New-CsKerberosAccountAssignment
Letztes Änderungsdatum des Themas: 2012-04-23
Weist einem Standort ein Kerberos-Konto zu, das für die Authentifizierung bei den Internetinformationsdiensten (IIS) verwendet wird.
Syntax
New-CsKerberosAccountAssignment -Identity <XdsIdentity> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-InMemory <SwitchParameter>] [-UserAccount <String>] [-WhatIf [<SwitchParameter>]]
Detaillierte Beschreibung
In Microsoft Office Communications Server 2007 und Microsoft Office Communications Server 2007 R2 wurde IIS unter einem Standardbenutzerkonto ausgeführt. Dies konnte potenziell Probleme mit sich bringen: Bei Ablauf des zugehörigen Kennworts gingen möglicherweise die Webdienste verloren, und dieses Problem war häufig nur schwer zu diagnostizieren. Um die durch abgelaufene Kennwörter verursachten Probleme zu vermeiden, können Sie mit Microsoft Lync Server 2010 ein Computerkonto (für einen Computer, den es eigentlich nicht gibt) erstellen, das als Authentifizierungsprinzipal für alle Computer an einem Standort fungiert, auf denen IIS ausgeführt wird. Da diese Konten das Kerberos-Authentifizierungsprotokoll verwenden, werden sie als Kerberos-Konten und der neue Authentifizierungsprozess als Kerberos-Webauthentifizierung bezeichnet. Auf diese Weise können Sie alle IIS-Server über ein einziges Konto verwalten.
Damit Sie Ihre Server unter diesem neuen Authentifizierungsprinzipal ausführen können, müssen Sie zunächst mit dem Cmdlet New-CsKerberosAccount ein Computerkonto erstellen. Dieses Konto wird dann einem oder mehreren Standorten zugewiesen. Nach der Zuweisung wird die Zuordnung zwischen dem Konto und dem Lync Server 2010-Standort durch Ausführen des Cmdlets Enable-CsTopology aktiviert. Damit wird unter anderem der erforderliche Dienstprinzipalname (Service Principal Name, SPN) in Active Directory-Domänendienste (AD DS) erstellt. Mithilfe von SPNs können Clientanwendungen einen bestimmten Dienst finden.
Mit dem Cmdlet New-CsKerberosAccountAssignment können Sie einem Standort, der derzeit noch keinem Konto zugeordnet ist, ein Kerberos-Konto zuweisen. Um einen Standort zu ändern, der bereits einem Kerberos-Konto zugewiesen ist, verwenden Sie das Cmdlet Set-CsKerberosAccountAssignment.
Dieses Cmdlet kann von folgenden Benutzern ausgeführt werden: Standardmäßig sind Mitglieder der folgenden Gruppen autorisiert, das Cmdlet New-CsKerberosAccountAssignment lokal auszuführen: RTCUniversalServerAdmins. Geben Sie den folgenden Befehl an der Windows PowerShell-Eingabeaufforderung ein, um eine Liste aller rollenbasierten Zugriffssteuerungsrollen zurückzugeben, die diesem Cmdlet zugewiesen wurden (einschließlich der benutzerdefinierten rollenbasierten Zugriffssteuerungsrollen, die Sie selbst erstellt haben):
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "New-CsKerberosAccountAssignment"}
Parameter
| Parameter | Erforderlich | Typ | Beschreibung |
|---|---|---|---|
Identity |
Erforderlich |
Zeichenfolge |
Eindeutige ID des Standorts, dem das Kerberos-Konto zugewiesen werden soll. (Dies ist der Identitätswert des Standorts, nicht des Computerkontos.) Beispiel: -Identity "site:Redmond". |
UserAccount |
Erforderlich |
Zeichenfolge |
Kontoname für das zuzuweisende Konto, angegeben im Format "Domänenname\Benutzername". Beispiel: -UserAccount "litwareinc\kerberostest". Der Benutzernamenteil des Kontos (kerberostest) ist ein NETBIOS-Name mit maximal 15 Zeichen. Beachten Sie, dass es sich trotz des Namens "UserAccount" bei diesem Konto nicht um ein Benutzerkonto, sondern um ein Computerkonto handelt. |
Force |
Optional |
Switch-Parameter |
Unterdrückt die Anzeige von Meldungen bei nicht schwerwiegenden Fehlern, die beim Ausführen des Befehls auftreten können. |
InMemory |
Optional |
Switch-Parameter |
Erstellt einen Objektverweis ohne einen Commit für das Objekt auszuführen und die Änderungen dadurch dauerhaft zu speichern. Wenn Sie die Ausgabe des mit diesem Parameter aufgerufenen Cmdlet einer Variablen zuweisen, können Sie die Eigenschaften des Objektverweises ändern und anschließend einen Commit für diese Änderungen ausführen, indem Sie das entsprechende Cmdlet vom Typ "Set-" aufrufen. |
WhatIf |
Optional |
Switch-Parameter |
Beschreibt die Auswirkungen einer Ausführung des Befehls, ohne den Befehl tatsächlich auszuführen. |
Confirm |
Optional |
Fordert Sie vor der Ausführung des Befehls zum Bestätigen auf. |
Eingabetypen
Keine. New-CsKerberosAccountAssignment akzeptiert keine weitergeleitete Eingabe.
Rückgabetypen
Mit New-CsKerberosAccountAssignment werden neue Instanzen des Objekts "Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment" erstellt.
Beispiel
-------------------------- Beispiel 1 --------------------------
New-CsKerberosAccountAssignment -UserAccount "litwareinc\kerberostest" -Identity "site:Redmond"
Enable-CsTopology
Die Befehle in Beispiel 1 weisen dem Standort "Redmond" ein Kerberos-Konto (litwareinc\kerberostest) zu und rufen anschließend Enable-CsTopology auf, um die Zuweisung zu aktivieren. Hierzu ordnet der erste Befehl im Beispiel mithilfe von New-CsKerberosAccountAssignment das Konto "litwareinc\kerberostest" dem Standort "Redmond" zu. Der zweite Befehl ruft anschließend Enable-CsTopology auf, um den erforderlichen Dienstprinzipalnamen in AD DS zu erstellen und die neue Zuweisung zu aktivieren.
Siehe auch
Weitere Ressourcen
Get-CsKerberosAccountAssignment
New-CsKerberosAccount
Remove-CsKerberosAccountAssignment
Set-CsKerberosAccountAssignment