Kerberos com o nome da entidade de serviço (SPN)
Aplica-se a: Azure Stack HCI, versões 22H2 e 21H2; Windows Server 2022, Windows Server 2019
O Controlador de Rede dá suporte a vários métodos de autenticação para a comunicação com clientes de gerenciamento. Você pode usar a autenticação baseada em Kerberos ou autenticação baseada no certificado X509. Também há a opção de não usar nenhuma autenticação para a implantações de teste.
O System Center Virtual Machine Manager usa a autenticação baseada em Kerberos. Se estiver usando a autenticação baseada em Kerberos, você deverá configurar um SPN (Nome da entidade de serviço) para o Controlador de Rede no Active Directory. O SPN é um identificador exclusivo para a instância de serviço do Controlador de Rede, o qual é usado pela autenticação do Kerberos para associar uma instância de serviço a uma conta de logon de serviço. Para obter mais detalhes, confira Nomes da entidade de serviço.
Configurar o SPN (Nome da entidade de serviço)
O Controlador de Rede configura o SPN automaticamente. Você só precisa dar permissões para que os computadores do Controlador de Rede registrem e modifiquem o SPN.
No computador do controlador de domínio, inicie Usuários e Computadores do Active Directory.
Selecone Exibir > Avançado.
Em Computadores, localize uma das contas de computador do Controlador de Rede, clique com o botão direito do mouse e selecione Propriedades.
Selecione a guia Segurança , clique em Avançado.
Na lista, se não estiverem listadas todas as contas de computador do Controlador de Rede nem um grupo de segurança com todas as contas de computador do Controlador de Rede, clique em Adicionar para adicioná-los.
Para cada conta de computador do Controlador de Rede ou um único grupo de segurança contendo as contas de computador do Controlador de Rede:
a. Selecione a conta ou o grupe e clique em Editar.
b. Em Permissões, selecione Validar Gravação de servicePrincipalName.
d. Role para baixo e, em Propriedades, selecione:
Ler servicePrincipalName
Gravar servicePrincipalName
e. Clique em OK duas vezes.
Repita as etapas 3 a 6 para cada computador do Controlador de Rede.
Feche Usuários e Computadores do Active Directory.
Falha ao conceder permissões para registro/modificação do SPN
Em uma NOVA implantação do Windows Server 2019, se você escolher o Kerberos para a autenticação de cliente REST e não conceder permissão para que os nós do Controlador de Rede registrem ou modifiquem o SPN, as operações REST no Controlador de Rede falharão, impedindo que você gerencie o SDN.
Se você atualizar do Windows Server 2016 para o Windows Server 2019 e não escolher o Kerberos para a autenticação de cliente REST, as operações REST não serão bloqueadas, garantindo a transparência para as implantações de produção existentes.
Se o SPN não estiver registrado, a autenticação de cliente REST usará o NTLM, que é menos seguro. Você também verá um evento crítico no canal de Administração do canal de eventos NetworkController-Framework solicitando a concessão de permissões aos nós do Controlador de Rede para registrar o SPN. Depois de conceder permissão, o Controlador de Rede registrará o SPN automaticamente, e todas as operações de cliente usarão o Kerberos.
Dica
Geralmente, você pode configurar o Controlador de Rede para usar um endereço IP ou nome DNS para operações baseadas em REST. No entanto, ao configurar o Kerberos, não é possível usar um endereço IP para consultas REST para o Controlador de Rede. Por exemplo, você pode usar <https://networkcontroller.consotso.com>, mas não pode usar <https://192.34.21.3>. Os nomes da entidade de serviço não funcionarão se os endereços IP forem usados.
Se você estivesse usando o endereço IP para operações REST junto com a autenticação do Kerberos no Windows Server 2016, a comunicação real teria sido sobre a autenticação NTLM. Nessa implantação, depois de atualizar para o Windows Server 2019, você continuará usando a autenticação baseada em NTLM. Para migrar para a autenticação baseada em Kerberos, você deve usar o nome DNS do Controlador de Rede para operações REST e conceder permissão para que os nós do Controlador de Rede registrem o SPN.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de