Schritte nach der Bereitstellung für den Netzwerkcontroller

  • Artikel

Gilt für Windows Server 2022, Windows Server 2019, Windows Server 2016, Azure Stack HCI (Version 21H2 und 20H2)

Wenn Sie einen Netzwerkcontroller installieren, können Sie zwischen einer Kerberos- und einer Nicht-Kerberos-Bereitstellung auswählen.

Bei Nicht-Kerberos-Bereitstellungen müssen Sie Zertifikate konfigurieren.

Konfigurieren von Zertifikaten für Nicht-Kerberos-Bereitstellungen

Wenn die Computer oder virtuellen Computer (VMs) mit dem Netzwerkcontroller und dem Verwaltungsclient nicht in die Domäne eingebunden sind, müssen Sie mit den folgenden Schritten die zertifikatbasierte Authentifizierung konfigurieren.

  • Erstellen Sie ein Zertifikat für die Computerauthentifizierung auf dem Netzwerkcontroller. Der Name des Zertifikatantragstellers muss mit dem DNS-Namen des Computers bzw. der VM mit dem Netzwerkcontroller übereinstimmen.

  • Erstellen Sie ein Zertifikat auf dem Verwaltungsclient. Diesem Zertifikat muss vom Netzwerkcontroller vertraut werden.

  • Registrieren Sie ein Zertifikat auf dem Computer bzw. der VM mit dem Netzwerkcontroller. Das Zertifikat muss die folgenden Anforderungen erfüllen.

    • Serverauthentifizierungszweck und Clientauthentifizierungszweck müssen in Erweiterungen für die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) oder für Anwendungsrichtlinien konfiguriert werden. Der Objektbezeichner für die Serverauthentifizierung lautet 1.3.6.1.5.5.7.3.1. Der Objektbezeichner für die Clientauthentifizierung lautet 1.3.6.1.5.5.7.3.2.

    • Der Name des Zertifikatantragstellers sollte folgendermaßen aufgelöst werden:

      • Die IP-Adresse des Computers bzw. der VM mit dem Netzwerkcontroller, wenn der Netzwerkcontroller auf einem einzelnen Computer bzw. einer einzelnen VM bereitgestellt ist.

      • Die REST-IP-Adresse, wenn der Netzwerkcontroller auf mehreren Computern, mehreren VMs oder beidem bereitgestellt ist.

    • Dem Zertifikat muss von allen REST-Clients vertraut werden. Außerdem muss das Zertifikat vom Multiplexer (MUX) für den Softwarelastenausgleich (SLB) und von den nach Süden ausgerichteten Hostcomputern als vertrauenswürdig eingestuft werden, die vom Netzwerkcontroller verwaltet werden.

    • Das Zertifikat kann von einer Zertifizierungsstelle (Certification Authority, CA) registriert werden oder ein selbstsigniertes Zertifikat sein. Selbstsignierte Zertifikate werden für Produktionsbereitstellungen nicht empfohlen, sind jedoch für Test-Lab-Umgebungen akzeptabel.

    • Auf allen Netzwerkcontrollerknoten muss ein und dasselbe Zertifikat bereitgestellt werden. Nachdem das Zertifikat auf einem Knoten erstellt wurde, können Sie es (mit privatem Schlüssel) exportieren und auf den anderen Knoten importieren.

Weitere Informationen finden Sie unter Network Controller.