Verwenden von Kerberos mit einem Clientzugriffsserver-Array oder einer Lastenausgleichslösung

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2016-11-28

Bei einer Microsoft Exchange Server 2010-Bereitstellung mit mehreren Clientzugriffsservern an einem Active Directory-Standort erfordert die Topologie häufig ein Clientzugriffsserver-Array und eine Lastenausgleichslösung, um den Datenverkehr auf alle Clientzugriffsserver am Standort zu verteilen. Weitere Informationen zu Clientzugriffsserver-Arrays finden Sie unter Grundlegendes zum RPC-Clientzugriff. Weitere Informationen zum Lastenausgleich finden Sie unter Grundlegendes zum Lastenausgleich in Exchange 2010.

Verwenden der Kerberos-Authentifizierung

Normalerweise verwenden E-Mail-Clients auf der Domäne beigetretenen Computern in Ihrem Netzwerk die NTLM-Authentifizierung. In einigen Fällen müssen Sie möglicherweise die Kerberos-Authentifizierung verwenden. Dies sollte jedoch nur bei Bedarf erfolgen, da Kerberos zusätzliche Anforderungen an Setup und Implementierung stellt. Weitere Informationen zu Kerberos finden Sie unter Kerberos-Erweiterungen und Microsoft Kerberos (möglicherweise in englischer Sprache).

Hinweis

Kerberos kann nur für der Domäne beigetretene Computer innerhalb des Netzwerks verwendet werden. Dies beinhaltet Clients, die über ein VPN verbunden sind. Für Verbindungen außerhalb des Netzwerks, z. B. Outlook Anywhere, wird Kerberos nicht unterstützt.

Aus folgenden Gründen kann die Verwendung der Kerberos-Authentifizierung für Ihre Exchange 2010-Organisation erforderlich sein:

  • Die Kerberos-Authentifizierung ist für die lokale Sicherheitsrichtlinie erforderlich.

  • Sie haben Probleme bzw. rechnen mit Problemen bei der NTLM-Skalierbarkeit, z. B. wenn direkte MAPI-Verbindungen zum RPC-Clientzugriffsdienst zu periodisch auftretenden NTLM-Fehlern führen.

    Bei großen Kundenbereitstellungen kann NTLM Engpässe auf Clientzugriffsservern verursachen, die zu sporadischen Authentifizierungsfehlern führen können. Dienste, die die NTLM-Authentifizierung verwenden, sind anfälliger für Active Directory-Wartezeitprobleme. Diese führen zu Authentifizierungsfehlern, wenn es zu einer Zunahme von Anforderungen an die Clientzugriffsserver kommt.

Zum Konfigurieren der Kerberos-Authentifizierung müssen Sie mit Active Directory und dem Setup von Clientzugriffsserver-Arrays vertraut sein. Darüber hinaus müssen Sie über ausreichende Kenntnisse zu Kerberos verfügen.

Probleme mit Kerberos und Clientzugriffsservern mit Lastenausgleich

Verfügen Clientzugriffsserver über Lastenausgleich oder sind Teil eines Clientzugriffsserver-Arrays, können mit der NTLM-Authentifizierung konfigurierte Clients ohne Probleme eine Verbindung herstellen. Die Verwendung von Kerberos erfordert jedoch ein zusätzliches Setup und war vor Exchange 2010 Service Pack 1 (SP1) problematisch.

In einer Topologie mit Lastenausgleich oder Clientzugriffsarray stellt ein Client eine Verbindung zu einem Server nicht über dessen Namen, sondern vielmehr über den Namen des Arrays oder Lastenausgleichs her. Dies verhindert die Kerberos-Authentifizierung, wenn Sie keine zusätzlichen Konfigurationsschritte ausführen.

Wenn Sie Kerberos verwenden, müssen Sie als ersten Konfigurationsschritt ein Array mit bestimmten Dienstprinzipalnamen für die Clientzugriffsdienste einrichten. Sobald das Array eingerichtet ist, versuchen E-Mail-Clients, die für die Negotiate-Authentifizierung konfiguriert sind, die Kerberos-Authentifizierung durchzuführen. Sie rufen im Rahmen des Arrays Kerberos-Diensttickets ab, um diese dem Clientzugriffsserver vorzulegen. Im Allgemeinen werden Exchange-Dienste auf Clientzugriffsservern jedoch im Kontext des lokalen System- oder Netzwerkdienstkontos ausgeführt. Sie versuchen, die Kerberos-Diensttickets in diesem Kontext und nicht im Kontext des Arrays zu authentifizieren. Dies führt zu einem Kontextkonflikt und damit zu einem Kerberos-Authentifizierungsfehler. Aufgrund der erweiterten Sicherheit von Kerberos kehren für die Negotiate-Authentifizierung konfigurierte Clients nicht einfach zur NTLM-Authentifizierung zurück. Stattdessen verwenden sie entweder standardmäßig Outlook Anywhere (falls verfügbar), oder sie können Authentifizierung und Verbindung nicht durchführen.

Für eine erfolgreiche Kerberos-Authentifizierung muss das Mitglied des Clientzugriffsserver-Arrays alternative Anmeldeinformationen verwenden, die von allen Mitgliedern des Arrays gemeinsam verwendet werden. Die Anmeldeinformationen müssen auch den arrayspezifischen Dienstprinzipalnamen zugeordnet sein. Bei diesen freigegebenen Anmeldeinformationen kann es sich um ein Computerkonto oder ein Dienstkonto handeln, das allen Clientzugriffsservern im Array bekannt sein muss. Im Allgemeinen ist in Organisationen ein regelmäßiges Ändern von Kontokennwörtern vorgeschrieben. Dies erfordert wiederum die fortlaufende Verteilung und Aktualisierung der freigegebenen Anmeldeinformationen an alle Clientzugriffsserver. Vor Exchange 2010 SP1 gab es weder in Windows Server 2008 noch in Microsoft Exchange eine Lösung für dieses Problem.

Hinweis

Auch wenn es in diesem Thema um Netzwerklastenausgleich und Clientzugriffsserver-Arrays geht, ist jede Netzwerkinfrastruktur oder Konfiguration, die nicht zu einer direkten Verbindung des Clients mit einem bestimmten Clientzugriffsserver führt, mit denselben Authentifizierungsproblemen konfrontiert. Weitere Beispiele für diese Konfiguration sind Clientzugriffsserver mit DNS-Roundrobin-Lastenausgleich und Clientzugriffsserver mit benutzerdefinierten DNS-Datensätzen. Die folgende Lösung soll die Verteilung der Anmeldeinformationen des alternativen Dienstkontos an Mitglieder eines Clientzugriffsserver-Arrays oder an Clientzugriffsserver hinter einem Netzwerklastenausgleich vereinfachen. Sie ist nicht für die Zusammenarbeit mit Konfigurationen konzipiert, in denen Clientzugriffsserver nicht in einem Clientzugriffsarray konfiguriert sind.

Die Lösung

Zur Behebung dieses Problems muss es freigegebene Anmeldeinformationen geben, die von allen Clientzugriffsservern im Array bzw. hinter dem Lastenausgleich verwendet werden können. Die Anmeldeinformationen werden als alternative Dienstkontoanmeldeinformationen (ASA-Anmeldeinformationen) bezeichnet. Es kann sich dabei um ein Computer- oder ein Benutzerdienstkonto handeln. Für die Verteilung dieser alternativen Dienstkontoanmeldeinformationen an alle Clientzugriffsserver wurde in Exchange 2010 SP1 eine Dreifachlösung implementiert.

Der Clientzugriffsserver-Diensthost wurde erweitert, um freigegebene Anmeldeinformationen für die Kerberos-Authentifizierung zu verwenden. Diese Diensthosterweiterung überwacht den lokalen Computer. Bei Hinzufügen oder Entfernen von Anmeldeinformationen werden das Kerberos-Authentifizierungspaket auf dem lokalen System und der Netzwerkdienstkontext aktualisiert. Sobald Anmeldeinformationen dem Authentifizierungspaket hinzugefügt wurden, können alle Clientzugriffsdienste diese für die Kerberos-Authentifizierung verwenden. Der Clientzugriffsserver kann nicht nur die freigegebenen Anmeldeinformationen verwenden, sondern auch direkt adressierte Dienstanforderungen authentifizieren. Diese als Servicelet bekannte Erweiterung wird standardmäßig ausgeführt und erfordert keine Konfiguration oder sonstige auszuführende Aktion.

Die freigegebenen Anmeldeinformationen und das Kennwort können über die Exchange-Verwaltungsshell abgerufen und festgelegt werden. Dadurch lassen sich die Anmeldeinformationen von einem Remotecomputer aus festlegen. Die Anmeldeinformationen werden festgelegt, indem sie zur Verwendung durch den Diensthost in der Registrierung des Zielcomputers gespeichert werden. Sie legen die Anmeldeinformationen mithilfe des Cmdlets Set-ClientAccessServer und des neuen Parameters AlternateServiceAccountCredential fest. Nach dem Festlegen der freigegebenen Anmeldeinformationen und des Kennworts können Clientzugriffsdienste mit den freigegebenen Anmeldeinformationen die Kerberos-Authentifizierung für mit dem Intranet verbundene Clients durchführen. Weitere Informationen zum Cmdlet Set-ClientAccessServer finden Sie unter Set-ClientAccessServer.

Ein Verwaltungsskript soll helfen, die Verteilung der freigegebenen Anmeldeinformationen an alle im Skript angegebenen Clientzugriffsserver zu automatisieren. Dieses Skript wird für die Verwendung und Verwaltung freigegebener Anmeldeinformationen für die Kerberos-Authentifizierung von Clientzugriffsserver-Arrays empfohlen. Das Skript bietet eine automatisierte Methode für die Verwendung des Cmdlets Set-ClientAccessServer zur Vereinfachung der folgenden Aufgaben:

  • Erstes Setup   Die ASA-Anmeldeinformationen werden auf allen Clientzugriffsservern in einem Array oder einer Gesamtstruktur festgelegt.

  • Kennwortrollover   Ein neues Kennwort für die ASA-Anmeldeinformationen wird generiert und zusätzlich zum Aktualisieren von Active Directory an alle Clientzugriffsserver bereitgestellt.

  • Hinzufügen von einem oder mehreren Computern zu einem Clientzugriffsserver-Array   Die ASA-Anmeldeinformationen werden von einem vorhandenen Server kopiert und an andere Server verteilt, damit diese die Kerberos-Authentifizierung mit den aktuellen Anmeldeinformationen und dem aktuellen Kennwort durchführen können.

  • Fortlaufende Wartung   Ein geplanter Task wird erstellt, um das Kennwort regelmäßig mittels einer unbeaufsichtigten Methode bereitzustellen.

Weitere Informationen

Weitere Informationen zum Konfigurieren der Kerberos-Authentifizierung für Clientzugriffsserver mit Lastenausgleich finden Sie unter Konfigurieren der Kerberos-Authentifizierung für Clientzugriffsserver mit Lastenausgleich.

Weitere Informationen zum Skript "RollAlternateServiceAccountCredential.ps1" finden Sie unter Verwenden des Skripts "RollAlternateserviceAccountCredential.ps1" in der Shell.

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.