Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Vanaf Windows 10 versie 1507 en Windows Server 2016 kunnen Kerberos-clients worden geconfigureerd ter ondersteuning van IPv4- en IPv6-hostnamen in SPN's.
In Windows wordt standaard geen Kerberos-verificatie voor een host uitgevoerd als de hostnaam een IP-adres is. Het zal terugvallen op andere ingeschakelde verificatieprotocollen, zoals NTLM. Toepassingen zijn echter soms vastgelegd om IP-adressen te gebruiken, wat betekent dat de toepassing terugvalt op NTLM en geen Kerberos gebruikt. Dit kan compatibiliteitsproblemen veroorzaken wanneer omgevingen worden verplaatst om NTLM uit te schakelen.
Om de impact van het uitschakelen van NTLM te verminderen, is er een nieuwe mogelijkheid geïntroduceerd waarmee beheerders IP-adressen kunnen gebruiken als hostnamen in Service Principal Names. Deze mogelijkheid is ingeschakeld op de client via een registersleutelwaarde.
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" /v TryIPSPN /t REG_DWORD /d 1 /f
Als u ondersteuning voor IP-adreshostnamen in SPN's wilt configureren, maakt u een TryIPSPN-vermelding. Deze vermelding bestaat niet standaard in het register. Nadat u de vermelding hebt gemaakt, wijzigt u de DWORD-waarde in 1. Deze registerwaarde moet worden ingesteld op elke clientcomputer die toegang nodig heeft tot met Kerberos beveiligde resources per IP-adres.
Een service-principalnaam configureren als IP-adres
Een service-principalnaam is een unieke id die wordt gebruikt tijdens Kerberos-verificatie om een service in het netwerk te identificeren. Een SPN bestaat uit een service, hostnaam en eventueel een poort in de vorm van service/hostname[:port] zoals host/fs.contoso.com. Windows registreert meerdere SPN's bij een computerobject wanneer een computer lid is van Active Directory.
IP-adressen worden normaal gesproken niet gebruikt in plaats van hostnamen, omdat IP-adressen vaak tijdelijk zijn. Dit kan leiden tot conflicten en authenticatiefouten wanneer adresleases aflopen en worden vernieuwd. Het registreren van een OP IP-adres gebaseerde SPN is daarom een handmatig proces en mag alleen worden gebruikt wanneer het onmogelijk is om over te schakelen naar een op DNS gebaseerde hostnaam.
De aanbevolen methode is het gebruik van het hulpprogrammaSetspn.exe . Houd er rekening mee dat een SPN slechts kan worden geregistreerd bij één account in Active Directory, dus het wordt aanbevolen dat IP-adressen statische leases hebben als DHCP wordt gebruikt.
Setspn -s <service>/ip.address> <domain-user-account>
Example:
Setspn -s host/192.168.1.1 server01