Activation de l'authentification Kerberos pour SMTP

[Cette rubrique est destinée à résoudre un problème spécifique signalé par l'outil Exchange Server Analyzer Tool. Ne l'appliquez qu'à des systèmes sur lesquels l'outil Exchange Server Analyzer Tool a été exécuté et qui ont rencontré ce problème spécifique. L'outil Exchange Server Analyzer Tool, disponible sous forme de téléchargement gratuit, collecte à distance des données de configuration de chaque serveur de la topologie et les analyse automatiquement. Il génère un rapport qui détaille les problèmes de configuration importants, les problèmes potentiels et les paramètres du produit qui ne sont pas définis par défaut. En suivant ces recommandations, vous pouvez accroître les performances, l'évolutivité, la fiabilité et la disponibilité. Pour plus d'informations sur l'outil ou pour télécharger les versions les plus récentes, consultez la rubrique sur les analyseurs Microsoft Exchange à l'adresse https://go.microsoft.com/fwlink/?linkid=34707.]  

Dernière rubrique modifiée : 2006-05-12

L'outil Microsoft® Exchange Server Analyzer Tool interroge le service d'annuaire Active Directory® afin de déterminer si un serveur Microsoft Exchange Server 2003 installé dans un service de cluster Windows™ Server 2003 emploie le nom de domaine complet (FQDN) du serveur comme valeur pour la ressource SMTPSVC de l'attribut servicePrincipalName.

Si Exchange Server Analyzer détermine que l'attribut servicePrincipalName de la ressource Exchange SMTPSVC du service de cluster ne contient par le FQDN du serveur comme valeur, il affiche un message de recommandation.

Il est recommandé d'activer l'authentification Kerberos pour les services SMTP (Simple Mail Transfer Protocol) sur les serveurs de cluster Windows Server 2003 qui exécutent Exchange Server 2003. Vous pouvez activer l'authentification Kerberos en définissant manuellement une nouvelle valeur SPN (nom du service principal) pour la ressource Exchange SMTPSVC.

Par défaut, Windows Server 2003 utilise l'authentification NTLM. Le protocole Kerberos est plus flexible, plus efficace et plus sûr que NTLM. L'authentification Kerberos offre les avantages suivants :

• Connexions plus rapides. Avec l'authentification NTLM, un serveur d'applications doit se connecter à un contrôleur de domaine pour authentifier chaque client. En employant l'authentification Kerberos, le serveur n'a pas besoin de trouver un contrôleur de domaine. Le serveur peut authentifier le client en examinant les informations d'identification fournies par le client. Les clients peuvent obtenir, de manière ponctuelle, des informations d'identification pour un serveur précis, puis les réutiliser au cours d'une session de connexion au réseau.
• Authentification mutuelle. NTLM permet aux serveurs de vérifier les identités de leurs clients. NTLM ne permet par contre pas aux clients de vérifier l'identité d'un serveur ni à un serveur de vérifier l'identité d'un autre serveur. L'authentification NTLM a été conçue pour des environnements de réseau dans lesquels les serveurs étaient censés être authentiques. Le protocole Kerberos ne fait pas une telle supposition. Les parties se trouvant de part et d'autre d'une connexion réseau peuvent savoir que leur interlocuteur est bien celui qu'il affirme être.
• Authentification déléguée. Les services Windows assument l'identité des clients lorsqu'ils accèdent à des ressources au nom de ces derniers. Il arrive souvent qu'un service puisse effectuer une tâche pour le client en accédant à des ressources sur l'ordinateur local. NTLM et Kerberos fournissent tous deux les informations requises pour qu'un service puisse assumer localement l'identité de son client. Toutefois, certaines applications distribuées sont conçues de façon à ce qu'un service frontal doive assumer l'identité de clients lorsqu'il se connecte à des services principaux sur d'autres ordinateurs. Le protocole Kerberos comporte un mécanisme de proxy qui permet à un service d'assumer l'identité de son client lorsqu'il se connecte à d'autres services. NTLM ne possède pas de mécanisme équivalent.

Pour corriger ce problème, procédez comme suit afin d'ajouter les valeurs manquantes aux attributs concernés.

Utilisez l'outil SETSPN.exe pour ajouter un SPN avec les valeurs manquantes.

1. Installez l'outil Setspn.exe. Pour savoir comment obtenir l'outil Setspn.exe, consultez la rubrique "Windows 2000 Resource Kit Tool : Setspn.exe" (https://go.microsoft.com/fwlink/?LinkId=28103).

   La version pour Windows Server 2003 de l'outil de ligne de commande Setspn.exe se trouve parmi les outils de support de Windows Server 2003 disponibles sur le CD de Windows Server 2003. Pour installer les outils de support de Server 2003, double-cliquez sur le fichier Suptools.msi dans le dossier Support/Tools.

2. Suivez les instructions figurant dans le fichier Setspn_d.txt de SETSPN.EXE pour ajouter la valeur manquante à l'objet Active Directory pour votre serveur Exchange. L'exemple suivant illustre l'ajout de la valeur FQDN au SPN d'un serveur SMTP virtuel :

   • Ouvrez une invite de commande puis accédez au répertoire où vous avez installé Setspn.exe.
   • À l'invite de commande, entrez la commande suivante :
     **setspn.exe-a SMTPSVC/**mail.votredomaine.com NOMDEVOTRESERVEUR

     Remarque :
     Remplacez mail.votredomaine.com par le FQDN de votre serveur SMTP virtuel et NOMDEVOTRESERVEUR par le nom du serveur Exchange.

   • Appuyez ensuite sur la touche Entrée.