Konfigurieren der Kerberos-Authentifizierung für Clientzugriffsserver mit LastenausgleichConfiguring Kerberos authentication for load-balanced Client Access servers

Gilt für: Exchange Server 2013Applies to: Exchange Server 2013

Zusammenfassung: Beschreibt, wie die Kerberos-Authentifizierung mit Clientzugriffsservern mit Lastenausgleich in Exchange 2013 verwendet wird.Summary: Describes how to use Kerberos authentication with load-balanced Client Access servers in Exchange 2013.

Um die Kerberos-Authentifizierung mit Clientzugriffsservern mit Lastenausgleich verwenden zu können, müssen Sie die folgenden in diesem Artikel beschriebenen Schritte ausführen.In order for you to use Kerberos authentication with load-balanced Client Access servers, you need to complete the configuration steps described in this article.

Erstellen von alternativen Dienstkontoanmeldeinformationen in Active Directory Domain ServicesCreate the alternate service account credential in Active Directory Domain Services

Alle Clientzugriffsserver, die dieselbe Namespaces und URLs aufweisen, müssen dieselbe alternative Anmeldeinformationen für das Dienstkonto verwenden. Im Allgemeinen ist es ausreichend, um ein Konto für eine Gesamtstruktur für die einzelnen Versionen von Exchange haben. alternativen Anmeldeinformationen oder ASA Anmeldeinformationen.All Client Access servers that share the same namespaces and URLs need to use the same alternate service account credentials. In general, it's sufficient to have a single account for a forest for each version of Exchange. alternate service account credential or ASA credential.

Wichtig

Exchange 2010 und Exchange 2013 können nicht dieselben ASA-Anmeldeinformationen gemeinsam nutzen. Sie müssen neue ASA-Anmeldeinformationen für Exchange 2013 erstellen.Exchange 2010 and Exchange 2013 can't share the same ASA credential. You need to create a new ASA credential for Exchange 2013.

Wichtig

CNAME-Datensätze werden für freigegebene Namespaces zwar unterstützt, Microsoft empfiehlt jedoch die Verwendung von A-Datensätzen. Dadurch wird sichergestellt, dass der Client ordnungsgemäß eine Kerberos-Ticketanforderung basierend auf dem freigegebenen Namen und nicht auf dem Server-FQDN ausstellt.While CNAME records are supported for shared namespaces, Microsoft recommends using A records. This ensures that the client correctly issues a Kerberos ticket request based on the shared name, and not the server FQDN.

Wenn Sie die ASA-Anmeldeinformationen einrichten, beachten Sie diese Richtlinien:When you set up the ASA credential, keep these guidelines in mind:

  • Kontenart. Es wird empfohlen, dass Sie ein Computerkonto anstelle eines Benutzerkontos erstellen. Ein Computerkonto nicht interaktive Anmeldung zulassen und weist möglicherweise einfachere Sicherheitsrichtlinien als ein Benutzerkonto. Wenn Sie ein Computerkonto erstellen, das Kennwort läuft nicht ab, aber es wird empfohlen, dass Sie das Kennwort in regelmäßigen Abständen trotzdem aktualisieren. Lokale Gruppenrichtlinien können Sie ein maximales Alter für das Computerkonto und Skripts Computerkonten in regelmäßigen Abständen zu löschen, die nicht die aktuellen Richtlinien entsprechen angeben. Ihre lokale Sicherheitsrichtlinie bestimmt auch, wenn Sie das Kennwort ändern müssen. Obwohl es wird, dass Sie ein Computerkonto verwenden empfohlen, können Sie ein Benutzerkonto erstellen.Account type. We recommend that you create a computer account instead of a user account. A computer account doesn’t allow interactive logon and may have simpler security policies than a user account. If you create a computer account, the password doesn’t expire, but we recommend you update the password periodically anyway. You can use local group policy to specify a maximum age for the computer account and scripts to periodically delete computer accounts that do not meet current policies. Your local security policy also determines when you need to change the password. Although we recommend you use a computer account, you can create a user account.

  • Kontoname. An den Namen des Kontos gibt es keine Anforderungen. Sie können einen beliebigen Namen verwenden, der dem Namensschema entspricht.Account name. There are no requirements for the name of the account. You can use any name that conforms to your naming scheme.

  • Kontogruppe. Das Konto, das Sie für die ASA-Anmeldeinformationen verwenden, benötigt keine speziellen Sicherheitsberechtigungen. Wenn Sie ein Computerkonto verwenden, muss das Konto nur Mitglied der Sicherheitsgruppe "Domain Computers" sein. Wenn Sie ein Benutzerkonto verwenden, muss das Konto nur Mitglied der Sicherheitsgruppe "Domain Users" sein.Account group. The account you use for the ASA credential doesn't need special security privileges. If you are using a computer account then the account only needs to be a member of the Domain Computers security group. If you are using a user account then the account only needs to be a member of the Domain Users security group.

  • Kontokennwort. Das Kennwort ein, das Sie bereitstellen, wenn Sie das Konto erstellt wird verwendet. Wenn Sie das Konto erstellen, sollten Sie also ein komplexes Kennwort verwenden und stellen Sie sicher, dass das Kennwort das Kennwort-Anforderungen Ihrer Organisation entspricht.Account password. The password you provide when you create the account will be used. So when you create the account, you should use a complex password and ensure that the password conforms to your organization’s password requirements.

So erstellen Sie ASA-Anmeldeinformationen als ComputerkontoTo create the ASA credential as a computer account

  1. Führen Sie auf einem Domänencomputer Windows PowerShell oder die Exchange-Verwaltungsshell aus.On a domain-joined computer, run Windows PowerShell or the Exchange Management Shell.

    Verwenden Sie das Import-Module -Cmdlet, um das Active Directory-Modul zu importieren.Use the Import-Module cmdlet to import the Active Directory module.

    Import-Module ActiveDirectory
    
  2. Verwenden Sie das New-ADComputer -Cmdlet, um ein neues Active Directory-Computerkonto mithilfe dieser Cmdlet-Syntax zu erstellen:Use the New-ADComputer cmdlet to create a new Active Directory computer account using this cmdlet syntax:

        New-ADComputer [-Name] <string> [-AccountPassword <SecureString>] [-AllowReversiblePasswordEncryption <System.Nullable[boolean]>] [-Description <string>] [-Enabled <System.Nullable[bool]>]
    

    Beispiel:Example:

        New-ADComputer -Name EXCH2013ASA -AccountPassword (Read-Host 'Enter password' -AsSecureString) -Description 'Alternate Service Account credentials for Exchange' -Enabled:$True -SamAccountName EXCH2013ASA
    

    Wobei EXCH2013ASA der Name des Kontos ist, Alternative Anmeldeinformationen für ein Dienstkonto für Exchange eine beliebige Beschreibung ist, und der Wert für den SamAccountName-Parameter, in diesem Fall EXCH2013ASA, im Verzeichnis eindeutig sein muss.Where EXCH2013ASA is the name of the account, the description Alternate Service Account credentials for Exchange is whatever you want it to be, and the value for the SamAccountName parameter, in this case EXCH2013ASA, need to be unique in your directory.

  3. Verwenden Sie das Set-ADComputer -Cmdlet, um mithilfe der folgenden Cmdlet-Syntax die Unterstützung des AES 256-Verschlüsselungsverfahrens zu aktivieren, das von Kerberos verwendet wird:Use the Set-ADComputer cmdlet to enable the AES 256 encryption cipher support used by Kerberos using this cmdlet syntax:

        Set-ADComputer [-Name] <string> [-add @{<attributename>="<value>"]
    

    Beispiel:Example:

    Set-ADComputer EXCH2013ASA -add @{"msDS-SupportedEncryptionTypes"="28"}
    

    Wobei EXCH2013ASA der Name des Kontos ist und das zu änderte Attribut ist msDS-SupportedEncryptionTypes mit einem Dezimalwert von 28, der die folgenden Verschlüsselungen ermöglicht: RC4-HMAC, AES128-CTS-HMAC-SHA1-96, AES256-CTS-HMAC-SHA1-96.Where EXCH2013ASA is the name of the account and the attribute to be modified is msDS-SupportedEncryptionTypes with a decimal value of 28, which enables the following ciphers: RC4-HMAC, AES128-CTS-HMAC-SHA1-96, AES256-CTS-HMAC-SHA1-96.

Weitere Informationen zu diesen Cmdlets finden Sie unter Import-Module und New-ADComputer.For more information about these cmdlets, see Import-Module and New-ADComputer.

Gesamtstrukturübergreifende SzenariosCross-forest scenarios

Bei einer gesamtstrukturübergreifenden oder Ressourcengesamtstruktur-Bereitstellung mit Benutzern außerhalb der Active Directory-Gesamtstruktur, die Exchange enthält, müssen Sie eine Gesamtstruktur-Vertrauensstellung zwischen den Gesamtstrukturen konfigurieren. Außerdem müssen Sie für jede Gesamtstruktur in der Bereitstellung eine Weiterleitungsregel einrichten, die die Vertrauensstellung zwischen allen Namenssuffixes innerhalb der Gesamtstruktur und gesamtstrukturübergreifend aktiviert. Weitere Informationen zum Verwalten von gesamtstrukturübergreifenden Vertrauensstellungen finden Sie unter Verwalten von Gesamtstruktur-Vertrauensstellungen.If you have a cross-forest or resource-forest deployment, and you have users that are outside the Active Directory forest that contains Exchange, you need to configure forest trust relationships between the forests. Also, for each forest in the deployment, you need to set up a routing rule that enables trust between all name suffixes within the forest and across forests. For more information about managing cross-forest trusts, see Managing forest trusts.

Identifizieren der zu den ASA-Anmeldeinformationen gehörenden DienstprinzipalnamenIdentify the Service Principal Names to associate with the ASA credential

Nach dem Erstellen von ASA-Anmeldeinformationen müssen Sie den ASA-Anmeldeinformationen Exchange-Dienstprinzipalnamen (SPN) zuordnen. Die Liste der Exchange-SPNs variiert je nach Konfiguration. Sie sollte jedoch mindestens folgende Angaben enthalten:After you create the ASA credential, you need to associate Exchange Service Principal Names (SPNs) with the ASA credential. The list of Exchange SPNs may vary with your configuration, but should include at least the following:

  • http / Verwenden Sie diesen SPN für Outlook Anywhere, MAPI über HTTP, Exchange-Webdienste, AutoErmittlung und Offline-Adressbuch.http/ Use this SPN for Outlook Anywhere, MAPI over HTTP, Exchange Web Services, Autodiscover, and Offline Address Book.

Die SPN-Werte müssen dem Dienstnamen im Netzwerklastenausgleich anstatt auf den einzelnen Servern entsprechen. Betrachten Sie die folgenden Szenarios, damit diese Ihnen bei der Planung helfen, welche SPN-Werte verwendet werden sollen:The SPN values need to match the service name on the network load balancer instead of on individual servers. To help plan which SPN values you should use, consider the following scenarios:

  • Einzelner Active Directory-StandortSingle Active Directory site

  • Mehrere Active Directory-StandorteMultiple Active Directory sites

In jedem dieser Szenarien wird davon ausgegangen Sie, dass die Lastenausgleich, vollqualifizierten Domänennamen (FQDNs) bereitgestellt wurden für die internen URLs, externe URLs und interne URI verwendet, die für den AutoErmittlungsdienst von Mitgliedern Client Access Server. Weitere Informationen finden Sie unter Grundlegendes zu Proxyvorgänge und Umleitung.In each of these scenarios, assume that the load-balanced, fully-qualified domain names (FQDNs) have been deployed for the internal URLs, external URLs, and the autodiscover internal URI used by the Client Access server members. For more information, see Understanding proxying and redirection.

Einzelner Active Directory-StandortSingle Active Directory site

Wenn Sie einen einzelnen Active Directory-Standort haben, kann Ihre Umgebung der in der folgenden Abbildung entsprechen:If you have a single Active Directory site, your environment may resemble the one in the following figure:

![CAS-Array mit einzelnen AD und Kerberos-Authentifizierung] (images/Ff808312.97a1a926-f4ac-4498-bc6b-32e7fb1b70f1(EXCHG.150).jpg "CAS-Array mit einzelnen AD und Kerberos-Authentifizierung")CAS Array with Single AD and Kerberos auth

Basierend auf den FQDNs, die von den internen Outlook-Clients in der Abbildung oben verwendet werden, müssen Sie die folgenden SPNs den ASA-Anmeldeinformationen zuordnen:Based on the FQDNs that are used by the internal Outlook clients in the preceding figure, you need to associate the following SPNs with the ASA credential:

  • HTTP/Mail.corp.tailspintoys.comhttp/mail.corp.tailspintoys.com

  • HTTP/autodiscover.corp.tailspintoys.comhttp/autodiscover.corp.tailspintoys.com

Mehrere Active Directory-StandorteMultiple Active Directory sites

Wenn Sie mehrere Active Directory-Standorte haben, kann Ihre Umgebung der in der folgenden Abbildung entsprechen:If you have multiple Active Directory sites, your environment may resemble the one in the following figure:

![CAS-Array mit mehreren Active Directory-Standorte und Kerberos-Authentifizierung] (images/Ff808312.95b52bd8-7074-4055-8bd2-e6bf1f112b42(EXCHG.150).jpg "CAS-Array mit mehreren Active Directory-Standorte und Kerberos-Authentifizierung")CAS array with multiple AD sites and Kerberos auth

Basierend auf den FQDNs, die von den Outlook-Clients in der Abbildung oben verwendet werden, müssen Sie die folgenden SPNs den ASA-Anmeldeinformationen zuordnen, die von den Clientzugriffsservern in ADSite 1 verwendet werden:Based on the FQDNs that are used by the Outlook clients in the preceding figure, you would need to associate the following SPNs with the ASA credential that is used by the Client Access servers in ADSite 1:

  • HTTP/Mail.corp.tailspintoys.comhttp/mail.corp.tailspintoys.com

  • HTTP/autodiscover.corp.tailspintoys.comhttp/autodiscover.corp.tailspintoys.com

Außerdem müssen Sie die folgenden SPNs den ASA-Anmeldeinformationen zuordnen, die von den Clientzugriffsservern in ADSite 2 verwendet werden:You would also need to associate the following SPNs with the ASA credential that is used by the Client Access servers in ADSite 2:

  • HTTP/mailsdc.corp.tailspintoys.comhttp/mailsdc.corp.tailspintoys.com

  • HTTP/autodiscoversdc.corp.tailspintoys.comhttp/autodiscoversdc.corp.tailspintoys.com

Konfigurieren und Überprüfen der Konfiguration der ASA-Anmeldeinformationen auf den einzelnen ClientzugriffsservernConfigure and then verify configuration of the ASA credential on each Client Access server

Nachdem Sie das Konto erstellt haben, müssen Sie überprüfen, ob das Konto auf alle AD DS-Domänencontroller repliziert wurde. Das Konto muss speziell auf allen Clientzugriffsservern vorhanden sein, die die ASA-Anmeldeinformationen verwenden. Danach konfigurieren Sie das Konto als ASA-Anmeldeinformationen auf den einzelnen Clientzugriffsservern in der Bereitstellung.After you’ve created the account, you need to verify that the account has replicated to all AD DS domain controllers. Specifically, the account needs to be present on each Client Access server that will use the ASA credential. Next, you configure the account as the ASA credential on each Client Access server in your deployment.

Sie konfigurieren die ASA-Anmeldeinformationen mithilfe der Exchange-Verwaltungsshell, wie in einer dieser Verfahrensweisen beschrieben wird:You configure the ASA credential by using the Exchange Management Shell as described in one of these procedures:

  • Bereitstellen der ASA-Anmeldeinformationen für den ersten Exchange 2013-ClientzugriffsserverDeploy the ASA credential to the first Exchange 2013 Client Access server

  • Bereitstellen der ASA-Anmeldeinformationen an nachfolgende Exchange 2013-ClientzugriffsserverDeploy the ASA credential to subsequent Exchange 2013 Client Access servers

Die einzige unterstützte Methode für die Bereitstellung der ASA-Anmeldeinformationen ist die Verwendung des Skripts RollAlternateServiceAcountPassword.ps1. Weitere Informationen finden Sie unter Verwenden des Skripts "RollAlternateserviceAccountCredential.ps1" in der Shell. Nach der Ausführung des Skripts sollten Sie überprüfen, ob alle Zielserver ordnungsgemäß aktualisiert wurden.The only supported method for deploying the ASA credential is to use the RollAlternateServiceAcountPassword.ps1 script. For more information, see Using the RollAlternateserviceAccountCredential.ps1 Script in the Shell. After the script has run, we recommend that you verify that all the targeted servers have been updated correctly.

Bereitstellen der ASA-Anmeldeinformationen für den ersten Exchange 2013-ClientzugriffsserverDeploy the ASA Credential to the first Exchange 2013 Client Access server

  1. Öffnen Sie die Exchange-Verwaltungsshell auf einem Exchange 2013-Server.Open the Exchange Management Shell on an Exchange 2013 server.

  2. Wechseln Sie in * <Exchange 2013-Installationsverzeichnis>*\V15\Skripts.Change directories to <Exchange 2013 installation directory>\V15\Scripts.

  3. Führen Sie den folgenden Befehl aus, um die ASA-Anmeldeinformationen für den ersten Exchange 2013-Clientzugriffsserver bereitzustellen:Run the following command to deploy the ASA credential to the first Exchange 2013 Client Access server:

        .\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer cas-1.corp.tailspintoys.com -GenerateNewPasswordFor tailspin\EXCH2013ASA$
    
  4. Wenn Sie gefragt werden, ob Sie das Kennwort für das alternative Dienstkonto ändern möchten, antworten Sie Ja.When you're asked if you want to change the password for the alternate service account, answer Yes.

Im Folgenden finden Sie ein Beispiel der Ausgabe, die beim Ausführen des Skripts RollAlternateServiceAccountPassword.ps1 angezeigt wird.The following is an example of the output that's shown when you run the RollAlternateServiceAccountPassword.ps1 script.

    ========== Starting at 01/12/2015 10:17:47 ==========
    Creating a new session for implicit remoting of "Get-ExchangeServer" command...
    Destination servers that will be updated:
    
    Name                                                        PSComputerName
    ----                                                        --------------
    cas-1                                                   cas-1.corp.tailspintoys.com
    
    
    Credentials that will be pushed to every server in the specified scope (recent first):
    
    UserName                                                                                                        
    Password
    --------                                                                                                        
    --------
    tailspin\EXCH2013ASA$                                                                             
    System.Security.SecureString
    
    
    Prior to pushing new credentials, all existing credentials that are invalid or no longer work will be removed from  the destination servers.
    Pushing credentials to server cas-1
    Setting a new password on Alternate Serice Account in Active Directory
    
    Password change
    Do you want to change password for tailspin\EXCH2013ASA$ in Active Directory at this time?
    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): y
    Preparing to update Active Directory with a new password for tailspin\EXCH2013ASA$ ...
    Resetting a password in the Active Directory for tailspin\EXCH2013ASA$ ...
    New password was successfully set to Active Directory.
    Retrieving the current Alternate Service Account configuration from servers in scope
    Alternate Service Account properties:
    
    StructuralObjectClass QualifiedUserName Last Pwd Update       SPNs
    --------------------- ----------------- ---------------       ----
    computer              tailspin\EXCH2013ASA$   1/12/2015 10:19:53 AM
    
    Per-server Alternate Service Account configuration as of the time of script completion:
    
    
       Array: {mail.corp.tailspintoys.com}
    
    Identity  AlternateServiceAccountConfiguration
    --------  ------------------------------------
    cas-1 Latest: 1/12/2015 10:19:22 AM, tailspin\EXCH2013ASA$
              ...
    
    ========== Finished at 01/12/2015 10:20:00 ==========
    
            THE SCRIPT HAS SUCCEEDED

Bereitstellen der ASA-Anmeldeinformationen an einen weiteren Exchange 2013-ClientzugriffsserverDeploy the ASA credential to another Exchange 2013 Client Access server

  1. Öffnen Sie die Exchange-Verwaltungsshell auf einem Exchange 2013-Server.Open the Exchange Management Shell on an Exchange 2013 server.

  2. Wechseln Sie in * <Exchange 2013-Installationsverzeichnis>*\V15\Skripts.Change directories to <Exchange 2013 installation directory>\V15\Scripts.

  3. Führen Sie den folgenden Befehl zum Bereitstellen von ASA Anmeldeinformationen auf einen anderen Exchange 2013-Clientzugriffs-Server:Run the following command to deploy the ASA credential to another Exchange 2013 Client Access server:

        .\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer cas-2.corp.tailspintoys.com -CopyFrom cas-1.corp.tailspintoys.com
    
  4. Wiederholen Sie Schritt 3 für jeden Clientzugriffsserver, für den Sie die ASA-Anmeldeinformationen bereitstellen möchten.Repeat Step 3 for each Client Access server you want to deploy the ASA credential to.

Im Folgenden finden Sie ein Beispiel der Ausgabe, die beim Ausführen des Skripts RollAlternateServiceAccountPassword.ps1 angezeigt wird.The following is an example of the output that's shown when you run the RollAlternateServiceAccountPassword.ps1 script.

    ========== Starting at 01/12/2015 10:34:35 ==========
    Destination servers that will be updated:
    
    Name                                                        PSComputerName
    ----                                                        --------------
    cas-2                                                   cas-2.corp.tailspintoys.com
    
    
    Credentials that will be pushed to every server in the specified scope (recent first):
    
    UserName                                                                                                        
    Password
    --------                                                                                                        
    --------
    tailspin\EXCH2013ASA$                                                                             
    System.Security.SecureString
    
    Prior to pushing new credentials, all existing credentials will be removed from the destination servers.
    Pushing credentials to server cas-2
    Retrieving the current Alternate Service Account configuration from servers in scope
    Alternate Service Account properties:
    
    StructuralObjectClass QualifiedUserName Last Pwd Update       SPNs
    --------------------- ----------------- ---------------       ----
    computer              tailspin\EXCH2013ASA$   1/12/2015 10:19:53 AM
    
    Per-server Alternate Service Account configuration as of the time of script completion:
    
    
       Array: cas-2.corp.tailspintoys.com
    
    Identity  AlternateServiceAccountConfiguration
    --------  ------------------------------------
    cas-2 Latest: 1/12/2015 10:37:59 AM, tailspin\EXCH2013ASA$
              ...
    
    
    ========== Finished at 01/12/2015 10:38:13 ==========
    
            THE SCRIPT HAS SUCCEEDED

Überprüfen der Bereitstellung von ASA-AnmeldeinformationenVerify the deployment of the ASA credential

  • Öffnen Sie die Exchange-Verwaltungsshell auf einem Exchange 2013-Server.Open the Exchange Management Shell on an Exchange 2013 server.

  • Führen Sie den folgenden Befehl aus, um die Einstellungen auf einem Clientzugriffsserver zu überprüfen:Run the following command to check the settings on a Client Access server:

        Get-ClientAccessServer CAS-3 -IncludeAlternateServiceAccountCredentialStatus | Format-List Name, AlternateServiceAccountConfiguration
    
  • Wiederholen Sie Schritt 2 für jeden Clientzugriffsserver, auf dem Sie die Bereitstellung von ASA-Anmeldeinformationen überprüfen möchten.Repeat Step 2 on each Client Access server where you want to verify the deployment of the ASA credential.

Im Folgenden finden Sie ein Beispiel der Ausgabe, die angezeigt wird, wenn Sie den obigen Get-ClientAccessServer-Befehl ausführen und keine früheren ASA-Anmeldeinformationen festgelegt wurden.The following is an example of the output that's shown when you run the Get-ClientAccessServer command above and no previous ASA credential was set.

    Name                                 : CAS-1
    AlternateServiceAccountConfiguration : Latest: 1/12/2015 10:19:22 AM, tailspin\EXCH2013ASA$
                                           Previous: <Not set>
                                               ...

Im Folgenden finden Sie ein Beispiel der Ausgabe, die angezeigt wird, wenn Sie den obigen Get-ClientAccessServer-Befehl ausführen und frühere ASA-Anmeldeinformationen festgelegt wurden. Die früheren ASA-Anmeldeinformationen und das Datum und die Uhrzeit, zu denen sie festgelegt wurden, werden zurückgegeben.The following is an example of the output that's shown when you run the Get-ClientAccessServer command above and an ASA credential was previously set. The previous ASA credential and the date and time it was set are returned.

    Name                                 : CAS-3
    AlternateServiceAccountConfiguration : Latest: 1/12/2015 10:19:22 AM, tailspin\EXCH2013ASA$
                                           Previous: 7/15/2014 12:58:35 PM, tailspin\oldSharedServiceAccountName$
                                               ...

Zuordnen von Dienstprinzipalnamen (Service Principal Names, SPNs) zu den ASA-AnmeldeinformationenAssociate Service Principal Names (SPNs) with the ASA credential

Wichtig

Ordnen Sie SPNs erst dann ASA-Anmeldeinformationen zu, wenn Sie diese Anmeldeinformationen mindestens einen Exchange Server bereitgestellt haben, wie zuvor unter Bereitstellen der ASA-Anmeldeinformationen für den ersten Exchange 2013-Clientzugriffsserver beschrieben. Andernfalls treten Kerberos-Authentifizierungsfehler auf.Don't associate SPNs with an ASA credential until you have deployed that credential to at least one Exchange Server, as described earlier in Deploy the ASA Credential to the first Exchange 2013 Client Access server. Otherwise, you will experience Kerberos authentication errors.

Bevor Sie die SPNs den ASA-Anmeldeinformationen zuordnen, müssen Sie sicherstellen, dass die Ziel-SPNs noch keinem anderen Konto in der Gesamtstruktur zugeordnet sind. Die ASA-Anmeldeinformationen müssen das einzige Konto in der Gesamtstruktur darstellen, denen diese SPNs zugeordnet sind. Sie können überprüfen, ob einem anderen Konto in der Gesamtstruktur die SPNs zugeordnet sind, indem Sie den setspn-Befehl an der Befehlszeile ausführen.Before you associate the SPNs with the ASA credential, you need to verify that the target SPNs aren't already associated with a different account in the forest. The ASA credential need to be the only account in the forest with which these SPNs are associated. You can verify that no other account in the forest is associated with the SPNs by running the setspn command from the command line.

Überprüfen Sie durch Ausführen des Befehls "setspn", ob bereits ein SPN einem Konto in einer Gesamtstruktur zugeordnet istVerify an SPN is not already associated with an account in a forest by running the setspn command

  1. Klicken Sie auf Start. Geben Sie im Feld Suchen das Wort Eingabeaufforderung ein, und wählen Sie dann in der Ergebnisliste Eingabeaufforderung aus.Press Start. In the Search box, type Command Prompt, then in the list of results, select Command Prompt.

  2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:At the command prompt, type the following command:

    setspn -F -Q <SPN>
    

    Wobei <SPN> der Dienstprinzipalname ist, den Sie den ASA-Anmeldeinformationen zuordnen möchten. Beispiel:Where <SPN> is the SPN you want to associate with the ASA credential. For example:

    setspn -F -Q http/mail.corp.tailspintoys.com
    

    Der Befehl sollte nichts zurückgeben. Wenn er etwas zurückgibt, ist bereits ein anderes Konto dem SPN zugeordnet. Wiederholen Sie diesen Schritt einmal für jeden SPN, den Sie den ASA-Anmeldeinformationen zuordnen möchten.The command should return nothing. If it returns something, another account is already associated with the SPN. Repeat this step once for each SPN you want to associate with the ASA credential.

Zuordnen eines SPN zu den ASA-Anmeldeinformationen mithilfe des Befehls "setspn"Associate an SPN with an ASA credential by using the setspn command

  1. Klicken Sie auf Start. Geben Sie im Feld Suchen das Wort Eingabeaufforderung ein, und wählen Sie dann in der Ergebnisliste Eingabeaufforderung aus.Press Start. In the Search box, type Command Prompt, then in the list of results, select Command Prompt.

  2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:At the command prompt, type the following command:

    setspn -S <SPN> <Account>$
    

    Wobei <SPN> der Dienstprinzipalname ist, den Sie den ASA-Anmeldeinformationen zuordnen möchten, und <Account> das Konto ist, das den ASA-Anmeldeinformationen zugeordnet ist. Beispiel:Where <SPN> is the SPN you want to associate with the ASA credential and <Account> is the account associated with the ASA credential. For example:

    setspn -S http/mail.corp.tailspintoys.com tailspin\EXCH2013ASA$
    

    Führen Sie diesen Befehl einmal für jeden SPN aus, den Sie den ASA-Anmeldeinformationen zuordnen möchten.Run this command once for each SPN you want to associate with the ASA credential.

Überprüfen mithilfe des Befehls "setspn", ob Sie die SPNs den ASA-Anmeldeinformationen zugeordnet habenVerify you associated the SPNs with the ASA credentials by using the setspn command

  1. Klicken Sie auf Start. Geben Sie im Feld Suchen das Wort Eingabeaufforderung ein, und wählen Sie dann in der Ergebnisliste Eingabeaufforderung aus.Press Start. In the Search box, type Command Prompt, then in the list of results, select Command Prompt.

  2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:At the command prompt, type the following command:

    setspn -L <Account>$
    

    Wobei <Account> das Konto ist, das den ASA-Anmeldeinformationen zugeordnet ist. Beispiel:Where <Account> is the account associated with the ASA credential. For example:

    setspn -L tailspin\EXCH2013ASA$
    

    Diesen Befehl müssen Sie nur einmal ausführen.You only need to run this command once.

Aktivieren der Kerberos-Authentifizierung für Outlook-ClientsEnable Kerberos authentication for Outlook clients

  1. Öffnen Sie die Exchange-Verwaltungsshell auf einem Exchange 2013-Server.Open the Exchange Management Shell on an Exchange 2013 server.

  2. Führen Sie den folgenden Befehl auf dem Clientzugriffsserver aus, um die Kerberos-Authentifizierung für Outlook Anywhere-Clients zu aktivieren:To enable Kerberos authentication for Outlook Anywhere clients, run the following command on your Client Access server:

        Get-OutlookAnywhere -server CAS-1 | Set-OutlookAnywhere -InternalClientAuthenticationMethod  Negotiate
    
  3. Führen Sie Folgendes auf Ihrem Exchange 2013-Clientzugriffsserver aus, um die Kerberos-Authentifizierung für MAPI über HTTP-Clients zu aktivieren:To enable Kerberos authentication for MAPI over HTTP clients, run the following on your Exchange 2013 Client Access server:

        Get-MapiVirtualDirectory -Server CAS-1 | Set-MapiVirtualDirectory -IISAuthenticationMethods Ntlm, Negotiate
    
  4. Wiederholen Sie die Schritte 2 und 3 für jeden Exchange 2013 Clientzugriffsserver, auf dem Sie die Kerberos-Authentifizierung aktivieren möchten.Repeat steps 2 and 3 for each Exchange 2013 Client Access server where you want to enable Kerberos authentication.

Überprüfen der Kerberos-Authentifizierung des Exchange-ClientsValidate Exchange client Kerberos authentication

Nachdem Sie Kerberos und die ASA-Anmeldeinformationen erfolgreich konfiguriert haben, überprüfen Sie, ob sich Clients wie in diesen Aufgaben beschrieben authentifizieren können.After you've successfully configured Kerberos and the ASA credential, verify that clients can authenticate successfully as described in these tasks.

Überprüfen, ob der Microsoft Exchange-Diensthost ausgeführt wirdVerify that the Microsoft Exchange Service Host service is running

Der Dienst "Microsoft Exchange-Diensthost" (MSExchangeServiceHost) auf den Clientzugriffsservern ist für die Verwaltung der ASA-Anmeldeinformationen zuständig. Wenn dieser Dienst nicht ausgeführt wird, kann die Kerberos-Authentifizierung nicht verwendet werden. Der Dienst ist standardmäßig so konfiguriert, dass er automatisch beim Start des Computers gestartet wird.The Microsoft Exchange Service Host service (MSExchangeServiceHost) on the Client Access server is responsible for managing the ASA credential. If this service isn’t running, Kerberos authentication isn’t possible. By default, the service is configured to automatically start when the computer starts.

Überprüfen, ob der Dienste für den Microsoft Exchange-Diensthost gestartet wurdeTo verify the Microsoft Exchange Service Host service is started

  1. Klicken Sie auf Start, geben Sie services.msc ein, und wählen Sie dann services.msc in der Liste aus.Click Start, type services.msc, and then select services.msc from the list.

  2. Suchen Sie im Fenster Dienste den Dienst Microsoft Exchange-Diensthost in der Liste der Dienste.In the Services window, locate the Microsoft Exchange Service Host service in the list of services.

  3. Der Status des Diensts sollte Gestartet lauten. Wenn der Status nicht Gestartet lautet, klicken Sie mit der rechten Maustaste auf den Dienst, und klicken Sie dann auf Starten.The status of the service should be Running. If the status is not Running, right-click the service, and then click Start.

Überprüfen von Kerberos vom ClientzugriffsserverValidate Kerberos from the Client Access server

Wenn Sie die ASA-Anmeldeinformationen auf den einzelnen Clientzugriffsservern konfiguriert haben, haben Sie das set-ClientAccessServer-Cmdlet ausgeführt. Sobald Sie dieses Cmdlet ausgeführt haben, können Sie die Protokolle verwenden, um erfolgreiche Kerberos-Verbindungen zu überprüfen.When you configured the ASA credential on each Client Access server, you ran the set-ClientAccessServer cmdlet. Once you have run this cmdlet, you can use the logs to verify successful Kerberos connections.

So überprüfen Sie mithilfe der HttpProxy-Protokolldatei, ob Kerberos ordnungsgemäß funktioniertTo validate that Kerberos is working correctly by using the HttpProxy log file

  1. Wechseln Sie in einem Text-Editor zu dem Ordner, in dem das HttpProxy-Protokoll gespeichert ist. Standardmäßig befindet sich das Protokoll im folgenden Ordner:In a text editor, browse to the folder where the HttpProxy log is stored. By default, the log is stored in the following folder:

        %ExchangeInstallPath%\\Logging\\HttpProxy\\RpcHttp
    
  2. Öffnen Sie die neueste Protokolldatei, und suchen Sie das Wort Negotiate. Die Zeile in der Protokolldatei sollte der folgenden ähneln:Open the most recent log file and look for the word Negotiate. The line in the log file will look something like the following example:

        2014-02-19T13:30:49.219Z,e19d08f4-e04c-42da-a6be-b7484b396db0,15,0,775,22,,RpcHttp,mail.corp.tailspintoys.com,/rpc/rpcproxy.dll,,Negotiate,True,tailspin\Wendy,tailspintoys.com,MailboxGuid~ad44b1e0-e44f-4a16-9396-3a437f594f88,MSRPC,192.168.1.77,EXCH1,200,200,,RPC_OUT_DATA,Proxy,exch2.tailspintoys.com,15.00.0775.000,IntraForest,MailboxGuidWithDomain,,,,76,462,1,,1,1,,0,,0,,0,0,16272.3359,0,0,3,0,23,0,25,0,16280,1,16274,16230,16233,16234,16282,?ad44b1e0-e44f-4a16-9396-3a437f594f88@tailspintoys.com:6001,,BeginRequest=2014-02-19T13:30:32.946Z;BeginGetRequestStream=2014-02-19T13:30:32.946Z;OnRequestStreamReady=2014-02-19T13:30:32.946Z;BeginGetResponse=2014-02-19T13:30:32.946Z;OnResponseReady=2014-02-19T13:30:32.977Z;EndGetResponse=2014-02-19T13:30:32.977Z;,PossibleException=IOException;
    

    Wenn Sie feststellen, dass der Wert von AuthenticationType Negotiate ist, erstellt der Server erfolgreich von Kerberos authentifizierte Verbindungen.If you see the AuthenticationType value is Negotiate, then the server is successfully creating Kerberos authenticated connections.

Beibehalten der ASA-AnmeldeinformationenMaintain the ASA credential

Wenn Sie das Kennwort für die ASA-Anmeldeinformationen regelmäßig aktualisieren müssen, verwenden Sie die Schritte für das Konfigurieren der ASA-Anmeldeinformationen in diesem Artikel. Sie können auch eine geplante Aufgabe einrichten, um das Kennwort regelmäßig zu warten. Stellen Sie sicher, dass die geplante Aufgabe für die rechtzeitigen Kennwortrollover überwacht wird und mögliche Authentifizierungsausfälle verhindert werden.If you need to refresh the password on the ASA credential periodically, use the steps for configuring the ASA credential in this article. Consider setting up a scheduled task to perform regular password maintenance. Be sure to monitor the scheduled task to ensure timely password rollovers and prevent possible authentication outages.

Deaktivieren der Kerberos-AuthentifizierungTurn Kerberos authentication off

Um den Clientzugriffsserver so zu konfigurieren, dass Kerberos nicht verwendet wird, trennen oder entfernen Sie die SPNs von den ASA-Anmeldeinformationen. Nach dem Entfernen der SPNs versuchen die Clients keine Kerberos-Authentifizierung, und Clients, für die die Negotiate-Authentifizierung konfiguriert ist, verwenden stattdessen NTLM. Clients, für die ausschließlich die Verwendung von Kerberos konfiguriert ist, können keine Verbindung herstellen. Nach dem Entfernen der SPNs sollten Sie auch das Konto löschen.To configure your Client Access server so that it doesn't use Kerberos, disassociate or remove the SPNs from the ASA credential. If the SPNs are removed, Kerberos authentication won't be attempted by your clients, and clients configured to use Negotiate authentication will use NTLM instead. Clients configured to use only Kerberos will be unable to connect. Once the SPNs are removed you should also delete the account.

So entfernen die ASA-AnmeldeinformationenTo remove the ASA credential

  1. Öffnen Sie die Exchange-Verwaltungsshell auf einem Exchange 2013-Server, und führen Sie den folgenden Befehl aus:Open the Exchange Management Shell on an Exchange 2013 server and run the following command:

    Set-ClientAccessServer CAS-1 -RemoveAlternateServiceAccountCredentials
    
  2. Obwohl dies nicht sofort erforderlich ist, sollten Sie alle Clientcomputer neu starten, um den Kerberos-Ticketcache von den Computern zu löschen.Although you don’t have to do this immediately, you should eventually restart all client computers to clear the Kerberos ticket cache from the computer.