Creare un account di autenticazione Kerberos
Ultima modifica dell'argomento: 2012-04-06
Per eseguire correttamente la procedura Per creare un account Kerberos, è necessario essere connessi al server o al dominio almeno come membri del gruppo Domain Admins. Nel caso l'infrastruttura di Servizi di dominio Active Directory sia bloccata o protetta, è possibile che i cmdlet di Windows PowerShell che automatizzano la creazione dell'account Kerberos non funzionino correttamente e abbiano esito negativo. Se si utilizza un ambiente Active Directory bloccato, fare riferimento alla procedura successiva a Per creare un account Kerberos, intitolata Per creare manualmente un account Kerberos.
È possibile creare account di autenticazione Kerberos per ogni sito oppure creare un singolo account di autenticazione Kerberos e utilizzarlo per tutti i siti. Si utilizzano cmdlet di Windows PowerShell per creare e gestire gli account, inclusa l'identificazione degli account assegnati a ogni sito. Gli account di autenticazione Kerberos non vengono visualizzati in Generatore di topologie e nel Pannello di controllo di Lync Server 2010. Utilizzare la procedura seguente per creare uno o più account computer da utilizzare per l'autenticazione Kerberos.
Per creare un account Kerberos
Come membro del gruppo Domain Admins, accedere a un computer nel dominio che esegue Lync Server 2010 oppure a un computer in cui sono installati gli strumenti di amministrazione.
Avviare Lync Server Management Shell: fare clic sul pulsante Start, scegliere Tutti i programmi, Microsoft Lync Server 2010 e quindi Lync Server Management Shell.
Eseguire il comando seguente dalla riga di comando:
New-CsKerberosAccount -UserAccount "Domain\ComputerAccount" -ContainerDN "CN=Computers,DC=DomainName,DC=DomainExtension"Ad esempio:
New-CsKerberosAccount -UserAccount "Contoso\KerbAuth" -ContainerDN "CN=Computers,DC=contoso,DC=com"Verificare che l'oggetto Computer sia stato creato. A tale scopo aprire Utenti e computer di Active Directory, espandere il contenitore Utenti e quindi verificare che l'oggetto Computer per l'account Kerberos sia presente nel contenitore.
Nota
Potrebbe risultare inizialmente poco chiaro il motivo per cui si deve creare un oggetto computer quando il parametro del cmdlet indica senza dubbio che si sta creando un account utente. Nella gerarchia di Active Directory, l'oggetto utente viene ereditato dall'oggetto computer e i due tipi di account sono quindi molto simili. Una differenza sostanziale è rappresentata dal fatto che per l'account utente esiste una password che scade per impostazione predefinita, mentre il meccanismo delle password per l'account computer è totalmente diverso. Questa differenza funzionale è il motivo principale per cui è consigliabile utilizzare un account computer anziché un account utente.
Per creare manualmente un account Kerberos
In un'infrastruttura protetta o bloccata di Servizi di dominio Active Directory, eseguire le operazioni seguenti.
.gif "warning")
Avviso:Per la procedura seguente è necessario che siano installati gli strumenti di amministrazione remota del server oppure lavorare in locale o in remoto con la funzionalità Strumenti di Servizi di dominio Active Directory installata. Come membro del gruppo Domain Admins, accedere a un computer nel dominio che esegue Lync Server 2010 oppure a un computer in cui sono installati gli strumenti di amministrazione.
Fare clic sul pulsante Start, scegliere Strumenti di amministrazione ed eseguire Utenti e computer di Active Directory.
In Utenti e computer di Active Directory creare l'account computer nell'unità organizzativa appropriata o nel contenitore Computer.
Per accedere alla scheda Sicurezza dell'account utente, in Utenti e computer di Active Directory fare clic su Visualizza e quindi su Funzionalità avanzate. Accanto a Funzionalità avanzate dovrebbe essere ora visualizzato un segno di spunta per indicare che l'opzione è selezionata.
Nell'unità organizzativa o nel contenitore Computer, fare clic con il pulsante destro del mouse sull'account computer creato e quindi scegliere Proprietà. Selezionare la scheda Sicurezza. Nella scheda Sicurezza fare clic su Avanzate.
Nella scheda Impostazioni di sicurezza avanzate per l'account computer selezionato, fare clic su Aggiungi. Nella finestra di dialogo Seleziona utenti o gruppi digitare RTCUniversalServerAdmins in Immettere il nome dell'oggetto da selezionare. Fare clic su Controlla nomi. Se il controllo riesce, fare clic su OK.
Selezionare la scheda Oggetto nella finestra di dialogo Voce autorizzazione dell'account computer. Fare clic sull'elenco a discesa Applica a e selezionare Solo l'oggetto specificato.
Nel riquadro di selezione Autorizzazioni selezionare le autorizzazioni seguenti:
Autorizzazione Consenti o Nega Ereditarietà Applica a Cambia password
Consenti
Non ereditata
Solo a questo oggetto
Reimpostazione password
Consenti
Non ereditata
Solo a questo oggetto
Lettura autorizzazioni
Consenti
Non ereditata
Solo a questo oggetto
Scrittura servicePrincipalName
Consenti
Non ereditata
Solo a questo oggetto
Fare clic su OK tre volte per chiudere le finestre di dialogo. Chiudere e uscire da Utenti e computer di Active Directory.
Fare clic sul pulsante Start, scegliere Strumenti di amministrazione e quindi ADSI Edit.
Fare clic con il pulsante destro del mouse su ADSI Edit, scegliere Connetti a e selezionare Selezionare un contesto dei nomi noto. Selezionare Contesto dei nomi predefinito nell'elenco. Fare clic su OK.
Nell'unità organizzativa o nel contenitore in cui si trova l'oggetto computer, fare clic con il pulsante destro del mouse sull'oggetto computer e scegliere Proprietà.
Nella scheda Editor attributi individuare l'attributo userAccountControl e quindi fare clic su Modifica.
In Editor attributo numero intero viene visualizzato il valore intero dell'attributo userAccountControl. Modificare il valore impostando 69664. Il valore intero visualizzato imposta i flag per PASSWD_NOTREQD, WORKSTATION_TRUST_ACCOUNT e DON’T_EXPIRE_PASSWD.
Fare clic su OK per confermare la modifica dell'attributo. Chiudere ADSI Edit.