Passaggi di post-distribuzione per il controller di rete

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Azure Stack HCI, versioni 21H2 e 20H2

Quando si installa Controller di rete, è possibile scegliere distribuzioni Kerberos o non Kerberos.

Per le distribuzioni non Kerberos, è necessario configurare i certificati.

Configurare i certificati per distribuzioni non Kerberos

Se i computer o le macchine virtuali per Controller di rete e il client di gestione non sono aggiunti a un dominio, è necessario configurare l'autenticazione basata su certificati completando i passaggi seguenti.

  • Creare un certificato in Controller di rete per l'autenticazione computer. Il nome soggetto del certificato deve essere uguale al nome DNS del computer o della macchina virtuale del Controller di rete.

  • Creare un certificato nel client di gestione. Questo certificato deve essere considerato attendibile dal Controller di rete.

  • Registrare un certificato nel computer o nella macchina virtuale del Controller di rete. Il certificato deve soddisfare i requisiti seguenti.

    • Sia lo scopo dell'autenticazione server che lo scopo dell'autenticazione client devono essere configurati nelle estensioni di Utilizzo chiavi avanzato (Enhanced Key Usage) o Criteri di applicazione. L'identificatore dell'oggetto per l'autenticazione server è 1.3.6.1.5.5.7.3.1. L'identificatore dell'oggetto per l'autenticazione client è 1.3.6.1.5.5.7.3.2.

    • Il nome soggetto del certificato deve essere risolto in:

      • Indirizzo IP del computer o della macchina virtuale del Controller di rete, se il Controller di rete viene distribuito in un singolo computer o macchina virtuale.

      • Indirizzo IP REST, se il Controller di rete viene distribuito in più computer, più macchine virtuali o entrambi.

    • Questo certificato deve essere considerato attendibile da tutti i client REST. Il certificato deve essere considerato attendibile anche dal Multiplexer (MUX) del Bilanciamento del carico software (SLB) e dai computer host southbound gestiti dal Controller di rete.

    • Il certificato può essere registrato da un'autorità di certificazione (CA) o può essere un certificato autofirmato. I certificati autofirmati non sono consigliati per le distribuzioni di produzione, ma sono accettabili per gli ambienti lab di test.

    • È necessario eseguire il provisioning dello stesso certificato in tutti i nodi del controller di rete. Dopo aver creato il certificato in un nodo, è possibile esportare il certificato (con chiave privata) e importarlo negli altri nodi.

Per altre informazioni, vedere Controller di rete.