Compartir a través de

Uso de Kerberos con una matriz de servidor de acceso de cliente o una solución de equilibrio de carga

  • Artículo

 

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Última modificación del tema: 2016-11-28

Para las implementaciones de MicrosoftExchange Server 2010 que tienen más de un servidor Acceso de cliente en un sitio de Active Directory, la topología requerirá, a menudo, una matriz de servidor Acceso de cliente y una solución de equilibrio de carga para distribuir el tráfico entre todos los servidores Acceso de cliente en el sitio. Para obtener más información sobre la matriz de servidores de acceso de cliente, consulte Descripción del acceso de clientes RPC. Para obtener más información acerca del equilibrio de carga, consulte Descripción del equilibrio de carga en Exchange 2010.

Uso de la autenticación Kerberos

Normalmente, los clientes de correo en equipos unidos a un dominio dentro de la red usan la autenticación NTLM. En algunas circunstancias, es posible que deba usar la autenticación Kerberos. Esto solo debe realizarse en caso de ser requerido ya que Kerberos presenta desafíos adicionales en la instalación e implementación. Para obtener más información acerca de Kerberos, consulte Mejoras de Kerberos y Microsoft Kerberos.

Nota

Kerberos solo puede usarse para los equipos unidos a un dominio dentro de su red. Esto incluye a los clientes conectados a través de una VPN. Kerberos no es compatible con las conexiones fuera de la red, como por ejemplo, Outlook en cualquier lugar.

Es posible que deba usar la autenticación Kerberos para su organización de Exchange 2010 debido a las siguientes razones:

  • La autenticación Kerberos es necesaria para su directiva de seguridad local.

  • Usted encuentra o se anticipa a problemas de escalabilidad de NTLM, por ejemplo, cuando la conectividad directa MAPI para el servicio Acceso de cliente de RPC provoca errores de NTLM intermitentes.

    En implementaciones de clientes a gran escala, NTLM puede provocar cuellos de botella en servidores Acceso de cliente que pueden producir errores de autenticación esporádicos. Los servicios que usan la autenticación NTLM son más sensibles a los problemas de latencia de Active Directory. Esto lleva a errores de autenticación cuando se encuentran aumentos en la velocidad de las solicitudes del servidor Acceso de cliente.

Para configurar la autenticación Kerberos, debe familiarizarse con Active Directory y la instalación de las matrices del servidor Acceso de cliente. Y debe tener un conocimiento práctico acerca de Kerberos.

Problemas con Kerberos y servidores Acceso de cliente con equilibrio de carga

Cuando los servidores Acceso de cliente tiene equilibrio de carga o forman parte de la matriz del servidor Acceso de cliente, los clientes configurados con la autenticación NTLM se conectarán sin problema. Sin embargo, el uso de Kerberos requiere una instalación adicional y ya era problemático antes de Exchange 2010 Service Pack 1 (SP1).

En una topología con un equilibrador de carga o una matriz de Acceso de cliente, un cliente no se conecta a un servidor individual por el nombre sino por el nombre de la matriz o del equilibrador de carga. Esto impide la autenticación Kerberos a menos que realice pasos de configuración adicionales.

Cuando usa Kerberos, el primer paso de configuración es establecer una matriz de Nombres principales de servicio (SPN) para los servicios de acceso de cliente. Apenas se configure la matriz, los clientes de correo electrónico que están configurados para usar la autenticación Negotiate tratarán de realizar la autenticación Kerberos. Obtendrán vales de servicio de Kerberos en el contexto de la matriz y presentarán esos vales al servidor Acceso de cliente. Sin embargo, en cualquier servidor Acceso de cliente en particular, los servicios de Exchange que se ejecutan en el contexto del sistema local o de la cuenta del servicio de red intentarán autenticar los vales de servicio de Kerberos en esos contextos más que en el contexto de la matriz. Esto provoca un error de coincidencia de contexto y produce un error de autenticación Kerberos. Debido a la seguridad mejorada de Kerberos, los clientes configurados para realizar la autenticación Negotiate no volverán a la autenticación NTLM pero usarán, de manera predeterminada, Outlook en cualquier lugar, en caso de que esté disponible, o no podrán autenticarse y conectarse.

Para que la autenticación Kerberos se realice correctamente, el miembro de la matriz del servidor Acceso de cliente debe usar una credencial alternativa que es de uso compartido para todos los miembros de la matriz. La credencial también debe estar asociada con los SPN específicos de la matriz. Esta credencial de uso compartido puede ser una cuenta de equipo o una cuenta de servicio y todos los servidores Acceso de cliente dentro de la matriz deben conocerla. Normalmente, las organizaciones requieren que las contraseñas de cuentas se cambian periódicamente. Esto exige una tarea continua de distribuir y actualizar esta credencial de uso compartido en todos los servidores Acceso de cliente. Antes de Exchange 2010 SP1, ni Windows Server 2008 ni Microsoft Exchange tenían una solución para este problema.

Nota

A pesar de que esta discusión hace referencia a un equilibrador de carga de red y una matriz del servidor Acceso de cliente, cualquier infraestructura o configuración de red que no provoque que el cliente se conecte directamente a un servidor Acceso de cliente tendrá estos mismos problemas de autenticación. Otros ejemplos de esta configuración incluyen los servidores Acceso de cliente con equilibrio de carga de DNS round robin y los servidores Acceso de cliente con registros DNS personalizados. La solución siguiente está diseñada para simplificar la distribución de la credencial de la cuenta de servicio alternativo a los miembro de una matriz de servidores Acceso de cliente detrás de un equilibrador de carga de red. No está diseñado para que funcione con configuraciones en donde los servidores Acceso de cliente no estén configurados en una matriz de Acceso de cliente.

La solución

Para resolver este problema, debe haber una credencial de uso compartido que puedan usar todos los servidores Acceso de cliente en la matriz o detrás del equilibrador de cargas. Esta credencial se conoce como una credencial de cuenta de servicio alternativa (credencial ASA) y puede ser tanto una cuenta de servicio de usuario como de equipo. Para distribuir esta credencial de cuenta de servicio alternativo a todos los servidores Acceso de cliente, se ha implementado una solución de tres etapas en Exchange 2010 SP1.

El host de servicio del servidor Acceso de cliente se ha extendido para usar una credencial de uso compartido para la autenticación Kerberos. Esta extensión del host de servicio supervisa el equipo local. Cuando se agregan o quitan credenciales, se actualiza el paquete de autenticación Kerberos en el sistema local y el contexto de servicio de red. Apenas se agrega una credencial al paquete de autenticación, todos los servicio de acceso de cliente pueden usarla para la autenticación Kerberos. Además de usar la credencial de uso compartido, el servidor Acceso de cliente también podrá autenticar solicitudes de servicio dirigidas directamente. Esta extensión, conocida como servicelet, se ejecuta de manera predeterminada y no requiere ninguna configuración ni acción para ejecutarse.

La credencial y contraseña de uso compartido se puede obtener y establecer mediante el Shell de administración de Exchange. Esto permite que la credencial se establezca desde un equipo remoto. La credencial se establece al almacenar la credencial en el registro del equipo de destino para consumo del host de servicio. establezca la credencial mediante el cmdlet Set-ClientAccessServer con el parámetro nuevo AlternateServiceAccountCredential. Una vez que se estableció la contraseña de la credencial de uso compartido, la credencial de uso compartido permite que los servicios Acceso de cliente realicen la autenticación Kerberos para clientes conectados a Intranet. Para obtener más información acerca del cmdlet Set-ClientAccessServer, consulte Set-ClientAccessServer.

Se ha creado un script de administración para ayudar a automatizar la distribución de la credencial de uso compartido a todos los servidores Acceso de cliente especificados dentro del ámbito del script. Este script es la manera recomendada de usar y mantener una credencial de uso compartido para la autenticación Kerberos de la matriz del servidor Acceso de cliente. Este script proporciona una manera automatizada de usar el cmdlet Set-ClientAccessServer para facilitar las siguientes tareas:

  • Configuración inicial   Se configura la credencial ASA en todos los servidores Acceso de cliente dentro de una matriz o un bosque.

  • Sustitución de contraseña   Además de actualizar Active Directory, se genera y se extiende una contraseña nueva para la credencial ASA a todos los servidores Acceso de cliente.

  • Agregar uno o más equipos a una matriz del servidor Acceso de cliente   Se copia la credencial ASA desde un servidor existente y se distribuye a otros servidores para que estos puedan realizar la autenticación Kerberos con la credencial y la contraseña actual.

  • Mantenimiento en curso   Se crea una tarea programada para desplazar la contraseña regularmente mediante el uso de un método asistido.

Para obtener más información

Para obtener más información sobre cómo configurar la autenticación Kerberos para los servidores de acceso de cliente con equilibrio de carga, consulte Configurar la autenticación de Kerberos para servidores de acceso de cliente con equilibrio de carga.

Para obtener más información acerca del script RollAlternateServiceAccountCredential.ps1, consulte Uso del script RollAlternateserviceAccountCredential.ps1 en el Shell.

 © 2010 Microsoft Corporation. Reservados todos los derechos.