Hizmet Asıl Adı (SPN) ile Kerberos

Şunlar için geçerlidir: Azure Stack HCI, sürüm 23H2 ve 22H2; Windows Server 2022, Windows Server 2019

Bu makalede, Hizmet Asıl Adı (SPN) ile Kerberos kimlik doğrulamasının nasıl kullanılacağı açıklanmaktadır.

Ağ Denetleyicisi, yönetim istemcileri ile iletişim için birden çok kimlik doğrulama yöntemini destekler. Kerberos tabanlı kimlik doğrulaması, X509 sertifika tabanlı kimlik doğrulaması kullanabilirsiniz. Test dağıtımları için kimlik doğrulaması kullanma seçeneğiniz de vardır.

System Center Virtual Machine Manager Kerberos tabanlı kimlik doğrulaması kullanır. Kerberos tabanlı kimlik doğrulaması kullanıyorsanız, Active Directory'de Ağ Denetleyicisi için bir SPN yapılandırmanız gerekir. SPN, Bir hizmet örneğini bir hizmet oturum açma hesabıyla ilişkilendirmek için Kerberos kimlik doğrulaması tarafından kullanılan Ağ Denetleyicisi hizmet örneği için benzersiz bir tanımlayıcıdır. Diğer ayrıntılar için bkz. Hizmet Asıl Adları.

Hizmet Asıl Adlarını Yapılandırma (SPN)

Ağ Denetleyicisi SPN'yi otomatik olarak yapılandırıyor. Tek yapmanız gereken, Ağ Denetleyicisi makinelerinin SPN'yi kaydetmesi ve değiştirmesi için izinler sağlamaktır.

1. Etki Alanı Denetleyicisi makinesinde Active Directory Kullanıcıları ve Bilgisayarları başlatın.

2. Gelişmiş Görüntüle'yi >seçin.

3. Bilgisayarlar'ın altında Ağ Denetleyicisi makine hesaplarından birini bulun ve sağ tıklayıp Özellikler'i seçin.

4. Güvenlik sekmesini seçin ve Gelişmiş'i tıklatın.

5. Listede, tüm Ağ Denetleyicisi makine hesapları veya tüm Ağ Denetleyicisi makine hesaplarına sahip bir güvenlik grubu listelenmiyorsa , eklemek için Ekle'ye tıklayın.

6. Her Ağ Denetleyicisi makine hesabı veya Ağ Denetleyicisi makine hesaplarını içeren tek bir güvenlik grubu için:

   1. Hesabı veya grubu seçin ve Düzenle'ye tıklayın.

   2. İzinler'in altında Yazma hizmetini doğrulaPrincipalName'i seçin.

   3. Aşağı kaydırın ve Özellikler'in altında şu seçeneği belirleyin:

      • Read servicePrincipalName

      • ServicePrincipalName yazma

   4. İki kere Tamam'a tıklayın.

7. Her Ağ Denetleyicisi makinesi için 3- 6 arası adımları yineleyin.

8. Active Directory Kullanıcıları ve Bilgisayarları’nı kapatın.

SPN kaydı veya değişikliği için izin sağlanamıyor

Yeni bir Windows Server 2019 dağıtımında, REST istemci kimlik doğrulaması için Kerberos'ı seçerseniz ve Ağ Denetleyicisi düğümlerine SPN'yi kaydetme veya değiştirme yetkisi vermezseniz, Ağ Denetleyicisi'nin REST işlemleri başarısız olur. Bu, SDN altyapınızı etkili bir şekilde yönetmenizi engeller.

Windows Server 2016'den Windows Server 2019'a yükseltme için ve REST istemci kimlik doğrulaması için Kerberos'ı seçtiğinizde REST işlemleri engellenmez ve mevcut üretim dağıtımları için saydamlık sağlar.

SPN kayıtlı değilse, REST istemci kimlik doğrulaması daha az güvenli olan NTLM kullanır. Ayrıca NetworkController-Framework olay kanalının Yönetici kanalında, SPN'yi kaydetmek için Ağ Denetleyicisi düğümlerine izinler sağlamanızı isteyen kritik bir olay alırsınız. İzin verdikten sonra Ağ Denetleyicisi SPN'yi otomatik olarak kaydeder ve tüm istemci işlemleri Kerberos kullanır.

İpucu

Genellikle, Ağ Denetleyicisi'ni REST tabanlı işlemler için bir IP adresi veya DNS adı kullanacak şekilde yapılandırabilirsiniz. Ancak Kerberos'ı yapılandırırken, Ağ Denetleyicisi'ne REST sorguları için IP adresi kullanamazsınız. Örneğin, kullanabilirsiniz <https://networkcontroller.consotso.com>, ancak kullanamazsınız <https://192.34.21.3>. IP adresleri kullanılıyorsa Hizmet Asıl Adları çalışamaz.

Windows Server 2016'da Kerberos kimlik doğrulamasıyla birlikte REST işlemleri için IP adresi kullanıyorsanız, gerçek iletişim NTLM kimlik doğrulaması üzerinden yapılmış olabilir. Böyle bir dağıtımda, Windows Server 2019'a yükseltdiğinizde NTLM tabanlı kimlik doğrulamasını kullanmaya devam edebilirsiniz. Kerberos tabanlı kimlik doğrulamasına geçmek için REST işlemleri için Ağ Denetleyicisi DNS adını kullanmanız ve Ağ Denetleyicisi düğümlerinin SPN'yi kaydetmesine izin vermeniz gerekir.

Sonraki adımlar

• Ağ Denetleyicisinin Güvenliğini Sağlama