ネットワーク コントローラーの展開後の手順

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Azure Stack HCI バージョン 21H2 および 20H2

ネットワーク コントローラーをインストールするときには、Kerberos または Kerberos 以外の展開を選択できます。

Kerberos 以外の展開では、証明書を構成する必要があります。

Kerberos 以外の展開用に証明書を構成する

ネットワーク コントローラーと管理クライアントのコンピューターまたは仮想マシン (VM) がドメインに参加していない場合は、次の手順を実行して証明書ベースの認証を構成する必要があります。

• ネットワーク コントローラーでコンピューター認証用の証明書を作成します。 証明書のサブジェクト名は、ネットワーク コントローラーのコンピューターまたは VM の DNS 名と同じである必要があります。

• 管理クライアントで証明書を作成します。 この証明書は、ネットワーク コントローラーによって信頼されている必要があります。

• ネットワーク コントローラーのコンピューターまたは VM で証明書を登録します。 証明書は次の要件を満たす必要があります。

  • サーバー認証の目的とクライアント認証の目的は両方とも、拡張キー使用法 (EKU) またはアプリケーション ポリシーの拡張機能で構成する必要があります。 サーバー認証のオブジェクト識別子は 1.3.6.1.5.5.7.3.1 です。 クライアント認証のオブジェクト識別子は 1.3.6.1.5.5.7.3.2 です。

  • 証明書のサブジェクト名は次のように解決されます。

    • ネットワーク コントローラーが 1 台のコンピューターまたは VM に展開されている場合は、ネットワーク コントローラーのコンピューターまたは VM の IP アドレス。

    • ネットワーク コントローラーが複数のコンピューター、複数の VM、またはその両方に展開されている場合は、REST IP アドレス。

  • この証明書は、すべての REST クライアントによって信頼されている必要があります。 また、証明書は、ソフトウェア負荷分散 (SLB) マルチプレクサー (MUX) と、ネットワーク コントローラーによって管理される Southbound ホスト コンピューターによって信頼されている必要があります。

  • 証明書は、証明機関 (CA) によって登録するか、自己署名証明書にすることができます。 自己署名証明書は、運用環境の展開では推奨されませんが、テスト ラボ環境では許容されます。

  • すべてのネットワーク コントローラー ノードで同じ証明書をプロビジョニングする必要があります。 1 つのノードで証明書を作成した後で、(秘密キーを使用して) 証明書をエクスポートし、それを他のノードにインポートすることができます。

詳細については、「Network Controller (ネットワーク コントローラー)」を参照してください。