Konfigurieren der Kerberos-Authentifizierung für den Lastenausgleich Client Access servicesConfigure Kerberos authentication for load-balanced Client Access services

Zusammenfassung: Dieser Artikel beschreibt, wie die Kerberos-Authentifizierung mit Exchange 2016-Servern mit Lastenausgleich verwendet wird, auf denen Clientzugriffsdienste ausgeführt werden.Summary: How to use Kerberos authentication with load-balanced Exchange 2016 servers running Client Access services.

In der Reihenfolge für die Verwendung von Kerberos-Authentifizierung mit Lastenausgleich Postfachservern Clientzugriffsdienste ausführen müssen Sie in diesem Artikel erläuterten Konfigurationsschritte ausführen.In order for you to use Kerberos authentication with load-balanced Mailbox servers running Client Access services, you have to complete the configuration steps described in this article.

Erstellen von alternativen Dienstkontoanmeldeinformationen in Active Directory Domain ServicesCreate the alternate service account credential in Active Directory Domain Services

Alle Exchange-Server, auf denen Client Access Services ausgeführt wird, die den gleichen Namespaces und URLs freigeben, müssen die gleichen alternativen Anmeldeinformationen oder (ASA Anmeldeinformationen) verwenden. Im Allgemeinen ist es ausreichend, um ein Konto für eine Gesamtstruktur für die einzelnen Versionen von Exchange haben.All Exchange servers that run Client Access services that share the same namespaces and URLs must use the same alternate service account credential or (ASA credential). In general, it's sufficient to have a single account for a forest for each version of Exchange.

Wichtig

Exchange 2010 und Exchange 2016 kann nicht die gleiche Anmeldeinformationen ASA freigeben. Wenn die Anmeldeinformationen für das ASA für Exchange 2010 erstellt wurde, müssen Sie einen neuen Anwendungspool für Exchange 2016 erstellen.Exchange 2010 and Exchange 2016 can't share the same ASA credential. If your ASA credential was created for Exchange 2010, you have to create a new one for Exchange 2016.

Wichtig

CNAME-Datensätze werden für freigegebene Namespaces zwar unterstützt, Microsoft empfiehlt jedoch die Verwendung von A-Datensätzen. Dadurch wird sichergestellt, dass der Client ordnungsgemäß eine Kerberos-Ticketanforderung basierend auf dem freigegebenen Namen und nicht auf dem Server-FQDN ausstellt.While CNAME records are supported for shared namespaces, Microsoft recommends using A records. This ensures that the client correctly issues a Kerberos ticket request based on the shared name, and not the server FQDN.

Wenn Sie die ASA-Anmeldeinformationen einrichten, beachten Sie diese Richtlinien:When you set up the ASA credential, keep these guidelines in mind:

  • Kontotyp: Es wird empfohlen, dass Sie ein Computerkonto anstelle eines Benutzerkontos erstellen. Ein Computerkonto nicht interaktive Anmeldung zulassen und weist möglicherweise einfachere Sicherheitsrichtlinien als ein Benutzerkonto. Wenn Sie ein Computerkonto erstellen, das Kennwort läuft nicht ab, aber es wird empfohlen, dass Sie das Kennwort in regelmäßigen Abständen trotzdem aktualisieren. Lokale Gruppenrichtlinien können Sie ein maximales Alter für das Computerkonto und Skripts Computerkonten in regelmäßigen Abständen zu löschen, die nicht die aktuellen Richtlinien entsprechen angeben. Ihre lokale Sicherheitsrichtlinie bestimmt auch, wenn Sie das Kennwort ändern müssen. Obwohl es wird, dass Sie ein Computerkonto verwenden empfohlen, können Sie ein Benutzerkonto erstellen.Account type: We recommend that you create a computer account instead of a user account. A computer account doesn't allow interactive logon and may have simpler security policies than a user account. If you create a computer account, the password doesn't expire, but we recommend you update the password periodically anyway. You can use local group policy to specify a maximum age for the computer account and scripts to periodically delete computer accounts that do not meet current policies. Your local security policy also determines when you have to change the password. Although we recommend you use a computer account, you can create a user account.

  • Kontoname: Es sind keine Anforderungen für den Namen des Kontos ein. Alle gültigen Namen können Sie Ihre Benennungsschema.Account name: There are no requirements for the name of the account. You can use any name that conforms to your naming scheme.

  • Kontogruppe: das Konto, das Sie für die Anmeldeinformationen ASA verwenden keine besondere Sicherheitsberechtigungen benötigen. Wenn Sie ein Computerkonto nutzen muss das Konto nur für ein Mitglied der Sicherheitsgruppe "Domänencomputer" sein. Bei Verwendung ein Benutzerkontos muss das Konto nur für ein Mitglied der Sicherheitsgruppe Benutzer der Domäne sein.Account group: The account you use for the ASA credential doesn't need special security privileges. If you're using a computer account then the account needs only to be a member of the Domain Computers security group. If you're using a user account then the account needs only to be a member of the Domain Users security group.

  • Kennwort: das Kennwort, das Sie bereitstellen, wenn Sie das Konto erstellt werden kann. Wenn Sie das Konto erstellen, sollten Sie also ein komplexes Kennwort verwenden und stellen Sie sicher, dass das Kennwort das Kennwort-Anforderungen Ihrer Organisation entspricht.Account password: The password you provide when you create the account will be used. So when you create the account, you should use a complex password and ensure that the password conforms to your organization's password requirements.

So erstellen Sie ASA-Anmeldeinformationen als ComputerkontoTo create the ASA credential as a computer account

  1. Führen Sie auf einem Domänencomputer Windows PowerShell oder die Exchange-Verwaltungsshell aus.On a domain-joined computer, run Windows PowerShell or the Exchange Management Shell.

    Verwenden Sie das Import-Module -Cmdlet, um das Active Directory-Modul zu importieren.Use the Import-Module cmdlet to import the Active Directory module.

    Import-Module ActiveDirectory
    
  2. Verwenden Sie das New-ADComputer -Cmdlet, um ein neues Active Directory-Computerkonto mithilfe dieser Cmdlet-Syntax zu erstellen:Use the New-ADComputer cmdlet to create a new Active Directory computer account using this cmdlet syntax:

    New-ADComputer [-Name] <string> [-AccountPassword <SecureString>] [-AllowReversiblePasswordEncryption <System.Nullable[boolean]>] [-Description <string>] [-Enabled <System.Nullable[bool]>]
    

    Beispiel:Example:

    New-ADComputer -Name EXCH2016ASA -AccountPassword (Read-Host 'Enter password' -AsSecureString) -Description 'Alternate Service Account credentials for Exchange' -Enabled:$True -SamAccountName EXCH2016ASA
    

    Wobei EXCH2016ASA ist der Name des Kontos, die Beschreibung, Dienstkonto alternative Anmeldeinformationen für Exchange ist unabhängig sein soll, und der Wert für den Parameter SamAccountName ist in diesem Fall EXCH2016ASA, um in Ihrem Verzeichnis eindeutig sein.Where EXCH2016ASA is the name of the account, the description Alternate Service Account credentials for Exchange is whatever you want it to be, and the value for the SamAccountName parameter, in this case EXCH2016ASA, has to be unique in your directory.

  3. Verwenden Sie das Set-ADComputer -Cmdlet, um mithilfe der folgenden Cmdlet-Syntax die Unterstützung des AES 256-Verschlüsselungsverfahrens zu aktivieren, das von Kerberos verwendet wird:Use the Set-ADComputer cmdlet to enable the AES 256 encryption cipher support used by Kerberos using this cmdlet syntax:

    Set-ADComputer [-Name] <string> [-add @{<attributename>="<value>"]
    

    Beispiel:Example:

    Set-ADComputer EXCH2016ASA -add @{"msDS-SupportedEncryptionTypes"="28"}
    

    Wobei EXCH2016ASA ist der Name des Kontos und das Attribut zu ändernden MsDS-SupportedEncryptionTypes mit Dezimalwert 28, wodurch die folgenden Daten: RC4-HMAC, AES128-CTS-HMAC-SHA1-96, AES256-CTS-HMAC-SHA1-96.Where EXCH2016ASA is the name of the account and the attribute to be modified is msDS-SupportedEncryptionTypes with a decimal value of 28, which enables the following ciphers: RC4-HMAC, AES128-CTS-HMAC-SHA1-96, AES256-CTS-HMAC-SHA1-96.

Weitere Informationen zu diesen Cmdlets finden Sie unter Import-Module und New-ADComputer.For more information about these cmdlets, see Import-Module and New-ADComputer.

Gesamtstrukturübergreifende SzenariosCross-forest scenarios

Wenn Sie eine Gesamtstruktur- oder Ressourcengesamtstruktur Bereitstellung haben, und Sie haben Benutzer, die sich außerhalb der Active Directory-Gesamtstruktur befinden, die Exchange enthält, müssen Sie die Gesamtstruktur-Vertrauensstellungen zwischen den Gesamtstrukturen konfigurieren. Für jede Gesamtstruktur in der Bereitstellung müssen Sie auch eine Routingregel einrichten, die Vertrauensstellung zwischen allen Namensuffixe innerhalb der Gesamtstruktur als auch über Gesamtstrukturen hinweg ermöglicht. Weitere Informationen zum Verwalten von gesamtstrukturübergreifenden Vertrauensstellungen finden Sie unter Verwalten von Gesamtstruktur-Vertrauensstellungen.If you have a cross-forest or resource-forest deployment, and you have users that are outside the Active Directory forest that contains Exchange, you must configure forest trust relationships between the forests. Also, for each forest in the deployment, you have to set up a routing rule that enables trust between all name suffixes within the forest and across forests. For more information about managing cross-forest trusts, see Managing forest trusts.

Identifizieren der zu den ASA-Anmeldeinformationen gehörenden DienstprinzipalnamenIdentify the Service Principal Names to associate with the ASA credential

Nachdem Sie die Anmeldeinformationen ASA zu erstellen, müssen Sie die Anmeldeinformationen des ASA Exchange Dienstprinzipalnamen (SPNs) zugeordnet. Die Liste der SPNs für Exchange kann mit der Konfiguration variieren, jedoch sollten umfassen mindestens Folgendes:After you create the ASA credential, you have to associate Exchange Service Principal Names (SPNs) with the ASA credential. The list of Exchange SPNs may vary with your configuration, but should include at least the following:

  • http /: Verwenden Sie diesen SPN für Outlook Anywhere, MAPI über HTTP, Exchange-Webdienste-AutoErmittlung und Offline-Adressbuch.http/: Use this SPN for Outlook Anywhere, MAPI over HTTP, Exchange Web Services, Autodiscover, and Offline Address Book.

Die SPN-Werte müssen den Dienstnamen auf den Netzwerklastenausgleich anstatt auf einzelnen Servern übereinstimmen. Um welche Werte SPN planen Sie verwenden sollten, berücksichtigen Sie die folgenden Szenarien:The SPN values must match the service name on the network load balancer instead of on individual servers. To help plan which SPN values you should use, consider the following scenarios:

In jedem dieser Szenarien wird angenommen, dass vollqualifizierte Domänennamen (Fully Qualified Domain Name, FQDN) mit Lastenausgleich für die internen URLs, externen URLs und für die AutoErmittlung des internen URIs bereitgestellt wurden, die von Mitgliedern mit Clientzugriffsdiensten verwendet werden.In each of these scenarios, assume that the load-balanced, fully-qualified domain names (FQDNs) have been deployed for the internal URLs, external URLs, and the autodiscover internal URI used by members running Client Access services.

Einzelner Active Directory-StandortSingle Active Directory site

Wenn Sie einen einzelnen Active Directory-Standort haben, kann Ihre Umgebung der in der folgenden Abbildung entsprechen:If you have a single Active Directory site, your environment may resemble the one in the following figure:

mehrere Active Directory-Standorte

Basierend auf die FQDNs, die von der internen Outlook-Clients in der vorherigen Abbildung verwendet werden, müssen Sie die folgenden SPNs ASA Anmeldeinformationen zuordnen:Based on the FQDNs that are used by the internal Outlook clients in the preceding figure, you have to associate the following SPNs with the ASA credential:

  • HTTP/Mail.corp.tailspintoys.comhttp/mail.corp.tailspintoys.com

  • HTTP/autodiscover.corp.tailspintoys.comhttp/autodiscover.corp.tailspintoys.com

Mehrere Active Directory-StandorteMultiple Active Directory sites

Wenn Sie mehrere Active Directory-Standorte haben, kann Ihre Umgebung der in der folgenden Abbildung entsprechen:If you have multiple Active Directory sites, your environment may resemble the one in the following figure:

mehrere Active Directory-Standorte

Basierend auf die FQDNs, die durch die Outlook-Clients in der vorherigen Abbildung verwendet werden, müssen Sie die folgenden SPNs ASA Anmeldeinformationen zuordnen, die von den Postfachservern, die mit Client Access Services in ADSite 1 verwendet wird:Based on the FQDNs that are used by the Outlook clients in the preceding figure, you would have to associate the following SPNs with the ASA credential that is used by the Mailbox servers running Client Access services in ADSite 1:

  • HTTP/Mail.corp.tailspintoys.comhttp/mail.corp.tailspintoys.com

  • HTTP/autodiscover.corp.tailspintoys.comhttp/autodiscover.corp.tailspintoys.com

Sie müssen auch die folgenden SPNs ASA Anmeldeinformationen zuordnen, die von den Postfachservern, die mit Client Access Services in ADSite 2 verwendet wird:You would also have to associate the following SPNs with the ASA credential that is used by the Mailbox servers running Client Access services in ADSite 2:

  • HTTP/mailsdc.corp.tailspintoys.comhttp/mailsdc.corp.tailspintoys.com

  • HTTP/autodiscoversdc.corp.tailspintoys.comhttp/autodiscoversdc.corp.tailspintoys.com

Konfigurieren und Überprüfen der Konfiguration der ASA-Anmeldeinformationen auf den einzelnen Servern mit ClientzugriffsdienstenConfigure and then verify configuration of the ASA credential on each server running Client Access services

Nachdem Sie das Konto erstellt haben, müssen Sie sicherstellen, dass das Konto auf alle AD DS-Domänencontroller repliziert wurde. Insbesondere muss das Konto vorhanden sein, auf jedem Server mit der Clientzugriffs-Dienste, die die ASA-Anmeldeinformationen verwendet werden soll. Im nächsten Schritt konfigurieren Sie das Konto als das ASA Anmeldeinformationen auf jedem Client Access Services-Server in Ihrer Bereitstellung.After you've created the account, you have to verify that the account has replicated to all AD DS domain controllers. Specifically, the account must be present on each server running Client Access services that will use the ASA credential. Next, you configure the account as the ASA credential on each server running Client Access services in your deployment.

Sie konfigurieren die ASA-Anmeldeinformationen mithilfe der Exchange-Verwaltungsshell, wie in einer dieser Verfahrensweisen beschrieben wird:You configure the ASA credential by using the Exchange Management Shell as described in one of these procedures:

  • Bereitstellen der ASA-Anmeldeinformationen für den ersten Exchange 2016-Server mit ClientzugriffsdienstenDeploy the ASA credential to the first Exchange 2016 server running Client Access services

  • Bereitstellen der ASA-Anmeldeinformationen für den nachfolgenden Exchange 2016-Server mit ClientzugriffsdienstenDeploy the ASA credential to subsequent Exchange 2016 servers running Client Access services

Die einzige unterstützte Methode für die Bereitstellung der ASA-Anmeldeinformationen ist die Verwendung des Skripts RollAlternateServiceAcountPassword.ps1. Weitere Informationen finden Sie unter Verwenden des Skripts "RollAlternateserviceAccountCredential.ps1" in der Shell. Nach der Ausführung des Skripts sollten Sie überprüfen, ob alle Zielserver ordnungsgemäß aktualisiert wurden.The only supported method for deploying the ASA credential is to use the RollAlternateServiceAcountPassword.ps1 script. For more information, see Using the RollAlternateserviceAccountCredential.ps1 Script in the Shell. After the script has run, we recommend that you verify that all the targeted servers have been updated correctly.

Bereitstellen der ASA-Anmeldeinformationen für den ersten Exchange 2016-Server mit ClientzugriffsdienstenDeploy the ASA Credential to the first Exchange 2016 server running Client Access services

  1. Öffnen Sie auf einem Exchange 2016-Server die Exchange-Verwaltungsshell.Open the Exchange Management Shell on an Exchange 2016 server.

  2. Wechseln Sie in <Exchange 2016 Installationsverzeichnis> \V15\Scripts.Change directories to <Exchange 2016 installation directory> \V15\Scripts.

  3. Führen Sie den folgenden Befehl aus, um die ASA-Anmeldeinformationen für den ersten Exchange 2016-Server mit Clientzugriffsdiensten bereitzustellen:Run the following command to deploy the ASA credential to the first Exchange 2016 server running Client Access services:

    .\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer cas-1.corp.tailspintoys.com -GenerateNewPasswordFor tailspin\EXCH2016ASA$
    
  4. Wenn Sie gefragt werden, ob Sie das Kennwort für das alternative Dienstkonto ändern möchten, antworten Sie Ja.When you're asked if you want to change the password for the alternate service account, answer Yes.

Im Folgenden finden Sie ein Beispiel der Ausgabe, die beim Ausführen des Skripts RollAlternateServiceAccountPassword.ps1 angezeigt wird.The following is an example of the output that's shown when you run the RollAlternateServiceAccountPassword.ps1 script.

========== Starting at 01/12/2016 10:17:47 ==========
Creating a new session for implicit remoting of "Get-ExchangeServer" command...
Destination servers that will be updated:
Name                                                        PSComputerName
----                                                        --------------
cas-1                                                   cas-1.corp.tailspintoys.com
Credentials that will be pushed to every server in the specified scope (recent first):
UserName                                                                                                        
Password
--------                                                                                                        
--------
tailspin\EXCH2016ASA$                                                                             
System.Security.SecureString
Prior to pushing new credentials, all existing credentials that are invalid or no longer work will be removed from  the destination servers.
Pushing credentials to server mbx-1
Setting a new password on Alternate Serice Account in Active Directory
Password change
Do you want to change password for tailspin\EXCH2016ASA$ in Active Directory at this time?
[Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): y
Preparing to update Active Directory with a new password for tailspin\EXCH2016ASA$ ...
Resetting a password in the Active Directory for tailspin\EXCH2016ASA$ ...
New password was successfully set to Active Directory.
Retrieving the current Alternate Service Account configuration from servers in scope
Alternate Service Account properties:
StructuralObjectClass QualifiedUserName Last Pwd Update       SPNs
--------------------- ----------------- ---------------       ----
computer              tailspin\EXCH2016ASA$   1/12/2016 10:19:53 AM
Per-server Alternate Service Account configuration as of the time of script completion:
   Array: {mail.corp.tailspintoys.com}
Identity  AlternateServiceAccountConfiguration
--------  ------------------------------------
cas-1 Latest: 1/12/2016 10:19:22 AM, tailspin\EXCH2016ASA$
          ...
========== Finished at 01/12/2016 10:20:00 ==========
        THE SCRIPT HAS SUCCEEDED

Bereitstellen der ASA-Anmeldeinformationen für einen weiteren Exchange 2016-Server mit ClientzugriffsdienstenDeploy the ASA credential to another Exchange 2016 server running Client Access services

  1. Öffnen Sie auf einem Exchange 2016-Server die Exchange-Verwaltungsshell.Open the Exchange Management Shell on an Exchange 2016 server.

  2. Wechseln Sie in <Exchange 2016 Installationsverzeichnis> \V15\Scripts.Change directories to <Exchange 2016 installation directory> \V15\Scripts.

  3. Führen Sie den folgenden Befehl aus, um die ASA-Anmeldeinformationen für einen weiteren Exchange 2016-Server mit Clientzugriffsdiensten bereitzustellen:Run the following command to deploy the ASA credential to another Exchange 2016 server running Client Access services:

    .\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer cas-2.corp.tailspintoys.com -CopyFrom cas-1.corp.tailspintoys.com
    
  4. Wiederholen Sie Schritt 3 für jeden Server mit Clientzugriffsdiensten, für den Sie die ASA-Anmeldeinformationen bereitstellen möchten.Repeat Step 3 for each server running Client Access services that you want to deploy the ASA credential to.

Im Folgenden finden Sie ein Beispiel der Ausgabe, die beim Ausführen des Skripts RollAlternateServiceAccountPassword.ps1 angezeigt wird.The following is an example of the output that's shown when you run the RollAlternateServiceAccountPassword.ps1 script.

========== Starting at 01/12/2016 10:34:35 ==========
Destination servers that will be updated:
Name                                                        PSComputerName
----                                                        --------------
cas-2                                                   cas-2.corp.tailspintoys.com
Credentials that will be pushed to every server in the specified scope (recent first):
UserName                                                                                                        
Password
--------                                                                                                        
--------
tailspin\EXCH2016ASA$                                                                             
System.Security.SecureString
Prior to pushing new credentials, all existing credentials will be removed from the destination servers.
Pushing credentials to server mbx-2
Retrieving the current Alternate Service Account configuration from servers in scope
Alternate Service Account properties:
StructuralObjectClass QualifiedUserName Last Pwd Update       SPNs
--------------------- ----------------- ---------------       ----
computer              tailspin\EXCH2016ASA$   1/12/2016 10:19:53 AM
Per-server Alternate Service Account configuration as of the time of script completion:
   Array: cas-2.corp.tailspintoys.com
Identity  AlternateServiceAccountConfiguration
--------  ------------------------------------
cas-2 Latest: 1/12/2016 10:37:59 AM, tailspin\EXCH2016ASA$
          ...
========== Finished at 01/12/2016 10:38:13 ==========
        THE SCRIPT HAS SUCCEEDED

Überprüfen der Bereitstellung von ASA-AnmeldeinformationenVerify the deployment of the ASA credential

  • Öffnen Sie auf einem Exchange 2016-Server die Exchange-Verwaltungsshell.Open the Exchange Management Shell on an Exchange 2016 server.

  • Führen Sie den folgenden Befehl aus, um die Einstellungen auf dem Server mit Clientzugriffsdiensten zu überprüfen:Run the following command to check the settings on the server running Client Access services:

    Get-ClientAccessServer CAS-3 -IncludeAlternateServiceAccountCredentialStatus | Format-List Name, AlternateServiceAccountConfiguration
    
  • Wiederholen Sie Schritt 2 für jeden Server mit Clientzugriffsdiensten, auf dem Sie die Bereitstellung von ASA-Anmeldeinformationen überprüfen möchten.Repeat Step 2 on each server running Client Access services for which you want to verify the deployment of the ASA credential.

Im Folgenden finden Sie ein Beispiel der Ausgabe, die angezeigt wird, wenn Sie den obigen Get-ClientAccessServer-Befehl ausführen und keine früheren ASA-Anmeldeinformationen festgelegt wurden.The following is an example of the output that's shown when you run the Get-ClientAccessServer command above and no previous ASA credential was set.

Name                                 : CAS-1
AlternateServiceAccountConfiguration : Latest: 1/12/2016 10:19:22 AM, tailspin\EXCH2016ASA$
                                       Previous: <Not set>
                                           ...

Im Folgenden finden Sie ein Beispiel der Ausgabe, die angezeigt wird, wenn Sie den obigen Get-ClientAccessServer-Befehl ausführen und frühere ASA-Anmeldeinformationen festgelegt wurden. Die früheren ASA-Anmeldeinformationen und das Datum und die Uhrzeit, zu denen sie festgelegt wurden, werden zurückgegeben.The following is an example of the output that's shown when you run the Get-ClientAccessServer command above and an ASA credential was previously set. The previous ASA credential and the date and time it was set are returned.

Name                                 : CAS-3
AlternateServiceAccountConfiguration : Latest: 1/12/2016 10:19:22 AM, tailspin\EXCH2016ASA$
                                       Previous: 7/15/2015 12:58:35 PM, tailspin\oldSharedServiceAccountName$
                                           ...

Zuordnen von Dienstprinzipalnamen (Service Principal Names, SPNs) zu den ASA-AnmeldeinformationenAssociate Service Principal Names (SPNs) with the ASA credential

Wichtig

Ordnen Sie SPNs erst dann ASA-Anmeldeinformationen zu, wenn Sie diese Anmeldeinformationen mindestens einem Exchange 2016 Server bereitgestellt haben, wie zuvor unter Bereitstellen der ASA-Anmeldeinformationen für den ersten Exchange 2016-Server mit Clientzugriffsdiensten beschrieben. Andernfalls treten Kerberos-Authentifizierungsfehler auf.Don't associate SPNs with an ASA credential until you have deployed that credential to at least one Exchange 2016 Server, as described earlier in Deploy the ASA Credential to the first Exchange 2016 server running Client Access services. Otherwise, you will experience Kerberos authentication errors.

Bevor Sie die Dienstprinzipalnamen (SPNs) mit der ASA Anmeldeinformationen zuordnen, müssen Sie sicherstellen, dass das Ziel Dienstprinzipalnamen (SPNs) nicht bereits ein anderes Konto in der Gesamtstruktur zugeordnet sind. Die Anmeldeinformationen des ASA muss nur dieses Konto in der Gesamtstruktur, denen diese Dienstprinzipalnamen (SPNs) zugeordnet sind. Sie können sicherstellen, dass kein anderes Konto in der Gesamtstruktur die Dienstprinzipalnamen (SPNs) zugeordnet ist, durch den Setspn -Befehl über die Befehlszeile ausführen.Before you associate the SPNs with the ASA credential, you have to verify that the target SPNs aren't already associated with a different account in the forest. The ASA credential must be the only account in the forest with which these SPNs are associated. You can verify that no other account in the forest is associated with the SPNs by running the setspn command from the command line.

Überprüfen Sie durch Ausführen des Befehls "setspn", ob bereits ein SPN einem Konto in einer Gesamtstruktur zugeordnet istVerify an SPN is not already associated with an account in a forest by running the setspn command

  1. Klicken Sie auf Start. Geben Sie im Feld Suchen das Wort Eingabeaufforderung ein, und wählen Sie dann in der Ergebnisliste Eingabeaufforderung aus.Press Start. In the Search box, type Command Prompt, then in the list of results, select Command Prompt.

  2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:At the command prompt, type the following command:

    setspn -F -Q <SPN>
    

    Wobei <SPN> der Dienstprinzipalname ist, den Sie den ASA-Anmeldeinformationen zuordnen möchten. Beispiel:Where <SPN> is the SPN you want to associate with the ASA credential. For example:

    setspn -F -Q http/mail.corp.tailspintoys.com
    

    Mit dem Befehl sollte nothing zurückgegeben. Wenn etwas zurückgegeben wird, ist ein anderes Konto bereits SPN zugeordnet. Wiederholen Sie diesen Schritt einmal für jede SPN, die Sie mit den Anmeldeinformationen ASA zuordnen möchten.The command should return nothing. If it returns something, another account is already associated with the SPN. Repeat this step one time for each SPN that you want to associate with the ASA credential.

Zuordnen eines SPN zu den ASA-Anmeldeinformationen mithilfe des Befehls "setspn"Associate an SPN with an ASA credential by using the setspn command

  1. Drücken Sie auf Starten. Geben Sie in das Suchfeld ein Eingabeaufforderungsfenster, und wählen Sie dann in der Liste der Ergebnisse an der Eingabeaufforderung aus.Press Start. In the Search box, type Command Prompt, and then select Command Prompt in the list of results.

  2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:At the command prompt, type the following command:

    setspn -S <SPN> <Account>$
    

    Wobei <SPN> der Dienstprinzipalname ist, den Sie den ASA-Anmeldeinformationen zuordnen möchten, und <Account> das Konto ist, das den ASA-Anmeldeinformationen zugeordnet ist. Beispiel:Where <SPN> is the SPN you want to associate with the ASA credential and <Account> is the account associated with the ASA credential. For example:

    setspn -S http/mail.corp.tailspintoys.com tailspin\EXCH2016ASAXCH2016ASA$
    

    Führen Sie diesen Befehl einmal für jede SPN, die Sie mit den Anmeldeinformationen ASA zuordnen möchten.Run this command one time for each SPN that you want to associate with the ASA credential.

Überprüfen mithilfe des Befehls "setspn", ob Sie die SPNs den ASA-Anmeldeinformationen zugeordnet habenVerify you associated the SPNs with the ASA credentials by using the setspn command

  1. Drücken Sie auf Starten. Geben Sie in das Suchfeld ein Eingabeaufforderungsfenster, und wählen Sie dann in der Liste der Ergebnisse an der Eingabeaufforderung aus.Press Start. In the Search box, type Command Prompt, and then select Command Prompt in the list of results.

  2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:At the command prompt, type the following command:

    setspn -L <Account>$
    

    Wobei <Account> das Konto ist, das den ASA-Anmeldeinformationen zugeordnet ist. Beispiel:Where <Account> is the account associated with the ASA credential. For example:

    setspn -L tailspin\EXCH2016ASAXCH2016ASA$
    

    Sie müssen diesen Befehl nur einmal ausführen.You have to run this command only one time.

Aktivieren von Kerberos-Authentifizierung für Outlook-ClientsEnable Kerberos authentication for Outlook clients

  1. Öffnen Sie auf einem Exchange 2016-Server die Exchange-Verwaltungsshell.Open the Exchange Management Shell on an Exchange 2016 server.

  2. Führen Sie den folgenden Befehl zum Aktivieren der Kerberos-Authentifizierung für Outlook Anywhere-Clients auf Ihrem Exchange 2016-Server, auf der Client Access Services ausgeführt wird:To enable Kerberos authentication for Outlook Anywhere clients, run the following command on your Exchange 2016 server that is running Client Access services:

    Get-OutlookAnywhere -Server CAS-1 | Set-OutlookAnywhere -InternalClientAuthenticationMethod  Negotiate
    
  3. Um Kerberos-Authentifizierung für die MAPI über HTTP-Clients zu aktivieren, führen Sie Folgendes auf Ihrem Exchange 2016-Server, auf der Client Access Services ausgeführt wird:To enable Kerberos authentication for MAPI over HTTP clients, run the following on your Exchange 2016 server that is running Client Access services:

    Get-MapiVirtualDirectory -Server CAS-1 | Set-MapiVirtualDirectory -IISAuthenticationMethods Ntlm, Negotiate
    
  4. Wiederholen Sie die Schritte 2 und 3 für jede 2016 Exchange-Servers mit der Client Access Services für sich möchten Kerberos-Authentifizierung aktivieren.Repeat steps 2 and 3 for each Exchange 2016 server that is running Client Access services for whichyou want to enable Kerberos authentication.

Überprüfen Sie die Kerberos-Authentifizierung für Exchange-clientVerify Exchange client Kerberos authentication

Nachdem Sie Kerberos und die Anmeldeinformationen des ASA erfolgreich konfiguriert haben, stellen Sie sicher, dass Clients wie beschrieben in dieser Aufgaben erfolgreich authentifiziert werden können.After you've successfully configured Kerberos and the ASA credential, verify that clients can authenticate successfully, as described in these tasks.

Überprüfen, ob der Dienst für den Microsoft Exchange-Diensthost ausgeführt wirdVerify that the Microsoft Exchange Service Host service is running

Der Microsoft Exchange-Dienst-Hostdienst (MSExchangeServiceHost) auf dem Server, auf der Client Access Services ausgeführt wird, ist verantwortlich für die Verwaltung von Anmeldeinformationen ASA. Wenn MSExchangeServiceHost nicht ausgeführt wird, ist Kerberos-Authentifizierung nicht möglich. Standardmäßig ist der Dienst automatisch gestartet wird, beim Starten des Computers konfiguriert.The Microsoft Exchange Service Host service (MSExchangeServiceHost) on the server that is running Client Access services is responsible for managing the ASA credential. If MSExchangeServiceHost isn't running, Kerberos authentication isn't possible. By default, the service is configured to automatically start when the computer starts.

Überprüfen, ob der Dienste für den Microsoft Exchange-Diensthost gestartet wurdeTo verify the Microsoft Exchange Service Host service is started

  1. Klicken Sie auf Start, geben Sie services.msc ein, und wählen Sie dann services.msc in der Liste aus.Click Start, type services.msc, and then select services.msc from the list.

  2. Suchen Sie im Fenster Dienste den Dienst Microsoft Exchange-Diensthost in der Liste der Dienste.In the Services window, locate the Microsoft Exchange Service Host service in the list of services.

  3. Der Status des Diensts sollte Gestartet lauten. Wenn der Status nicht Gestartet lautet, klicken Sie mit der rechten Maustaste auf den Dienst, und klicken Sie dann auf Starten.The status of the service should be Running. If the status is not Running, right-click the service, and then click Start.

Überprüfen von Kerberos vom Client Access Services-serverVerify Kerberos from the server running Client Access services

Wenn Sie die Anmeldeinformationen des ASA auf jedem Client Access Services-Server konfiguriert haben, haben Sie das Cmdlet Set-ClientAccessServer ausgeführt. Die Protokolle können Sie nach dem Ausführen dieses Cmdlets überprüfen Sie die erfolgreiche Kerberos-Verbindungen.When you configured the ASA credential on each server running Client Access services, you ran the Set-ClientAccessServer cmdlet. After you run this cmdlet, you can use the logs to verify successful Kerberos connections.

Stellen Sie sicher, dass Kerberos funktioniert ordnungsgemäß durch die Verwendung der Protokolldatei HttpProxyVerify that Kerberos is working correctly by using the HttpProxy log file

  1. Wechseln Sie in einem Text-Editor zu dem Ordner, in dem das HttpProxy-Protokoll gespeichert ist. Standardmäßig befindet sich das Protokoll im folgenden Ordner:In a text editor, browse to the folder where the HttpProxy log is stored. By default, the log is stored in the following folder:

    %ExchangeInstallPath%\Logging\HttpProxy\RpcHttp%ExchangeInstallPath%\Logging\HttpProxy\RpcHttp

  2. Öffnen Sie die aktuelle Protokolldatei, und suchen Sie nach dem Wort aushandeln. Die Zeile in der Protokolldatei sieht in etwa wie im folgenden Beispiel:Open the most recent log file, and then look for the word Negotiate. The line in the log file will look something like the following example:

    2014-02-19T13:30:49.219Z,e19d08f4-e04c-42da-a6be-b7484b396db0,15,0,775,22,,RpcHttp,mail.corp.tailspintoys.com,/rpc/rpcproxy.dll,,Negotiate,True,tailspin\Wendy,tailspintoys.com,MailboxGuid~ad44b1e0-e44f-4a16-9396-3a437f594f88,MSRPC,192.168.1.77,EXCH1,200,200,,RPC_OUT_DATA,Proxy,exch2.tailspintoys.com,15.00.0775.000,IntraForest,MailboxGuidWithDomain,,,,76,462,1,,1,1,,0,,0,,0,0,16272.3359,0,0,3,0,23,0,25,0,16280,1,16274,16230,16233,16234,16282,?ad44b1e0-e44f-4a16-9396-3a437f594f88@tailspintoys.com:6001,,BeginRequest=2014-02-19T13:30:32.946Z;BeginGetRequestStream=2014-02-19T13:30:32.946Z;OnRequestStreamReady=2014-02-19T13:30:32.946Z;BeginGetResponse=2014-02-19T13:30:32.946Z;OnResponseReady=2014-02-19T13:30:32.977Z;EndGetResponse=2014-02-19T13:30:32.977Z;,PossibleException=IOException;
    

    Wenn Sie sehen, dass der Wert AuthenticationType aushandelnist, wird der Server erfolgreich Kerberos authentifizierte Verbindungen erstellen.If you see that the AuthenticationType value is Negotiate, the server is successfully creating Kerberos authenticated connections.

Beibehalten der ASA-AnmeldeinformationenMaintain the ASA credential

Wenn Sie das Kennwort für die Anmeldeinformationen des ASA in regelmäßigen Abständen aktualisiert haben, verwenden Sie die Schritte zum Konfigurieren der ASA Anmeldeinformations in diesem Artikel. Berücksichtigen Sie Einrichten einer geplanten Aufgabe zum Ausführen regulärer Kennwort Wartung. Achten Sie darauf, dass die geplante Aufgabe aus, um rechtzeitige Kennwortrollover sicherzustellen und zu verhindern, dass Authentifizierung mögliche Ausfälle überwachen.If you have to refresh the password on the ASA credential periodically, use the steps for configuring the ASA credential in this article. Consider setting up a scheduled task to perform regular password maintenance. Be sure to monitor the scheduled task to ensure timely password rollovers and prevent possible authentication outages.

Deaktivieren der Kerberos-AuthentifizierungTurn Kerberos authentication off

Zum Konfigurieren der Server, auf dem Client Access Services für die Verwendung mit Kerberos beenden ausgeführt werden, Aufheben der Zuordnung, oder entfernen Sie die Dienstprinzipalnamen (SPNs) aus der ASA Anmeldeinformationen. Wenn SPNs entfernt werden, Kerberos-Authentifizierung wird nicht von den Clients versucht werden, und Clients, die Negotiate-Authentifizierung konfiguriert sind verwenden stattdessen NTLM. Clients, die so konfiguriert werden, dass nur Kerberos verwendet werden keine Verbindung herstellen können. Nachdem die SPN entfernt wurden, sollten Sie auch das Konto löschen.To configure your servers that are running Client Access services to stop using Kerberos, disassociate or remove the SPNs from the ASA credential. If the SPNs are removed, Kerberos authentication won't be tried by your clients, and clients that are configured to use Negotiate authentication will use NTLM instead. Clients that are configured to use only Kerberos will be unable to connect. After the SPNs are removed, you should also delete the account.

So entfernen die ASA-AnmeldeinformationenTo remove the ASA credential

  1. Öffnen Sie auf einem Exchange 2016-Server die Exchange-Verwaltungsshell, und führen Sie den folgenden Befehl aus:Open the Exchange Management Shell on an Exchange 2016 server and run the following command:

    Set-ClientAccessServer CAS-1 -RemoveAlternateServiceAccountCredentials
    
  2. Obwohl dies nicht sofort erforderlich ist, sollten Sie alle Clientcomputer neu starten, um den Kerberos-Ticketcache von den Computern zu löschen.Although you don't have to do this immediately, you should eventually restart all client computers to clear the Kerberos ticket cache from the computer.