Kerberos с именем субъекта-службы (SPN)Kerberos with Service Principal Name (SPN)

Область применения: Windows Server 2019Applies to: Windows Server 2019

Сетевой контроллер поддерживает несколько методов проверки подлинности для взаимодействия с клиентами управления.Network Controller supports multiple authentication methods for communication with management clients. Вы можете использовать проверку подлинности на основе Kerberos, аутентификацию X509 на основе сертификата.You can use Kerberos based authentication, X509 certificate-based authentication. Вы также можете использовать проверку подлинности без аутентификации для тестовых развертываний.You also have the option to use no authentication for test deployments.

System Center Virtual Machine Manager использует проверку подлинности на основе Kerberos.System Center Virtual Machine Manager uses Kerberos-based authentication. При использовании проверки подлинности на основе Kerberos необходимо настроить имя участника-службы (SPN) для сетевого контроллера в Active Directory.If you are using Kerberos-based authentication, you must configure a Service Principal Name (SPN) for Network Controller in Active Directory. Имя участника-службы — это уникальный идентификатор экземпляра службы сетевого контроллера, который используется проверкой подлинности Kerberos для связывания экземпляра службы с учетной записью входа службы.The SPN is a unique identifier for the Network Controller service instance, which is used by Kerberos authentication to associate a service instance with a service login account. Дополнительные сведения см. в разделе имена субъектов-служб.For more details, see Service Principal Names.

Настройка имен субъектов-служб (SPN)Configure Service Principal Names (SPN)

Сетевой контроллер автоматически настраивает имя субъекта-службы.The Network Controller automatically configures the SPN. Все, что нужно сделать, — предоставить разрешения на компьютеры сетевого контроллера для регистрации и изменения имени участника-службы.All you need to do is to provide permissions for the Network Controller machines to register and modify the SPN.

  1. На компьютере контроллера домена запустите Active Directory пользователи и компьютеры.On the Domain Controller machine, start Active Directory Users and Computers.

  2. Выберите вид > Дополнительно.Select View > Advanced.

  3. В разделе Компьютерынайдите одну из учетных записей компьютера сетевого контроллера, а затем щелкните ее правой кнопкой мыши и выберите пункт свойства.Under Computers, locate one of the Network Controller machine accounts, and then right-click and select Properties.

  4. Перейдите на вкладку Безопасность и нажмите кнопку Дополнительно.Select the Security tab and click Advanced.

  5. Если в списке не указаны все учетные записи компьютера сетевого контроллера или группы безопасности с учетными записями всех компьютеров сетевого контроллера, нажмите кнопку Добавить , чтобы добавить их.In the list, if all the Network Controller machine accounts or a security group having all the Network Controller machine accounts is not listed, click Add to add it.

  6. Для каждой учетной записи компьютера сетевого контроллера или одной группы безопасности, содержащей учетные записи компьютера сетевого контроллера:For each Network Controller machine account or a single security group containing the Network Controller machine accounts:

    а.a. Выберите учетную запись или группу и нажмите кнопку изменить.Select the account or group and click Edit.

    b.b. В разделе Разрешения выберите проверить запись перезаписи.Under Permissions select Validate Write servicePrincipalName.

    d.d. Прокрутите вниз и в разделе Свойства выберите:Scroll down and under Properties select:

    • Чтение и считываниеRead servicePrincipalName

    • Написание перезаписиWrite servicePrincipalName

    д)e. Щелкните дважды ОК.Click OK twice.

  7. Повторите шаг 3-6 для каждого компьютера сетевого контроллера.Repeat step 3 - 6 for each Network Controller machines.

  8. Закройте окно Пользователи и компьютеры Active Directory.Close Active Directory Users and Computers.

Не удалось предоставить разрешения для регистрации или изменения имени участника-службыFailure to provide permissions for SPN registration/modification

В новом развертывании Windows Server 2019, если выбран параметр Kerberos для проверки подлинности клиента RESTful и не предоставлено разрешение узлам сетевого контроллера регистрировать или изменять имя участника-службы, операции RESTful на сетевом контроллере не позволяют управлять Sdn.On a NEW Windows Server 2019 deployment, if you chose Kerberos for REST client authentication and don't grant permission for Network Controller nodes to register or modify the SPN, REST operations on Network Controller fails preventing you from managing the SDN.

Для обновления с Windows Server 2016 до Windows Server 2019 и выбора протокола Kerberos для проверки подлинности клиента RESTFUL операции RESTFUL не блокируются, что обеспечивает прозрачность для существующих рабочих развертываний.For an upgrade from Windows Server 2016 to Windows Server 2019, and you chose Kerberos for REST client authentication, REST operations do not get blocked, ensuring transparency for existing production deployments.

Если имя участника-службы не зарегистрировано, то для проверки подлинности клиента используется менее безопасный протокол NTLM.If SPN is not registered, REST client authentication uses NTLM, which is less secure. Вы также получаете критическое событие в канале администрирования канала событий нетворкконтроллер-Framework , предлагающего предоставить разрешения на узлы сетевого контроллера для регистрации SPN.You also get a critical event in the Admin channel of NetworkController-Framework event channel asking you to provide permissions to the Network Controller nodes to register SPN. После предоставления разрешения сетевой контроллер регистрирует имя участника-службы автоматически, а все операции клиента используют протокол Kerberos.Once you provide permission, Network Controller registers the SPN automatically, and all client operations use Kerberos.

Совет

Как правило, в сетевом контроллере можно настроить использование IP-адреса или DNS-имени для операций на основе службы "сеть — сеть".Typically, you can configure Network Controller to use an IP address or DNS name for REST-based operations. Однако при настройке Kerberos нельзя использовать IP-адрес для запросов RESTFUL к сетевому контроллеру.However, when you configure Kerberos, you cannot use an IP address for REST queries to Network Controller. Например, можно использовать <https://networkcontroller.consotso.com> , но нельзя использовать <https://192.34.21.3> .For example, you can use <https://networkcontroller.consotso.com>, but you cannot use <https://192.34.21.3>. Имена субъектов-служб не могут работать, если используются адреса IP.Service Principal Names cannot function if IP addresses are used.

Если вы использовали IP-адрес для операций RESTFUL вместе с проверкой подлинности Kerberos в Windows Server 2016, фактическое взаимодействие потребовалось бы через проверку подлинности NTLM.If you were using IP address for REST operations along with Kerberos authentication in Windows Server 2016, the actual communication would have been over NTLM authentication. В таком развертывании после обновления до Windows Server 2019 продолжает использоваться проверка подлинности на основе NTLM.In such a deployment, once you upgrade to Windows Server 2019, you continue to use NTLM-based authentication. Чтобы перейти на проверку подлинности на основе Kerberos, необходимо использовать DNS-имя сетевого контроллера для операций RESTFUL и предоставить разрешение узлам сетевого контроллера зарегистрировать SPN.To move to Kerberos-based authentication, you must use Network Controller DNS name for REST operations and provide permission for Network Controller nodes to register SPN.