MAPI-asiakasyhteyden Kerberos-todennus Client Access -palvelintaulukkoon

Yhteenveto

Microsoft Exchange Server 2010 -käyttöönotoissa, joissa on useampi kuin yksi Client Access -palvelin Active Directory -sivustossa, topologia edellyttää usein Client Access -palvelintaulukkoa ja kuormituksen tasausratkaisua liikenteen jakamiseksi sivuston kaikkien Client Access -palvelimien kesken. Exchange Server 2010:n muutosten vuoksi MAPI-sähköpostiohjelmat eivät voi muodostaa yhteyttä postilaatikkoon Kerberos-todennuksen avulla, kun Client Access -palvelintaulukkoa käytetään. Tämän ongelman kiertämiseksi Microsoft Exchange Server Service Pack 1 (SP1) sisältää uusia toimintoja, joiden avulla voit määrittää Kerberos-todennuksen MAPI-sähköpostiasiakkaille Client Access -palvelintaulukossa. 

Lisätietoja Siitä, miten Kerberos-todennus toimi Exchange Serverin aiemmissa versioissa, ja Exchange Server 2010:n muutoksista, jotka estävät Kerberos-todennuksen toimimaan MAPI-sähköpostiohjelmien kanssa, on seuraavassa Exchange-tiimin blogissa olevassa blogikirjoituksessa:

Suositus: Kerberos-todennuksen ottaminen käyttöön MAPI-asiakkaille  

Lisätietoja

Client Access Server (CAS) -roolissa suoritettavaa Microsoft Exchange Service Host -palvelua laajennetaan Exchange Server 2010 SP1:ssä käyttämään jaettua vaihtoehtoista palvelutiliä (ASA) Kerberos-todennuksessa. Tämä palvelun isäntä laajennus valvoo paikallista tietokonetta. Kun tunnistetiedot lisätään tai poistetaan, paikallisen järjestelmän Kerberos-todennuspaketti ja verkkopalvelukonteksti päivitetään. Kun todennuspakettiin on lisätty tunnistetiedot, kaikki asiakaskäyttöpalvelut voivat käyttää sitä Kerberos-todennukseen. Client Access -palvelin voi myös todentaa suoraan osoitetut palvelupyynnöt sen lisäksi, että se voi käyttää ASA-tunnistetietoja. Tämä laajennus, jota kutsutaan huoltosovellukseksi, suoritetaan oletusarvoisesti, eikä se edellytä määritystä tai toimintoa.

Saatat joutua käyttämään Kerberos-todennusta Exchange Server 2010 -organisaatiossa seuraavista syistä: 

  • Paikalliselle suojauskäytännölle tarvitaan Kerberos-todennus.

  • Kohtaat tai odotat NTLM-skaalautumisongelmia, kuten suoraa MAPI-yhteyttä RPC Client Access -palveluun, joka aiheuttaa ajoittaisia NTLM-virheitä. 

    Suurissa asiakaskäyttöönotoissa NTLM voi aiheuttaa pullonkauloja Client Access -palvelimissa.Tämä voi aiheuttaa ajoittaista todennusvirheitä. NTLM-todennusta käyttävät palvelut ovat herkempiä Active Directoryn viiveongelmien kannalta. Nämä johtavat todennusvirheisiin, kun Client Access -palvelinpyyntöjen määrä kasvaa.

Kerberos-todennuksen määrittäminen edellyttää Active Directoryn perehtyminen ja Client Access -palvelintaulukkojen määrittäminen. Sinulla on myös oltava toimiva tietämys Kerberos-todennuksesta. 

Voit ottaa Käyttöön Kerberos-todennuksen ASA-tunnistetiedot seuraavasti.

Asa-tunnistetietona käytettävän tilin luominen

Kaikilla Client Access -palvelintaulukon tietokoneilla on oltava sama palvelutili. Tämä koskee kaikkia Client Access -palvelimia, jotka voivat käynnistyä osana palvelinkeskuksen vaihtoa. Yleensä yksi palvelutili metsää kohti riittää.

Luo tietokonetili vaihtoehtoisen palvelutilin (ASA) käyttäjätilin sijaan, koska tietokonetili ei salli vuorovaikutteista kirjautumista. Tämän vuoksi tietokonetilillä voi olla yksinkertaisemmat suojauskäytännöt kuin käyttäjätilillä, ja se on ASA-tunnistetietojen ensisijainen ratkaisu. 

Lisätietoja tietokonetilin luomisesta on ohjeaiheessa Uuden tietokonetilin luominen.

Huomautus

Kun luot tietokonetilin, salasana ei vanhene. Suosittelemme kuitenkin, että päivität salasanan säännöllisesti. Paikallinen ryhmäkäytäntö voi määrittää tietokonetilien enimmäistilin iän, ja verkonvalvojat voivat ajoittaa komentosarjoja poistamaan ajoittain tietokonetilejä, jotka eivät täytä nykyisiä käytäntöjä. Voit varmistaa, että tietokonetilejäsi ei poisteta, jos ne eivät täytä paikallisia sääntöjä, päivittämällä tietokonetilien salasanan säännöllisesti. Paikallinen suojauskäytäntö määrittää, milloin salasana on vaihdettava. 

Huomautus

Tilin luonnissa antamaasi salasanaa ei koskaan käytetä. Sen sijaan komentosarja nollaa salasanan. Kun luot tilin, voit käyttää mitä tahansa salasanaa, joka täyttää organisaatiosi salasanavaatimukset.

ASA-tunnistetietojen nimelle ei ole erityisiä vaatimuksia. Voit käyttää nimeä, joka seuraa nimeä. ASA-tunnistetieto ei tarvitse erityisiä suojausoikeuksia. Jos otat käyttöön ASA-tunnistetietojen tietokonetilin, tilin on oltava vain Toimialuetietokoneet-suojausryhmän jäsen. Jos otat käyttöön käyttäjätilin ASA-tunnistetioita varten, tilin on oltava vain Toimialueen käyttäjät -suojausryhmän jäsen.

Vaihtoehtoiseen palvelutilien tunnistetietojen määrittäminen

Kun olet luonut vaihtoehtoisen palvelutili, sinun on määritettävä EXCHANGE-palvelun päänimet (SPN), jotka liitetään ASA-tunnistetietoihin. SPN-arvot on määritettävä vastaamaan verkon kuormituksen tasaajassa käytettävää palvelun nimeä yksittäisten palvelimien sijaan. Exchange-rataspalveluiden luettelo voi vaihdella kokoonpanon mukaan, mutta luettelossa on oltava vähintään seuraavat tiedot:

  • http Käytä tätä SPN-protokollaa Exchange Web Services -palveluissa, offline-osoitteiston latauksissa ja automaattisen haun palvelussa.
  • exchangeMDB Käytä tätä SPN:ää RPC Client Accessissa.
  • exchangeRFR Käytä tätä SPN-käyttöpistettä osoitteistopalvelussa.
  • exchangeAB Käytä tätä SPN:tä osoitekirjapalvelussa.

Pienyrityksessä sinulla ei todennäköisesti ole mitään suurempaa kuin yksittäinen Active Directory -sivusto. Esimerkiksi yksittäinen Active Directory -sivusto saattaa muistuttaa seuraavaa kaaviota.

Yksittäisen Active Directory -sivuston sisältävän pienyrityksen näyttökuva.

Jotta voimme määrittää tässä esimerkissä käytettävät tunnukset, meidän on tarkasteltava täysin hyväksyttyjä toimialuenimiä (FQDN), joita aiemmassa kuvassa käyttävät outlookin sisäiset asiakkaat käyttävät. Tässä esimerkissä asa-tunnisteessa otetaan käyttöön seuraavat spn-numerot:

  • Http/mail.corp.contoso.com (Suomi)
  • Http/autod.corp.contoso.com (Suomi)
  • vaihtoMDB/outlook.corp.contoso.com
  • vaihtoRFR/outlook.corp.contoso.com
  • vaihtoAB/outlook.corp.contoso.com

Huomautus

Outlook Anywhereä käyttävät ulkoiset tai Internet-pohjaiset asiakkaat eivät käytä Kerberos-todennusta. Tämän vuoksi sinun ei tarvitse lisätä fqdn-tunnuksia, joita nämä asiakkaat käyttävät spn-tunnuksina, ASA-tunnistetietoon. 

Jos sivustosi on suurempi kuin yksittäinen Active Directory -sivusto, näet lisää esimerkkejä ohjeaiheesta Kerberos-todennuksen määrittäminen kuormituksen tasapainottamille asiakaspalvelimille .

OAB-näennäiskansion muuntaminen sovellukseksi

Offline-osoitteiston (OAB) näennäiskansio ei ole www-sovellus. Tämän vuoksi Microsoft Exchange Service Host -palvelu ei hallitse sitä. Tämän seurauksena ASA-tunnistetiedot eivät voi purkaa Kerberos-todennuspyyntöjen salausta OAB-näennäiskansioon. 

Jos haluat muuntaa OAB-näennäiskansion IIS-verkkosovellukseksi, suorita kunkin CAS-jäsenen ConvertOABVDir.ps1 komentosarja. Komentosarja luo myös uuden sovellussarjan nimeltä MSExchangeOabAppPool OAB-näennäiskansiolle. Voit ladata komentosarjan siirtymällä Microsoft Script Centerin  ConvertOABDir.ps1-sivulle. 

ASA-tunnistetietojen ottaminen käyttöön CAS-jäsenille

Exchange Server 2010 SP1 sisältää komentosarjan, joka mahdollistaa ASA-tunnistetietojen käyttöönoton. Komentosarjan nimi on RollAlternateServiceAccountPassword.ps1, ja se sijaitsee Komentosarjat-kansiossa. 

Jos haluat siirtää tunnistetiedot kaikkiin toimialuepuuryhmän Client Access -palvelimiin ensimmäistä kertaa, voit käyttää komentosarjaa, toimi seuraavasti:

  1. Suorita Exchangen hallintaliittymässä seuraava komento:

    .\RollAlternateserviceAccountPassword.ps1 -ToEntireForest -GenerateNewPasswordFor "Your_Domain_Name\Computer_Account_Name$" -Verbose
    
  2. Suorita seuraava komento, jos haluat ajoittaa kerran kuukaudessa automaattisen salasanan rullaa ajoitetun tehtävän nimeltä "Exchange-RollAsa". Tämä komentoa ajoitettu tehtävä päivittää kaikkien toimialuepuuryhmän Client Access -palvelimien ASA-tunnistetiedot uudella komentosarjan luomalla salasanalla. Ajoitettu tehtävä luodaan, mutta komentosarjaa ei suoriteta. Kun ajoitettu tehtävä suoritetaan, komentosarja suoritetaan valvomattomassa tilassa.

    .\RollAlternateServiceAccountPassword.ps1 -CreateScheduledTask "Exchange-RollAsa" -ToEntireForest -GenerateNewPasswordFor "Your_Domain_Name\Computer_Account_Name$"
    

Lisätietoja RollAlternateserviceAccountPassword.ps1 komentosarjan käyttämisestä on ohjeaiheessa RollAlternateserviceAccountPassword.ps1 komentosarjan käyttäminen liittymässä .

ASA-tunnistetietojen käyttöönoton tarkistaminen

Tarkista Client Access -palvelimien asetukset Exchangen hallintaliittymässä suorittamalla seuraava komento:Get-ClientAccessServer -IncludeAlternateServiceAccountCredentialStatus | fl name,*alter*

Tämän komennon tulos muistuttaa tätä:

Name : CASAAlternateServiceAccountConfiguration : Latest: 8/2/2010 3:48:38 PM, contoso\newSharedServiceAccountName$ Previous: <Not set>Name : CASBAlternateServiceAccountConfiguration : Latest: 8/2/2010 3:48:51 PM, contoso\newSharedServiceAccountName$ Previous: <Not set>

Liitä spn-nit ASA-tunnistetietoon

Varmista ennen ratasmien määrittämista, että kohde-lupia ei ole vielä määritetty toiselle tilille puuryhmässä. ASA-tunnistetietojen on oltava ainoa tili metsässä, johon nämä täsmennukset liittyvät. Voit varmistaa, että mikään muu toimialuepuuryhmän tili ei ole liitetty siihen, avaamalla komentokehotteen ja suorittamalla setspn-komennon –q- ja –f-parametreilla.   Seuraavassa esimerkissä näytetään, miten tämä komento suoritetaan. Komennon ei pitäisi palauttaa mitään. Jos se palauttaa arvon, toinen tili on jo liitetty käytettävään spn-päen.

Huomautus

Voit käyttää windows Server 2008 -tietokoneiden kaksoistarkistuspuuryhmän laajuista parametria (-f) sekä setspn-komentoa.

Setspn -q -f exchangeMDB/outlook.**domain.domain.domain_root**

Tässä komennossa exchangeMDB/outlook.domain.domain.domain_root   on RPC Client Accessin SPN:n SPN-tunnus, kuten exchangeMDB/outlook.corp.contoso.com.

Seuraava komento näyttää, miten jaetulle ASA-tunnistetiedoille määritetään spn-komennot. Sinun on suoritettava setspn-komento tällä syntaksilla kerran jokaista tunnistamaasi kohdeisaanninta kohden. 

Setspn -S exchangeMDB/outlook.corp.contoso.com contoso\newSharedServiceAccountName$

Kun olet määrittänyt spn-komennot, varmista, että ne on lisätty suorittamalla seuraava komento. 

Setspn -L contoso\newSharedServiceAccountName

Kun olet määrittänyt Kerberosin ja ottanut RollAlternateServiceAccountPasswordl.ps1 komentosarjan käyttöön, varmista, että asiakastietokoneet voivat todentaa onnistuneesti. 

Varmista, että Microsoft Exchange Service Host -palvelu on käynnissä

Varmista, että olet asentanut Exchange Server 2010 SP1 Rollup 3:n tai uudemman version kaikkiin ympäristön Client Access -palvelimiin. Client Access -palvelimien Microsoft Exchange Service Host -palvelu vastaa ASA-tunnistetietojen hallinnasta. Jos tämä palvelu ei ole käynnissä, Kerberos-todennus ei toimi. Oletusarvon mukaan palvelu on määritetty käynnistymään automaattisesti, kun tietokone käynnistyy. Voit varmistaa, että palvelu on käynnissä, toimimalla seuraavasti:

  1. Avaa palvelut CAS-palvelussa. Voit avata Palvelut napsauttamalla Käynnistä-painiketta, valitsemalla Ohjauspaneeli, kaksoisnapsauttamalla Valvontatyökalut-kohtaa ja kaksoisnapsauttamalla sitten Palvelut-kuvaketta.
  2. Etsi palveluluettelosta Microsoft Exchange Service Host Service.
  3. Varmista Tila-sarakkeessa, että tila on Aloitettu. Jos palvelua ei ole käynnistetty, napsauta Microsoft Exchange Service Host Service -palveluahiiren kakkospainikkeella ja valitse sitten Käynnistä. Jos haluat määrittää palvelun käynnistymään automaattisesti, napsauta Microsoft Exchange Service Host Service -palveluahiiren kakkospainikkeella, valitse Ominaisuudet, valitse Käynnistystapa-luettelosta Automaattinen   ja valitse sitten OK.
    Vahvista todennus Outlookista

Voit varmistaa, että Outlook voi muodostaa yhteyden Client Access -palvelimiin Kerberos-todennuksen avulla seuraavasti:

  1. Varmista, että Outlook on määritetty osoittamaan oikeaan kuormituksen tasapainotettuun Client Access -palvelintaulukkoon.
  2. Määritä sähköpostitilipalvelimen suojausasetukset käyttämään kirjautumisverkon suojausta Neuvottele todennus. HuomautusVoit määrittää asiakkaan käyttämään Kerberos-salasanan todennusta, mutta jos spn-nit poistetaan, asiakastietokoneet eivät voi todentaa, ennen kuin muutat todennusmekanismin takaisin neuvottelutodenniseksi.
  3. Varmista, että Outlook Anywhere ei ole käytössä asiakastietokoneessa. Jos Outlookia ei voi todentaa Kerberos-salasanatodennuksen avulla, se yrittää palata Outlook Anywhereen, joten Outlook Anywhere on poistettava käytöstä tässä testissä. 
  4. Käynnistä Outlook uudelleen.
  5. Jos pöytätietokoneessasi on Windows 7, voit suorittaa klist.exe, mitkä Kerberos-liput myönnetään ja joita käytetään. Jos käyttöjärjestelmäsi ei ole Windows 7, voit hankkia klist.exe Windows Server 2003 Resource Kitistä.

Lisäresurssit

Lisätietoja tästä ongelmasta ja sen kiertämisestä on seuraavassa TechNet-artikkelissa:

Kerberosin käyttäminen Client Access Server -matriisin tai kuormituksen tasausratkaisun kanssa

Lisätietoja Kerberos-todennuksen käyttämisestä kuormituksen tasapainotetuissa asiakaspalvelimissa on seuraavassa TechNet-artikkelissa:

Kerberos-todennuksen määrittäminen kuormituksen tasapainotettuja asiakaskäyttöpalvelimia varten