İstemci Erişimi sunucu dizisine MAPI istemci bağlantısı için Kerberos kimlik doğrulaması

Özet

Active Directory sitesinde birden fazla İstemci Erişimi sunucusu bulunan Microsoft Exchange Server 2010 dağıtımlarında, topoloji sıklıkla bir İstemci Erişimi sunucu dizisi ve sitenin tüm İstemci Erişimi sunucuları arasında trafiği dağıtmak için yük dengeleme çözümü gerektirir. Exchange Server 2010'daki değişiklikler nedeniyle, MAPI e-posta istemcileri İstemci Erişimi sunucu dizisi kullanılırken posta kutusuna bağlanmak için Kerberos kimlik doğrulamasını kullanamıyor. Bu davranışa yardımcı olmak için, Microsoft Exchange Server Service Pack 1 (SP1), İstemci Erişimi sunucu dizisinde MAPI e-posta istemcileri için Kerberos kimlik doğrulamasını yapılandırmanıza olanak sağlayan yeni işlevler içerir.

Kerberos kimlik doğrulamasının Exchange Server'in önceki sürümlerinde nasıl çalıştığı ve Exchange Server 2010'da Kerberos kimlik doğrulamasının MAPI e-posta istemcileriyle birlikte çalışmayı engelleyen değişiklikler hakkında daha fazla bilgi için, Exchange Team blog gönderisinde yer alan şu blog gönderilerine bakın:

Öneri: MAPI İstemcileri için Kerberos Kimlik Doğrulamasını Etkinleştirme

Daha Fazla Bilgi

İstemci Erişimi sunucusu (CAS) rolünde çalışan Microsoft Exchange Hizmeti Ana Bilgisayar hizmeti, Exchange Server 2010 SP1'de Kerberos kimlik doğrulaması için paylaşılan alternatif hizmet hesabı (ASA) kimlik bilgilerini kullanacak şekilde genişletildi. Bu hizmet ana bilgisayar uzantısı yerel bilgisayarı izler. Kimlik bilgileri ekleniyor veya kaldırılıyorsa, yerel sistem ve ağ hizmeti bağlamında Kerberos kimlik doğrulama paketi güncelleştirilir. Kimlik doğrulama paketine kimlik bilgileri eklenir eklenmez, tüm istemci erişim hizmetleri bunu Kerberos kimlik doğrulaması için kullanabilir. İstemci Erişimi sunucusu ASA kimlik bilgilerini kullanmanın yanı sıra doğrudan adreslenen hizmet isteklerinin kimliğini doğrular. Hizmetlet olarak bilinen bu uzantı varsayılan olarak çalışır ve çalıştıracak yapılandırma veya eylem gerektirmemektedir.

Exchange Server 2010 kuruluş için Kerberos kimlik doğrulamasını aşağıdaki nedenlerle kullanabilirsiniz:

  • Yerel güvenlik ilkeniz için Kerberos kimlik doğrulaması gereklidir.

  • RPC İstemci Erişimi hizmetine doğrudan MAPI bağlantısı ve aralıklı NTLM hatalarına neden olan NTLM ölçeklenebilirlik sorunlarıyla karşılaşıyor veya beklemedesiniz.

    Büyük ölçekli müşteri dağıtımlarında NTLM, İstemci Erişimi sunucularında performans sorunlarına neden olabilir. Bu, aralıklı olarak kimlik doğrulama hatalara neden olabilir. NTLM kimlik doğrulaması kullanan hizmetler Active Directory gecikme sorunlarına karşı daha duyarlıdır. Bunlar, İstemci Erişimi sunucu isteklerinin hızı arttıkça kimlik doğrulama hatalarına yol açmaktadır.

Kerberos kimlik doğrulamasını yapılandırmak için Active Directory ve İstemci Erişimi sunucu dizilerini ayarlama hakkında bilgi sahibi olmak gerekir. Kerberos kimlik doğrulaması hakkında da çalışma bilginiz olması gerekir.

Kerberos kimlik doğrulaması için ASA kimlik bilgilerini dağıtmak için aşağıdaki adımları izleyin.

ASA kimlik bilgisi olarak kullanmak üzere bir hesap oluşturma

İstemci Erişimi sunucu dizisinde yer alan tüm bilgisayarların aynı hizmet hesabını paylaşması gerekir. Bu, veri merkezi geçişinin bir parçası olarak başlatılana kadar tüm İstemci Erişimi sunucularını içerir. Genel olarak, orman başına bir hizmet hesabı yeterlidir.

Bilgisayar hesabı etkileşimli oturum açmalara izin vermey olduğundan, alternatif hizmet hesabının (ASA) kullanıcı hesabı yerine bir bilgisayar hesabı oluşturun. Bu nedenle, bilgisayar hesabı kullanıcı hesabına göre daha basit güvenlik ilkelerine sahip olabilir ve ASA kimlik bilgileri için tercih edilen çözümdür.

Bilgisayar hesabı oluşturma hakkında daha fazla bilgi için bkz. Yeni bilgisayar hesabı oluşturma.

Not

Bir bilgisayar hesabı seniz parolanın süresi dolmaz. Bununla birlikte, parolayı düzenli aralıklarla güncelleştirmenizi öneririz. Yerel Grup İlkesi bilgisayar hesapları için en yüksek hesap yaşını belirtebilir ve ağ yöneticileri betikleri geçerli ilkelere uygun değil bilgisayar hesaplarını düzenli aralıklarla secek şekilde zamanebilir. Yerel ilkeye uygun olmayan bilgisayar hesaplarınızı silinmeyecek şekilde emin olmak için, bilgisayar hesaplarının parolasını düzenli aralıklarla güncelleştirin. Parolayı ne zaman değiştirmeniz gerektiğini yerel güvenlik ilkeniz belirler.

Not

Hesabı 7 2013'e 2007'de 2007'de 2013'e 2007'de 07.000' Bunun yerine betik parolayı sıfırlar. Hesabı oluşturmak için, kuruluşun parola gereksinimlerini karşılayacak herhangi bir parolayı kullanabilirsiniz.

ASA kimlik bilgilerinin adı için belirli bir gereklilik yoktur. Adlandırma düzeninize uygun herhangi bir ad kullanabilirsiniz. ASA kimlik bilgileri için özel güvenlik ayrıcalıkları gerekli değil. ASA kimlik bilgileri için bir bilgisayar hesabı dağıtıyorsanız bu, hesabın yalnızca Etki Alanı Bilgisayarları güvenlik grubunun üyesi olması gerektiğini belirtir. ASA kimlik bilgileri için bir kullanıcı hesabı dağıtıyorsanız, bu hesabın yalnızca Etki Alanı Kullanıcıları güvenlik grubunun üyesi olması gerektiğini belirtir.

Alternatif hizmet hesabı kimlik bilgileriyle ilişkilendirilecek SPN'leri belirleme

Diğer hizmet hesabını oluşturduktan sonra, ASA kimlik bilgileriyle Exchange hizmet asıl adlarının (SPN) ne olacağını belirlemeniz gerekir. SPN değerlerinin, tek tek sunucular yerine ağ yük dengeleyicisinde kullanılan hizmet adıyla eş olacak şekilde yapılandırılması gerekir. SPN'Exchange yapılandırmanıza göre değişebilir, ancak liste en azından aşağıdakileri içerebilir:

  • http Bu SPN'yi Web Hizmetleri Exchange Çevrimdışı Adres Defteri indirmeleri ve Otomatik Bulma hizmetini kullanmak için kullanın.
  • exchangeMDB RPC İstemci Erişimi için bu SPN'yi kullanın.
  • exchangeRFR Adres Defteri hizmeti için bu SPN'yi kullanın.
  • exchangeAB Bu SPN'yi Adres Defteri hizmeti için kullanın.

Küçük bir işletme için, büyük olasılıkla tek bir Active Directory sitesinden büyük bir şey olmayacaktır. Örneğin, tek Active Directory siteniz aşağıdaki diyagrama benzeebilir.

Tek bir Active Directory sitesi içeren küçük işletmenin ekran görüntüsü.

Bu örnekte kullanabileceğiniz SPN'leri belirlemek için, önceki çizimde iç Outlook istemcileri tarafından kullanılan tam etki alanı adlarına (FQDN) bakmız gerekir. Bu örnekte, ASA kimlik bilgileri üzerinde aşağıdaki SPN'leri dağıtın:

  • http/mail.corp.contoso.com
  • http/autod.corp.contoso.com
  • exchangeMDB/outlook.corp.contoso.com
  • exchangeRFR/outlook.corp.contoso.com
  • exchangeAB/outlook.corp.contoso.com

Not

Her Yerde'i kullanan dış Outlook İnternet tabanlı istemciler Kerberos kimlik doğrulamasını kullanmaz. Bu nedenle, bu istemcilerin SPN'ler olarak kullanmakta olduğu FQDN'leri ASA kimlik bilgilerine eklemenize gerek yok.

Siteniz tek bir Active Directory sitesinden daha büyükse, bu konuyla ilgili Daha fazla örneği İstemci Erişimi Sunucuları için Kerberos Kimlik Load-Balanced başlığında bulabilirsiniz.

OAB sanal dizinini uygulamaya dönüştürme

Çevrimdışı adres defteri (OAB) sanal dizini bir web uygulaması değildir. Bu nedenle, Microsoft Exchange Hizmet Ana Bilgisayarı hizmeti tarafından denetlenz. Sonuç olarak, ASA kimlik bilgileri, OAB sanal dizinine Kerberos kimlik doğrulama isteklerinin şifresini çözamaz.

OAB sanal dizinini bir IIS web uygulamasına dönüştürmek için, her CAS ConvertOABVDir.ps1 komut dosyasını yürütün. Betik, OAB sanal dizini için MSExchangeOabAppPool adlı yeni bir uygulama havuzu da oluşturabilir. Betiği indirmek için, Microsoft Betik ConvertOABDir.ps1 Giriş sayfasına gidin.

ASA kimlik bilgilerini CAS üyelerine dağıtma

Exchange Server 2010 SP1, ASA kimlik bilgilerinin dağıtımını etkinleştirmek için bir betik içerir. Betik, RollAlternateServiceAccountPassword.ps1 betik olarak adlandırılmıştır ve Betikler dizininde yer almaktadır.

Betiği kullanarak ilk kurulumda kimlik bilgilerini orman içinde tüm İstemci Erişimi sunucularına zorlamak için, şu adımları izleyin:

  1. Dış Exchange Kabuğu'na aşağıdaki komutu çalıştırın:

    .\RollAlternateserviceAccountPassword.ps1 -ToEntireForest -GenerateNewPasswordFor "Your_Domain_Name\Computer_Account_Name$" -Verbose
    
  2. "RollAsa" adlı ve ayda bir otomatik parola rulosu zamanlanmış bir görev zamanlanmış Exchange için aşağıdaki komutu çalıştırın. Bu komut zamanlanmış görev, komut dosyası tarafından oluşturulan yeni bir parolayla orman içinde bulunan tüm İstemci Erişimi sunucularının ASA kimlik bilgilerini güncelleştirecek. Zamanlanan görev oluşturulur, ancak betik çalıştırlanmaz. Zamanlanan görev çalıştırıldıyken, betik katılımsız modda çalışır.

    .\RollAlternateServiceAccountPassword.ps1 -CreateScheduledTask "Exchange-RollAsa" -ToEntireForest -GenerateNewPasswordFor "Your_Domain_Name\Computer_Account_Name$"
    

Komut dosyasını kullanma hakkında daha fazla RollAlternateserviceAccountPassword.ps1 için bkz. Kabuk'ta RollAlternateserviceAccountPassword.ps1 Betiği kullanma.

ASA kimlik bilgilerinin dağıtımını doğrulama

İstemci Exchange Kabuğu'na, İstemci Erişimi sunucularında ayarları kontrol etmek için aşağıdaki komutu çalıştırın:Get-ClientAccessServer -IncludeAlternateServiceAccountCredentialStatus | fl name,*alter*

Bu komutun sonucu aşağıdakine benzer:

Name : CASAAlternateServiceAccountConfiguration : Latest: 8/2/2010 3:48:38 PM, contoso\newSharedServiceAccountName$ Previous: <Not set>Name : CASBAlternateServiceAccountConfiguration : Latest: 8/2/2010 3:48:51 PM, contoso\newSharedServiceAccountName$ Previous: <Not set>

SPN'leri ASA kimlik bilgileriyle ilişkilendirme

SPN'leri yapılandırmadan önce, hedef SPN'lerin önceden orman içinde başka bir hesapta yapılandırılmamış olduğundan emin olun. ASA kimlik bilgileri, bu SPN'lerin ilişkilendirilen ormanı tek hesap olması gerekir. Bir komut istemi açarak ve –q ve –f parametreleriyle setspn komutunu çalıştırarak, orman içinde başka hiçbir hesabın SPN'leri olmadığını doğrularısınız. Aşağıdaki örnekte bu komutun nasıl çalıştır olduğu gösterir. Komut hiçbir şey dönmez. Değer döndürürse, kullanmak istediğiniz SPN ile zaten başka bir hesap ilişkilendirildi.

Not

Yinelenen denetleme ormanı genelindeki parametreyi (-f) yalnızca Windows Server 2008 çalıştıran bilgisayarlarda kümespn komutuyla birlikte kullanabilirsiniz.

Setspn -q -f exchangeMDB/outlook.**domain.domain.domain_root**

Bu komutta exchangeMDB/outlook.domain.domain.domain_root, exchangeMDB/outlook.corp.contoso.com gibi RPC İstemci Erişimi için SPN'nin SPN'dir.

Aşağıdaki komut, paylaşılan ASA kimlik bilgisinde SPN'lerin nasıl ayar olduğunu gösterir. Kümeler komutunu, tanım olası her SPN için bir kez bu söz dizimi ile çalıştırmalı.

Setspn -S exchangeMDB/outlook.corp.contoso.com contoso\newSharedServiceAccountName$

SPN'leri ayardikten sonra, aşağıdaki komutu çalıştırarak bunların ekli olduğunu doğrulayın.

Setspn -L contoso\newSharedServiceAccountName

Kerberos'u başarıyla yapılandırdıktan ve betiği RollAlternateServiceAccountPasswordl.ps1 istemci bilgisayarların başarıyla kimlik doğrulamasını doğrulayın.

Microsoft Exchange Hizmet Ana Bilgisayarı hizmetinin çalıştığını doğrulama

Ortamınıza tüm İstemci Erişimi sunucularına Exchange Server SP1 Rollup 3 veya daha yeni bir sürümü yüklemiş olun. İstemci Erişimi Exchange Microsoft Hizmet Ana Bilgisayar hizmeti ASA kimlik bilgilerini yönetmekten sorumludur. Bu hizmet çalışmıyorsa Kerberos kimlik doğrulaması çalışmaz. Varsayılan olarak, hizmet bilgisayar başlatıldığında otomatik olarak başlat ayarına göre yapılandırılır. Hizmetin çalıştığını doğrulamak için şu adımları izleyin:

  1. Cas üzerinde Hizmetler'i açın. Hizmetler'i açmak için Başlat 'a tıklayın, Denetim Masası'ne tıklayın, Yönetimsel Araçlar'a çift tıklayın ve ardından Hizmetler'e çift tıklayın.
  2. Hizmet listesinde, Microsoft Ana Bilgisayar Exchange hizmetini bulun.
  3. Durum sütununda, durumunun Başlatıldı olduğunu doğrulayın. Hizmet başlamazsa, Microsoft Hizmet Ana Bilgisayarı hizmetine Exchange ve Başlat'a tıklayın. Hizmeti otomatik olarak başlayacak şekilde yapılandırmak için, Microsoft Exchange Hizmet Ana Bilgisayarı hizmetine sağ tıklayın, Özellikler'e ve Başlangıç türü listesinde Otomatik'e tıklayın ve sonra da Tamam'a tıklayın.
    Postadan kimlik doğrulamayı Outlook

İstemci Erişimi Outlook bağlanmak üzere Kerberos kimlik doğrulamasını kullanabileceğinizi onaylamak için şu adımları izleyin:

  1. Doğru yük Outlook İstemci Erişimi sunucu dizisine işaret etmek üzere yapılandırıldığından emin olun.
  2. Oturum açma ağ güvenliğini Kullanmak için e-posta hesabı sunucu güvenlik ayarlarını yapılandırarak Kimlik Doğrulaması Yapın. Not İstemciyi Kerberos Parola Kimlik Doğrulaması'nın kullanılacak şekilde yapılandırabilirsiniz, ancak SPN'ler kaldırılırsa, kimlik doğrulama mekanizmasını yeniden Kimlik Doğrulaması Üzerinde Görüşme olarak değiştirene kadar istemci bilgisayarların kimlik doğrulaması mümkün olmayacaktır.
  3. İstemci bilgisayar için Outlook Yerde'nin etkinleştirilmemiş olduğundan emin olun. Bu Outlook Kerberos Parola Doğrulaması'nın kullanımıyla kimlik doğrulaması başarısız olursa, Outlook Her Yerden'e geri dönmeyi dener; dolayısıyla bu test Outlook Her Yerden devre dışı bırakılabilir.
  4. Outlook'u yeniden başlatın.
  5. Masaüstü bilgisayarınız Windows 7klist.exe i çalıştırarak hangi Kerberos biletlerinin verilmesini ve kullanılmaya devam etmek için bu anahtarları çalıştırabilirsiniz. Windows 7 çalıştır klist.exe, Windows Server 2003 Kaynak Seti'ne bakabilirsiniz.

Ek Kaynaklar

Bu sorun ve soruna ilişkin ayrıntılı bilgi için aşağıdaki TechNet makalesine bakın:

Kerberos'u İstemci Erişimi Sunucu Dizisi veya Güvenlik çözümü Load-Balancing kullanma

Yük dengelemeli istemci erişimi sunucularında Kerberos kimlik doğrulamasını kullanma hakkında daha fazla bilgi için aşağıdaki TechNet makalesine bakın:

İstemci Erişimi Sunucularında Kerberos kimlik Load-Balanced yapılandırma