Habilitar autenticación Kerberos para SMTP
[Este tema tiene como objetivo tratar un problema específico localizado por la herramienta Exchange Server Analyzer. Deberá aplicarlo únicamente a sistemas en los que se haya ejecutado la herramienta Exchange Server Analyzer y que experimenten ese problema específico. La herramienta Exchange Server Analyzer, disponible para descargarla de forma gratuita, recopila de forma remota datos de configuración de cada servidor en la topología y analiza automáticamente los datos. El informe resultante detalla problemas de configuración importantes, posibles problemas y configuración de producto no predeterminada. Siguiendo estas recomendaciones, puede obtener un mejor rendimiento, escalabilidad, confiabilidad y tiempo de actividad. Para obtener más información acerca de la herramienta o para descargar las últimas versiones, consulte "Herramientas de análisis de Microsoft Exchange" en https://go.microsoft.com/fwlink/?linkid=34707.]
Última modificación del tema: 2006-05-12
La Herramienta Microsoft® Exchange Server Analyzer consulta al servicio de directorio de Active Directory® para determinar si un servidor de Microsoft Exchange Server 2003 que esté instalado en un Servicio de Clúster Server de Windows™ Server 2003 tiene el Nombre de dominio completo (FQDN) del servidor como un valor del recurso SMTPSVC en el atributo servicePrincipalName.
Si Exchange Server Analyzer encuentra que el atributo servicePrincipalName de SMTPSVC del recurso de Exchange en el Servicio de Clúster Server no contiene el FQDN del servidor como valor, Exchange Server Analyzer mostrará un mensaje en el que se aconseja una práctica recomendada.
Es la práctica recomendada para habilitar la autenticación Kerberos para los servicios del Protocolo simple de transferencia de correo (SMTP) de los servidores de Clúster Server de Windows Server 2003 que ejecutan Exchange Server 2003. Puede habilitar la autenticación Kerberos configurando de forma manual un nuevo valor de nombre principal de servicio (SPN) para el recurso de Exchange SMTPSVC.
De forma predeterminada, Windows Server 2003 utiliza la autenticación NTLM. El protocolo Kerberos es más flexible y eficaz que el NTLM, y más seguro. Los beneficios que se obtienen del uso de la autenticación Kerberos son los siguientes:
- Conexiones más rápidas. Con la autenticación NTLM, el servidor de una aplicación se debe conectar a un controlador de dominio para autenticar cada cliente. Con la autenticación Kerberos, el servidor no necesita buscar un controlador de dominio. El servidor puede autenticar el cliente examinando las credenciales que éste presenta. Los clientes pueden obtener credenciales para un servidor determinado una vez y reutilizarlas a lo largo de la sesión de inicio de red.
- Autenticación mutua. NTLM habilita los servidores para verificar las identidades de sus clientes. NTLM no habilita a los clientes para verificar la identidad de un servidor, ni a un servidor para verificar la identidad de otro. La autenticación NTLM se diseñó para un entorno de red en el que se suponía que los servidores eran auténticos. El protocolo Kerberos no hace esta suposición. Las partes a ambos lados de la conexión de red pueden saber quién está en el otro extemo y quién afirma ser.
- Autenticación delegada. Los servicios de Windows se hacen pasar por clientes cuando acceden a los recursos en representación de los clientes. Con frecuencia, un servicio puede finalizar su trabajo para un cliente accediendo a los recursos del equipo local. Tanto NTLM como Kerberos proporcionan información que debe tener el servicio para hacerse pasar por sus clientes localmente. Sin embargo, algunas de las aplicaciones distribuidas están diseñadas de manera que un servicio de aplicaciones para usuarios se hace pasar por los clientes cuando se conecta a los servicios de fondo en otros equipos. El protocolo Kerberos tiene un mecanismo proxy que habilita un servicio para hacerse pasar por su cliente cuando se conecta a otros servicios. NTLM no tiene ningún equivalente disponible.
Para resolver este problema, siga estos pasos para agregar los valores que faltan en los atributos afectados.
Utilice la herramienta SETSPN.exe para agregar un SPN con los valores que faltan
Instale la herramienta Setspn.exe. Para obtener la herramienta Setspn.exe, consulte la herramienta "Kit de recursos de Windows 2000: Setspn.exe" (https://go.microsoft.com/fwlink/?LinkId=28103).
La versión del Windows Server 2003 de la herramienta de línea de comandos Setspn.exe está disponible en las herramientas de soporte de Windows Server 2003 que se incluyen en el CD de Windows Server 2003. Para instalar las herramientas de soporte de Server 2003, haga doble clic en el archivo Suptools.msi en la carpeta Support/Tools.
Siga las indicaciones del archivo SETSPN.EXE Setspn_d.txt para agregar el valor que falta al objeto de Active Directory de su servidor de Exchange. El siguiente ejemplo muestra cómo agregar el valor FQDN en un SPN de un servidor virtual SMTP:
Inicie un símbolo del sistema, y después vaya al directorio en el que instaló Setspn.exe.
En el símbolo del sistema, escriba el siguiente comando:
**setspn.exe-a SMTPSVC/**mail.yourdomain.com YOURSERVERNAMENota
Sustituya mail.yourdomain.com por su servidor virtual SMTP FQDN y YOURSERVERNAME por el nombre del servidor de Exchange.
A continuación, presione Intro.