• Artikel

Erstellen eines Kerberos-Authentifizierungskontos

 

Letztes Änderungsdatum des Themas: 2012-04-06

Zur erfolgreichen Ausführung der VorgehensweiseSo erstellen Sie ein Kerberos-Konto müssen Sie beim Server oder bei der Domäne mindestens als Mitglied der Gruppe "Domänen-Admins" angemeldet sein. Falls Ihre Active Directory-Domänendienste (AD DS)-Infrastruktur gesperrt oder gesichert ist, kann es sein, dass die Windows PowerShell-Cmdlets, die das Erstellen des Kerberos-Kontos automatisieren, nicht korrekt funktionieren, sodass ein Fehler auftritt. Wenn Sie in einem gesperrten Active Directory arbeiten, befolgen Sie die Vorgehensweise nach dem Thema "So erstellen Sie ein Kerberos-Konto" mit dem Titel So erstellen Sie manuell ein Kerberos-Konto.

Sie können Kerberos-Authentifizierungskonten für jeden Standort oder ein einzelnes Kerberos-Authentifizierungskonto für alle Standorte erstellen. Die Konten werden mithilfe der Cmdlets in der Windows PowerShell erstellt und verwaltet. Dies umfasst u. a. die Festlegung der Konten, die den einzelnen Standorten zugewiesen werden. Im Topologie-Generator und in der Lync Server 2010-Systemsteuerung werden keine Kerberos-Authentifizierungskonten angezeigt. Führen Sie die folgenden Schritte aus, um ein oder mehrere Benutzerkonten für die Kerberos-Authentifizierung zu erstellen.

So erstellen Sie ein Kerberos-Konto

  1. Melden Sie sich als Mitglied der Gruppe "Domänen-Admins" an einem Computer in der Domäne an, auf dem Lync Server 2010 ausgeführt wird oder auf dem die Verwaltungstools installiert sind.

  2. Starten der Lync Server-Verwaltungsshell: Klicken Sie auf Start, zeigen Sie auf Alle Programme und dann auf Microsoft Lync Server 2010, und klicken Sie anschließend auf Lync Server-Verwaltungsshell.

  3. Führen Sie den folgenden Befehl über die Befehlszeile aus:

    New-CsKerberosAccount -UserAccount "Domain\UserAccount" -ContainerDN "CN=Users,DC=DomainName,DC=DomainExtension"

    Beispiel:

    New-CsKerberosAccount -UserAccount "Contoso\KerbAuth" -ContainerDN "CN=Users,DC=contoso,DC=com"

  4. Öffnen Sie Active Directory-Benutzer und -Computer, erweitern Sie den Container Users, und überprüfen Sie, ob sich das Computerobjekt für das Benutzerkonto in diesem Container befindet.

So erstellen Sie manuell ein Kerberos-Konto

  1. In einer gesicherten oder gesperrten Active Directory-Domänendienste (AD DS)-Infrastruktur führen Sie die folgenden Schritte aus.

    warningWarnung:
    Die folgende Vorgehensweise setzt voraus, dass Tools zur Remoteserververwaltung installiert sind oder dass Sie lokal oder remote mit dem installierten Feature AD DS-Tools arbeiten.

  2. Melden Sie sich als Mitglied der Gruppe "Domänen-Admins" am Computer in der Domäne an, in der Lync Server 2010 ausgeführt wird, oder am Computer, auf dem die Verwaltungstools installiert sind.

  3. Klicken Sie auf "Start", klicken Sie auf "Verwaltung", und führen Sie Active Directory-Benutzer und -Computer aus.

  4. Erstellen Sie in Active Directory-Benutzer und -Computer das Benutzerkonto in der entsprechenden Organisationseinheit oder im entsprechenden Benutzercontainer.

  5. Greifen Sie auf die Registerkarte "Sicherheit" des Benutzerkontos zu, indem Sie in Active Directory-Benutzer und -Computer auf Ansicht und dann auf Erweiterte Features klicken. Neben "Erweiterte Features" sollte ein Häkchen angezeigt werden, das die Auswahl kennzeichnet.

  6. Klicken Sie in der Organisationseinheit oder im Benutzercontainer mit der rechten Maustaste auf das erstellte Benutzerkonto, und wählen Sie Eigenschaften aus. Wählen Sie die Registerkarte Sicherheit aus. Klicken Sie auf der Registerkarte "Sicherheit" auf Erweitert.

  7. Klicken Sie auf der Registerkarte Erweiterte Sicherheitseinstellungen für das ausgewählte Benutzerkonto auf Hinzufügen. Geben Sie im Dialogfeld Benutzer, Computer, Dienstkonto oder Gruppe im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen RTCUniversalServerAdmins ein. Klicken Sie auf Namen überprüfen. Klicken Sie auf OK, wenn die Überprüfung erfolgreich war.

  8. Wählen Sie im Dialogfeld Berechtigungseintrag des Benutzerkontos die Registerkarte Objekt aus. Klicken Sie auf die Dropdownliste Übernehmen für, und wählen Sie Nur dieses Objekt aus.

  9. Wählen Sie im Auswahlbereich Berechtigungen die folgenden Berechtigungen aus:

    Berechtigung Zulassen oder Verweigern Vererbung Übernehmen für

    Kennwort ändern

    Zulassen

    Nicht geerbt

    Nur dieses Objekt

    Kennwort zurücksetzen

    Zulassen

    Nicht geerbt

    Nur dieses Objekt

    Leseberechtigungen

    Zulassen

    Nicht geerbt

    Nur dieses Objekt

    servicePrincipalName schreiben

    Zulassen

    Nicht geerbt

    Nur dieses Objekt

  10. Klicken Sie dreimal auf OK, um die Dialogfelder zu schließen. Schließen und beenden Sie Active Directory-Benutzer und -Computer.

  11. Klicken Sie auf "Start", auf "Verwaltung", und führen Sie dann "ADSI-Bearbeitung" aus.

  12. Klicken Sie mit der rechten Maustaste auf ADSI-Bearbeitung, wählen Sie Verbinden mit aus, und wählen Sie dann Bekannten Namenskontext auswählen aus. Wählen Sie in der Liste den Eintrag Standardnamenskontext aus. Klicken Sie auf "OK".

  13. Klicken Sie in der Organisationseinheit oder im Container, in dem sich das Benutzerobjekt befindet, mit der rechten Maustaste auf das Benutzerobjekt, und wählen Sie Eigenschaften aus.

  14. Suchen Sie auf der Registerkarte Attribut-Editor nach dem Attribut userAccountControl, und klicken Sie dann auf Bearbeiten.

  15. Im Attribut-Editor für Ganzzahlen wird der ganzzahlige Wert von "userAccountControl" angezeigt. Ändern Sie den Wert in "69664". Mit dem angezeigten ganzzahligen Wert werden die Kennzeichen für PASSWD_NOTREQD, WORKSTATION_TRUST_ACCOUNT und DON’T_EXPIRE_PASSWD gesetzt.

  16. Klicken Sie auf OK, um die Attributänderung zu übernehmen. Schließen Sie "ADSI-Bearbeitung".