Kerberos с именем субъекта-службы (SPN) — Azure Stack HCI

Twitter LinkedIn Facebook Адрес электронной почты

  • Статья
  • Чтение занимает 2 мин

Область применения: Windows Server 2022, Windows Server 2019, Azure Stack HCI, версии 21h3 и 20h3

Сетевой контроллер поддерживает несколько методов проверки подлинности для взаимодействия с клиентами управления. Вы можете использовать проверку подлинности на основе kerberos, проверку подлинности на основе сертификата X509. Кроме того, вы можете использовать проверку подлинности для тестовых развертываний.

System Center Virtual Machine Manager использует проверку подлинности на основе Kerberos. При использовании проверки подлинности на основе Kerberos необходимо настроить имя субъекта-службы (SPN) для сетевого контроллера в Active Directory. Имя субъекта-службы — это уникальный идентификатор экземпляра службы сетевого контроллера, который используется проверкой подлинности Kerberos для связывания экземпляра службы с учетной записью входа службы. Дополнительные сведения см. в разделе «Имена субъектов-служб».

Настройка имен субъектов-служб (SPN)

Сетевой контроллер автоматически настраивает имя субъекта-службы. Все, что нужно сделать, — предоставить компьютеры сетевого контроллера разрешения на регистрацию и изменение имени субъекта-службы.

  1. На контроллере домена запустите Пользователи и компьютеры Active Directory.

  2. ВыберитеВид > Дополнительно.

  3. В разделе «Компьютеры» найдите одну из учетных записей компьютера сетевого контроллера, а затем щелкните правой кнопкой мыши и выберите пункт «Свойства«.

  4. Перейдите на вкладку Безопасность и нажмите кнопку Дополнительно.

  5. Если все учетные записи компьютера сетевого контроллера или группы безопасности, имеющие все учетные записи компьютера сетевого контроллера, не указаны, нажмите кнопку

    «Добавить «, чтобы добавить ее.

  6. Для каждой учетной записи компьютера сетевого контроллера или одной группы безопасности, содержащей учетные записи компьютера сетевого контроллера:

    а. Выберите учетную запись или группу и нажмите кнопку «Изменить«.

    b. В разделе «Разрешения» выберите Проверить запись servicePrincipalName.

    Г. Выполните прокрутку вниз и в разделе Свойства выберите:

    д) Щелкните дважды ОК.

  7. Повторите шаги 3–6 для каждого компьютера сетевого контроллера.

  8. Закройте окно Пользователи и компьютеры Active Directory.

Сбой предоставления разрешений для регистрации и изменения имени субъекта-службы

В новом развертывании Windows Server 2019, если вы выбрали Kerberos для проверки подлинности клиента REST и не предоставили разрешения узлам сетевого контроллера для регистрации или изменения имени субъекта-службы, операции REST на сетевом контроллере не позволяют управлять SDN.

Для обновления с Windows Server 2016 до Windows Server 2019 и вы выбрали Kerberos для проверки подлинности клиента REST, операции REST не блокируются, обеспечивая прозрачность существующих рабочих развертываний.

Если имя субъекта-службы не зарегистрировано, проверка подлинности клиента REST использует NTLM, что менее безопасно. Вы также получаете критическое событие в канале событий NetworkController-Framework Администратор с просьбой предоставить разрешения узлам сетевого контроллера для регистрации имени субъекта-службы. После предоставления разрешения сетевой контроллер регистрирует имя субъекта-службы автоматически, а все клиентские операции используют Kerberos.

Совет

Как правило, сетевой контроллер можно настроить для использования IP-адреса или DNS-имени для операций на основе REST. Однако при настройке Kerberos ip-адрес для запросов REST к сетевому контроллеру нельзя использовать. Например, можно использовать <https://networkcontroller.consotso.com>, но нельзя использовать <https://192.34.21.3>. Имена субъектов-служб не могут функционировать, если используются IP-адреса.

Если вы использовали IP-адрес для операций REST вместе с проверкой подлинности Kerberos в Windows Server 2016, фактический обмен данными был бы выполнен через проверку подлинности NTLM. В таком развертывании после обновления до Windows Server 2019 вы продолжите использовать проверку подлинности на основе NTLM. Чтобы перейти к проверке подлинности на основе Kerberos, необходимо использовать DNS-имя сетевого контроллера для операций REST и предоставить разрешение узлам сетевого контроллера для регистрации имени субъекта-службы.

Однофазный цифровой стабилизатор пониженного напряжения Ресанта СПН-13500 63/6/28

  • Описание
  • Характеристики
  • Отзывы (6)

Однофазный цифровой стабилизатор пониженного напряжения Ресанта СПН-13500 предназначен для автоматического поддержания напряжения, обеспечивает эффективное электропитание любой техники, защищая от возможных повреждений и сбоев. Модель разработана для защиты техники от аварийных перебоев электроэнергии, для работы в домашних условиях, в загородном доме, в офисе и небольших промышленных комплексах. Прибор реализует уверенную производительность бытовых устройств в условиях нестабильного напряжения.

Особенности модели:

  • Регулирование выходного напряжения; Высокая скорость производительности;
  • Установленный вольтметр контролирует выходное напряжение;
  • Автоматическое отключение нагрузки в условиях выхода за диапазон выходного напряжения и при коротком замыкании;
  • Возможность настенного монтажа;
  • Незначительные габаритные размеры для удобного и быстрого расположения в любом месте;

В область применения входят системы освещения, блоки управления систем обогрева и водоснабжения, бытовое оборудование, изделия с электродвигателями и др.

Принцип работы

Регулировка напряжения происходит за счет переключения обмоток на трансформаторе при помощи реле. Поэтому данный вид стабилизаторов называется «релейный». Осуществляется ступенчатая регулировка. При ступенчатой регулировке точность выходного напряжения возрастает до 8%, это 17,6 В, что вполне безопасно для всех бытовых приборов, по ГОСТ допустимо 10%. Но за счет этого сокращается время регулировки, оно минимально и составляет менее 15 миллисекунд, то есть менее 1 секунды! Такой стабилизатор стоит устанавливать в места где входное напряжение постоянно изменяется.

Общие сервисные функции стабилизатора

  • Регулировка выходного напряжения в широком диапазоне, дискретным способом без искажения формы сигнала.
  • Широкий диапазон входных напряжений 90-260 В.
  • Высокое быстродействие.
  • Контроль над выходным напряжением с помощью встроенного в корпус вольтметра.
  • Автоматическое отключение нагрузки при превышении предельных значений выходного напряжения (максимального и минимального).
  • Автоматическое отключение нагрузки при коротком замыкании.
  • Автоматическое подключение нагрузки при восстановлении выходного напряжения в пределах рабочего диапазона.
  • Индикация режимов работы.

Стабилизатор Ресанта CПH-13500 имеет мощность 13,5 кВт, данной мощности хватает, чтобы питать отдельные потребители, или несколько потребителей, но суммарное потребление не должно превышать установленный мощностной номинал. Диапазон входных напряжений стабилизатора 90-260 Вольт, но при понижении входного напряжения ниже 190 Вольт начинается потеря выходной мощности.

ВНИМАНИЕ! При минимальном входном напряжении 90 Вольт выходная мощность составит 4,8 кВт.
Рекомендуем выбирать модель стабилизатора напряжения с небольшим запасом по мощности, который позволит создать резерв для подключения нового оборудования.


При длительных превышениях допустимых значений входного напряжения система защиты отключит выходное напряжение, а сам стабилизатор уйдет в режим защиты.

При перегреве стабилизатора так же произойдёт аварийное отключение выходного напряжения. Максимальное температурное значение обмотки трансформатора может достигать 70 °С, нагрев трансформатора напрямую зависит от температуры окружающей среды. Стабилизатор так же защищён от короткого замыкания при помощи предохранителя.

Описание индикаторов дисплея

Стабилизаторы напряжения, оборудованы LCD-дисплеями. Ниже представлено схематичное изображение дисплея с указанием всех индикаторов.

 

  1. Задержка — индикатор активен при включении стабилизатора и при срабатывании одной из защит, (низкое/высокое напряжение, перегрев, перегрузка). Дополнительно на дисплее отображается обратный отсчет времени задержки.
  2. Работа — индикатор активен постоянно при включенном устройстве.
  3. Защита — индикатор активен при срабатывании одной из защит.
  4. Индикатор нагрузки — изменяется пропорционально току нагрузки.
  5. Гиря — часть индикатора нагрузки — индикатор активен постоянно при включенном устройстве.
  6. Ресанта – индикатор появляется при включении (буква за буквой), и активен постоянно при включенном устройстве.
  7. Перегрев — индикатор активен при срабатывании защиты от перегрева.
  8. Перегрузка — индикатор активен при срабатывании защиты от перегрузки.
  9. Пониженное напряжение — индикатор активен при выходном напряжении
  10. Строка состояния — представляет собой 8 точек. При включении каждая точка соответствует 1 секунде задержки при включении.
  11. Повышенное напряжение — индикатор активен при выходном напряжении >245 В.
  12. Входное напряжение — отображает входное напряжение.
  13. Выходное напряжение — отображает выходное напряжение.
  • Однофазный цифровой стабилизатор пониженного напряжения СПН-13500 — 1 шт.
  • Кронштейн для монтажа на стене — 1 шт.
  • Инструкция по эксплуатации — 1 шт.

Вес в упаковке, кг: 315х200х370

Вес, кг: 18

Время регулирования, мс: 5-7

Высоковольтная защита, В: 260±5

Габаритные размеры, Д×Ш×В, мм: 305х190х360

Габариты упакованного товара, мм: 18,6

Диапазон входного напряжения, В: 90-260

Искажение синусоиды: отсутствует

Класс защиты: IP 20 (негерметизирован)

КПД, при нагрузке 80% не менее: 97

Номинальная величина выходного напряжения, В: 220±8%

Номинальная мощность при Uвх≥190 В, кВт: 13. 5

Относительная влажность воздуха, не более, %: 80

Охлаждение: естественное 

Рабочая температура окружающей среды, оС: 0-45

Рабочая частота, Гц: 50 / 60

Точность поддержания выходного напряжения, %: 8

на основе 6 отзыва

Валентин Давыдов

Живу и работаю в сельской местности и у нас тут напряжение вообще работает так, как хочет. За технику поэтому страшно, потому что непонятно, как она это иногда перенесёт, да и вообще перенесёт ли… В итоге просто решил всё обезопасить и купить этот стаб. Дисплей выглядит в виде цифровой индикации, которые ювелирно показывают размер напряжения. Стаб сам по себе с широким диапозоном, поэтому если вдруг напряжение захочет опуститься до 100 или же наоборот подняться до 240, то стаб с этим прекрасно справится. Места много не занимает, поэтому на стене ему самое место.

Ростислав Карпов

Купил этот стаб для собственного дома, потому что уже просто надоели эти постоянные скачки и перепады в напряжении. Корпус у него очень прочный и даже скажу – основательный. После покупки выбирал ему место и из-за его маленьких размеров подошёл бы в любое место, но в итоге выбрал прихожею. Сам по себе он увесистый, но крепится он удобно и даже скажу, что надёжно. Экран довольно-таки понятный. На нём вся нужная информация есть, только вот не понимаю почему выходное напряжение всегда одинаковое, ведь такое вряд ли может быть… Поэтому скорее всего тут он врёт. Но на входящем ладно хоть показывает вроде как настоящее. И иногда бывает гляжу и ужасаюсь, как бы при таком напряжении чувствовала себя техника…
Ещё в стабе есть защита от коротких замыканий, перегорания и перегревания. Теперь за сохранность приборов даже и не переживаю, потому что всё работает чётенько и ровненько))

Тимофей Сысоев

Мощный и надёжный прибор. Покупка получилась недорогой и качественной, поэтому друзьям его буду однозначно рекомендовать. В нём стоит цифровой дисплей. Мне это показалось удобным, потому что могу всё контролировать и видеть всю ситуацию в сети. Устанавливать его можно в любом месте. Причём благодаря своим размерам – он места много не занимает.
Наверное мощно выражусь, но именно СПН и стала моим спасательным кругом! Очень приятно осозновать, когда видишь что у соседей подобные стабы шумят и трещат как чечётки.
Повторюсь ещё раз про этот товар. Он своих денюжек стоит и от его покупки я никапельки не пожалел. Надеюсь, что он прослужит ещё долгие годы и поломок с ним никаких не будет.

zlt2016

В поселке, где у меня находится загородный дом, частенько стало хаотично двигаться напряжение… Причём оно может легко упасть на длительное время и при этом не подниматься. Я подумал и решил купить этот стаб, потому что мой дом находится далеко от подстанции и с напряжением у меня походу никогда уже лучше само по себе не станет.
В итоге не прогадал, потому что этот стаб стал для меня настоящим сокровищем)) Он прекрасно справляется со всеми перепадами и мгновенными скачками. Нагрузку выдерживает колосальную, поэтому для нормальной работы всем бытовым приборам вполне хватает. В нём я так понимаю стоит несколько разных видов защит, которые уже его защищают от поломок, а он в свою очередь защищает от поломок другую технику — вот такая вот цепочка. Я в общем-то им доволен, нареканий к нему нет. Буду дальше продолжать его эксплуатировать и надеюсь, что долгое время ещё не выйдет из строя.

White Papper

Заметил в новом доме, что напряжение частенько ходит ходуном и сильно просаживается. В итоге купил для устранения этой поломки именно его. Регулируется всего по одной жиле, поэтому советую всем подключать верно. Мест для подключения фазы нигде не было указано(( Пришлось искать всё самому. Стаб сам по себе хороший, здорово держит напряжение. Стильно выглядит внешне. Удобен при использовании. Размеры такие, что не занимает много места. Сразу идёт с настенным креплением, чем меня сразу же порадовал. Перед его покупкой было много других вариантов на его место, но в итоге взяли его и сейчас не жалеем.

Иван И.

Использую его в домашних условиях, чтобы поддерживать во всём доме стабильное напряжение и не рисковать поломкой техники. Впечатления от него пока что только положительные, так как проблем не доставляет и выполняет свою работы по максимуму. К покупке конечно же всем порекомендую, даже не смотря на то, что он гудит и это бывает прям вгрызается в слух. В нём также стоит для активного охлаждения вентилятор, но пока что он был не нужен, так как прибор сильно ещё ни разу не перегревался.

на основе 6 отзыва

«Альфа» — лучший спецназ в мире

29 июля 1974 года распоряжением руководителя КГБ СССР Юрия Андропова была основана группа специального назначения «Альфа»

В 2019 году легендарной группе специального назначения исполняется 45 лет. За это время оперативниками группы были успешно проведены сотни уникальных боевых операций. Сложнейшие задачи всегда успешно выполнялись бойцами «Альфы», счёт спасенных жизней уже давно перевалил за тысячу. Созданная с нуля группа сейчас, по признанию большинства российских и иностранных специалистов, является лучшей в мире. И сегодня мы расскажем вам её историю.

Мюнхен – 72

Международная обстановка к началу 70-х годов резко осложнилась. Причиной этому стал даже не новый виток холодной войны. Значительно активизировались те люди, кого сейчас называют международными террористами. К сожалению, для многих «революционеров» и борцов за свободу террористические методы достижения своих целей стали единственно возможными.

Первый состав Группы «А» Седьмого управления КГБ СССР

Источник: pinterest.ru

Наглядно это продемонстрировала террористическая атака группы палестинских радикалов на Олимпиаде 1972 года в Мюнхене. В результате этой атаки было убито 11 спортсменов сборной Израиля. А при не очень удачной попытке штурма погиб немецкий полицейский.

Руководство КГБ СССР и лично Юрий Андропов не могли не принять мер для того, чтобы купировать террористическую угрозу как внутри СССР, так и вокруг него. Так появился приказ № 0089 / ОВ (особой важности). За этим набором цифр скрывался приказ, положивший начало легендарной группе «Альфа». Первым командиром был назначен Герой Советского Союза, участник боевых действий в ходе конфликта с КНР на Даманском, генерал-майор Виталий Бубенин.

Самые первые, самые лучшие

До образования группы «Альфа» или просто «А» («антитеррор») в составе 7-го управления КГБ СССР подобных групп в стране не было. Буквально всё – от обмундирования и снаряжения до тактики и физической подготовки каждого оперативника – пришлось придумывать самим с нуля.

Оперативники «Альфы» в Афганистане

Источник: russian.rt.com

В 1977 году группу возглавил человек-легенда Геннадий Зайцев. Без преувеличения «папа» группы «А». В общей сложности Герой Советского Союза генерал-майор Зайцев возглавлял группу 14 лет в самые тяжелые и насыщенные трагическими событиями годы.

По признанию Г. Зайцева, с трудностями приходилось сталкиваться буквально во всём. Он проводил строгий личный отбор будущих сотрудников, ведь только самые лучшие, не только в физическом, но и в моральном отношении бойцы могли стать оперативниками «Альфы».

Оперативники «Альфы» в начале 90-х

Источник: pikabu.ru

Под его руководством разрабатывали и осваивали тактику действий бойцов группы. Специфические задачи по борьбе с терроризмом, освобождению заложников и секретные операции в значительной степени отличаются от обычных общевойсковых боев. Что-то по крупицам удавалось узнать за рубежом, из опыта немецких или израильских спецназовцев – в этих странах были свои группы, но они так же были молоды и так же засекречены, как и «А». Поэтому, по большей части, тактика была разработана нашими оперативниками. Эти методики до сих пор остаются секретными и не имеют аналогов в мире.

Снаряжение тоже стало одной из проблем. Обычная армейская и милицейская экипировка не подходили для спецопераций. Требовались особые шлемы, бронежилеты, штурмовые комбинезоны, специальное оружие и большая номенклатура снаряжения от водолазного до альпинистского. Всё это приходилось также либо придумывать самим, либо доставать обходными путями через неофициальные каналы из-за границы. Так, неофициально в СССР появились знаменитые бронешлемы с забралом марки «Тиг». Эти шлемы и их отечественные улучшенные образцы, такие как «Алтын», надолго стали визитной карточкой образа советского и российского спецназовца.

Боевая работа

В первоначальный состав группы вошло 30 отборных оперативников, которые сразу же приступили к занятиям и боевой подготовке. Их умения прошли «обкатку» в ходе нескольких эпизодов обмена советских разведчиков и диссидентов на задержанных американских шпионов. Группа выполняла боевые задачи на Кубе и в Средней Азии. Ликвидировала психически нездорового террориста Ю. Власенко, напавшего на посольство США в Москве. Но первой действительно боевой и получившей мировую известность операцией стал штурм дворца Амина в столице Афганистана – Кабуле.

События Октября 1993-го года в Москве

Источник: info.specnaz-ars.ru

«Шторм-333» – так называлась эта уникальная операция. В её ходе уступавшие охране Амина численно в несколько раз наши спецназовцы совершили невозможное, штурмом захватив хорошо укрепленный дворец, располагавшийся на холме. Их не остановили даже вкопанные в землю танки. «Ранены были все», — так говорят об этой операции её участники, вспоминая свои бронежилеты, в клочья изорванные пулями. Тем не менее задача была выполнена с минимальными потерями, к сожалению, погибли двое оперативников – капитаны Д. Волков и Г. Зудин.

В восьмидесятые годы группа постоянно наращивала свой боевой опыт. Присутствие советского воинского контингента на территории Афганистана давало уникальную возможность получать специфические навыки сотрудникам группы «А».

Вместе с этим проводились и контртеррористические операции внутри страны: освобождение взятых в заложники в Сарапуле, в автобусе ЛАЗ в Минводах и при побеге уголовников в Саратове, успешный штурм Ту-134 , захваченного с заложниками в аэропорту Тбилиси, и десятки других успешных операций.

Тренировка бойцов «Альфы»

Источник: voenchel.ru

Приближались 90-е годы, насыщенные страшными и тяжелыми для нашей страны политическими и военными событиями. Оперативники «Альфы» пережили их вместе со всеми нами, внося свой вклад в укрепление безопасности страны.

В это время стараниями её командиров группа увеличилась до 500 бойцов, были созданы региональные отделы «А» в Минске, Киеве, Свердловске, Хабаровске, Алма-Ате и Краснодаре.

В 90-е годы, помимо не имеющей аналогов в мире операции по освобождению заложников и подавлению восстания уголовников в ИВС города Сухуми, сотрудники подразделения оказались втянуты в политические игры руководства рушащейся страны. Командир группы Герой Советского Союза В.Ф. Карпухин с честью прошел и это испытание, не пролив крови своего народа.

«Альфа» в России

После распада СССР в Российской Федерации появилось множество задач, решить которые могли только лучшие спецназовцы мира – оперативники «Альфы». Обострившиеся межнациональные конфликты, стремление отдельных частей страны к сепаратизму и, в конечном счете, начавшаяся война в Чеченской республике стали испытанием для группы. С учетом того, что группа в результате неграмотных организационных действий высшего руководства была серьезно ослаблена рядом реформ и передач из ведомства в ведомство, эти задачи становились ещё сложнее.

Встреча офицеров группы с президентом России

Источник: topwar. ru

Тем не менее даже в такой ситуации группа с честью выполнила множество боевых заданий. Такие слова, как Норд-Ост, Беслан, Буденновск до сих пор незаживающей раной существуют на теле нашей страны и в сердцах сотен пострадавших от действий бандитов семей.

Но неотвратимое возмездие всегда настигает уголовников и бандитов, посмевших воевать с женщинами и детьми. Десятки уничтоженных главарей террористов, самозваных «полевых командиров» – это работа «Альфы» в последние годы. Сотни боевых заданий, многие из которых засекречены, десятки Героев России в составе группы и, к сожалению, потери.

Всем известна история, когда во время трагедии в Беслане офицеры «Альфы» и других спецподразделений в буквальном смысле закрывали своими телами школьников и учителей от огня бандитов, прятавшихся за спинами детей. За 45 лет службы «Альфа» потеряла 32 бойца.

Сейчас «Альфа», входящая в структуру ФСБ России, является одним из лучших и сильнейших спецподразделений мира. Это подтверждают не только сотни успешных операций, но и первые места на многочисленных соревнованиях групп спецназа со всего мира. По признанию иностранных коллег, до уровня «А» им ещё предстоит расти.

Так выглядят оперативники «Альфы» сейчас

Источник: info.specnaz-ars.ru

В наши дни группа оснащена по последнему слову техники и во многом задает стиль и методику проведения контртеррористических операций во всем мире. В её составе около 200 оперативников. Двум офицерам присвоено звание Героя Советского Союза, восьми — Герои России. Всего более пятисот бойцов «Альфы» отмечены государственными наградами.

А мы можем быть уверены, что любой бандит, решивший захватить людей в заложники, моментально понесет заслуженное наказание за свое преступление, ведь на страже закона стоят люди с красной буквой «А» на шевроне.

Обложка: ria.ru

Kerberos с именем участника-службы (SPN) — Azure Stack HCI

Обратная связь Редактировать

Твиттер LinkedIn Фейсбук Эл. адрес

  • Статья
  • 2 минуты на чтение

Применяется к: Windows Server 2022, Windows Server 2019, Azure Stack HCI, версии 21h3 и 20h3

Сетевой контроллер поддерживает несколько методов проверки подлинности для связи с клиентами управления. Вы можете использовать аутентификацию на основе Kerberos, X509аутентификация на основе сертификатов. У вас также есть возможность не использовать проверку подлинности для тестовых развертываний.

System Center Virtual Machine Manager использует проверку подлинности на основе Kerberos. Если вы используете проверку подлинности на основе Kerberos, необходимо настроить имя участника-службы (SPN) для сетевого контроллера в Active Directory. Имя участника-службы — это уникальный идентификатор экземпляра службы сетевого контроллера, который используется проверкой подлинности Kerberos для связывания экземпляра службы с учетной записью для входа в службу. Дополнительные сведения см. в разделе Имена субъектов-служб.

Настройка имен участников службы (SPN)

Сетевой контроллер автоматически настраивает имя участника-службы. Все, что вам нужно сделать, это предоставить разрешения компьютерам сетевого контроллера для регистрации и изменения имени участника-службы.

  1. На компьютере с контроллером домена запустите Пользователи и компьютеры Active Directory .

  2. Выберите Вид > Дополнительно .

  3. В разделе Компьютеры найдите одну из учетных записей компьютера сетевого контроллера, затем щелкните правой кнопкой мыши и выберите Свойства .

  4. Выберите вкладку Безопасность и щелкните Дополнительно .

  5. Если в списке нет всех учетных записей компьютеров сетевого контроллера или группы безопасности, содержащей все учетные записи компьютеров сетевого контроллера, щелкните Добавить , чтобы добавить ее.

  6. Для каждой учетной записи компьютера сетевого контроллера или отдельной группы безопасности, содержащей учетные записи компьютеров сетевого контроллера:

    а. Выберите учетную запись или группу и нажмите Редактировать .

    б. В разделе Разрешения выберите Проверить запись servicePrincipalName .

    д. Прокрутите вниз и в разделе Свойства выберите:

    эл. Нажмите OK дважды.

  7. Повторите шаги 3–6 для каждого компьютера с сетевым контроллером.

  8. Закрыть Пользователи и компьютеры Active Directory .

Непредоставление разрешений на регистрацию/модификацию SPN

В развертывании NEW Windows Server 2019, если вы выбрали Kerberos для проверки подлинности клиента REST и не предоставили узлам сетевого контроллера разрешение на регистрацию или изменение имени участника-службы, операции REST на сетевом контроллере завершатся сбоем, не позволяя вам управлять SDN.

При обновлении с Windows Server 2016 до Windows Server 2019 и выборе Kerberos для проверки подлинности клиента REST операции REST не блокируются, что обеспечивает прозрачность для существующих производственных развертываний.

Если имя участника-службы не зарегистрировано, для проверки подлинности клиента REST используется менее безопасный протокол NTLM. Вы также получаете критическое событие в канале администратора канала событий NetworkController-Framework с просьбой предоставить разрешения узлам сетевого контроллера для регистрации имени участника-службы. После того как вы предоставите разрешение, сетевой контроллер автоматически зарегистрирует имя участника-службы, и все клиентские операции будут использовать Kerberos.

Совет

Как правило, сетевой контроллер можно настроить на использование IP-адреса или DNS-имени для операций на основе REST. Однако при настройке Kerberos нельзя использовать IP-адрес для запросов REST к сетевому контроллеру. Например, вы можете использовать , но не можете использовать . Имена участников-служб не могут работать, если используются IP-адреса.

Если бы вы использовали IP-адрес для операций REST вместе с проверкой подлинности Kerberos в Windows Server 2016, фактическая связь осуществлялась бы через проверку подлинности NTLM. В таком развертывании после обновления до Windows Server 2019 вы продолжаете использовать проверку подлинности на основе NTLM. Чтобы перейти к проверке подлинности на основе Kerberos, необходимо использовать DNS-имя сетевого контроллера для операций REST и предоставить узлам сетевого контроллера разрешение на регистрацию имени участника-службы.

Обратная связь

Отправить и просмотреть отзыв для

Этот продукт Эта страница

Просмотреть все отзывы о странице

Может ли кто-нибудь объяснить имена основных служб Windows (SPN) без упрощения?

Спросил

Изменено 2 года, 9 месяцев назад

Просмотрено 54k times

Я уже несколько раз боролся с именами принципов обслуживания, и объяснений Microsoft недостаточно. Я настраиваю приложение IIS для работы в нашем домене, и похоже, что некоторые из моих проблем связаны с моей необходимостью настроить конкретные HTTP-имена SPN в учетной записи службы Windows, в которой запущен пул приложений, на котором размещен мой сайт.

Все это заставило меня осознать, что я просто не полностью понимаю взаимосвязь между типами служб (MSSQL, http, host, termsrv, wsman и т. д.), аутентификацией Kerberos, учетными записями компьютеров Active Directory (PCName$), учетными записями служб Windows. , имена участников-служб и учетную запись пользователя, которую я использую для доступа к службе.

Может ли кто-нибудь объяснить имена основных служб Windows (SPN), не упрощая объяснение?

Бонусные баллы за творческую аналогию, которая найдет отклик у среднеопытного системного администратора/разработчика.

  • windows
  • windows-server-2008
  • безопасность
  • активный каталог
  • kerberos

1

Имя субъекта-службы — это концепция из Kerberos . Это идентификатор конкретной службы, предлагаемой конкретным хостом в домене аутентификации. Обычная форма для SPN: класс обслуживания / fqdn @ REALM (например, IMAP/[email protected] ). Также существует основных имен пользователей , которые идентифицируют пользователей в виде user @ REALM (или user1 / user2 @ REALM , что идентифицирует связь для ). Класс обслуживания можно условно рассматривать как протокол службы. Список классов обслуживания, встроенных в Windows, приведен в этой статье от Microsoft.

Каждое имя участника-службы должно быть зарегистрировано в ОБЛАСТИ REALM ‘s Key Distribution Center (KDC) и выдал сервисный ключ . Утилита setspn.exe , доступная в папке \Support\Tools на установочном носителе Windows или в виде загружаемого комплекта ресурсов, манипулирует назначениями имен участников-служб компьютеру или другим учетным записям в AD.

Когда пользователь обращается к службе, которая использует Kerberos для проверки подлинности (служба «Kerberized»), он представляет зашифрованный билет, полученный от KDC (в среде Windows — контроллер домена Active Directory). Билет зашифрован цифрой 9.0156 сервисный ключ . Расшифровывая билет, служба доказывает, что у нее есть ключ для данного имени участника-службы. Службы, работающие на узлах Windows, используют ключ, связанный с учетной записью компьютера AD, но для обеспечения совместимости с протоколом Kerberos имена участников-служб должны быть добавлены в Active Directory для каждой службы с поддержкой kerberos, работающей на узле, за исключением упомянутых выше встроенных имен SPN. В Active Directory имена участников-служб хранятся в атрибуте servicePrincipalName объекта компьютера хоста.

Дополнительные сведения см. в статье Microsoft TechNet об имени участника-службы, FAQ Кена Хорнштейна по Kerberos

. 2

Ответ yarek был отличным, и я проголосовал за него, но я также хотел дать вам немного больше информации о Windows по этой теме, или, скорее, с точки зрения человека, который больше знаком с AD, чем просто с Kerberos в целом. , просто потому, что эта тема меня очень интересует.

Я чувствовал, что этот парень отлично объяснил это, и я рекомендую вам прочитать его статью, но вот особенно краткий абзац прямо по вашему вопросу:

«Имена основных служб определяют, какие службы работают в контексте безопасности учетных записей. Например, некоторые из служб, которые могут быть на компьютере, — это файловый сервер / CIFS (общая файловая система Интернета), если это контроллер домена, он будет иметь Имя участника-службы LDAP, имя участника-службы репликации Active Directory и имя участника-службы FRS. Имена участников-служб могут быть определены в учетных записях пользователей, когда служба или приложение запускаются в контексте безопасности этого пользователя. Обычно эти типы учетных записей пользователей называются «учетными записями служб». очень важно, чтобы вы понимали, что имена участников-служб ДОЛЖНЫ быть уникальными во всем лесу Active Directory».

Вся статья здесь: https://docs.microsoft.com/en-us/archive/blogs/askds/kerberos-for-the-busy-admin

Зарегистрируйтесь или войдите в систему

Зарегистрируйтесь с помощью Google

Зарегистрироваться через Facebook

Зарегистрируйтесь, используя электронную почту и пароль

Опубликовать как гость

Электронная почта

Требуется, но никогда не отображается

Опубликовать как гость

Электронная почта

Требуется, но не отображается

Нажимая «Опубликовать свой ответ», вы соглашаетесь с нашими условиями обслуживания, политикой конфиденциальности и политикой использования файлов cookie

.

Имя участника-службы (SPN) — hackndo

В этой статье основное внимание уделяется SPN (именам субъектов-служб), чтобы понять, что они собой представляют и как используются.

Что такое имя участника-службы

Мы находимся в среде Active Directory. Чтобы понять, что такое SPN, мы должны понять, что такое понятие службы в Active Directory.

Служба на самом деле является функцией, программным обеспечением, чем-то, что может использоваться другими членами AD (Active Directory). Например, у вас может быть веб-сервер, сетевая папка, служба DNS, служба печати и так далее. Чтобы идентифицировать службу, нам нужны как минимум две вещи. Один и тот же сервис может работать на разных хостах, поэтому нам нужно указать хост , а на компьютере может быть несколько служб, поэтому нам нужно указать службу , очевидно.

Комбинируя эту информацию, мы можем точно определить услугу. Эта комбинация представляет его Service Principal Name или SPN . Выглядит так:

 service_class/hostname_or_FQDN

Класс службы на самом деле представляет собой несколько общее имя для службы. Например, все веб-серверы сгруппированы в класс «www», а службы SQL — в класс «SqlServer».

Если служба работает через настраиваемый порт или если вы хотите указать его во избежание двусмысленности, вы можете добавить его к имени хоста:

 service_class/hostname_or_FQDN:port

При желании вы можете указать имя участника-службы.

 service_class/hostname_or_FQDN:port/произвольное_имя

Например, в моей Active Directory есть два хоста, предлагающие веб-сервисы, WEB-SERVER-01 и WEB-SERVER-02 , и каждый из этих двух компьютеров предлагает другие сервисы.

Если я хочу назначить веб-сервер на WEB-SERVER-01 , SPN выглядит так:

 www/ВЕБ-СЕРВЕР-01

или

 www/ВЕБ-СЕРВЕР-01. adsec.local

В реальной жизни вот SPN службы в билете Kerberos:

Этот билет был создан после того, как кто-то запросил услугу www на WEB-SERVER-01 в домене adsec.local .

Примеры

Существует большое количество классов обслуживания, вот список встроенных из документации Microsoft.

Мы признаем несколько классов обслуживания, таких как CIFS для служб, связанных с совместным использованием файлов, DNS , WWW , которые мы уже обсуждали, или спулер , который включает службы печати.

Этот список не является исчерпывающим, например, нет SqlServer , который обычно встречается в средах AD, или класса LDAP служб каталогов.

Краевой корпус — HOST

Существует особый случай, с которым мы сталкиваемся в атрибутах SPN объекта в AD, это ХОСТ SPN .

HOST SPN на самом деле не является классом обслуживания. Это группа классов обслуживания, своего рода псевдоним, объединяющий большое количество имен SPN. Элементы, которые он объединяет, определяются в атрибуте Active Directory «SPN-Mappings». Эти классы можно просмотреть с помощью следующей команды:

 Get-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=HALO,DC=NET" -properties sPNMappings

Таким образом, если пользователь когда-либо ищет www SPN на WEB-SERVER-01 , Active Directory будет искать wwww/WEB-SERVER-01 , но также будет искать HOST/WEB-SERVER-01 . Если хост имеет HOST SPN, это означает, что он имеет www SPN (и многие другие).

Примечание: Этот SPN ( HOST ) остается для меня загадкой. При создании серебряного билета, если вы решите, что имя участника-службы равно HOST , вы можете выполнять определенные задачи, такие как управление службами или управление запланированными задачами. Однако, хотя CIFS включен в атрибут SPN-Mappings , мне не удалось получить доступ к общему ресурсу C$ удаленного хоста.

Когда я спросил об этом в Slack Bloodhound, @pyrotek3 (ADSecurity.org) ответил мне так:

Я видел то же самое. Вы могли бы подумать, что HOST справится с большинством задач для системы Windows, но есть определенные типы вызовов, которые требуют большего, чем HOST, поскольку это универсальный вызов. Я понял, что работает, только путем проб и ошибок (и множества тестов). Из того, что я видел, HOST может обеспечить покрытие имени участника-службы и является «универсальным» для стандартных системных имен участников-служб, поэтому одни и те же имена участников-служб не нужно регистрировать в каждой системе. Для деятельности «привилегированного» типа, по-видимому, требуется использование CIFS. Для серебряных билетов вы можете использовать любое имя участника-службы (при условии, что система ответит), поскольку контроллер домена не задействован, а имена участников-служб, зарегистрированные в учетной записи компьютера в AD, на самом деле не имеют значения (поскольку вы создаете билет и подключаетесь напрямую к система в обход DC и AD). Прошло некоторое время с тех пор, как я копался в этом.

Если кто-то может прояснить это, не стесняйтесь поделиться им в комментариях или связавшись со мной в Твиттере (@HackAndDo).

На практике

Вот небольшой сценарий PowerShell, который позволяет перечислить имена участников-служб, присутствующие в Active Directory. Используется фильтр (servicePrincipalName=*) , который возвращает результаты с непустым атрибутом servicePrincipalName .

 $search = New-Object DirectoryServices.DirectorySearcher([ADSI]"")
$search.filter = "(servicePrincipalName=*)"
$результаты = $search.Findall()
foreach($результат в $результатах) {
$userEntry = $result.GetDirectoryEntry()
Запись-хост "Объект:" $userEntry.name "("$userEntry.distinguishedName")"
Узел записи "Список участников-служб:"
foreach($SPN в $userEntry.servicePrincipalName)
{
Узел записи $SPN
}
Запись-хост ""
}

Вот результат моей лаборатории:

Отображаются разные объекты с хотя бы одним установленным атрибутом SPN.