Set-CsKerberosAccountAssignment
Letztes Änderungsdatum des Themas: 2012-04-23
Ordnet ein Kerberos-Konto, das zur Authentifizierung bei den Internetinformationsdiensten (IIS) verwendet wird, einem Standort zu.
Syntax
Set-CsKerberosAccountAssignment [-Identity <XdsIdentity>] [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-UserAccount <String>] [-WhatIf [<SwitchParameter>]]
Set-CsKerberosAccountAssignment [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Instance <PSObject>] [-UserAccount <String>] [-WhatIf [<SwitchParameter>]]
Detaillierte Beschreibung
In Microsoft Office Communications Server 2007 und Microsoft Office Communications Server 2007 R2 wurde IIS unter einem Standardbenutzerkonto ausgeführt. Dies konnte potenziell Probleme mit sich bringen: Bei Ablauf des zugehörigen Kennworts gingen möglicherweise die Webdienste verloren, und dieses Problem war häufig nur schwer zu diagnostizieren. Um die durch abgelaufene Kennwörter verursachten Probleme zu vermeiden, können Sie mit Microsoft Lync Server 2010 ein Computerkonto (für einen Computer, den es eigentlich nicht gibt) erstellen, das als Authentifizierungsprinzipal für alle Computer an einem Standort fungiert, auf denen IIS ausgeführt wird. Da diese Konten das Kerberos-Authentifizierungsprotokoll verwenden, werden sie als Kerberos-Konten und der neue Authentifizierungsprozess als Kerberos-Webauthentifizierung bezeichnet. Auf diese Weise können Sie alle IIS-Server über ein einziges Konto verwalten.
Damit Sie Ihre Server unter diesem neuen Authentifizierungsprinzipal ausführen können, müssen Sie zunächst mit dem Cmdlet New-CsKerberosAccount ein Computerkonto erstellen. Dieses Konto wird dann einem oder mehreren Standorten zugewiesen. Nach der Zuweisung wird die Zuordnung zwischen dem Konto und dem Lync Server 2010-Standort durch Ausführen des Cmdlets Enable-CsTopology aktiviert. Damit wird unter anderem der erforderliche Dienstprinzipalname (Service Principal Name, SPN) in Active Directory-Domänendienste (AD DS) erstellt. Mithilfe von SPNs können Clientanwendungen einen bestimmten Dienst finden.
Mit dem Cmdlet Set-CsKerberosAccountAssignment können Sie das einem bestimmten Standort zugewiesene Kerberos-Konto ändern. Das Cmdlet wird für Standorte verwendet, die bereits einem Konto zugeordnet sind. Verwenden Sie stattdessen das Cmdlet New-CsKerberosAccountAssignment, um einem Standort ohne zugeordnetem Kerberos-Konto ein solches zuzuweisen.
Dieses Cmdlet kann von folgenden Benutzern ausgeführt werden: Standardmäßig dürfen Mitglieder der folgenden Gruppen das Cmdlet Set-CsKerberosAccountAssignment lokal ausführen: RTCUniversalServerAdmins. Geben Sie den folgenden Befehl an der Windows PowerShell-Eingabeaufforderung ein, um eine Liste aller rollenbasierten Zugriffssteuerungsrollen zurückzugeben, die diesem Cmdlet zugewiesen wurden (einschließlich der benutzerdefinierten rollenbasierten Zugriffssteuerungsrollen, die Sie selbst erstellt haben):
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Set-CsKerberosAccountAssignment"}
Parameter
| Parameter | Erforderlich | Typ | Beschreibung |
|---|---|---|---|
Identity |
Erforderlich |
Zeichenfolge |
Eindeutige ID des Standorts, dem das Kerberos-Konto zugewiesen wurde. (Dies ist der Identitätswert des Standorts, nicht des Computerkontos.) Beispiel: -Identity "site:Redmond". |
UserAccount |
Erforderlich |
Zeichenfolge |
Kontoname für das zuzuweisende Konto, angegeben im Format "Domänenname\Benutzername". Beispiel: -UserAccount "litwareinc\kerberostest". Der Benutzernamenteil des Kontos (kerberostest) ist ein NETBIOS-Name mit maximal 15 Zeichen. Beachten Sie, dass es sich trotz des Namens "UserAccount" bei diesem Konto nicht um ein Benutzerkonto, sondern um ein Computerkonto handelt. |
Instance |
Optional |
KerberosAccountAssignment-Objekt |
Ermöglicht Ihnen, einen Verweis auf ein Objekt an das Cmdlet zu übergeben, statt individuelle Parameterwerte festzulegen. |
Force |
Optional |
Switch-Parameter |
Unterdrückt die Anzeige von Meldungen bei nicht schwerwiegenden Fehlern, die beim Ausführen des Befehls auftreten können. |
WhatIf |
Optional |
Switch-Parameter |
Beschreibt die Auswirkungen einer Ausführung des Befehls, ohne den Befehl tatsächlich auszuführen. |
Confirm |
Optional |
Switch-Parameter |
Fordert Sie vor der Ausführung des Befehls zum Bestätigen auf. |
Eingabetypen
Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment-Objekt. Das Cmdlet Set-CsKerberosAccountAssignment akzeptiert weitergeleitete Instanzen des Objekts für die Kerberos-Kontozuweisung.
Rückgabetypen
Set-CsKerberosAccountAssignment gibt keine Objekte oder Werte zurück. Stattdessen werden mit dem Cmdlet vorhandene Instanzen des Objekts "Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment" geändert.
Beispiel
-------------------------- Beispiel 1 --------------------------
Set-CsKerberosAccountAssignment -UserAccount "litwareinc\keberostest" -Identity "site:Redmond"
Enable-CsTopology
Die Befehle in Beispiel 1 ordnen dem Standort "Redmond" ein vorhandenes Kerberos-Konto (litwareinc\keberostest) zu und rufen anschließend Enable-CsTopology auf, um die neue Zuordnung zu aktivieren. Hierzu verwendet der erste Befehl Set-CsKerberosAccountAssignment, um das Konto "litwareinc\keberostest" dem Standort "Redmond" zuzuordnen. Der zweite Befehl ruft dann Enable-CsTopology auf, um den erforderlichen Dienstprinzipalnamen in Active Directory zu erstellen und die geänderte Kontozuweisung zu aktivieren.
Siehe auch
Weitere Ressourcen
Get-CsKerberosAccountAssignment
New-CsKerberosAccount
New-CsKerberosAccountAssignment
Remove-CsKerberosAccountAssignment