Utilisation de Kerberos avec un groupe de serveurs d’accès au client ou une solution d’équilibrage de charge
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2016-11-28
Pour les déploiements Microsoft Exchange Server 2010 disposant de plusieurs serveurs d’accès au client dans un site Active Directory, la topologie nécessite généralement un groupe de serveurs d’accès au client et une solution d’équilibrage de charge pour distribuer le trafic entre tous les serveurs d’accès au client du site. Pour plus d’informations sur les groupes de serveurs d’accès au client, consultez la rubrique Présentation de l'accès au client RPC. Pour plus d’informations sur l’équilibrage de charge, voir la rubrique Présentation de l’équilibrage de la charge dans Exchange 2010.
Utilisation de l’authentification Kerberos
En règle générale, les clients de messagerie sur les ordinateurs appartenant à un domaine à l’intérieur du réseau utilisent l’authentification NTLM. Dans certains cas, il peut être nécessaire d’utiliser l’authentification Kerberos. Ne l’utilisez qu’en cas de besoin, car l’authentification Kerberos pose d’autres problèmes de configuration et d’implémentation. Pour plus d’informations sur Kerberos, consultez les articles Améliorations apportées à Kerberos et Microsoft Kerberos.
.gif "Remarque") Remarque : |
|---|
| Kerberos peut être utilisé uniquement pour les ordinateurs appartenant à un domaine dans le réseau. Cela inclut les clients connectés par un réseau privé virtuel. Pour les connexions en dehors du réseau, telles que OutlookAnywhere, Kerberos n’est pas pris en charge. |
Il peut être nécessaire d’utiliser l’authentification Kerberos pour votre organisation Exchange 2010 dans les cas suivants :
L’authentification Kerberos est nécessaire pour votre stratégie de sécurité locale.
Vous rencontrez ou anticipez des problèmes d’évolutivité NTLM, par exemple, lorsque la connectivité MAPI directe au service d’accès au client RPC génère des erreurs NTLM intermittentes.
Dans les déploiements de grande envergure réalisés par les clients, NTLM peut générer des goulots d’étranglement sur les serveurs d’accès au client, qui peuvent provoquer des erreurs d’authentification sporadiques. Les services qui utilisent l’authentification NTLM sont plus sensibles aux problèmes de latence Active Directory, ce qui provoque des erreurs d’authentification lorsque le nombre de demandes de serveur d’accès au client augmente.
Pour configurer l’authentification Kerberos, vous devez être familiarisé avec Active Directory et configurer les groupes de serveurs d’accès au client et vous devez avoir une connaissance pratique de Kerberos.
Problèmes liés à Kerberos et aux serveurs d’accès au client à charge équilibrée
Lorsque la charge des serveurs d’accès au client est équilibrée ou que ces serveurs font partie d’un groupe de serveurs d’accès au client, les clients configurés avec l’authentification NTLM se connectent sans problème. Toutefois, l’utilisation de Kerberos implique d’exécuter des tâches de configuration supplémentaires et posait des problèmes avant Exchange 2010 Service Pack 1 (SP1).
Dans une topologie à équilibrage de charge ou dans un groupe d’accès au client, un client ne se connecte pas à un serveur en fonction de son nom, mais en fonction du nom du groupe ou de l’équilibreur de charge. Cette situation bloque l’authentification Kerberos si vous n’exécutez pas des tâches de configuration supplémentaires.
Lorsque vous utilisez Kerberos, vous devez commencer par configurer un groupe de noms principaux de service (SPN) pour les services d’accès au client. Une fois le groupe défini, les clients de messagerie configurés pour utiliser l’authentification par négociation tentent d’exécuter l’authentification Kerberos. Ils obtiennent des tickets du service Kerberos dans le contexte du groupe et ils les présentent au serveur d’accès au client. Toutefois, sur un serveur d’accès au client, les services Exchange s’exécutent dans le contexte du système local ou du compte de service réseau et ils tentent d’authentifier les tickets du service Kerberos dans ces contextes et non pas dans le contexte du groupe. Cette situation génère une discordance de contexte et une erreur d’authentification Kerberos. Compte tenu de la sécurité optimisée de Kerberos, les clients configurés pour utiliser l’authentification par négociation ne reviennent pas à l’authentification NTLM, mais ils utilisent par défaut Outlook Anywhere, s’il est disponible, ou ils ne s’authentifient pas et ne se connectent pas.
Pour que l’authentification Kerberos aboutisse, le membre du groupe de serveurs d’accès au client doit utiliser des informations d’identification secondaires partagées par tous les membres du groupe. Les informations d’identification doivent être également associées aux noms SPN du groupe. Ces informations d’identification partagées peuvent correspondre à un compte d’ordinateur ou un compte de service et chacun des serveurs du groupe de serveurs d’accès au client doit les connaître. En règle générale, les organisations imposent de changer régulièrement les mots de passe des comptes. Cela implique d’exécuter une tâche permanente de distribution et de mise à jour des informations d’identification partagées sur tous les serveurs d’accès au client. Avant Exchange 2010 SP1, il n’existait aucune solution à ce problème dans Windows Server 2008 et Microsoft Exchange .
| Remarque : |
|---|
| Bien que cette section fasse référence à l’équilibrage de charge réseau et à l’utilisation d’un groupe de serveurs d’accès au client, une infrastructure ou une configuration réseau qui ne permet pas au client de se connecter directement à un serveur d’accès au client rencontre également des problèmes d’authentification. D’autres exemples de cette configuration incluent des serveurs d’accès au client avec équilibrage de charge circulaire DNS et des serveurs d’accès au client avec enregistrements DNS personnalisés. La solution suivante vise à simplifier la distribution des informations d’identification du compte de service secondaire vers les membres d’un groupe de serveurs d’accès au client ou des serveurs d’accès au client derrière un équilibreur de charge réseau. Elle ne s’applique pas aux configurations dans lesquelles les serveurs d’accès au client ne sont pas configurés dans un groupe d’accès au client. |
La solution
Pour résoudre ce problème, il doit exister des informations d’identification partagées pouvant être utilisées par tous les serveurs d’accès au client du groupe ou derrière l’équilibreur de charge. Ces informations d’identification s’appellent des informations d’identification de compte de service secondaire (informations d’identification ASA) et elles peuvent correspondre à un compte d’ordinateur ou un compte de service utilisateur. Pour distribuer ces informations d’identification de compte de service secondaire vers tous les serveurs d’accès au client, une triple solution a été implémentée dans Exchange 2010 SP1.
L’hôte des services de serveur d’accès au client a été étendu pour utiliser les informations d’identification partagées pour l’authentification Kerberos. Cette extension d’hôte des services surveille l’ordinateur local. Lorsque des informations d’identification sont ajoutées ou supprimées, le module d’authentification Kerberos sur le système local et dans le contexte du service réseau est mis à jour. Lorsque des informations d’identification sont ajoutées au module d’authentification, tous les services d’accès au client peuvent les utiliser pour l’authentification Kerberos. Le serveur d’accès au client peut également authentifier les demandes de service envoyées directement et utiliser les informations d’identification partagées. Cette extension, appelée servicelet, s’exécute par défaut et ne nécessite aucune configuration ni aucune action pour s’exécuter.
Les informations d’identification partagées et le mot de passe peuvent être obtenus et définis en utilisant Exchange Management Shell. Ainsi, les informations d’identification peuvent être définies depuis un ordinateur distant. Les informations d’identification sont définies lors de leur stockage dans le Registre de l’ordinateur cible pour qu’elles soient utilisées par l’hôte des services. Pour définir les informations d’identification, exécutez la cmdlet Set-ClientAccessServer avec le nouveau paramètre AlternateServiceAccountCredential. Une fois que le mot de passe des informations d’identification partagées est défini, ces dernières permettent aux services d’accès au client d’effectuer l’authentification Kerberos pour les clients connectés à l’intranet. Pour plus d’informations sur la cmdlet Set-ClientAccessServer, consultez la rubrique Set-ClientAccessServer.
Un script de gestion a été créé pour automatiser la distribution des informations d’identification partagées vers tous les serveurs d’accès au client définis dans la portée du script. Il est recommandé d’exécuter ce script pour utiliser et gérer les informations d’identification pour l’authentification Kerberos d’un groupe de serveurs d’accès au client. Le script permet d’utiliser automatiquement la cmdlet Set-ClientAccessServer pour faciliter les tâches suivantes :
Configuration initiale Les informations d’identification ASA sont définies sur tous les serveurs d’accès au client dans un groupe ou une forêt.
Changement du mot de passe Un nouveau mot de passe pour les informations d’identification ASA est généré et distribué à tous les serveurs d’accès au client en plus de la mise à jour Active Directory.
Ajout d’un ou de plusieurs ordinateurs à un groupe de serveur d’accès au client Les informations d’identification ASA sont copiées depuis un serveur existant et distribuées aux autres serveurs pour qu’ils puissent exécuter l’authentification Kerberos avec les informations d’identification et le mot de passe actuels.
Maintenance permanente Une tâche planifiée est créée pour changer régulièrement le mot de passe en utilisant une méthode sans assistance.
Pour plus d’informations
Pour plus d’informations sur la configuration de l’authentification Kerberos pour les serveurs d’accès au client à équilibrage de charge, consultez la rubrique Configuration de l’authentification Kerberos pour les serveurs d’accès au client avec équilibrage de charge.
Pour plus d’informations sur le script RollAlternateServiceAccountCredential.ps1, voir la rubrique Utilisation du script RollAlternateserviceAccountCredential.ps1 dans l’environnement de ligne de commande Exchange Management Shell.
© 2010 Microsoft Corporation. Tous droits réservés.