New-CsKerberosAccount
Ultima modifica dell'argomento: 2012-03-25
Consente di creare un nuovo account Kerberos utilizzato per l'autenticazione IIS (Internet Information Service).
Sintassi
New-CsKerberosAccount -UserAccount <String> [-Confirm [<SwitchParameter>]] [-ContainerDN <String>] [-Force <SwitchParameter>] [-Report <String>] [-WhatIf [<SwitchParameter>]]
Descrizione dettagliata
In Microsoft Office Communications Server 2007 e Microsoft Office Communications Server 2007 R2, IIS veniva eseguito in un account utente standard. Ciò poteva essere causa di potenziali problemi: se scadeva quella password poteva provocare la perdita di servizi Web, un evento spesso difficile da diagnosticare. Per evitare l'evento delle password in scadenza, Microsoft Lync Server 2010 consente di creare un account di computer (per un computer che in effetti non esiste) che può servire come entità di autenticazione per tutti i computer di un sito sui quali è in esecuzione IIS. Poiché questi account utilizzano il protocollo di autenticazione Kerberos, vengono chiamati account Kerberos e il nuovo processo di autenticazione è noto come autenticazione Web Kerberos. Ciò consente di gestire tutti i server IIS utilizzando un singolo account.
Per eseguire i propri server sotto questa singola entità di autenticazione, è necessario prima creare un account di computer utilizzando il cmdlet New-CsKerberosAccount questo account viene quindi assegnato a uno o più siti. Una volta effettuata l'assegnazione, l'associazione tra l'account e il sito di Lync Server 2010 viene abilitata tramite l'esecuzione del cmdlet Enable-CsTopology. Tra l'altro, ciò determina la creazione del nome SPN (Service Principal Name) necessario in Servizi di dominio Active Directory. I nomi SPN consentono alle applicazioni client di reperire un particolare servizio.
Utenti autorizzati a utilizzare questo cmdlet: È necessario essere amministratori di dominio per poter utilizzare localmente il cmdlet New-CsKerberosAccount. Per ottenere un elenco di tutti i ruoli RBAC (controllo dell'accesso basato sui ruoli) a cui è stato assegnato questo cmdlet (inclusi eventuali ruoli RBAC personalizzati), utilizzare il seguente comando dal prompt di Windows PowerShell:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "New-CsKerberosAccount\b"}
Parametri
| Parametro | Obbligatorio | Tipo | Descrizione |
|---|---|---|---|
ContainerDN |
Facoltativo |
Nome distinto di Active Directory |
Nome distinto del contenitore di Active Directory in cui deve essere creato il nuovo account. Ad esempio: -ContainerDN "ou=Finance,dc=litwareinc,dc=com". Se questo parametro non viene specificato, New-CsKerberosAccount creerà il nuovo account nel contenitore dei computer in Active Directory. |
UserAccount |
Obbligatorio |
Stringa |
Nome account del nuovo account, utilizzare il formato nome_dominio\nome_utente. Ad esempio: -UserAccount "litwareinc\kerberostest". Si noti che il comando avrà esito negativo, se l'account specificato già esiste. Si noti che nonostante il nome AccountUtente, l'account creato con l'esecuzione di New-CsKerberosAccount è in realtà un account computer non un account utente. |
Force |
Facoltativo |
Parametro opzionale |
Consente di evitare la visualizzazione di qualunque messaggio di errore non grave che potrebbe essere generato nel corso dell'esecuzione del comando. |
Report |
Facoltativo |
Stringa |
Consente di specificare un percorso per il file di registro creato durante l'esecuzione del cmdlet. Ad esempio: -Report "C:\Logs\KerberosAccount.html". |
WhatIf |
Facoltativo |
Parametro opzionale |
Descrive ciò che accadrebbe se si eseguisse il comando senza eseguirlo realmente. |
Confirm |
Facoltativo |
Parametro opzionale |
Viene visualizzata una richiesta di conferma prima di eseguire il comando. |
Tipi di input
Nessuno. New-CsKerberosAccount non accetta input tramite pipeline.
Tipi restituiti
New-CsKerberosAccount crea nuove istanze dell'oggetto Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccount.
Esempio
-------------------------- Esempio 1 --------------------------
New-CsKerberosAccount -UserAccount "litwareinc\kerberostest" -ContainerDN "cn=Computers,dc=litwareinc,dc=com"
New-CsKerberosAccountAssignment -UserAccount "litwareinc\kerberostest" -Identity "site:Redmond"
Enable-CsTopology
I comandi riportati nell'Esempio 1 consentono di creare un nuovo account Kerberos (litwareinc\kerberostest) e di assegnare quindi quell'account al sito Redmond. Per ottenere questo risultato, il primo comando nell'esempio crea un account con nome "litwareinc\kerberostest". Questo account verrà creato nel contenitore dei computer nel dominio Litwareinc.com. Una volta creato l'account, il secondo comando utilizza il cmdlet New-CsKerberosAccountAssignment per assegnare quell'account Kerberos al sito Redmond.
Una volta assegnato il nuovo account, occorre eseguire il cmdlet Enable-CsTopology per abilitare le modifiche.