Kerberos mit Dienstprinzipalname (SPN)
Gilt für: Azure Stack HCI, Versionen 22H2 und 21H2; Windows Server 2022, Windows Server 2019
Der Netzwerkcontroller unterstützt mehrere Authentifizierungsmethoden für die Kommunikation mit Verwaltungsclients. Sie können eine Kerberos-basierte oder eine X.509-zertifikatbasierte Authentifizierung verwenden. Für Testbereitstellungen haben Sie außerdem die Möglichkeit, keine Authentifizierung zu verwenden.
System Center Virtual Machine Manager verwendet die Kerberos-basierte Authentifizierung. Bei Verwendung der Kerberos-basierten Authentifizierung muss für den Netzwerkcontroller ein Dienstprinzipalname (Service Principal Name, SPN) in Active Directory konfiguriert werden. Der SPN ist ein eindeutiger Bezeichner für die Netzwerkcontroller-Dienstinstanz und wird von der Kerberos-Authentifizierung verwendet, um eine Dienstinstanz einem Dienstanmeldungskonto zuzuordnen. Ausführlichere Informationen finden Sie unter Dienstprinzipalnamen.
Konfigurieren von Dienstprinzipalnamen (Service Principal Names, SPNs)
Der SPN wird vom Netzwerkcontroller automatisch konfiguriert. Sie müssen lediglich Berechtigungen zum Registrieren und Ändern des SPN für die Netzwerkcontrollercomputer erteilen.
Starten Sie auf dem Computer mit dem Domänencontroller Active Directory-Benutzer und -Computer.
Wählen Sie Ansicht > Erweitert aus.
Suchen Sie unter Computer nach einem der Netzwerkcontroller-Computerkonten, und klicken Sie dann mit der rechten Maustaste auf Eigenschaften.
Wählen Sie die Registerkarte Sicherheit aus, und klicken Sie auf Erweitert.
Falls in der Liste kein Netzwerkcontroller-Computerkonto oder keine Sicherheitsgruppe mit allen Netzwerkcontroller-Computerkonten angezeigt wird, klicken Sie auf Hinzufügen, um es bzw. sie hinzuzufügen.
Führen Sie für jedes Netzwerkcontroller-Computerkonto bzw. für eine einzelne Sicherheitsgruppe, die die Netzwerkcontroller-Computerkonten enthält, die folgenden Schritte aus:
a. Wählen Sie das Konto oder die Gruppe aus, und klicken Sie anschließend auf Bearbeiten.
b. Wählen Sie unter „Berechtigungen“ die Option Validate Write servicePrincipalName (Schreibberechtigung für servicePrincipalName überprüfen) aus.
d. Scrollen Sie nach unten, und wählen Sie unter Eigenschaften die folgenden Optionen aus:
Read servicePrincipalName (Leseberechtigung für servicePrincipalName)
Write servicePrincipalName (Schreibberechtigung für servicePrincipalName)
e. Klicken Sie zweimal auf OK.
Wiederholen Sie die Schritte 3 bis 6 für jeden Netzwerkcontrollercomputer.
Schließen Sie Active Directory-Benutzer und -Computer.
Keine Berechtigungen für die SPN-Registrierung/-Änderung erteilt
Wenn Sie bei einer NEUEN Windows Server 2019-Bereitstellung Kerberos für die REST-Clientauthentifizierung ausgewählt haben und Netzwerkcontrollerknoten keine Berechtigung zum Registrieren oder Ändern des SPN erteilen, sind REST-Vorgänge für den Netzwerkcontroller nicht erfolgreich, und das SDN kann nicht verwaltet werden.
Wenn Sie ein Upgrade von Windows Server 2016 auf Windows Server 2019 durchgeführt und Kerberos für die REST-Clientauthentifizierung ausgewählt haben, werden REST-Vorgänge nicht blockiert, was Transparenz für vorhandene Produktionsbereitstellungen gewährleistet.
Wenn der SPN nicht registriert ist, verwendet die REST-Clientauthentifizierung NTLM. Dies ist jedoch weniger sicher. Sie erhalten auch ein kritisches Ereignis im Adminkanal des Ereigniskanals NetworkController-Framework mit der Aufforderung, Berechtigungen zum Registrieren des SPN für die Netzwerkcontrollerknoten zu erteilen. Nach Erteilung der Berechtigung registriert der Netzwerkcontroller den SPN automatisch, und bei allen Clientvorgängen wird Kerberos verwendet.
Tipp
Üblicherweise können Sie den Netzwerkcontroller für die Verwendung einer IP-Adresse oder eines DNS-Namens für REST-basierte Vorgänge konfigurieren. Wenn Sie allerdings Kerberos konfigurieren, können Sie keine IP-Adresse für REST-Abfragen verwenden, die an den Netzwerkcontroller gerichtet werden. Beispielsweise können Sie <https://networkcontroller.consotso.com> verwenden, aber nicht <https://192.34.21.3>. Dienstprinzipalnamen funktionieren nicht, wenn IP-Adressen verwendet werden.
Wenn Sie in Windows Server 2016 eine Kombination aus einer IP-Adresse für REST-Vorgänge und der Kerberos-Authentifizierung verwendet haben, wurde die eigentliche Kommunikation über die NTLM-Authentifizierung abgewickelt. Bei einer solchen Bereitstellung wird nach einem Upgrade auf Windows Server 2019 weiterhin die NTLM-basierte Authentifizierung verwendet. Wenn Sie zur Kerberos-basierten Authentifizierung wechseln möchten, müssen Sie den DNS-Namen des Netzwerkcontrollers für REST-Vorgänge verwenden und die Berechtigung zum Registrieren des SPN für Netzwerkcontrollerknoten erteilen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für