Configurer l’authentification Kerberos pour l’équilibrage de charge des services d’accès ClientConfigure Kerberos authentication for load-balanced Client Access services

Résumé : Découvrez comment utiliser l'authentification Kerberos à l'aide de serveurs Exchange 2016 à charge équilibrée qui exécutent des services d'accès client.Summary: How to use Kerberos authentication with load-balanced Exchange 2016 servers running Client Access services.

Dans l’ordre pour pouvoir utiliser l’authentification Kerberos avec les serveurs de boîtes aux lettres à charge équilibrée exécutant les services d’accès au Client, vous devez effectuer les étapes de configuration décrites dans cet article.In order for you to use Kerberos authentication with load-balanced Mailbox servers running Client Access services, you have to complete the configuration steps described in this article.

Création du compte de service secondaire dans les services de domaine Active DirectoryCreate the alternate service account credential in Active Directory Domain Services

Tous les serveurs Exchange qui exécutent les services d’accès au Client qui partagent les mêmes espaces de noms et les URL doivent utiliser les mêmes informations d’identification de compte de service de substitution (informations d’identification ASA). En règle générale, il vous suffit de disposer d’un compte unique pour une forêt de chaque version d’Exchange.All Exchange servers that run Client Access services that share the same namespaces and URLs must use the same alternate service account credential or (ASA credential). In general, it's sufficient to have a single account for a forest for each version of Exchange.

Important

Exchange 2010 et Exchange 2016 ne peuvent pas partager les mêmes informations d’identification ASA. Si vos informations d’identification ASA a été créée pour Exchange 2010, vous devez créer un nouveau pour 2016 Exchange.Exchange 2010 and Exchange 2016 can't share the same ASA credential. If your ASA credential was created for Exchange 2010, you have to create a new one for Exchange 2016.

Important

Même si les enregistrements CNAME sont pris en charge pour les espaces de noms partagés, Microsoft recommande d'utiliser des enregistrements A. Ainsi, le client peut correctement émettre une demande de ticket Kerberos fondée sur le nom partagé, et non sur le serveur FQDN.While CNAME records are supported for shared namespaces, Microsoft recommends using A records. This ensures that the client correctly issues a Kerberos ticket request based on the shared name, and not the server FQDN.

Lorsque vous configurez le compte ASA, gardez ces recommandations à l'esprit :When you set up the ASA credential, keep these guidelines in mind:

  • Type de compte: nous vous conseillons de créer un compte d’ordinateur au lieu d’un compte d’utilisateur. Un compte d’ordinateur ne permet pas d’ouverture de session interactive et peut avoir les stratégies de sécurité plus simples à un compte d’utilisateur. Si vous créez un compte d’ordinateur, le mot de passe n’expire jamais, mais nous vous recommandons de que vous mettre à jour le mot de passe régulièrement. Vous pouvez utiliser la stratégie de groupe locale pour spécifier une durée de vie maximale pour le compte d’ordinateur et des scripts pour supprimer périodiquement les comptes d’ordinateur qui ne remplissent pas les stratégies actuelles. Votre stratégie de sécurité locale détermine également lorsque vous devez modifier le mot de passe. Bien que nous vous recommandons de qu'utiliser un compte d’ordinateur, vous pouvez créer un compte d’utilisateur.Account type: We recommend that you create a computer account instead of a user account. A computer account doesn't allow interactive logon and may have simpler security policies than a user account. If you create a computer account, the password doesn't expire, but we recommend you update the password periodically anyway. You can use local group policy to specify a maximum age for the computer account and scripts to periodically delete computer accounts that do not meet current policies. Your local security policy also determines when you have to change the password. Although we recommend you use a computer account, you can create a user account.

  • Nom du compte: aucune configuration requise pour le nom du compte. Vous pouvez utiliser n’importe quel nom conformes à votre schéma de nommage.Account name: There are no requirements for the name of the account. You can use any name that conforms to your naming scheme.

  • Groupe de comptes: le compte que vous utilisez pour les informations d’identification ASA n’a pas besoin de privilèges de sécurité spéciaux. Si vous utilisez un compte d’ordinateur puis le compte ne doit être membre du groupe de sécurité ordinateurs du domaine. Si vous utilisez un compte d’utilisateur puis le compte ne doit être membre du groupe de sécurité utilisateurs du domaine.Account group: The account you use for the ASA credential doesn't need special security privileges. If you're using a computer account then the account needs only to be a member of the Domain Computers security group. If you're using a user account then the account needs only to be a member of the Domain Users security group.

  • Mot de passe de compte: le mot de passe que vous fournissez lorsque vous créez le compte sera utilisé. Afin que lorsque vous créez le compte, vous devez utiliser un mot de passe complexe et assurez-vous que le mot de passe est conforme aux exigences de mot de passe de votre organisation.Account password: The password you provide when you create the account will be used. So when you create the account, you should use a complex password and ensure that the password conforms to your organization's password requirements.

Pour créer le compte ASA en tant que compte d'ordinateur, procédez comme suit :To create the ASA credential as a computer account

  1. Sur un ordinateur joint au domaine, exécutez Windows PowerShell ou l'Environnement de ligne de commande Exchange Management Shell.On a domain-joined computer, run Windows PowerShell or the Exchange Management Shell.

    Utilisez la cmdlet Import-Module pour importer le module Active Directory.Use the Import-Module cmdlet to import the Active Directory module.

    Import-Module ActiveDirectory
    
  2. Utilisez la cmdlet New-ADComputer pour créer un compte d'ordinateur Active Directory en suivant la syntaxe de cette cmdlet :Use the New-ADComputer cmdlet to create a new Active Directory computer account using this cmdlet syntax:

    New-ADComputer [-Name] <string> [-AccountPassword <SecureString>] [-AllowReversiblePasswordEncryption <System.Nullable[boolean]>] [-Description <string>] [-Enabled <System.Nullable[bool]>]
    

    Exemple :Example:

    New-ADComputer -Name EXCH2016ASA -AccountPassword (Read-Host 'Enter password' -AsSecureString) -Description 'Alternate Service Account credentials for Exchange' -Enabled:$True -SamAccountName EXCH2016ASA
    

    EXCH2016ASA est le nom du compte, la description d’informations d’identification d’un autre compte de Service pour Exchange est ce que vous voulez qu’il soit et la valeur pour le paramètre SamAccountName , dans ce cas EXCH2016ASA, doit être unique dans votre répertoire.Where EXCH2016ASA is the name of the account, the description Alternate Service Account credentials for Exchange is whatever you want it to be, and the value for the SamAccountName parameter, in this case EXCH2016ASA, has to be unique in your directory.

  3. Utilisez la cmdlet Set-ADComputer pour activer le support de chiffrement AES 256 utilisé par Kerberos à l'aide de la syntaxe de cette cmdlet :Use the Set-ADComputer cmdlet to enable the AES 256 encryption cipher support used by Kerberos using this cmdlet syntax:

    Set-ADComputer [-Name] <string> [-add @{<attributename>="<value>"]
    

    Exemple :Example:

    Set-ADComputer EXCH2016ASA -add @{"msDS-SupportedEncryptionTypes"="28"}
    

    EXCH2016ASA est le nom du compte et à modifier l’attribut msDS-SupportedEncryptionTypes avec une valeur décimale de 28, ce qui permet le chiffrement suivantes : RC4-HMAC, AES128-CTS-HMAC-SHA1-96, AES256-CTS-HMAC-SHA1-96.Where EXCH2016ASA is the name of the account and the attribute to be modified is msDS-SupportedEncryptionTypes with a decimal value of 28, which enables the following ciphers: RC4-HMAC, AES128-CTS-HMAC-SHA1-96, AES256-CTS-HMAC-SHA1-96.

Pour en savoir plus sur ces cmdlets, consultez les articles Import-Module et New-ADComputer.For more information about these cmdlets, see Import-Module and New-ADComputer.

Scénarios inter-forêtsCross-forest scenarios

Si vous avez un déploiement de plusieurs forêts ou forêt de ressources, et que les utilisateurs qui sont trouvent en dehors de la forêt Active Directory qui contient Exchange, vous devez configurer des relations d’approbation de forêt entre les forêts. En outre, pour chaque forêt dans le déploiement, vous devez configurer une règle de routage qui permet la relation d’approbation entre tous les suffixes de nom de la forêt et dans les forêts. Pour plus d’informations sur la gestion des approbations inter-forêts, voir Gestion des approbations de forêt.If you have a cross-forest or resource-forest deployment, and you have users that are outside the Active Directory forest that contains Exchange, you must configure forest trust relationships between the forests. Also, for each forest in the deployment, you have to set up a routing rule that enables trust between all name suffixes within the forest and across forests. For more information about managing cross-forest trusts, see Managing forest trusts.

Identification des noms de principaux du service à associer au compte ASAIdentify the Service Principal Names to associate with the ASA credential

Après avoir créé les informations d’identification ASA, vous devez associer les noms principaux de Service Exchange (SPN) avec les informations d’identification ASA. La liste des noms principaux de service Exchange peut varier selon votre configuration, mais doit inclure au moins les éléments suivants :After you create the ASA credential, you have to associate Exchange Service Principal Names (SPNs) with the ASA credential. The list of Exchange SPNs may vary with your configuration, but should include at least the following:

  • http /: utilisez ce nom principal de service de carnet d’adresses Outlook Anywhere, MAPI sur HTTP, les Services Web Exchange Autodiscover et en mode hors connexion.http/: Use this SPN for Outlook Anywhere, MAPI over HTTP, Exchange Web Services, Autodiscover, and Offline Address Book.

Les valeurs de nom principal de service doivent correspondre au nom de service sur l’équilibrage de charge réseau et non sur des serveurs individuels. Pour vous aider à planifier les valeurs de nom principal de service que vous devez utiliser, prenez en compte les scénarios suivants :The SPN values must match the service name on the network load balancer instead of on individual servers. To help plan which SPN values you should use, consider the following scenarios:

Chacun de ces scénarios part du principe que les noms de domaine complets (FQDN) à charge équilibrée ont été déployés pour les URL internes, les URL externes et l'URI interne de découverte automatique utilisées par les membres exécutant les services d'accès client.In each of these scenarios, assume that the load-balanced, fully-qualified domain names (FQDNs) have been deployed for the internal URLs, external URLs, and the autodiscover internal URI used by members running Client Access services.

Site Active Directory uniqueSingle Active Directory site

Si vous disposez d'un site Active Directory unique, votre environnement peut ressembler à celui représenté par le schéma ci-dessous :If you have a single Active Directory site, your environment may resemble the one in the following figure:

plusieurs sites AD

En fonction des noms de domaines complets qui sont utilisés par les clients Outlook internes dans la figure précédente, vous devez associer les noms principaux de service suivantes avec les informations d’identification ASA :Based on the FQDNs that are used by the internal Outlook clients in the preceding figure, you have to associate the following SPNs with the ASA credential:

  • HTTP/Mail.corp.tailspintoys.comhttp/mail.corp.tailspintoys.com

  • HTTP/Autodiscover.corp.tailspintoys.comhttp/autodiscover.corp.tailspintoys.com

Sites Active Directory multiplesMultiple Active Directory sites

Si vous disposez de plusieurs sites Active Directory, votre environnement peut ressembler à celui représenté par le schéma ci-dessous :If you have multiple Active Directory sites, your environment may resemble the one in the following figure:

plusieurs sites AD

En fonction des noms de domaines complets qui sont utilisés par les clients Outlook dans la figure précédente, vous devez associer les noms principaux de service suivantes avec les informations d’identification ASA qui sont utilisée par les serveurs de boîtes aux lettres exécutant les services d’accès au Client dans ADSite 1 :Based on the FQDNs that are used by the Outlook clients in the preceding figure, you would have to associate the following SPNs with the ASA credential that is used by the Mailbox servers running Client Access services in ADSite 1:

  • HTTP/Mail.corp.tailspintoys.comhttp/mail.corp.tailspintoys.com

  • HTTP/Autodiscover.corp.tailspintoys.comhttp/autodiscover.corp.tailspintoys.com

Vous devrez également associer les noms principaux de service suivantes avec les informations d’identification ASA qui sont utilisée par les serveurs de boîtes aux lettres exécutant les services d’accès au Client dans ADSite 2 :You would also have to associate the following SPNs with the ASA credential that is used by the Mailbox servers running Client Access services in ADSite 2:

  • HTTP/mailsdc.corp.tailspintoys.comhttp/mailsdc.corp.tailspintoys.com

  • HTTP/autodiscoversdc.corp.tailspintoys.comhttp/autodiscoversdc.corp.tailspintoys.com

Configuration et vérification de la configuration du compte ASA sur chaque serveur exécutant des services d'accès clientConfigure and then verify configuration of the ASA credential on each server running Client Access services

Une fois que vous avez créé le compte, vous devez vérifier que le compte a été répliqué sur tous les contrôleurs de domaine AD DS. Plus précisément, le compte doit être présent sur chaque serveur exécutant les services d’accès au Client qui utiliseront les informations d’identification ASA. Ensuite, vous configurez le compte en tant que les informations d’identification ASA sur chaque serveur exécutant les services d’accès au Client dans votre déploiement.After you've created the account, you have to verify that the account has replicated to all AD DS domain controllers. Specifically, the account must be present on each server running Client Access services that will use the ASA credential. Next, you configure the account as the ASA credential on each server running Client Access services in your deployment.

Vous pouvez configurer le compte ASA en utilisant l'Environnement de ligne de commande Exchange Management Shell, tel que décrit dans l'une de ces procédures :You configure the ASA credential by using the Exchange Management Shell as described in one of these procedures:

  • Déployer le compte ASA sur le premier serveur Exchange 2016 exécutant les services d'accès clientDeploy the ASA credential to the first Exchange 2016 server running Client Access services

  • Déployer le compte ASA sur les autres serveurs Exchange 2016 exécutant les services d'accès clientDeploy the ASA credential to subsequent Exchange 2016 servers running Client Access services

La seule méthode prise en charge pour le déploiement des informations d'identification ASA consiste à utiliser le script RollAlternateServiceAcountPassword.ps1. Pour plus d'informations, voir Utilisation du script RollAlternateserviceAccountCredential.ps1 dans l'environnement de ligne de commande Exchange Management Shell. Une fois le script exécuté, il est recommandé de vérifier que tous les serveurs ciblés ont été mis à jour correctement.The only supported method for deploying the ASA credential is to use the RollAlternateServiceAcountPassword.ps1 script. For more information, see Using the RollAlternateserviceAccountCredential.ps1 Script in the Shell. After the script has run, we recommend that you verify that all the targeted servers have been updated correctly.

Déployer le compte ASA sur le premier serveur Exchange 2016 exécutant les services d'accès clientDeploy the ASA Credential to the first Exchange 2016 server running Client Access services

  1. Ouvrez l'Environnement de ligne de commande Exchange Management Shell sur un serveur Exchange 2016.Open the Exchange Management Shell on an Exchange 2016 server.

  2. Accédez à <répertoire d’installation Exchange 2016> \V15\Scripts.Change directories to <Exchange 2016 installation directory> \V15\Scripts.

  3. Exécutez la commande suivante pour déployer les informations d'identification ASA sur le premier serveur Exchange 2016 exécutant les services d'accès client :Run the following command to deploy the ASA credential to the first Exchange 2016 server running Client Access services:

    .\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer cas-1.corp.tailspintoys.com -GenerateNewPasswordFor tailspin\EXCH2016ASA$
    
  4. Lorsque vous êtes invité à indiquer si vous souhaitez modifier le mot de passe pour le compte de service de substitution, répondez Oui.When you're asked if you want to change the password for the alternate service account, answer Yes.

Voici un exemple de sortie qui est affiché lorsque vous exécutez le script RollAlternateServiceAccountPassword.ps1.The following is an example of the output that's shown when you run the RollAlternateServiceAccountPassword.ps1 script.

========== Starting at 01/12/2016 10:17:47 ==========
Creating a new session for implicit remoting of "Get-ExchangeServer" command...
Destination servers that will be updated:
Name                                                        PSComputerName
----                                                        --------------
cas-1                                                   cas-1.corp.tailspintoys.com
Credentials that will be pushed to every server in the specified scope (recent first):
UserName                                                                                                        
Password
--------                                                                                                        
--------
tailspin\EXCH2016ASA$                                                                             
System.Security.SecureString
Prior to pushing new credentials, all existing credentials that are invalid or no longer work will be removed from  the destination servers.
Pushing credentials to server mbx-1
Setting a new password on Alternate Serice Account in Active Directory
Password change
Do you want to change password for tailspin\EXCH2016ASA$ in Active Directory at this time?
[Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): y
Preparing to update Active Directory with a new password for tailspin\EXCH2016ASA$ ...
Resetting a password in the Active Directory for tailspin\EXCH2016ASA$ ...
New password was successfully set to Active Directory.
Retrieving the current Alternate Service Account configuration from servers in scope
Alternate Service Account properties:
StructuralObjectClass QualifiedUserName Last Pwd Update       SPNs
--------------------- ----------------- ---------------       ----
computer              tailspin\EXCH2016ASA$   1/12/2016 10:19:53 AM
Per-server Alternate Service Account configuration as of the time of script completion:
   Array: {mail.corp.tailspintoys.com}
Identity  AlternateServiceAccountConfiguration
--------  ------------------------------------
cas-1 Latest: 1/12/2016 10:19:22 AM, tailspin\EXCH2016ASA$
          ...
========== Finished at 01/12/2016 10:20:00 ==========
        THE SCRIPT HAS SUCCEEDED

Déployer les informations d'identification ASA sur un autre serveur Exchange 2016 exécutant les services d'accès clientDeploy the ASA credential to another Exchange 2016 server running Client Access services

  1. Ouvrez l'Environnement de ligne de commande Exchange Management Shell sur un serveur Exchange 2016.Open the Exchange Management Shell on an Exchange 2016 server.

  2. Accédez à <répertoire d’installation Exchange 2016> \V15\Scripts.Change directories to <Exchange 2016 installation directory> \V15\Scripts.

  3. Exécutez la commande suivante pour déployer les informations d'identification ASA sur un autre serveur Exchange 2016 exécutant les services d'accès client :Run the following command to deploy the ASA credential to another Exchange 2016 server running Client Access services:

    .\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer cas-2.corp.tailspintoys.com -CopyFrom cas-1.corp.tailspintoys.com
    
  4. Répétez l'étape 3 pour chaque serveur exécutant les services d'accès client sur lequel vous souhaitez déployer les informations d'identification ASA.Repeat Step 3 for each server running Client Access services that you want to deploy the ASA credential to.

Voici un exemple de sortie qui est affiché lorsque vous exécutez le script RollAlternateServiceAccountPassword.ps1.The following is an example of the output that's shown when you run the RollAlternateServiceAccountPassword.ps1 script.

========== Starting at 01/12/2016 10:34:35 ==========
Destination servers that will be updated:
Name                                                        PSComputerName
----                                                        --------------
cas-2                                                   cas-2.corp.tailspintoys.com
Credentials that will be pushed to every server in the specified scope (recent first):
UserName                                                                                                        
Password
--------                                                                                                        
--------
tailspin\EXCH2016ASA$                                                                             
System.Security.SecureString
Prior to pushing new credentials, all existing credentials will be removed from the destination servers.
Pushing credentials to server mbx-2
Retrieving the current Alternate Service Account configuration from servers in scope
Alternate Service Account properties:
StructuralObjectClass QualifiedUserName Last Pwd Update       SPNs
--------------------- ----------------- ---------------       ----
computer              tailspin\EXCH2016ASA$   1/12/2016 10:19:53 AM
Per-server Alternate Service Account configuration as of the time of script completion:
   Array: cas-2.corp.tailspintoys.com
Identity  AlternateServiceAccountConfiguration
--------  ------------------------------------
cas-2 Latest: 1/12/2016 10:37:59 AM, tailspin\EXCH2016ASA$
          ...
========== Finished at 01/12/2016 10:38:13 ==========
        THE SCRIPT HAS SUCCEEDED

Vérifier le déploiement des informations d'identification ASAVerify the deployment of the ASA credential

  • Ouvrez l'Environnement de ligne de commande Exchange Management Shell sur un serveur Exchange 2016.Open the Exchange Management Shell on an Exchange 2016 server.

  • Exécutez la commande suivante pour vérifier les paramètres sur un serveur exécutant les services d'accès client :Run the following command to check the settings on the server running Client Access services:

    Get-ClientAccessServer CAS-3 -IncludeAlternateServiceAccountCredentialStatus | Format-List Name, AlternateServiceAccountConfiguration
    
  • Répétez l'étape 2 sur chaque serveur exécutant les services d'accès client pour lequel vous souhaitez vérifier le déploiement des informations d'identification ASA.Repeat Step 2 on each server running Client Access services for which you want to verify the deployment of the ASA credential.

Voici un exemple de la sortie qui est affichée lorsque vous exécutez la commande Get-ClientAccessServer ci-dessus et qu'aucune information d'identification ASA précédente n'a été définie.The following is an example of the output that's shown when you run the Get-ClientAccessServer command above and no previous ASA credential was set.

Name                                 : CAS-1
AlternateServiceAccountConfiguration : Latest: 1/12/2016 10:19:22 AM, tailspin\EXCH2016ASA$
                                       Previous: <Not set>
                                           ...

Voici un exemple de la sortie qui est affichée lorsque vous exécutez la commande Get-ClientAccessServer ci-dessus et que des informations d'identification ASA ont été définies précédemment. Les informations d'identification ASA précédentes et la date et l'heure auxquelles elles ont été définies sont renvoyées.The following is an example of the output that's shown when you run the Get-ClientAccessServer command above and an ASA credential was previously set. The previous ASA credential and the date and time it was set are returned.

Name                                 : CAS-3
AlternateServiceAccountConfiguration : Latest: 1/12/2016 10:19:22 AM, tailspin\EXCH2016ASA$
                                       Previous: 7/15/2015 12:58:35 PM, tailspin\oldSharedServiceAccountName$
                                           ...

Association des noms de principaux du service (SPN) au compte ASAAssociate Service Principal Names (SPNs) with the ASA credential

Important

N'associez pas les SPN avec des informations d'identification ASA tant que vous n'avez pas déployé ces informations d'identification sur au moins un serveur Exchange 2016, comme décrit précédemment dans la section Déployer le compte ASA sur le premier serveur Exchange 2016 exécutant les services d'accès client. Dans le cas contraire, vous rencontrerez des erreurs d'authentification Kerberos.Don't associate SPNs with an ASA credential until you have deployed that credential to at least one Exchange 2016 Server, as described earlier in Deploy the ASA Credential to the first Exchange 2016 server running Client Access services. Otherwise, you will experience Kerberos authentication errors.

Avant d’associer les noms principaux de service avec les informations d’identification ASA, vous devez vérifier que la cible de noms principaux de service ne sont pas déjà associé à un autre compte dans la forêt. Les informations d’identification ASA doivent être le seul compte dans la forêt qui sont associés à ces noms principaux de service. Vous pouvez vérifier qu’aucun autre compte de la forêt n’est associé avec des noms principaux de service en exécutant la commande setspn à partir de la ligne de commande.Before you associate the SPNs with the ASA credential, you have to verify that the target SPNs aren't already associated with a different account in the forest. The ASA credential must be the only account in the forest with which these SPNs are associated. You can verify that no other account in the forest is associated with the SPNs by running the setspn command from the command line.

Pour vérifier qu'un SPN n'est pas déjà associé à un compte dans une forêt en exécutant la commande setspn, procédez comme suit :Verify an SPN is not already associated with an account in a forest by running the setspn command

  1. Appuyez sur Démarrer. Dans la zone Recherche, saisissez Invite de commandes, puis, dans la liste des résultats, sélectionnez Invite de commandes.Press Start. In the Search box, type Command Prompt, then in the list of results, select Command Prompt.

  2. Depuis l'invite de commandes, entrez la commande suivante :At the command prompt, type the following command:

    setspn -F -Q <SPN>
    

    Où <SPN> est le SPN que vous souhaitez associer au compte ASA. Par exemple :Where <SPN> is the SPN you want to associate with the ASA credential. For example:

    setspn -F -Q http/mail.corp.tailspintoys.com
    

    La commande doit renvoyer nothing. Si elle renvoie une valeur, un autre compte est déjà associé avec le nom principal de service. Répétez cette étape une fois pour chaque nom principal de service que vous souhaitez associer les informations d’identification ASA.The command should return nothing. If it returns something, another account is already associated with the SPN. Repeat this step one time for each SPN that you want to associate with the ASA credential.

Pour associer un SPN à des informations d'identification ASA à l'aide de la commande setspn, procédez comme suit :Associate an SPN with an ASA credential by using the setspn command

  1. Appuyez sur Démarrer. Dans la zone Rechercher , tapez invite de commandes, puis sélectionnez invite de commandes dans la liste des résultats.Press Start. In the Search box, type Command Prompt, and then select Command Prompt in the list of results.

  2. Depuis l'invite de commandes, entrez la commande suivante :At the command prompt, type the following command:

    setspn -S <SPN> <Account>$
    

    Où <SPN> est le SPN que vous souhaitez associer aux informations d'identification du compte ASA et <Account> est le compte associé aux informations d'identification du compte ASA. Par exemple :Where <SPN> is the SPN you want to associate with the ASA credential and <Account> is the account associated with the ASA credential. For example:

    setspn -S http/mail.corp.tailspintoys.com tailspin\EXCH2016ASAXCH2016ASA$
    

    Exécutez cette commande une seule fois pour chaque nom principal de service que vous souhaitez associer les informations d’identification ASA.Run this command one time for each SPN that you want to associate with the ASA credential.

Pour vérifier que vous avez associé les noms SPN aux informations d'identification ASA à l'aide de la commande setspn, procédez comme suit :Verify you associated the SPNs with the ASA credentials by using the setspn command

  1. Appuyez sur Démarrer. Dans la zone Rechercher , tapez invite de commandes, puis sélectionnez invite de commandes dans la liste des résultats.Press Start. In the Search box, type Command Prompt, and then select Command Prompt in the list of results.

  2. Depuis l'invite de commandes, entrez la commande suivante :At the command prompt, type the following command:

    setspn -L <Account>$
    

    Où <Account> est le compte associé au compte ASA. Par exemple :Where <Account> is the account associated with the ASA credential. For example:

    setspn -L tailspin\EXCH2016ASAXCH2016ASA$
    

    Vous devez exécuter cette commande qu’une seule fois.You have to run this command only one time.

Activation de l'authentification Kerberos pour les clients OutlookEnable Kerberos authentication for Outlook clients

  1. Ouvrez l'Environnement de ligne de commande Exchange Management Shell sur un serveur Exchange 2016.Open the Exchange Management Shell on an Exchange 2016 server.

  2. Pour activer l’authentification Kerberos pour les clients Outlook Anywhere, exécutez la commande suivante sur votre serveur Exchange 2016 qui exécute les services d’accès au Client :To enable Kerberos authentication for Outlook Anywhere clients, run the following command on your Exchange 2016 server that is running Client Access services:

    Get-OutlookAnywhere -Server CAS-1 | Set-OutlookAnywhere -InternalClientAuthenticationMethod  Negotiate
    
  3. Pour activer l’authentification Kerberos pour MAPI sur les clients HTTP, exécutez ce qui suit sur votre serveur Exchange 2016 qui exécute les services d’accès au Client :To enable Kerberos authentication for MAPI over HTTP clients, run the following on your Exchange 2016 server that is running Client Access services:

    Get-MapiVirtualDirectory -Server CAS-1 | Set-MapiVirtualDirectory -IISAuthenticationMethods Ntlm, Negotiate
    
  4. Répétez les étapes 2 et 3 pour chaque serveur Exchange 2016 qui exécute les services d’accès au Client pour laquelle vous souhaitent activer l’authentification Kerberos.Repeat steps 2 and 3 for each Exchange 2016 server that is running Client Access services for whichyou want to enable Kerberos authentication.

Vérifier l’authentification Kerberos du client ExchangeVerify Exchange client Kerberos authentication

Une fois que vous avez correctement configuré Kerberos et les informations d’identification ASA, vérifiez que les clients peuvent s’authentifier avec succès, comme décrit dans ces tâches.After you've successfully configured Kerberos and the ASA credential, verify that clients can authenticate successfully, as described in these tasks.

Vérifiez que le service Hôte de services Microsoft Exchange est en cours d'exécutionVerify that the Microsoft Exchange Service Host service is running

Le service d’hôte du Service Microsoft Exchange (MSExchangeServiceHost) sur le serveur qui exécute les services d’accès au Client est chargé de gérer les informations d’identification ASA. Si MSExchangeServiceHost n’est pas en cours d’exécution, l’authentification Kerberos n’est pas possible. Par défaut, le service est configuré pour démarrer automatiquement au démarrage de l’ordinateur.The Microsoft Exchange Service Host service (MSExchangeServiceHost) on the server that is running Client Access services is responsible for managing the ASA credential. If MSExchangeServiceHost isn't running, Kerberos authentication isn't possible. By default, the service is configured to automatically start when the computer starts.

Pour vérifier que le service Hôte de services Microsoft Exchange est démarréTo verify the Microsoft Exchange Service Host service is started

  1. Cliquez sur Démarrer, entrez services.msc puis sélectionnez services.msc dans la liste.Click Start, type services.msc, and then select services.msc from the list.

  2. Dans la fenêtre Services, repérez le service Hôte de services Microsoft Exchange dans la liste des services.In the Services window, locate the Microsoft Exchange Service Host service in the list of services.

  3. L'état du service doit être En cours d'exécution. Si l'état n'est pas En cours d'exécution, cliquez avec le bouton droit sur le service, puis sur Démarrer.The status of the service should be Running. If the status is not Running, right-click the service, and then click Start.

Vérifiez que Kerberos depuis le serveur exécutant les services d’accès au ClientVerify Kerberos from the server running Client Access services

Lorsque vous avez configuré les informations d’identification ASA sur chaque serveur exécutant les services d’accès au Client, vous avez exécuté l’applet de commande Set-ClientAccessServer . Après avoir exécuté cette applet de commande, vous pouvez utiliser les journaux pour vérifier les connexions Kerberos réussies.When you configured the ASA credential on each server running Client Access services, you ran the Set-ClientAccessServer cmdlet. After you run this cmdlet, you can use the logs to verify successful Kerberos connections.

Vérifiez que Kerberos fonctionne correctement à l’aide du fichier journal HttpProxyVerify that Kerberos is working correctly by using the HttpProxy log file

  1. Dans un éditeur de texte, accédez au dossier où est stocké le journal HttpProxy. Par défaut, le journal est stocké dans le dossier suivant :In a text editor, browse to the folder where the HttpProxy log is stored. By default, the log is stored in the following folder:

    %ExchangeInstallPath%\Logging\HttpProxy\RpcHttp%ExchangeInstallPath%\Logging\HttpProxy\RpcHttp

  2. Ouvrez le fichier journal plus récent, puis recherchez le mot négocier. La ligne dans le fichier journal doit ressembler à l’exemple suivant :Open the most recent log file, and then look for the word Negotiate. The line in the log file will look something like the following example:

    2014-02-19T13:30:49.219Z,e19d08f4-e04c-42da-a6be-b7484b396db0,15,0,775,22,,RpcHttp,mail.corp.tailspintoys.com,/rpc/rpcproxy.dll,,Negotiate,True,tailspin\Wendy,tailspintoys.com,MailboxGuid~ad44b1e0-e44f-4a16-9396-3a437f594f88,MSRPC,192.168.1.77,EXCH1,200,200,,RPC_OUT_DATA,Proxy,exch2.tailspintoys.com,15.00.0775.000,IntraForest,MailboxGuidWithDomain,,,,76,462,1,,1,1,,0,,0,,0,0,16272.3359,0,0,3,0,23,0,25,0,16280,1,16274,16230,16233,16234,16282,?ad44b1e0-e44f-4a16-9396-3a437f594f88@tailspintoys.com:6001,,BeginRequest=2014-02-19T13:30:32.946Z;BeginGetRequestStream=2014-02-19T13:30:32.946Z;OnRequestStreamReady=2014-02-19T13:30:32.946Z;BeginGetResponse=2014-02-19T13:30:32.946Z;OnResponseReady=2014-02-19T13:30:32.977Z;EndGetResponse=2014-02-19T13:30:32.977Z;,PossibleException=IOException;
    

    Si vous voyez que la valeur AuthenticationType est Negotiate, le serveur consiste à créer correctement les connexions authentifiées Kerberos.If you see that the AuthenticationType value is Negotiate, the server is successfully creating Kerberos authenticated connections.

Conservation des informations d'identification du compte ASAMaintain the ASA credential

Si vous devez actualiser le mot de passe les informations d’identification ASA régulièrement, suivez les étapes pour configurer les informations d’identification ASA dans cet article. Envisager la création d’une tâche planifiée pour effectuer la maintenance régulière de mot de passe. Veillez à surveiller la tâche planifiée pour assurer les substitutions de mot de passe en temps voulu et éviter les interruptions d’authentification.If you have to refresh the password on the ASA credential periodically, use the steps for configuring the ASA credential in this article. Consider setting up a scheduled task to perform regular password maintenance. Be sure to monitor the scheduled task to ensure timely password rollovers and prevent possible authentication outages.

Désactivation de l'authentification KerberosTurn Kerberos authentication off

Pour configurer vos serveurs qui exécutent les services d’accès au Client pour arrêter l’utilisation de Kerberos, dissocier ou supprimer les informations d’identification ASA des noms principaux de service. Si les noms principaux de service sont supprimés, l’authentification Kerberos ne sont pas être essayée par vos clients, et les clients qui sont configurés pour utiliser l’authentification par négociation utilise NTLM à la place. Les clients qui sont configurés pour utiliser uniquement le protocole Kerberos ne pourront pas se connecter. Une fois que les noms principaux de service sont supprimés, vous devez également supprimer le compte.To configure your servers that are running Client Access services to stop using Kerberos, disassociate or remove the SPNs from the ASA credential. If the SPNs are removed, Kerberos authentication won't be tried by your clients, and clients that are configured to use Negotiate authentication will use NTLM instead. Clients that are configured to use only Kerberos will be unable to connect. After the SPNs are removed, you should also delete the account.

Pour supprimer les informations d'identification ASATo remove the ASA credential

  1. Ouvrez l'Environnement de ligne de commande Exchange Management Shell sur un serveur Exchange 2016 et exécutez la commande suivante :Open the Exchange Management Shell on an Exchange 2016 server and run the following command:

    Set-ClientAccessServer CAS-1 -RemoveAlternateServiceAccountCredentials
    
  2. Bien que vous n'ayez pas à le faire immédiatement, vous devrez dans tous les cas redémarrer tous les ordinateurs clients pour effacer le cache de ticket Kerberos de l'ordinateur.Although you don't have to do this immediately, you should eventually restart all client computers to clear the Kerberos ticket cache from the computer.