bir İstemci Erişimi sunucu dizisine MAPI istemci bağlantısı için Kerberos kimlik doğrulaması

  • Makale
  • Şunlara uygulanır:
    Exchange Server 2010

Özet

Bir Active Directory sitesinde birden fazla İstemci Erişim sunucusuna sahip Microsoft Exchange Server 2010 dağıtımları için, topoloji genellikle sitedeki tüm İstemci Erişimi sunucuları arasında trafiği dağıtmak için bir İstemci Erişimi sunucu dizisi ve yük dengeleme çözümü gerektirir. Exchange Server 2010'daki değişiklikler nedeniyle MAPI e-posta istemcileri, İstemci Erişimi sunucu dizisi kullanılırken posta kutusuna bağlanmak için Kerberos kimlik doğrulamasını kullanamaz. Bu davranışı geçici olarak çözmek için Microsoft Exchange Server Service Pack 1 (SP1), bir İstemci Erişimi sunucu dizisindeki MAPI e-posta istemcileri için Kerberos kimlik doğrulamasını yapılandırmanıza olanak tanıyan yeni işlevler içerir.

Kerberos kimlik doğrulamasının Exchange Server önceki sürümlerinde nasıl çalıştığı ve Exchange Server 2010'da Kerberos kimlik doğrulamasının MAPI e-posta istemcileriyle çalışmasını engelleyen değişiklikler hakkında daha fazla bilgi için Exchange Ekibi blogunda aşağıdaki blog gönderisine bakın:

Öneri: MAPI İstemcileri için Kerberos Kimlik Doğrulamasını Etkinleştirme

Ek Bilgi

İstemci Erişimi sunucusu (CAS) rolünde çalışan Microsoft Exchange Hizmet Konağı hizmeti, Kerberos kimlik doğrulaması için paylaşılan bir alternatif hizmet hesabı (ASA) kimlik bilgisi kullanmak üzere Exchange Server 2010 SP1'de genişletilir. Bu hizmet ana bilgisayar uzantısı yerel bilgisayarı izler. Kimlik bilgileri eklendiğinde veya kaldırıldığında, yerel sistemdeki Kerberos kimlik doğrulama paketi ve ağ hizmeti bağlamı güncelleştirilir. Kimlik doğrulama paketine bir kimlik bilgisi eklenir eklenmez, tüm istemci erişim hizmetleri bunu Kerberos kimlik doğrulaması için kullanabilir. İstemci Erişimi sunucusu, ASA kimlik bilgilerini kullanabilmenin yanı sıra doğrudan ele alınan hizmet isteklerinin kimliğini doğrulayabilecektir. Servicelet olarak bilinen bu uzantı varsayılan olarak çalışır ve çalıştırılması için yapılandırma veya eylem gerektirmez.

Exchange Server 2010 kuruluşunuz için aşağıdaki nedenlerle Kerberos kimlik doğrulamasını kullanmanız gerekebilir:

  • Yerel güvenlik ilkeniz için Kerberos kimlik doğrulaması gereklidir.

  • ARALıKlı NTLM hatalarına neden olan RPC İstemci Erişimi hizmetine doğrudan MAPI bağlantısı gibi NTLM ölçeklenebilirliği sorunlarıyla karşılaşıyorsunuz veya bu sorunları bekliyorsunuz.

    Büyük ölçekli müşteri dağıtımlarında NTLM, İstemci Erişimi sunucularında performans sorunlarına neden olabilir. Bu, aralıklı kimlik doğrulama hatalarına neden olabilir. NTLM kimlik doğrulaması kullanan hizmetler Active Directory gecikme süresi sorunlarına daha duyarlıdır. Bunlar, İstemci Erişimi sunucu isteklerinin hızı arttığında kimlik doğrulama hatalarına yol açar.

Kerberos kimlik doğrulamasını yapılandırmak için Active Directory ve İstemci Erişimi sunucu dizilerini ayarlama hakkında bilgi sahibi olmanız gerekir. Kerberos kimlik doğrulaması hakkında da bilgi sahibi olmanız gerekir.

Kerberos kimlik doğrulaması için ASA kimlik bilgilerini dağıtmak için aşağıdaki adımları izleyin.

ASA kimlik bilgisi olarak kullanılacak bir hesap oluşturma

İstemci Erişimi sunucu dizisindeki tüm bilgisayarlar aynı hizmet hesabını paylaşmalıdır. Bu, veri merkezi geçişinin bir parçası olarak başlatabilecek tüm İstemci Erişimi sunucularını içerir. Genel olarak, orman başına bir hizmet hesabı yeterlidir.

Bir bilgisayar hesabı etkileşimli oturum açmaya izin vermediğinden, alternatif hizmet hesabı (ASA) için kullanıcı hesabı yerine bir bilgisayar hesabı oluşturun. Bu nedenle, bir bilgisayar hesabı kullanıcı hesabından daha basit güvenlik ilkelerine sahip olabilir ve ASA kimlik bilgileri için tercih edilen çözümdür.

Bilgisayar hesabı oluşturma hakkında daha fazla bilgi için bkz. Yeni bilgisayar hesabı oluşturma.

Not

Bir bilgisayar hesabı oluşturduğunuzda parolanın süresi dolmaz. Ancak, parolayı düzenli aralıklarla güncelleştirmenizi öneririz. Yerel grup ilkesi, bilgisayar hesapları için en yüksek hesap yaşını belirtebilir ve ağ yöneticileri, geçerli ilkeleri karşılamayen bilgisayar hesaplarını düzenli aralıklarla silmek için betikler zamanlayabilir. Yerel ilkeyi karşılamazlarsa bilgisayar hesaplarınızın silinmediğinden emin olmak için bilgisayar hesaplarının parolasını düzenli aralıklarla güncelleştirin. Yerel güvenlik ilkeniz parolayı ne zaman değiştirmeniz gerektiğini belirler.

Not

Hesabı oluştururken sağladığınız parola hiçbir zaman kullanılmaz. Bunun yerine betik parolayı sıfırlar. Hesabı oluştururken, kuruluşunuzun parola gereksinimlerini karşılayan herhangi bir parolayı kullanabilirsiniz.

ASA kimlik bilgilerinin adı için belirli bir gereksinim yoktur. Adlandırma düzeninize göre herhangi bir ad kullanabilirsiniz. ASA kimlik bilgilerinin özel güvenlik ayrıcalıklarına ihtiyacı yoktur. ASA kimlik bilgileri için bir bilgisayar hesabı dağıtıyorsanız, bu hesabın yalnızca Domain Computers güvenlik grubunun üyesi olması gerektiği anlamına gelir. ASA kimlik bilgileri için bir kullanıcı hesabı dağıtıyorsanız, bu hesabın yalnızca Etki Alanı Kullanıcıları güvenlik grubunun üyesi olması gerektiği anlamına gelir.

Alternatif hizmet hesabı kimlik bilgileriyle ilişkilendirilecek SPN'leri belirleme

Alternatif hizmet hesabını oluşturduktan sonra, ASA kimlik bilgileriyle ilişkilendirilecek Exchange hizmet asıl adlarını (SPN' ler) belirlemeniz gerekir. SPN değerleri, tek tek sunucular yerine ağ yük dengeleyicide kullanılan hizmet adıyla eşleşecek şekilde yapılandırılmalıdır. Exchange SPN'lerinin listesi yapılandırmanıza göre değişiklik gösterebilir, ancak listede en az aşağıdakiler bulunmalıdır:

  • http Exchange Web Services, Çevrimdışı Adres Defteri indirmeleri ve Otomatik Bulma hizmeti için bu SPN'yi kullanın.
  • exchangeMDB BU SPN'i RPC İstemci Erişimi için kullanın.
  • exchangeRFR Bu SPN'yi Adres Defteri hizmeti için kullanın.
  • exchangeAB Bu SPN'yi Adres Defteri hizmeti için kullanın.

Küçük bir işletme için büyük olasılıkla tek bir Active Directory sitesinden daha büyük bir siteniz olmayacaktır. Örneğin, tek bir Active Directory siteniz aşağıdaki diyagrama benzeyebilir.

Tek bir Active Directory sitesi içeren küçük bir işletmenin ekran görüntüsü.

Bu örnekte kullanacağınız SPN'leri belirlemek için, önceki çizimde iç Outlook istemcileri tarafından kullanılan tam etki alanı adlarına (FQDN) bakmamız gerekir. Bu örnekte, ASA kimlik bilgilerine aşağıdaki SPN'leri dağıtacaksınız:

  • http/mail.corp.contoso.com
  • http/autod.corp.contoso.com
  • exchangeMDB/outlook.corp.contoso.com
  • exchangeRFR/outlook.corp.contoso.com
  • exchangeAB/outlook.corp.contoso.com

Not

Outlook Anywhere kullanan dış veya İnternet tabanlı istemciler Kerberos kimlik doğrulamasını kullanmaz. Bu nedenle, bu istemcilerin SPN olarak kullandığı FQDN'leri ASA kimlik bilgilerine eklemeniz gerekmez.

Siteniz tek bir Active Directory sitesinden büyükse, Load-Balanced İstemci Erişim Sunucuları için Kerberos Kimlik Doğrulamasını Yapılandırma konusunda daha fazla örnek görebilirsiniz.

OAB sanal dizinini bir uygulamaya dönüştürme

Çevrimdışı adres defteri (OAB) sanal dizini bir web uygulaması değil. Bu nedenle, Microsoft Exchange Hizmeti Ana Bilgisayar hizmeti tarafından denetlenmiyor. Sonuç olarak, ASA kimlik bilgileri OAB sanal dizinine yönelik Kerberos kimlik doğrulama isteklerinin şifresini çözemez.

OAB sanal dizinini bir IIS web uygulamasına dönüştürmek için her CAS üyesinde ConvertOABVDir.ps1 betiğini yürütün. Betik ayrıca OAB sanal dizini için MSExchangeOabAppPool adlı yeni bir uygulama havuzu oluşturur. Betiği indirmek için Microsoft Betik Merkezi'nin ConvertOABDir.ps1 sayfasına gidin.

CAS üyelerine ASA kimlik bilgilerini dağıtma

Exchange Server 2010 SP1, ASA kimlik bilgilerinin dağıtımını etkinleştirmek için bir betik içerir. Betik RollAlternateServiceAccountPassword.ps1 olarak adlandırılır ve Betikler dizininde bulunur.

Betiği kullanarak kimlik bilgilerini ormandaki tüm İstemci Erişimi sunucularına ilk kez kurulum için göndermek için şu adımları izleyin:

  1. Exchange Yönetim Kabuğu'nda aşağıdaki komutu çalıştırın:

    .\RollAlternateserviceAccountPassword.ps1 -ToEntireForest -GenerateNewPasswordFor "Your_Domain_Name\Computer_Account_Name$" -Verbose

  2. "Exchange-RollAsa" adlı ayda bir kez otomatik parola dağıtımı zamanlanmış görevi zamanlamak için aşağıdaki komutu çalıştırın. Bu komut zamanlanmış görev, ormandaki tüm İstemci Erişimi sunucuları için ASA kimlik bilgilerini betik tarafından oluşturulan yeni bir parolayla güncelleştirir. Zamanlanmış görev oluşturulur, ancak betik çalıştırılmaz. Zamanlanan görev çalıştırıldığında, betik katılımsız modda çalışır.

    .\RollAlternateServiceAccountPassword.ps1 -CreateScheduledTask "Exchange-RollAsa" -ToEntireForest -GenerateNewPasswordFor "Your_Domain_Name\Computer_Account_Name$"

RollAlternateserviceAccountPassword.ps1 betiğini kullanma hakkında daha fazla bilgi için bkz . Kabukta RollAlternateserviceAccountPassword.ps1 Betiğini Kullanma .

ASA kimlik bilgilerinin dağıtımını doğrulama

Exchange Yönetim Kabuğu'nda aşağıdaki komutu çalıştırarak İstemci Erişimi sunucularındaki ayarları denetleyin: Get-ClientAccessServer -IncludeAlternateServiceAccountCredentialStatus | fl name,*alter*

Bu komutun sonucu şuna benzer:

Name : CASAAlternateServiceAccountConfiguration : Latest: 8/2/2010 3:48:38 PM, contoso\newSharedServiceAccountName$ Previous: <Not set>Name : CASBAlternateServiceAccountConfiguration : Latest: 8/2/2010 3:48:51 PM, contoso\newSharedServiceAccountName$ Previous: <Not set>

SPN'leri ASA kimlik bilgileriyle ilişkilendirme

SPN'leri yapılandırmadan önce, hedef SPN'lerin ormandaki farklı bir hesapta yapılandırılmadığından emin olun. ASA kimlik bilgileri, ormanda bu SPN'lerin ilişkilendirildiği tek hesap olmalıdır. Bir komut istemi açıp setspn komutunu –q ve –f parametreleriyle çalıştırarak ormandaki başka hiçbir hesabın kendisiyle ilişkilendirilmiş SPN'leri olmadığını doğrulayabilirsiniz. Aşağıdaki örnekte bu komutun nasıl çalıştırılacakları gösterilmektedir. Komut hiçbir şey döndürmemelidir. Bir değer döndürürse, kullanmak istediğiniz SPN ile zaten başka bir hesap ilişkilendirilir.

Not

Windows Server 2008 çalıştıran bilgisayarlarda setspn komutuyla birlikte orman genelinde yinelenen denetim parametresini (-f) kullanabilirsiniz.

Setspn -q -f exchangeMDB/outlook.**domain.domain.domain_root**

Bu komutta exchangeMDB/outlook.domain.domain.domain_root , exchangeMDB/outlook.corp.contoso.com gibi RPC İstemci Erişimi için SPN'nin SPN'sini oluşturur.

Aşağıdaki komut, paylaşılan ASA kimlik bilgisinde SPN'lerin nasıl ayarlandığını gösterir. Tanımladığınız her hedef SPN için bu söz dizimi ile setspn komutunu bir kez çalıştırmanız gerekir.

Setspn -S exchangeMDB/outlook.corp.contoso.com contoso\newSharedServiceAccountName$

SPN'leri ayarladıktan sonra, aşağıdaki komutu çalıştırarak bunların eklendiğini doğrulayın.

Setspn -L contoso\newSharedServiceAccountName

Kerberos'ı başarıyla yapılandırdıktan ve RollAlternateServiceAccountPasswordl.ps1 betiğini dağıttığınızda, istemci bilgisayarların başarıyla kimlik doğrulaması yapabileceklerini doğrulayın.

Microsoft Exchange Hizmet Konağı hizmetinin çalıştığını doğrulayın

Ortamınızdaki tüm İstemci Erişimi sunucularına Exchange Server 2010 SP1 Toplaması 3 veya sonraki bir sürümü yüklediğinizden emin olun. İstemci Erişimi sunucularındaki Microsoft Exchange Service Host hizmeti, ASA kimlik bilgilerini yönetmekle sorumludur. Bu hizmet çalışmıyorsa Kerberos kimlik doğrulaması çalışmaz. Varsayılan olarak, hizmet bilgisayar başlatıldığında otomatik olarak başlatacak şekilde yapılandırılır. Hizmetin çalıştığını doğrulamak için şu adımları izleyin:

  1. CAS'de Hizmetler'i açın. Hizmetler'i açmak için Başlat'a tıklayın, Denetim Masası'a tıklayın, Yönetimsel Araçlar'a çift tıklayın ve ardından Hizmetler'e çift tıklayın.
  2. Hizmet listesinde Microsoft Exchange Hizmeti Ana Bilgisayarı hizmetini bulun.
  3. Durum sütununda, durumun Başlatıldı olduğunu doğrulayın. Hizmet başlatılmazsa , Microsoft Exchange Hizmet Konağı hizmeti'ne sağ tıklayın ve ardından Başlat'a tıklayın. Hizmeti otomatik olarak başlatacak şekilde yapılandırmak için, Microsoft Exchange Hizmeti Ana Bilgisayarı hizmetine sağ tıklayın, Özellikler'e tıklayın, Başlangıç türü listesinde Otomatik'etıklayın ve ardından Tamam'a tıklayın.
    Outlook'tan kimlik doğrulamayı doğrulama

Outlook'un İstemci Erişimi sunucularına bağlanmak için Kerberos kimlik doğrulamasını kullanabileceğini onaylamak için şu adımları izleyin:

  1. Outlook'un doğru yük dengeli İstemci Erişimi sunucu dizisine işaret etmek üzere yapılandırıldığını onaylayın.
  2. Oturum açma ağı güvenliği Anlaşma Kimlik Doğrulaması'nı kullanmak için e-posta hesabı sunucusu güvenlik ayarlarını yapılandırın. Not İstemciyi Kerberos Parola Kimlik Doğrulaması kullanacak şekilde yapılandırabilirsiniz, ancak SPN'ler kaldırılırsa, kimlik doğrulama mekanizmasını Yeniden Anlaşma Kimlik Doğrulaması olarak değiştirene kadar istemci bilgisayarlar kimlik doğrulaması yapamaz.
  3. İstemci bilgisayar için Outlook Anywhere'in etkinleştirilmediğinden emin olun. Outlook, Kerberos Parola Kimlik Doğrulaması kullanarak kimlik doğrulaması yapamazsa, Her Yerden Outlook'a geri dönmeye çalışır, bu nedenle bu test için Outlook Anywhere devre dışı bırakılmalıdır.
  4. Outlook'u yeniden başlatın.
  5. Masaüstü bilgisayarınız Windows 7 çalıştırıyorsa, hangi Kerberos biletlerinin verildiğini ve kullanıldığını görmek için klist.exe çalıştırabilirsiniz. Windows 7 kullanmıyorsanız Windows Server 2003 Kaynak Seti'nden klist.exe edinebilirsiniz.

Ek Kaynaklar

Bu sorun ve sorunu geçici olarak çözme hakkında ayrıntılı bilgi için aşağıdaki TechNet makalesine bakın:

Kerberos'un İstemci Erişim Sunucusu Dizisi veya Load-Balancing Çözümü ile Kullanılması

Yük dengeli istemci erişim sunucularında Kerberos kimlik doğrulamasını kullanma hakkında daha fazla bilgi için aşağıdaki TechNet makalesine bakın:

Load-Balanced İstemci Erişim Sunucuları için Kerberos Kimlik Doğrulamasını Yapılandırma