Remove-CsKerberosAccountAssignment
Letztes Änderungsdatum des Themas: 2012-03-25
Entfernt eine oder mehrere Kerberos-Kontozuweisungen.
Syntax
Remove-CsKerberosAccountAssignment -Identity <XdsIdentity> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
Detaillierte Beschreibung
In Microsoft Office Communications Server 2007 und Microsoft Office Communications Server 2007 R2 wurde IIS unter einem Standardbenutzerkonto ausgeführt. Dies konnte potenziell Probleme mit sich bringen: Bei Ablauf des zugehörigen Kennworts gingen möglicherweise die Webdienste verloren, und dieses Problem war häufig nur schwer zu diagnostizieren. Um die durch abgelaufene Kennwörter verursachten Probleme zu vermeiden, können Sie mit Microsoft Lync Server 2010 ein Computerkonto (für einen Computer, den es eigentlich nicht gibt) erstellen, das als Authentifizierungsprinzipal für alle Computer an einem Standort fungiert, auf denen IIS ausgeführt wird. Da diese Konten das Kerberos-Authentifizierungsprotokoll verwenden, werden sie als Kerberos-Konten und der neue Authentifizierungsprozess als Kerberos-Webauthentifizierung bezeichnet. Auf diese Weise können Sie alle IIS-Server über ein einziges Konto verwalten.
Damit Sie Ihre Server unter diesem neuen Authentifizierungsprinzipal ausführen können, müssen Sie zunächst mit dem Cmdlet New-CsKerberosAccount ein Computerkonto erstellen, das wiederum nicht an ein tatsächliches Konto gebunden ist. Dieses Konto wird dann einem oder mehreren Standorten zugewiesen. Nach der Zuweisung wird diese Zuordnung aktiviert, indem Sie das Cmdlet Enable-CsTopology ausführen. Dadurch wird u. a. der erforderliche Dienstprinzipalname in Active Directory-Domänendienste (AD DS) erstellt. Mithilfe von SPNs können Clientanwendungen einen bestimmten Dienst finden.
Jeder Lync Server 2010-Standort kann maximal einem Kerberos-Konto zugeordnet werden. (Jedes Konto kann jedoch mehreren Standorten zugeordnet sein.) Sie können jederzeit mit dem Cmdlet Remove-CsKerberosAccountAssignment die Zuordnung zwischen einem Standort und einem Konto entfernen. Mit diesem Cmdlet wird das betreffende Konto nicht gelöscht; es wird nur die Zuordnung zwischen dem Konto und dem Standort aufgehoben, wodurch die Kerberos-Webauthentifizierung an diesem Standort deaktiviert wird.
Beachten Sie, dass Sie nach dem Ausführen von Remove-CsKerberosAccountAssignment das Cmdlet Enable-CsTopology ausführen müssen. Hiermit wird der Dienstprinzipalname des Kontos aus Active Directory entfernt und die Kerberos-Webauthentifizierung vollständig deaktiviert.
Dieses Cmdlet kann von folgenden Benutzern ausgeführt werden: Standardmäßig dürfen Mitglieder der folgenden Gruppen das Cmdlet Remove-CsKerberosAccountAssignment lokal ausführen: RTCUniversalServerAdmins. Geben Sie den folgenden Befehl an der Windows PowerShell-Eingabeaufforderung ein, um eine Liste aller rollenbasierten Zugriffssteuerungsrollen zurückzugeben, die diesem Cmdlet zugewiesen wurden (einschließlich der benutzerdefinierten rollenbasierten Zugriffssteuerungsrollen, die Sie selbst erstellt haben):
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Remove-CsKerberosAccountAssignment"}
Parameter
| Parameter | Erforderlich | Typ | Beschreibung |
|---|---|---|---|
Identity |
Erforderlich |
Zeichenfolge |
Eindeutige ID des Standorts, an dem die Kerberos-Kontozuweisung entfernt werden soll. (Dies ist der Identitätswert des Standorts, nicht des Kerberos-Kontos.) Beispiel: -Identity "site:Redmond". |
Force |
Optional |
Switch-Parameter |
Wenn dieser Parameter angegeben wurde, werden alle Fehlermeldungen unterdrückt, mit Ausnahme von Meldungen bei schwerwiegenden Fehlern. |
WhatIf |
Optional |
Switch-Parameter |
Beschreibt die Auswirkungen einer Ausführung des Befehls, ohne den Befehl tatsächlich auszuführen. |
Confirm |
Optional |
Switch-Parameter |
Fordert Sie vor der Ausführung des Befehls zum Bestätigen auf. |
Eingabetypen
Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment-Objekt. Das Cmdlet Remove-CsKerberosAccountAssignment akzeptiert weitergeleitete Instanzen des Objekts für die Kerberos-Kontozuweisung.
Rückgabetypen
Keine. Remove-CsKerberosAccountAssignment gibt keine Objekte oder Werte zurück. Stattdessen werden mit dem Cmdlet bestehende Instanzen des Objekts "Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment" gelöscht.
Beispiel
-------------------------- Beispiel 1 --------------------------
Remove-CsKerberosAccountAssignment -Identity "site:Redmond"
Enable-CsTopology
Mit den vorstehenden Befehlen wird die Kerberos-Kontozuweisung vom Standort "Redmond" entfernt und anschließend Enable-CsTopology aufgerufen, um die Deaktivierung der Kerberos-Webauthentifizierung abzuschließen.
-------------------------- Beispiel 2 --------------------------
Get-CsKerberosAccountAssignment | Remove-CsKerberosAccountAssignment
Enable-CsTopology
In Beispiel 2 werden alle derzeit verwendeten Kerberos-Kontozuweisungen gelöscht. Hierzu wird im ersten Befehl Get-CsKerberosAccountAssignment ohne Parameter aufgerufen, um eine Auflistung aller Kerberos-Kontozuweisungen zurückzugeben. Diese Auflistung wird dann an das Cmdlet Remove-CsKerberosAccountAssignment weitergeleitet, das jede Zuweisung in der Auflistung löscht. Wenn dieser Schritt abgeschlossen ist, wird mit dem zweiten Befehl Enable-CsTopology aufgerufen, um die Deaktivierung der Kerberos-Webauthentifizierung abzuschließen.
Siehe auch
Weitere Ressourcen
Get-CsKerberosAccountAssignment
New-CsKerberosAccountAssignment
Set-CsKerberosAccountAssignment