Autentificarea Kerberos pentru MAPI client conectare la o matrice de server de acces clienţi

IMPORTANT: Acest articol a fost tradus de software-ul de traducere automată Microsoft, si nu de un traducător. Microsoft vă oferă atât articole traduse de persoane, cât şi articole traduse automat, astfel incat aveti access la toate articolele din Baza noastră de informatii în limba dvs. materna. Totuşi, un articol tradus automat nu este întotdeauna perfect. Acesta poate conţine greşeli de vocabular, sintaxă sau gramatică, la fel cum un vorbitor străin poate face greşeli vorbind limba dvs. materna. Compania Microsoft nu este responsabilă pentru nici o inexactitate, eroare sau daună cauzată de traducerea necorespunzătoare a conţinutului sau de utilizarea traducerii necorespunzătoare de către clienţii nostri. De asemenea, Microsoft actualizează frecvent software-ul de traducere automată.

Faceți clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 2688772
Dacă sunteţi un client de afaceri mici, găsi suplimentare de depanare şi de resurse la de învăţare Suport pentru afaceri mici site-ul.
REZUMAT
Pentru Microsoft Exchange Server 2010 deployments care au mai mult de un server de Acces clienţi un site Active Directory, topologie frecvent necesită o gamă de server de acces clienţi şi o soluţie load-balancing pentru a distribui trafic printre toate serverele accesul Client în site-ul. Schimbărilor în Exchange Server 2010, MAPI poştă electronică clients nu utilizează autentificarea Kerberos pentru a vă conecta la o cutie poştală când este utilizată o matrice de server de acces clienţi. Pentru a rezolva acest comportament, Microsoft Exchange Server pachet Service Pack 1 (SP1) include funcţionalităţi noi care vă permite să vă configuraţi autentificarea Kerberos pentru clienţii de poştă electronică MAPI într-o gamă de server de acces clienţi.

Pentru mai multe informaţii despre modul în care autentificarea Kerberos lucrat în versiunile anterioare de Exchange Server şi despre modificările în Exchange Server 2010 care împiedică autentificarea Kerberos la lucru cu clienţii de poştă electronică MAPI, consultaţi următorul post blog-ul pe blogul echipei de schimb:

Recomandare: Care să permită autentificarea Kerberos pentru clientii MAPI 
INFORMAŢII SUPLIMENTARE
Serviciul Microsoft Exchange serviciu gazdă care ruleaza pe Rol de server Acces clienţi (CAS) este extinsă în Exchange Server 2010 SP1 pentru a utiliza o acreditare cont (ASA) partajate serviciu alternativ pentru autentificarea Kerberos. Această extensie de gazdă serviciu monitorizează computer local. Când acreditări sunt adăugate sau eliminate, pachetul de autentificare Kerberos pe sistemul local şi contextul network service este actualizată. De îndată ce o acreditare este adăugat la pachetul de autentificare, Toate serviciile de acces client o poate utiliza pentru autentificarea Kerberos. Serverul de acces clienţi, de asemenea, va fi capabil de a autentifica serviciu cererilor adresate direct în afară de a fi capabil la spre folos acreditare ASA. Această extensie, cunoscut ca o servicelet, rulează implicit şi nu necesită configurare sau acţiune pentru a rula.


Trebuie să utilizaţi autentificarea Kerberos pentru organizaţia Exchange Server 2010 pentru următoarele motive:
  • Autentificarea Kerberos este necesar pentru dumneavoastră politică de securitate locală.
  • Sunteţi întâmpină sau aşteaptă NTLM scalabilitate probleme, cum ar fi conectivitate MAPI directă la serviciul RPC Client Access care cauzează intermitentă NTLM eşecuri.
    În dislocărilor pe scară largă client, NTLM poate provoca blocaje pe serverele accesul Client. Acest lucru poate cauza erori de autentificare intermitentă. consolidare servicii care utilizează autentificare NTLM sunt mai sensibile la probleme de latenta Active Directory. Aceste conduce la eşecuri de autentificare atunci când rata de server de acces clienţi solicită creşte.
Pentru a configura autentificarea Kerberos, trebuie să fie familiarizat cu Active Directory şi cum să setaţi server de Acces clienţi matrice. De asemenea, trebuie să aveţi un cunoștințe de autentificare Kerberos.

Pentru a implementa acreditare ASA pentru autentificarea Kerberos, urmaţi aceşti paşi.


Creaţi un cont pentru a utiliza ca acreditare ASA
Toate computerele în server de Acces clienţi matrice trebuie să împartă acelaşi cont serviciu. Aceasta include orice fermă de servere de acces clienţi care poate începe ca parte a o comutarea datacenter. În general, un cont de serviciu pe pădure este suficientă.

Creați un cont de computer în loc de un cont de utilizator pentru contul de serviciu alternativ (ASA), deoarece un cont de computer nu permite conecta interactiv. Prin urmare, un cont de computer poate avea politicilor de securitate mai simplu decât un cont de utilizator şi este soluţia preferat pentru acreditare ASA.

Pentru mai multe informaţii despre cum se creează un cont de computer, consultaţiCreaţi un cont nou de computer.


Notă: Atunci când creaţi un cont de computer, parola nu expiră. Cu toate acestea, se recomandă că actualizaţi parola periodic. Politică de grup local poate specifica o vârstă maximă cont pentru conturile de calculator, şi administratorii de reţea pot programa scripts la spre a şterge periodic conturile de calculator care nu îndeplinesc politicile actuale. Pentru a vă asigura că conturile de calculator nu sunt şterse dacă acestea nu îndeplinesc politica locală, actualizaţi parola pentru conturile de calculator periodic. Dumneavoastră politică de securitate locală va determina dacă trebuie să modificaţi parola.

Notă: Parola pe care le furnizaţi când creaţi contul nu este utilizat. În schimb, script-ul reiniţializează parola. Atunci când creaţi contul, puteţi utiliza orice password care îndeplineşte cerinţele Organizaţiei parola.

Nu există cerințe specifice pentru nume de sign-in de acreditare ASA. Se poate utiliza orice nume care urmează schema de numire. Acreditare ASA nu are nevoie de privilegii speciale de securitate. Dacă implementaţi un computer cont pentru acreditare ASA, acest lucru înseamnă că contul numai trebuie să fie un membru al grupului de securitate domeniu computere. Dacă implementaţi un cont de utilizator pentru acreditare ASA, acest lucru înseamnă că contul numai trebuie să fie un membru al grupului de securitate domeniu utilizatorilor.

Determina SPNs să se asocieze cu acreditare de cont serviciu alternativ

După ce aţi creat contul de serviciu alternativ, trebuie să determinaţi schimb nume principal serviciu (SPNs) care va fi asociat cu acreditările ASA. Valorile SPN trebuie să fie configurat să se potrivească cu nume de sign-in de serviciu care este folosit pe reţea balancer în loc de pe serverele individuale de. Listă tabel de schimb SPNs poate varia în funcţie de configuraţia dumneavoastră, dar Listă tabel ar trebui să includă cel puțin următoarele:
  • http Utilizaţi acest SPN pentru consolidare servicii web pentru Exchange, Offline Address Book Download-uri, şi Serviciu de descoperire automată.
  • exchangeMDB Utilizaţi acest SPN pentru RPC Client Access.
  • exchangeRFR Utilizaţi acest SPN pentru serviciul de agendă.
  • exchangeAB Utilizaţi acest SPN pentru serviciul de agendă.
Pentru o afacere mică, probabil, nu veţi aveţi ceva mai mare decât un singur site Active Directory. De exemplu, site-ul dumneavoastră unică Active Directory pot semăna cu diagrama de mai jos.



Pentru a determina SPNs care ar trebui să utilizaţi în acest exemplu, trebuie să privim nume de domeniu complet (FQDNs), care sunt utilizate de către clienţii Outlook interne în ilustraţia precedentă. În acest exemplu, va implementa SPNs următoarele pe acreditare ASA:
  • http/mail.corp.contoso.com
  • http/autod.corp.contoso.com
  • exchangeMDB/outlook.corp.contoso.com
  • exchangeRFR/outlook.corp.contoso.com
  • exchangeAB/outlook.corp.contoso.com
Notă: Clientii externe sau bazate pe Internet, care utilizează Outlook oriunde nu vor utiliza autentificare Kerberos. Prin urmare, nu trebuie să adăugaţi FQDNs că acestor clienţi utilizaţi ca SPNs pentru acreditare ASA.

Dacă site-ul dumneavoastră este mai mare decât un singur site Active Directory, puteţi vedea mai multe exemple de subiect Configurarea autentificarea Kerberos pentru încărcare echilibrată serverele accesul Client.

Conversia directorul virtual OAB unei cereri

Directorul virtual de carte (OAB) adresa offline nu este o aplicaţie web. Prin urmare, nu este controlat de serviciul Microsoft Exchange serviciu gazdă. Ca rezultat, acreditare ASA nu poate decripta cererile de autentificare Kerberos la directorul virtual OAB.

Pentru a converti directorul virtual OAB la o aplicaţie web IIS, executa script-ul ConvertOABVDir.ps1 pe fiecare membru CAS. Script-ul, de asemenea, va crea un nou rezervor de aplicaţii numit MSExchangeOabAppPool pentru directorul virtual OAB. Pentru a descărca script-ul, du-te laConvertOABDir.p s1pagina de la centrul de Script Microsoft.

Implementarea acreditare ASA membrilor CAS

Exchange Server 2010 SP1 include un script pentru a permite desfășurarea de acreditare ASA. Script-ul este numit RollAlternateServiceAccountPassword.ps1 și este situat în directorul script-uri.

Pentru a utiliza script-ul pentru a împinge acreditare la toate serverele accesul Client în pădure pentru prima dată program de instalare, urmaţi aceşti paşi:

  1. În Componentă de administrare Exchange, executaţi următoarea comandă:
    .\RollAlternateserviceAccountPassword.ps1 -ToEntireForest -GenerateNewPasswordFor "Your_Domain_Name\Computer_Account_Name$" -Verbose
  2. Executaţi următoarea comandă pentru a programa un o dată-un-lună automat parola roll activitate programată, numit "Schimb-RollAsa." Această sarcină programată de comandă va actualiza acreditare ASA pentru toate serverele accesul Client în pădure cu o parolă nouă, generate de script. Activitate programată este creat, dar nu se execută scriptul. Atunci când se execută sarcina planificată, script-ul se execută în modul nesupravegheat.
    .\RollAlternateServiceAccountPassword.ps1 -CreateScheduledTask "Exchange-RollAsa" -ToEntireForest -GenerateNewPasswordFor "Your_Domain_Name\Computer_Account_Name$"

Pentru mai multe informaţii despre cum se utilizează scriptul RollAlternateserviceAccountPassword.ps1, vedea Folosind script-ul RollAlternateserviceAccountPassword.ps1 în coajă.

Verifica desfăşurarea de acreditare ASA

În Componentă de administrare Exchange, executaţi următoarea comandă pentru a verifica setările de pe serverele accesul Client: Get-ClientAccessServer - IncludeAlternateServiceAccountCredentialStatus | nume de sign-in FL, * modificarea *

Rezultatul comenzii va asemăna cu acest lucru:

Nume: CASAAlternateServiceAccountConfiguration: ultimele: 8/2/2010 3: 48: 38 PM contoso\newSharedServiceAccountName$ anterior: <Not set="">numele: CASBAlternateServiceAccountConfiguration: ultimele: 8/2/2010 3: 48: 51 PM contoso\newSharedServiceAccountName$ anterioare:<Not set="">

</Not></Not>SPNs asociat cu acreditare ASA

Înainte de a vă configura SPNs, asiguraţi-vă că ţintă SPNs nu sunt deja configurat pe un alt cont în pădure. Acreditare ASA trebuie să fie în contul numai în pădure cu care aceste SPNs sunt asociate. Puteţi verifica că nici un alt cont din Pădurea a SPNs asociate de deschidere un virgulă prompt şi să fie difuzatesetspn comanda cu –q şi –fparametrii. Următorul exemplu arată cum să executaţi această comandă. Comanda trebuie să returnaţi nimic. Dacă se returnează o valoare, deja este asociat cu SPN pe care doriţi să utilizaţi un alt cont.

Notă: Se poate utiliza numai verificarea duplicat pădure largă parametrul (-f) împreună cu comanda setspn pe computere care execută Windows Server 2008.

Setspn - q -f exchangeMDB/outlook.Domain.domain.domain_root

În această comandă, exchangeMDB/outlook.domain.domain.domain_root este SPN de SPN pentru acces Client RPC, cum ar fi exchangeMDB/outlook.corp.contoso.com.

Comanda următoare arată cum să setaţi SPNs pe partajat acreditare de AAS. Trebuie să executaţi comanda setspn cu această sintaxă o dată pentru fiecare ţintă SPN care vă identifică.

Setspn -S exchangeMDB/outlook.corp.contoso.com contoso\newSharedServiceAccountName$

După ce setaţi SPNs, verificaţi că acestea au fost adăugate executând următoarea comandă.

Setspn -L contoso\newSharedServiceAccountName

După ce cu succes configura Kerberos şi implementarea RollAlternateServiceAccountPasswordl.ps1 script-ul, verificaţi că computerele client poate să autentifice cu succes.

Verificaţi că se execută serviciul Microsoft Exchange serviciu gazdă

Asiguraţi-vă că aţi instalat Exchange Server 2010 SP1 pachet 3 sau o versiune ulterioară pe toate serverele accesul Client din mediul dvs. Serviciul Microsoft Exchange serviciu gazdă pe serverele accesul Client este responsabil pentru gestionarea acreditare ASA. Dacă acest serviciu nu rulează, autentificarea Kerberos nu va funcţiona. implicit, serviciul este configurat să pornească automat la pornirea computerului. Pentru a verifica că serviciul este în execuție, urmaţi aceşti paşi:
  1. Deschideţi consolidare servicii pe CAS. Pentru a deschide consolidare servicii, faceţi clic pe Start, faceţi clic pe Panou de control, faceţi dublu clic pe Instrumente de administrare, apoi faceţi dublu clic pe consolidare servicii.
  2. În Listă tabel consolidare servicii, găsiţi serviciul Microsoft Exchange serviciu gazdă.
  3. În Statutul coloana, verificaţi că starea este started. Dacă serviciul nu este pornit, faceţi clic dreapta pe Serviciul Microsoft Exchange serviciu gazdă, apoi faceţi clic pe Start. Pentru a configura serviciul pentru a porni automat, faceţi clic dreapta pe Serviciul Microsoft Exchange serviciu gazdă, faceţi clic pe Proprietăţi, faceţi clic pe AutomatăînTipul de pornirelistă şi apoi faceţi clic pe ok.
Valida autentificare din Outlook

Pentru a confirma că Outlook utilizaţi autentificarea Kerberos pentru conectarea la serverele accesul Client, urmaţi aceşti paşi:

  1. Confirmaţi că Outlook este configurat pentru a indica spre corect încărcare echilibrată server de Acces clienţi matrice.
  2. Configurează email cont server setările de securitate pentru a utiliza conecta network security Negocieze autentificare.
    NotăAr putea configuraţi clientul să utilizeze Autentificarea Kerberos parola, dar dacă SPNs vreodată sunt eliminate, computerele client nu va fi capabil de a autentifica până când modificaţi mecanismul de autentificare înapoi la Autentificare negociere.
  3. Asiguraţi-vă că Outlook oriunde nu este activată pentru computer client. Dacă Outlook nu se autentifică utilizând autentificarea Kerberos parola, va încerca să scadă înapoi la Outlook oriunde, astfel încât oriunde Outlook trebuie să fie dezactivată pentru acest test.
  4. Reporniţi Outlook.
  5. În cazul în care computerul execută Windows 7, executaţi klist.exe pentru a vedea care Kerberos bilete sunt acordate și sunt utilizate. Dacă nu executaţi Windows 7, aveţi posibilitatea să obţineţi klist.exe din setul de resurse Windows Server 2003.


Resurse suplimentare
Pentru informaţii detaliate despre această problemă și activitate de firmă sa în jurul, consultaţi următorul articol TechNet:

Utilizând Kerberos cu un server de Acces clienţi matrice sau o soluţie de Load-Balancing

Pentru mai multe informaţii despre cum se utilizează autentificarea Kerberos pe serverele accesul încărcare echilibrată client, consultaţi următorul articol TechNet:

Configurarea autentificarea Kerberos pentru încărcare echilibrată serverele accesul Client  

Avertisment: acest articol a fost tradus automat

Proprietăți

ID articol: 2688772 - Ultima examinare: 06/01/2012 05:37:00 - Revizie: 1.0

Microsoft Exchange Server 2010 Service Pack 1

  • kbsurveynew kbmt KB2688772 KbMtro
Feedback