Ověřování protokolem Kerberos pro připojení klienta MAPI k poli serveru klientského přístupu

Souhrn

Pro nasazení serveru Microsoft Exchange Server 2010, která mají více než jeden server client access v lokalitě služby Active Directory, topologie často vyžaduje pole serveru klientského přístupu a řešení vyrovnávání zatížení k distribuci provozu mezi všemi servery klientského přístupu v lokalitě. Z důvodu změn na Exchange Serveru 2010 nemohou e-mailové klienty ROZHRANÍ MAPI používat ověřování protokolem Kerberos k připojení k poštovní schránce při použití pole serveru client access. Chcete-li toto chování obejít, obsahuje aktualizace Microsoft Exchange Server Service Pack 1 (SP1) nové funkce, které umožňují konfigurovat ověřování protokolem Kerberos pro e-mailové klienty MAPI v poli serveru klientského přístupu. 

Další informace o tom, jak ověřování protokolem Kerberos fungovalo v dřívějších verzích serveru Exchange Server, a o změnách na Serveru Exchange Server 2010, které brání ověřování protokolem Kerberos v práci s e-mailovými klienty MAPI, naleznete v následujícím příspěvku blogu na blogu týmu Exchange:

Doporučení: Povolení ověřování protokolem Kerberos pro klienty MAPI  

Další informace

Hostitelská služba služby Microsoft Exchange Service spuštěná na roli serveru CAS (Client Access Server) je v aktualizaci Exchange Server 2010 SP1 rozšířena o použití pověření účtu alternativní služby (ASA) pro ověřování protokolem Kerberos. Toto rozšíření hostitele služby monitoruje místní počítač. Při přidání nebo odebrání pověření je aktualizován ověřovací balíček protokolu Kerberos v místním systému a kontext síťové služby. Jakmile je pověření přidáno do ověřovacího balíčku, všechny služby klientského přístupu jej mohou použít pro ověřování protokolem Kerberos. Server klientského přístupu bude také moci ověřovat požadavky na služby adresované přímo kromě toho, že bude moci používat pověření ASA. Toto rozšíření, známé jako servicelet, běží ve výchozím nastavení a nevyžaduje žádnou konfiguraci nebo akci ke spuštění.

You may have to use Kerberos authentication for your Exchange Server 2010 organization for the following reasons: 

  • Pro místní zásady zabezpečení je vyžadováno ověření protokolem Kerberos.

  • Dochází nebo očekáváte problémy s škálovatelností NTLM, jako je například přímé připojení MAPI ke službě přístupu klienta vzdáleného volání procedur, což způsobuje občasné selhání NTLM. 

    Ve velkých nasazeních zákazníků může NTLM způsobit problémová místa na serverech klientského přístupu.To může způsobit občasné selhání ověřování. Služby, které používají ověřování NTLM, jsou citlivější na problémy s latencí služby Active Directory. Ty vedou k selhání ověřování při zvýšení rychlosti požadavků serveru klientského přístupu.

Chcete-li nakonfigurovat ověřování protokolem Kerberos, musíte být obeznámeni se službou Active Directory a s nastavením polí serveru klientského přístupu. Musíte mít také pracovní znalosti ověřování protokolem Kerberos. 

Chcete-li nasadit pověření ASA pro ověřování protokolem Kerberos, postupujte takto.

Vytvoření účtu, který se použije jako pověření asa

Všechny počítače v poli serveru client access musí sdílet stejný účet služby. To zahrnuje všechny servery klientského přístupu, které mohou být zahájeny jako součást přepnutí datového centra. Obecně je dostačující jeden účet služby na doménovou strukturu.

Vytvořte účet počítače místo uživatelského účtu pro alternativní účet služby (ASA), protože účet počítače neumožňuje interaktivní přihlášení. Účet počítače proto může mít jednodušší zásady zabezpečení než uživatelský účet a je upřednostňovaným řešením pro pověření ASA. 

Další informace o vytvoření účtu počítače naleznete v tématu Vytvoření nového účtu počítače.

Poznámka

Při vytváření účtu počítače platnosti hesla nevyprší. Doporučujeme však pravidelně aktualizovat heslo. Místní zásady skupiny mohou určit maximální stáří účtu pro účty počítačů a správci sítě mohou naplánovat skripty na pravidelné odstraňování účtů počítačů, které nesplňují aktuální zásady. Chcete-li zajistit, aby účty vašeho počítače nebyly odstraněny, pokud nesplňují místní zásady, pravidelně aktualizujte heslo pro účty počítačů. Místní zásady zabezpečení určí, kdy je nutné heslo změnit. 

Poznámka

Heslo, které zadáte při vytváření účtu, se ve skutečnosti nikdy nepoužívá. Místo toho skript resetuje heslo. Při vytváření účtu můžete použít libovolné heslo, které splňuje požadavky na heslo vaší organizace.

Neexistují žádné zvláštní požadavky na název pověření ASA. Můžete použít libovolný název, který následuje za schématem pojmenování. Pověření ASA nepotřebuje zvláštní oprávnění zabezpečení. Pokud nasazujete účet počítače pro pověření ASA, znamená to, že účet musí být pouze členem skupiny zabezpečení Domain Computers. Pokud nasazujete uživatelský účet pro pověření ASA, znamená to, že účet musí být pouze členem skupiny zabezpečení Domain Users.

Určení názvů SPN, které mají být přidruženy k pověření účtu alternativní služby

Po vytvoření účtu alternativní služby je nutné určit hlavní názvy služeb Exchange (SPN), které budou přidruženy k pověřením ASA. Hodnoty SPN musí být nakonfigurovány tak, aby odpovídaly názvu služby, který se používá v nástroje pro vyrovnávání zatížení sítě namísto na jednotlivých serverech. Seznam názvů SPN serveru Exchange se může lišit v závislosti na konfiguraci, ale seznam by měl obsahovat alespoň následující:

  • http Použijte tento název SPN pro webové služby Exchange, stahování adresáře offline a službu Automatické konfigurace.
  • exchangeMDB Použijte tento hlavní název služby pro klientský přístup k vzdálenému volání procedur.
  • exchangeRFR Použijte tento hlavní název služby pro službu adresáře.
  • exchangeAB Použijte tento hlavní název služby pro službu Adresář.

U malé firmy pravděpodobně nebudete mít nic většího než jeden web služby Active Directory. Jeden web služby Active Directory se může například podobat následujícímu diagramu.

Snímek obrazovky pro malou firmu, která obsahuje jeden web služby Active Directory.

Chcete-li zjistit názvy SPN, které byste použili v tomto příkladu, musíme se podívat na plně kvalifikované názvy domén (FQDNs), které používají interní klienti aplikace Outlook na předchozím obrázku. V tomto příkladu byste na nasadili následující názvy SPN v pověření ASA:

  • http/mail.corp.contoso.com
  • http/autod.corp.contoso.com
  • exchangeMDB/outlook.corp.contoso.com
  • exchangeRFR/outlook.corp.contoso.com
  • exchangeAB/outlook.corp.contoso.com

Poznámka

Externí nebo internetoví klienti, kteří používají aplikaci Outlook Anywhere, nebudou používat ověřování protokolem Kerberos. Proto není nutné přidat bezodřevých názvů, které tito klienti používají jako názvy SPN do pověření ASA. 

Pokud je váš web větší než jeden web služby Active Directory, můžete zobrazit další příklady v tématu Konfigurace ověřování protokolem Kerberos pro servery klientského přístupu s vyrovnáváním zatížení .

Převedení virtuálního adresáře OAB na aplikaci

Offline adresář (OAB) virtuální adresář není webová aplikace. Proto není řízena službou Microsoft Exchange Service Host. V důsledku toho pověření ASA nelze dešifrovat požadavky na ověření protokolu Kerberos do virtuálního adresáře OAB. 

Chcete-li převést virtuální adresář OAB na webovou aplikaci služby IIS, spusťte skript ConvertOABVDir.ps1 na každém členu CAS. Skript také vytvoří nový fond aplikací s názvem MSExchangeOabAppPool pro virtuální adresář OAB. Chcete-li skript stáhnout, přejděte na stránku  ConvertOABDir.ps1 v Centru skriptů společnosti Microsoft Script Center. 

Nasazení pověření asa pro členy CAS

Exchange Server 2010 SP1 obsahuje skript umožňující nasazení pověření ASA. Skript je pojmenován RollAlternateServiceAccountPassword.ps1 a je umístěn v adresáři Skripty. 

Chcete-li pomocí skriptu při prvním nastavení zasunout pověření na všechny servery klientského přístupu v doménové struktuře, postupujte takto:

  1. V prostředí Exchange Management Shell spusťte následující příkaz:

    .\RollAlternateserviceAccountPassword.ps1 -ToEntireForest -GenerateNewPasswordFor "Your_Domain_Name\Computer_Account_Name$" -Verbose
    
  2. Spusťte následující příkaz k naplánování naplánované úlohy automatického hesla jednou za měsíc s názvem Exchange-RollAsa. Tato úloha naplánovaná příkazem aktualizuje pověření ASA pro všechny servery klientského přístupu v doménové struktuře pomocí nového hesla generovaného skriptem. Naplánovaná úloha je vytvořena, ale skript není spuštěn. Při spuštění naplánované úlohy se skript spustí v bezobslužném režimu.

    .\RollAlternateServiceAccountPassword.ps1 -CreateScheduledTask "Exchange-RollAsa" -ToEntireForest -GenerateNewPasswordFor "Your_Domain_Name\Computer_Account_Name$"
    

Další informace o použití skriptu RollAlternateserviceAccountPassword.ps1 naleznete v tématu Použití skriptu RollAlternateserviceAccountPassword.ps1 v prostředí .

Ověření nasazení pověření ASA

V prostředí Exchange Management Shell spusťte následující příkaz a zkontrolujte nastavení na serverech klientského přístupu:Get-ClientAccessServer -IncludeAlternateServiceAccountCredentialStatus | fl name,*alter*

Výsledek tohoto příkazu se bude podobat tomuto:

Name : CASAAlternateServiceAccountConfiguration : Latest: 8/2/2010 3:48:38 PM, contoso\newSharedServiceAccountName$ Previous: <Not set>Name : CASBAlternateServiceAccountConfiguration : Latest: 8/2/2010 3:48:51 PM, contoso\newSharedServiceAccountName$ Previous: <Not set>

Přidružení názvů SPN k pověření asa

Před konfigurací názvů SPN se ujistěte, že cílové názvy SPN ještě nejsou nakonfigurovány na jiném účtu v doménové struktuře. Pověření ASA musí být jediným účtem v doménové struktuře, ke kterému jsou tyto názvy SPN přidruženy. Můžete ověřit, že žádný jiný účet v doménové struktuře nemá názvy SPN s ním spojené otevřením příkazového řádku a spuštěním příkazu setspn s parametry –q a -f.   Následující příklad ukazuje, jak spustit tento příkaz. Příkaz by neměl vrátit nic. Pokud vrátí hodnotu, jiný účet je již přidružen k názvu služby, který chcete použít.

Poznámka

Parametr celé doménové struktury (-f) pro kontrolu duplicit lze použít pouze společně s příkazem setspn v počítačích se systémem Windows Server 2008.

Setspn -q -f exchangeMDB/outlook.**domain.domain.domain_root**

V tomto příkazu exchangeMDB/outlook.domain.domain.domain_root   je hlavní název služby SPN pro přístup klienta vzdáleného volání procedur, například exchangeMDB/outlook.corp.contoso.com.

Následující příkaz ukazuje, jak nastavit názvy SPN na sdílené pověření ASA. Musíte spustit setpn příkaz s touto syntaxí jednou pro každý cíl SPN, které identifikujete. 

Setspn -S exchangeMDB/outlook.corp.contoso.com contoso\newSharedServiceAccountName$

Po nastavení názvů SPN ověřte, zda byly přidány spuštěním následujícího příkazu. 

Setspn -L contoso\newSharedServiceAccountName

Po úspěšné konfiguraci protokolu Kerberos a nasazení skriptu RollAlternateServiceAccountPasswordl.ps1 ověřte, zda se klientské počítače mohou úspěšně ověřit. 

Ověření, zda je spuštěna služba Microsoft Exchange Service Host

Ujistěte se, že jste nainstalovali kumulativní aktualizaci Exchange Server 2010 SP1 3 nebo novější verzi na všech serverech klientského přístupu ve vašem prostředí. Za správu pověření asa je zodpovědná služba Microsoft Exchange Service Host na serverech klientského přístupu. Pokud tato služba není spuštěna, ověřování protokolem Kerberos nebude fungovat. Ve výchozím nastavení je služba nakonfigurována tak, aby se automaticky spouštěla při spuštění počítače. Chcete-li ověřit, zda je služba spuštěna, postupujte takto:

  1. Otevřené služby na CAS. Chcete-li spustit služby, klepněte na tlačítko Start, klepněte na příkaz Ovládací panely, poklepejte na položku Nástroje pro správua poklepejte na položku Služby.
  2. V seznamu služeb vyhledejte hostitelskou službu služby Microsoft Exchange Service.
  3. Ve sloupci Stav ověřte, zda je stav Spuštěno. Pokud služba není spuštěna, klepněte pravým tlačítkem myši na hostitelskou službu služby Microsoft Exchange Service apotom klepněte na příkaz Start. Chcete-li službu nakonfigurovat tak, aby se spouštěla automaticky, klepněte pravým tlačítkem myši na hostitelskou službu služby Microsoft Exchange Service, klepněte na příkaz Vlastnosti, v seznamu Typ spuštěníklepněte na tlačítko Automatickya   potom klepněte na tlačítko OK.
    Ověření ověřování z Outlooku

Chcete-li ověřit, zda aplikace Outlook může používat ověřování protokolem Kerberos pro připojení k serverům klientského přístupu, postupujte takto:

  1. Zkontrolujte, zda je aplikace Outlook nakonfigurována tak, aby ukazovala na správné pole serveru klientského přístupu s vyrovnáváním zatížení.
  2. Nakonfigurujte nastavení zabezpečení serveru e-mailového účtu tak, aby používalo zabezpečení služby Vyjednávání o přihlašovací síti. PoznámkaMůžete nakonfigurovat klienta tak, aby používal ověřování heslem protokolu Kerberos, ale pokud jsou názvy SPN někdy odebrány, klientské počítače nebudou moci ověřit, dokud nezměníte mechanismus ověřování zpět na Vyjednat ověřování.
  3. Ujistěte se, že aplikace Outlook Anywhere není pro klientský počítač povolena. Pokud aplikace Outlook nemůže ověřit pomocí ověřování heslem protokolu Kerberos, pokusí se přejít zpět do aplikace Outlook anywhere, takže aplikace Outlook Anywhere by měla být pro tento test zakázána. 
  4. Restartujte aplikaci Outlook.
  5. Pokud je ve stolním počítači se systémem Windows 7 spuštěn systém windows 7, můžete spustit klist.exe a zjistit, které lístky protokolu Kerberos jsou uděleny a používány. Pokud nepoužíváte systém Windows 7, můžete získat klist.exe ze sady Windows Server 2003 Resource Kit.

Další zdroje informací

Podrobné informace o tomto problému a jeho řešení naleznete v následujícím článku technetu:

Použití protokolu Kerberos s polem serveru client access nebo řešením pro vyrovnávání zatížení

Další informace o použití ověřování protokolem Kerberos na serverech s vyrovnáváním zatížení naleznete v následujícím článku na technetu:

Konfigurace ověřování protokolem Kerberos pro servery klientského přístupu s vyrovnáváním zatížení