировать центром сертификации (ЦС) или быть самозаверяющий сертификат. Самозаверяющие сертификаты не рекомендуется использовать для рабочих развертываний, но допустимы для сред лаборатории тестирования.

  • Для всех узлов сетевого контроллера необходимо подготовить один и тот же сертификат. После создания сертификата на одном узле можно экспортировать сертификат (с закрытым ключом) и импортировать его на другие узлы.

Подробнее см. в разделе Сетевой контроллер.