Istemci erişim sunucusu dizisine MAPI istemci bağlantısı için Kerberos kimlik doğrulaması

Özet

Active Directory sitesinde birden fazla Istemci erişimi sunucusuna sahip Microsoft Exchange Server 2010 dağıtımlarında, topoloji sık sık bir Istemci erişim sunucusu dizisi ve bir yük dengeleyici çözümü gerektirir ve bu çözüm, sitedeki tüm Istemci erişim sunucuları arasında trafiği dağıtır. Exchange Server 2010 ' deki değişiklikler nedeniyle, MAPI e-posta istemcileri bir Istemci erişim sunucusu dizisi kullanılırken bir posta kutusuna bağlanmak için Kerberos kimlik doğrulamasını kullanamaz. Bu davranışa geçici bir çözüm için, Microsoft Exchange Server Service Pack 1 (SP1), Istemci erişim sunucusu dizisindeki MAPI e-posta istemcileri için Kerberos kimlik doğrulamasını yapılandırmanıza olanak sağlayan yeni işlevler içerir.

Exchange Server 'ın önceki sürümlerinde Kerberos kimlik doğrulamasının nasıl çalıştığı ve Exchange Server 2010 'daki değişiklikler hakkında daha fazla bilgi için, Exchange ekibi blogu 'nda aşağıdaki blog gönderisine bakın:

Öneri: MAPI Istemcileri için Kerberos kimlik doğrulamasını etkinleştirme

Daha Fazla Bilgi

Istemci erişim sunucusu (CAS) rolünde çalışan Microsoft Exchange Service Host hizmeti, Exchange Server 2010 SP1'DE, Kerberos kimlik doğrulaması için paylaşılan alternatif hizmet hesabı (ASA) kimlik bilgilerini kullanacak şekilde genişletilir. Bu hizmet ana bilgisayar uzantısı yerel bilgisayarı izler. Kimlik bilgileri eklendiğinde veya kaldırıldığında, yerel sistemdeki Kerberos kimlik doğrulama paketi ve ağ hizmeti içeriği güncelleştirilir. Kimlik doğrulama paketine bir kimlik bilgisi eklendikçe tüm istemci erişim Hizmetleri, Kerberos kimlik doğrulaması için kullanılabilir. Istemci erişim sunucusu Ayrıca, ASA kimlik bilgilerini kullanmaya yönelik olarak doğrudan giderilen hizmet isteklerini de doğrulayabilecektir. Servicelet olarak bilinen bu uzantı varsayılan olarak çalışır ve çalıştırılması için yapılandırma veya eylem gerektirmez.

Aşağıdaki nedenlerden dolayı Exchange Server 2010 kuruluşunuzda Kerberos kimlik doğrulamasını kullanmanız gerekebilir:

  • Kerberos kimlik doğrulaması yerel güvenlik ilkeniz için gereklidir.

  • RPC Istemci erişimi hizmeti 'ne doğrudan MAPI bağlantısı gibi, sürekli NTLM hatalarına neden olan NTLM ölçeklenebilirliği sorunlarıyla karşılaşıyor veya bu sorunu bekliyorsunuz.

    Büyük ölçekli müşteri dağıtımlarında NTLM, Istemci erişimi sunucularında performans sorunlarına neden olabilir. Bu, zaman zaman kimlik doğrulama hatalarına neden olabilir. NTLM kimlik doğrulaması kullanan hizmetler, Active Directory gecikme sorunlarına karşı daha hassas. Bu, Istemci erişim sunucusu isteklerinin hızı arttıkça kimlik doğrulama hatalarına neden olur.

Kerberos kimlik doğrulamasını yapılandırmak için, Active Directory 'yi öğrenmeniz ve Istemci erişimi sunucusu dizilerini nasıl ayarlayacağınız gerekir. Ayrıca, Kerberos kimlik doğrulaması ile ilgili bir bilginiz olmalıdır.

Ara kimlik bilgilerini Kerberos kimlik doğrulaması için dağıtmak üzere aşağıdaki adımları izleyin.

ASA kimlik bilgileri olarak kullanılacak bir hesap oluşturma

Istemci erişim sunucusu dizisindeki tüm bilgisayarların aynı hizmet hesabını paylaşması gerekir. Bu, veri merkezinin bir parçası olarak başlayabileceğiniz tüm Istemci erişimi sunucularını içerir. Genellikle, her orman için bir hizmet hesabı yeterlidir.

Bilgisayar hesabı etkileşimli oturum açmaya izin vermediğinden, alternatif hizmet hesabı (ASA) için Kullanıcı hesabı yerine bilgisayar hesabı oluşturun. Bu nedenle, bilgisayar hesabı kullanıcı hesabından daha kolay güvenlik ilkelerine sahip olabilir ve ASA kimlik bilgileri için tercih edilen çözümdür.

Bilgisayar hesabı oluşturma hakkında daha fazla bilgi için yeni bilgisayar hesabı oluşturmakonusuna bakın.

Not

Bir bilgisayar hesabı oluşturduğunuzda, parolanın süresi dolmaz. Ancak, parolayı düzenli aralıklarla güncelleştirmenizi öneririz. Yerel Grup Ilkesi bilgisayar hesapları için en yüksek hesap yaşı belirleyebilir ve ağ yöneticileri, geçerli ilkelere uymayan bilgisayar hesaplarını düzenli aralıklarla silecek şekilde zamanlama yapabilir. Bilgisayar hesaplarınızın yerel ilkeye uymadığından emin olmak için, bilgisayar hesaplarının parolasını düzenli olarak güncelleyin. Yerel güvenlik ilkeniz, parolayı değiştirmeniz gerekip gerekmediğini belirler.

Not

Hesabı oluştururken sağladığınız parola aslında aslında kullanılmaz. Bunun yerine, komut dosyası parolayı sıfırlar. Hesabı oluşturduğunuzda, kuruluşunuzun parola gereksinimlerini karşılayan herhangi bir parolayı kullanabilirsiniz.

ASA kimlik bilgisinin adı için özel bir gereklilik yoktur. Adlandırma düzeninizi takip eden herhangi bir ad kullanabilirsiniz. ASA kimlik bilgilerinde özel güvenlik ayrıcalıkları gerekmez. ASA kimlik bilgileri için bir bilgisayar hesabı dağıtıyorsanız, hesabın yalnızca etki alanı bilgisayarları güvenlik grubunun üyesi olması gerektiği anlamına gelir. ASA kimlik bilgileri için bir kullanıcı hesabı dağıtıyorsanız, hesabın yalnızca etki alanı kullanıcıları güvenlik grubunun üyesi olması gerektiği anlamına gelir.

Alternatif hizmet hesabı kimlik bilgisiyle ilişkilendirilecek SPN 'Leri belirleme

Alternatif hizmet hesabını oluşturduktan sonra, ASA kimlik bilgileriyle ilişkilendirilecek Exchange hizmeti asıl adlarını (SPN 'Ler) belirlemelisiniz. SPN değerleri, tek tek sunucular yerine Ağ Yük dengeleyicide kullanılan hizmet adıyla eşleşecek şekilde yapılandırılmalıdır. Exchange SPN listesi yapılandırmanıza bağlı olarak değişiklik gösterebilir, ancak listede en azından aşağıdakiler bulunmalıdır:

  • http Bu SPN 'yi Exchange Web Hizmetleri, çevrimdışı adres defteri yüklemeleri ve otomatik bulma hizmeti için kullanın.
  • exchangeMDB Bu SPN 'YI RPC Istemci erişimi için kullanın.
  • exchangeRFR adres defteri hizmeti için bu SPN 'YI kullanın.
  • exchangeAB Bu SPN 'YI adres defteri hizmeti için kullanın.

Küçük işletmeler için, büyük olasılıkla tek bir Active Directory sitesinden daha büyük olabilir. Örneğin, tek Active Directory siteniz Aşağıdaki diyagrama benzeyebilir.

Tek bir Active Directory sitesi içeren küçük bir işletmenin ekran görüntüsü.

Bu örnekte kullanacağınız SPN 'Leri belirlemek için, önceki çizimdeki iç Outlook istemcileri tarafından kullanılan tam nitelikli etki alanı adlarına (FQDN) bakmamız gerekir. Bu örnekte, aşağıdaki SPN 'Leri ASA kimlik bilgisine dağıtırsınız:

  • http/mail. Corp. contoso. com
  • http/autod. Corp. contoso. com
  • exchangeMDB/Outlook. Corp. contoso. com
  • exchangeRFR/Outlook. Corp. contoso. com
  • exchangeAB/Outlook. Corp. contoso. com

Not

Her yerde Outlook kullanan dış veya Internet tabanlı istemciler Kerberos kimlik doğrulaması kullanmaz. Bu nedenle bu istemcilerin ASA kimlik bilgilerine SPN olarak kullandığı FQDN 'Leri eklemeniz gerekmez.

Siteniz tek bir Active Directory sitesinden büyükse, Load-Balanced Istemci erişim sunucuları Için Kerberos kimlik doğrulamasını yapılandırma konusunda daha fazla örnek görebilirsiniz.

OAB sanal dizinini bir uygulamaya dönüştürme

Çevrimdışı adres defteri (OAB) sanal dizini bir Web uygulaması değil. Bu nedenle, Microsoft Exchange hizmeti ana bilgisayar hizmeti tarafından denetlenmez. Dolayısıyla, ASA kimlik bilgileri, OAB sanal dizinine Kerberos kimlik doğrulaması isteklerinin şifresini çözemez.

OAB sanal dizinini bir IIS Web uygulamasına dönüştürmek için, her CAS üyesinde ConvertOABVDir.ps1 betiğini yürütün. Komut dosyası, OAB sanal dizini için MSExchangeOabAppPool adlı yeni bir uygulama havuzu da oluşturur. Kodu indirmek için, Microsoft Kod Merkezi 'nde ConvertOABDir.ps1 sayfasına gidin.

ASA kimlik bilgilerini CAS üyelerine dağıtma

Exchange Server 2010 SP1, ASA kimlik bilgilerinin dağıtımını etkinleştiren bir komut dosyası içerir. Komut dosyası RollAlternateServiceAccountPassword.ps1 olarak adlandırılır ve komut dosyaları dizininde yer alır.

Kodu kullanarak kimlik bilgilerini ormandaki tüm Istemci erişimi sunucularına ilk kez kurulum için göndermek üzere aşağıdaki adımları izleyin:

  1. Exchange Yönetim Kabuğu 'nda aşağıdaki komutu çalıştırarak:

    .\RollAlternateserviceAccountPassword.ps1 -ToEntireForest -GenerateNewPasswordFor "Your_Domain_Name\Computer_Account_Name$" -Verbose
    
  2. "Exchange-RollAsa" adındaki bir kez bir kez daha Bu komut zamanlanmış görevi, ormandaki tüm Istemci erişimi sunucuları için ASA kimlik bilgilerini yeni, komut dosyası oluşturulmuş bir parolayla güncelleştirecek. Zamanlanan görev oluşturulur ancak komut dosyası çalışmaz. Zamanlanmış görev çalıştırıldığında, komut dosyası katılımsız modda çalışır.

    .\RollAlternateServiceAccountPassword.ps1 -CreateScheduledTask "Exchange-RollAsa" -ToEntireForest -GenerateNewPasswordFor "Your_Domain_Name\Computer_Account_Name$"
    

RollAlternateserviceAccountPassword.ps1 betiğini kullanma hakkında daha fazla bilgi için, RollAlternateserviceAccountPassword.ps1 komut dosyasını kabukta kullanma konusuna bakın.

ASA kimlik bilgilerinin dağıtımını doğrulama

Exchange Yönetim Kabuğu 'nda, Istemci erişimi sunucularındaki ayarları denetlemek için aşağıdaki komutu çalıştırarak: Get-ClientAccessServer -IncludeAlternateServiceAccountCredentialStatus | fl name,*alter*

Bu komutun sonucu şuna benzeyecektir:

Name : CASAAlternateServiceAccountConfiguration : Latest: 8/2/2010 3:48:38 PM, contoso\newSharedServiceAccountName$ Previous: <Not set>Name : CASBAlternateServiceAccountConfiguration : Latest: 8/2/2010 3:48:51 PM, contoso\newSharedServiceAccountName$ Previous: <Not set>

SPN 'yi ASA bilgileriyle ilişkilendirme

SPN 'Leri yapılandırmadan önce, hedef SPN 'Lerin ormanda farklı bir hesapta yapılandırılmadığından emin olun. ASA kimlik bilgileri, bu SPN 'Lerin ilişkili olduğu ormandaki tek hesap olmalıdır. Bir komut istemi açıp Setspn komutunu – q ve – f parametreleriyle çalıştırarak, ormandaki başka bir hesabın kendisiyle ilişkili SPN 'leri doğrulayabilirsiniz. Aşağıdaki örnekte bu komutun nasıl çalıştırılacağı gösterilmektedir. Komut hiçbir şey döndürmelidir. Değer döndürürse, kullanmak istediğiniz SPN ile başka bir hesap zaten ilişkilendirilmiştir.

Not

Windows Server 2008 çalıştıran bilgisayarlarda Setspn komutunu kullanarak yinelenen denetim ormanı geniş parametresini (-f) birlikte kullanabilirsiniz.

Setspn -q -f exchangeMDB/outlook.**domain.domain.domain_root**

Bu komutta, exchangeMDB/Outlook.domain.domain.domain_root , exchangeMDB/Outlook. Corp. contoso. com gibi RPC istemci erişiminin SPN SPN 'si.

Aşağıdaki komut, paylaşılan ASA kimlik bilgilerinde SPN 'Lerin nasıl ayarlanacağını gösterir. Belirttiğiniz her hedef SPN için Setspn komutunu bu sözdizimiyle bir kez çalıştırmanız gerekir.

Setspn -S exchangeMDB/outlook.corp.contoso.com contoso\newSharedServiceAccountName$

SPN 'yi ayarladıktan sonra, aşağıdaki komutu çalıştırarak eklendiğini doğrulayın.

Setspn -L contoso\newSharedServiceAccountName

Kerberos 'u başarıyla yapılandırdıktan ve RollAlternateServiceAccountPasswordl.ps1 betiğini dağıttıktan sonra, istemci bilgisayarların kimlik doğrulamasının başarılı olduğunu doğrulayın.

Microsoft Exchange hizmeti ana bilgisayarı hizmetinin çalıştığını doğrulama

Ortamınızdaki tüm Istemci erişimi sunucularında Exchange Server 2010 SP1 paketi veya sonraki bir sürümünü yüklediğinizden emin olun. Istemci erişim sunucularındaki Microsoft Exchange hizmeti ana bilgisayarı hizmeti, ASA kimlik bilgisini yönetmekten sorumludur. Bu hizmet çalışmıyorsa, Kerberos kimlik doğrulaması çalışmaz. Varsayılan olarak, hizmet bilgisayar başlatıldığında otomatik olarak başlayacak şekilde yapılandırılmıştır. Hizmetin çalıştığını doğrulamak için aşağıdaki adımları izleyin:

  1. CAS üzerinde hizmetler 'i açın. Hizmetler 'i açmak için, Başlat'ı tıklatın, Denetim Masası'Nı tıklatın, Yönetimsel Araçlar'ı çift tıklatın ve sonra da Hizmetler'i çift tıklatın.
  2. Hizmetler listesinde Microsoft Exchange hizmeti ana bilgisayar hizmeti 'ni bulun.
  3. Durum sütununda, durumun başlatıldığını doğrulayın. Hizmet başlatılmamışsa, Microsoft Exchange Service Host hizmeti'ne sağ tıklayın ve ardından Başlat'a tıklayın. Hizmeti otomatik olarak başlayacak şekilde yapılandırmak için, Microsoft Exchange hizmet ana bilgisayarı hizmeti'ne sağ tıklayın, Özellikler'e tıklayın, Başlangıç türü listesinde Otomatik'e tıklayın ve Tamam 'a tıklayın.
    Outlook 'tan kimlik doğrulamasını doğrulama

Outlook 'un Istemci erişimi sunucularına bağlanmak için Kerberos kimlik doğrulamasını kullanmasını onaylamak için şu adımları izleyin:

  1. Outlook 'un doğru yük dengeli Istemci erişim sunucusu dizisini gösterecek şekilde yapılandırıldığını doğrulayın.
  2. E-posta hesabı sunucusu güvenlik ayarlarını, oturum açma ağ güvenliği anlaşma kimlik doğrulamasını kullanacak şekilde yapılandırın. Not istemciyi Kerberos parola kimlik doğrulaması kullanacak şekilde yapılandırabilir, ancak SPN 'Ler şimdiye kadar kaldırılırsa, kimlik doğrulama mekanizmasını yeniden kimlik doğrulaması yapacak şekilde değiştirene kadar istemci bilgisayarlar kimlik doğrulaması yapamaz.
  3. İstemci bilgisayarda Outlook 'un herhangi bir yerinde olmadığından emin olun. Outlook, Kerberos parola kimlik doğrulaması kullanarak kimlik doğrulayamıyorsanız, her yerde Outlook 'a geri dönebilirsiniz, dolayısıyla bu testte Outlook 'un her yerine devre dışı bırakılması gerekir.
  4. Outlook'u yeniden başlatın.
  5. Masaüstü bilgisayarınız Windows 7 çalıştırıyorsa, hangi Kerberos biletlerinin verildiğini ve kullanıldığını görmek için klist.exe çalıştırabilirsiniz. Windows 7 ' yi kullanmıyorsanız, Windows Server 2003 Kaynak Seti 'nden klist.exe edinebilirsiniz.

Ek Kaynaklar

Bu sorunla ve bu konuyla ilgili daha fazla bilgi için aşağıdaki TechNet makalesine bakın:

Istemci erişim sunucusu dizisi veya Load-Balancing çözümü ile Kerberos kullanma

Yük dengeli istemci erişimi sunucularında Kerberos kimlik doğrulamasını kullanma hakkında daha fazla bilgi için aşağıdaki TechNet makalesine bakın:

Load-Balanced Istemci erişim sunucuları için Kerberos kimlik doğrulamasını yapılandırma