Teď jste offline a čekáte, až se znova připojí internet.

Ověřování protokolem Kerberos pro připojení klienta MAPI do pole server Client Access

Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.

Projděte si také anglickou verzi článku: 2688772
Pokud zákazník Small Business, najít další řešení potíží a studijní materiály na Podpora pro malé firmy na webu.
Souhrn
Topologie pro nasazení Microsoft Exchange Server 2010, které mají více než jeden server Client Access v lokality služby Active Directory, často vyžaduje pole Client Access server a řešení vyrovnávání zatížení distribuovat přenosy mezi servery Client Access v lokalitě. Z důvodu změn v roce 2010 Exchange Server nastavení e-mailových klientů MAPI nelze použít ověřování Kerberos při použití serveru Client Access pole připojit k poštovní schránce. Chcete-li toto chování obejít, Microsoft Exchange Server Service Pack 1 (SP1) obsahuje novou funkci, která umožňuje konfigurovat ověřování protokolem Kerberos pro e-mailových klientů MAPI v poli server Client Access.

Další informace o způsobu ověřování pomocí protokolu Kerberos odpracovaných v dřívějších verzích Exchange Server a změny v Exchange Server 2010, které znemožní protokolu Kerberos z práce s e-mailových klientů MAPI naleznete následující blog vystavit na serveru Exchange Team blog:

Doporučení: Povolení ověřování pomocí protokolu Kerberos pro klienty MAPI 
Další informace
Hostitele služby Microsoft Exchange service, spuštěné role Client Access server (CAS) je rozšířen v Exchange Server 2010 SP1 pomocí pověření účtu (ASA) alternativní sdílené služby pro ověřování pomocí protokolu Kerberos. Toto rozšíření hostitele služby sleduje v místním počítači. Při přidání nebo odebrání pověření je aktualizován balíček pro ověřování Kerberos na místním systému a služby místní sítě. Jakmile pověření přidán ověřovací balíček, všechny služby přístupu klienta lze použít pro ověřování pomocí protokolu Kerberos. Na serveru Client Access také budou moci ověřovat požadavky služby adresovány přímo k možné použít pověření ASA. Toto rozšíření známé jako serviceletve výchozím nastavení spuštěna a nevyžaduje žádné konfigurace nebo akci.


Bude pravděpodobně nutné použít ověřování protokolem Kerberos pro organizaci 2010 Exchange Server z následujících důvodů:
 • Ověřování pomocí protokolu Kerberos je vyžadován u místních zásad zabezpečení.
 • Při vzniku nebo očekává NTLM škálovatelnost problémy, jako je například přímé připojení rozhraní MAPI služby přístupu klientů RPC způsobuje Občasné selhání NTLM.
  V implementace rozsáhlých zákazníků může způsobit NTLM problémových míst na serverech přístupu klienta. Může dojít k chybám přerušovaného ověřování. Služby, které používají ověřování NTLM jsou citlivější na problémy latence služby Active Directory. Tyto vést k selhání ověřování, když rychlost serveru Client Access požaduje zvýšení.
Chcete-li nakonfigurovat ověřování protokolem Kerberos, musí být obeznámeni s Active Directory a jak nastavit pole serveru Client Access. Je také nutné pracovní znalost ověřování pomocí protokolu Kerberos.

Chcete-li nasadit ASA pověření pro ověřování Kerberos, postupujte takto.


Vytvořit účet, který chcete použít jako ASA pověření
Všechny počítače v poli server Client Access sdílejí stejný účet služby. To zahrnuje všechny servery přístupu klienta začínají jako součást přepnutí datacenter. Obecně stačí jeden účet služby jedné doménové struktuře.

Vytvořte účet počítače namísto uživatelského účtu pro účet služby alternativní (ASA), protože účet počítače neumožňuje použití interaktivní přihlašování. Účet počítače proto může být jednodušší zásady zabezpečení než uživatelského účtu a je preferovaným řešením pro ASA pověření.

Další informace o vytváření účtu počítače nalezneteVytvoření nového účtu počítače.


Poznámka: Při vytváření účtu počítače hesla nevyprší. Doporučujeme však pravidelně aktualizovat heslo. Místní Zásady skupiny lze určit stáří maximální účtu pro účty počítačů a správci sítě mohou plánovat pravidelně odstraňovat účty počítače, které nesplňují aktuální zásady skriptů. Chcete-li se ujistit, že počítačové účty nejsou odstraněny, pokud splňují místní zásady, pravidelně aktualizujte heslo pro účty počítačů. Určuje místních zásad zabezpečení při musí změnit heslo.

Poznámka: Heslo, které zadáte při vytvoření účtu se používá ve skutečnosti nikdy. Místo toho skript resetuje heslo. Při vytváření účtu můžete použít žádné heslo, které splňuje požadavky na heslo vaší organizace.

Neexistují žádné zvláštní požadavky na název ASA pověření. Můžete použít libovolný název, který sleduje vaše schéma pojmenování. ASA pověření potřebuje zvláštní oprávnění. Pokud nasazujete ASA pověření pro účet počítače, znamená to, že účet pouze musí být členem skupiny zabezpečení Domain Computers. Pokud nasazujete ASA pověření pro uživatelský účet, to znamená, že účet pouze musí být členem skupiny zabezpečení Domain Users.

Určení SPN přidružit pověření účtu alternativní služba

Po vytvoření účtu služby alternativní musí určit Exchange hlavní názvy služeb (SPN), které budou spojeny s ASA pověření. SPN hodnoty musí být nakonfigurován tak, aby odpovídal název služby, který je použit pro vyrovnávání zatížení sítě a místo na jednotlivých serverech. Seznam názvů SPN Exchange mohou lišit v závislosti na konfiguraci, ale v seznamu obsahovat alespoň následující:
 • http Použijte tento hlavní název služby pro webové služby Exchange a stažení adresáře Offline Autodiscover service.
 • exchangeMDB Tento hlavní název služby použijte pro přístup klienta vzdáleného volání Procedur.
 • exchangeRFR Použijte tento hlavní název služby pro službu adresář.
 • exchangeAB Použijte tento hlavní název služby pro službu adresář.
Pro malé firmy pravděpodobně nebudete mít nic větší než jedna síť služby Active Directory. Jeden web služby Active Directory může vypadat například následujícím diagramu.Chcete-li zjistit názvy SPN, které použijete v tomto příkladu jsme musí prohlédnout názvy domény (FQDN), použité interní klienti aplikace Outlook v předchozí ukázce. V tomto příkladu by nasadit následující názvy SPN na ASA pověření:
 • http/mail.corp.contoso.com
 • http/autod.corp.contoso.com
 • exchangeMDB/outlook.corp.contoso.com
 • exchangeRFR/outlook.corp.contoso.com
 • exchangeAB/outlook.corp.contoso.com
Poznámka: Externí síť nebo Internet klienti, kteří používají aplikaci Outlook Anywhere nebudete používat ověřování pomocí protokolu Kerberos. Proto nemusíte přidávat názvy FQDN, které tito klienti použít jako názvy SPN ASA pověření.

Pokud váš web je větší než jedna síť Active Directory, můžete zobrazit další příklady v tématu Konfigurace ověřování protokolem Kerberos pro vyrovnávání zatížení serverů.

Virtuální adresář OAB převést do aplikace

Virtuální adresář offline address book (OAB) není webové aplikace. Proto jej není řízen hostitele služby Microsoft Exchange service. Výsledkem ASA pověření nelze dešifrovat požadavky na virtuální adresář OAB ověření Kerberos.

Chcete-li převést OAB virtuálního adresáře pro webové aplikace služby IIS, spusťte skript ConvertOABVDir.ps1 na každý člen CAS. Skript bude také vytvořit nový fond aplikací pro virtuální adresář OAB s názvem MSExchangeOabAppPool. Skript stáhnout, přejděteConvertOABDir.p s1stránka na webu Microsoft Script Center.

Nasazení pověření ASA členům CAS

Exchange Server 2010 SP1 obsahuje skript umožňující nasazení ASA pověření. Skript s názvem RollAlternateServiceAccountPassword.ps1 a je umístěn v adresáři skripty.

Chcete-li použít skript k replikaci na všechny servery přístupu klienta v doménové struktuře, první instalace pověření, postupujte takto:

 1. V prostředí Exchange Management Shell spusťte následující příkaz:
  .\RollAlternateserviceAccountPassword.ps1 -ToEntireForest -GenerateNewPasswordFor "Your_Domain_Name\Computer_Account_Name$" -Verbose
 2. Následující příkaz naplánovat naplánované úlohy automatizované heslo jednou měsíc role nazvané "Exchange RollAsa." Tento příkaz naplánované úlohy bude aktualizovat heslo nové, generovaný skript ASA pověření pro všechny servery přístupu klienta v doménové struktuře. Vytvoření naplánované úlohy, ale nebyl spuštěn skript. Při spuštění naplánované úlohy skript spuštěn v bezobslužném režimu.
  .\RollAlternateServiceAccountPassword.ps1 -CreateScheduledTask "Exchange-RollAsa" -ToEntireForest -GenerateNewPasswordFor "Your_Domain_Name\Computer_Account_Name$"

Další informace o použití skriptu RollAlternateserviceAccountPassword.ps1 viz Pomocí skriptu RollAlternateserviceAccountPassword.ps1 v prostředí.

Ověření pověření ASA nasazení

V prostředí Exchange Management Shell spusťte následující příkaz zkontrolovat nastavení na serverech přístupu klienta: GET-ClientAccessServer - IncludeAlternateServiceAccountCredentialStatus | název FL * měnit *

V důsledku tohoto příkazu bude vypadat toto:

Název: CASAAlternateServiceAccountConfiguration: nejnovější: 2/8/2010 3: 48: 38 PM, contoso\newSharedServiceAccountName$ předchozí: název <Not set="">: CASBAlternateServiceAccountConfiguration: nejnovější: 2/8/2010 3: 48: 51 PM, contoso\newSharedServiceAccountName$ předchozí:<Not set="">

</Not></Not>Přidružit pověření ASA SPN

Před konfigurací SPN Ujistěte se, že cíl SPN nejsou již nakonfigurována na jiný účet v doménové struktuře. ASA pověření musí být v doménové struktuře, se kterým tyto názvy SPN jsou přiřazeny pouze účet. Ověřte, že nemá žádný účet v doménové struktuře SPN přidružen otevřením příkazového řádku a spuštěnímsetspn příkaz se –q a –fParametry. Následující příklad ukazuje, jak tento příkaz Spustit. Příkaz žádnou akci zpět. Vrátí hodnotu, již spojené s hlavní název služby, kterou chcete použít jiný účet.

Poznámka: Můžete použít pouze kontrola duplicitních široké parametr doménové struktury (-f) spolu s příkazem setspn v počítačích se systémem Windows Server 2008.

Setspn - q -f exchangeMDB nebo outlook.Domain.domain.domain_root

V tomto příkazu exchangeMDB/outlook.domain.domain.domain_root například je SPN z hlavní název služby pro přístup klienta vzdáleného volání Procedur exchangeMDB/outlook.corp.contoso.com.

Následující příkaz ukazuje, jak lze nastavit názvy SPN u sdílených ASA pověření. Je nutné spustit příkaz setspn s následující syntaxí jednou pro každý cíl SPN, který určíte.

Setspn -S exchangeMDB/outlook.corp.contoso.com contoso\newSharedServiceAccountName$

Po nastavení SPN ověřte, byly přidány pomocí následujícího příkazu.

Setspn -L contoso\newSharedServiceAccountName

Po úspěšně konfigurovat protokol Kerberos a nasazení skriptu RollAlternateServiceAccountPasswordl.ps1 ověřte klientských počítačů lze ověřit úspěšně.

Ověřte, zda je spuštěna služba Microsoft Exchange Service Host

Zkontrolujte, zda nainstalované Exchange Server 2010 SP1 aktualizace 3 nebo novější na všech serverech Client Access v prostředí. Hostitele služby Microsoft Exchange service na serverech přístupu klienta je zodpovědná za správu ASA pověření. Pokud není spuštěna služba, ověřování pomocí protokolu Kerberos nebude fungovat. Ve výchozím nastavení je služba nakonfigurována pro automatické spuštění při spuštění počítače. Chcete-li ověřit, zda je služba spuštěna, postupujte takto:
 1. Otevření služby CÚ. Chcete-li otevřít okno služby, klepněte na tlačítko Spustit, klepněte na tlačítko Ovládací panely, poklepejte na Nástroje pro správua potom poklepejte na Služby.
 2. V seznamu služeb vyhledejte službu hostitele služby Microsoft Exchange.
 3. V Stav sloupec, ověřte, zda je stav started. Pokud služba není spuštěna, klepněte pravým tlačítkem myši Hostitele služby Microsoft Exchange servicea klepněte na tlačítko Spustit. Chcete-li konfigurovat službu spustit automaticky, klepněte pravým tlačítkem myši Hostitele služby Microsoft Exchange service, klepněte na tlačítko Vlastnosti, klepněte na tlačítko AutomatickévTyp spouštěníseznam a potom klepněte na tlačítko OK.
Ověřit ověřování z aplikace Outlook

Chcete-li potvrdit, aplikace Outlook můžete připojit k serverům pro přístup klientů ověřování pomocí protokolu Kerberos, postupujte takto:

 1. Potvrďte, že je aplikace Outlook nakonfigurována pro správné vyváženého přístupu klienta serveru matice.
 2. Konfigurujte nastavení zabezpečení e-mailu účtu serveru síťového zabezpečení přihlášení Ověřování Negotiate.
  Poznámka:Nelze konfigurovat klienta k použití Ověření hesla Kerberos, ale pokud názvy SPN někdy odebrán, klientské počítače nebude moci ověřit, dokud změňte mechanismus ověřování zpět na Ověřování Negotiate.
 3. Ujistěte se, že Outlook vždy není povolen pro klientský počítač. Aplikace Outlook nemůže ověřit pomocí ověření hesla Kerberos, pokusí návratu k Outlook vždy tak Outlook vždy by mělo být zakázáno pro tento test.
 4. Restartujte aplikaci Outlook.
 5. Pokud počítač se systémem Windows 7, můžete spustit klist.exe na viz Kerberos, které jsou udělena lístky a jsou používány. Pokud nejsou systémem Windows 7, můžete získat klist.exe Windows Server 2003 Resource Kit.


Další zdroje
Podrobné informace o tomto problému a jeho řešení naleznete v následujícím článku na webu TechNet:

Pole Server přístupu klienta nebo řešení vyrovnávání zatížení pomocí protokolu Kerberos

Další informace o ověřování pomocí protokolu Kerberos na Vyrovnávání zatížení serverů naleznete v následujícím článku na webu TechNet:

Konfigurace ověřování protokolem Kerberos pro vyrovnávání zatížení serverů  

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 2688772 - Poslední kontrola: 05/31/2012 23:15:00 - Revize: 1.0

Microsoft Exchange Server 2010 Service Pack 1

 • kbsurveynew kbmt KB2688772 KbMtcs
Váš názor