ネットワーク コントローラーの展開後の手順
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Azure Stack HCI バージョン 21H2 および 20H2
ネットワーク コントローラーをインストールするときには、Kerberos または Kerberos 以外の展開を選択できます。
Kerberos 以外の展開では、証明書を構成する必要があります。
Kerberos 以外の展開用に証明書を構成する
ネットワーク コントローラーと管理クライアントのコンピューターまたは仮想マシン (VM) がドメインに参加していない場合は、次の手順を実行して証明書ベースの認証を構成する必要があります。
ネットワーク コントローラーでコンピューター認証用の証明書を作成します。 証明書のサブジェクト名は、ネットワーク コントローラーのコンピューターまたは VM の DNS 名と同じである必要があります。
管理クライアントで証明書を作成します。 この証明書は、ネットワーク コントローラーによって信頼されている必要があります。
ネットワーク コントローラーのコンピューターまたは VM で証明書を登録します。 証明書は次の要件を満たす必要があります。
サーバー認証の目的とクライアント認証の目的は両方とも、拡張キー使用法 (EKU) またはアプリケーション ポリシーの拡張機能で構成する必要があります。 サーバー認証のオブジェクト識別子は 1.3.6.1.5.5.7.3.1 です。 クライアント認証のオブジェクト識別子は 1.3.6.1.5.5.7.3.2 です。
証明書のサブジェクト名は次のように解決されます。
ネットワーク コントローラーが 1 台のコンピューターまたは VM に展開されている場合は、ネットワーク コントローラーのコンピューターまたは VM の IP アドレス。
ネットワーク コントローラーが複数のコンピューター、複数の VM、またはその両方に展開されている場合は、REST IP アドレス。
この証明書は、すべての REST クライアントによって信頼されている必要があります。 また、証明書は、ソフトウェア負荷分散 (SLB) マルチプレクサー (MUX) と、ネットワーク コントローラーによって管理される Southbound ホスト コンピューターによって信頼されている必要があります。
証明書は、証明機関 (CA) によって登録するか、自己署名証明書にすることができます。 自己署名証明書は、運用環境の展開では推奨されませんが、テスト ラボ環境では許容されます。
すべてのネットワーク コントローラー ノードで同じ証明書をプロビジョニングする必要があります。 1 つのノードで証明書を作成した後で、(秘密キーを使用して) 証明書をエクスポートし、それを他のノードにインポートすることができます。
詳細については、「Network Controller (ネットワーク コントローラー)」を参照してください。