Share via

Kerberos をクライアント アクセス サーバー アレイまたは負荷分散ソリューションと共に使用する

  • [アーティクル]

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2016-11-28

Active Directory サイトに複数のクライアント アクセス サーバーがある Microsoft Exchange Server 2010 展開の場合、サイト内のすべてのクライアント アクセス サーバー間でトラフィックを配布するには、通常、トポロジにクライアント アクセス サーバー アレイと負荷分散ソリューションが必要です。クライアント アクセス サーバー アレイの詳細については、「RPC クライアント アクセスについて」を参照してください。負荷分散の詳細については、「Exchange 2010 の負荷分散について」を参照してください。

Kerberos 認証を使用する

通常、ネットワーク内のドメインに参加しているコンピューター上のメール クライアントでは NTLM 認証が使用されます。状況によっては、Kerberos 認証を使用する必要があります。Kerberos を使用するとセットアップや実装の問題が増えるので、これは必要な場合にだけ行います。Kerberos の詳細については、「Kerberos 拡張機能」と「Microsoft Kerberos」を参照してください。

注意

Kerberos は、ネットワーク内のドメインに参加しているコンピューターに対してのみ使用できます。これには、VPN によって接続されているクライアントが含まれます。Outlook Anywhere など、ネットワーク外部の接続には、Kerberos がサポートされていません。

以下の理由がある場合、Exchange 2010 組織に Kerberos 認証を使用する必要があります。

  • ローカル セキュリティ ポリシーに Kerberos 認証が必要である。

  • RPC クライアント アクセス サービスへの直接 MAPI 接続によって断続的な NTLM エラーが発生する場合など、NTLM スケーラビリティの問題が発生しているか、または予想される。

    大規模なカスタム展開では、NTLM が原因でクライアント アクセス サーバーにボトルネックが生じ、散発的な認証エラーが発生する可能性があります。NTLM 認証を使用するサービスは Active Directory 待ち時間の問題の影響をより受けます。クライアント アクセス サーバーの要求速度が増加したときに、これが認証エラーにつながります。

Kerberos 認証を構成するには、Active Directory およびクライアント アクセス サーバー アレイのセットアップを十分に理解する必要があります。Kerberos に関する実践的な知識も必要です。

Kerberos および負荷分散されたクライアント アクセス サーバーの問題

クライアント アクセス サーバーが負荷分散されているか、またはクライアント アクセス サーバー アレイの一部である場合、NTLM 認証を使って構成されたクライアントは問題なく接続します。ただし、Kerberos を使用するには追加のセットアップが必要であり、Exchange 2010 Service Pack 1 (SP1) 以前では問題が発生することがありました。

負荷分散装置またはクライアント アクセス アレイを使用したトポロジでは、クライアントは個別サーバーに名前によって接続されず、アレイまたは負荷分散装置名によって接続されます。これは、追加の構成手順を実行しない限り、Kerberos 認証を阻害します。

Kerberos を使用する場合、最初の構成手順は、クライアント アクセス サービスの特定のサービス プリンシパル名 (SPN) のアレイをセットアップすることです。アレイがセットアップされるとすぐに、ネゴシエート認証を使用するように構成された電子メール クライアントが Kerberos 認証を実行しようとします。電子メール クライアントはアレイのコンテキスト内の Kerberos サービス チケットを取得し、それらのチケットをクライアント アクセス サーバーに提示します。ただし、特定のクライアント アクセス サーバーでは、Exchange サービスがローカル システムまたはネットワーク サービス アカウントのコンテキスト内で実行されており、Kerberos サービス チケットをアレイのコンテキスト内でなく、これらのコンテキストで認証しようとします。これによりコンテキストの不一致が生じ、Kerberos 認証エラーが発生します。Kerberos のセキュリティ強化のため、ネゴシエート認証を実行するよう構成されたクライアントは、NTLM 認証に単にフォールバックせず、既定で Outlook Anywhere を使用するか (利用可能な場合)、認証と接続に失敗するかのどちらかです。

Kerberos 認証に成功するには、クライアント アクセス サーバー アレイのメンバーが、アレイのすべてのメンバーで共有される代替資格情報を使用する必要があります。資格情報は、アレイに固有の SPN にも関連付けられている必要があります。この共有される資格情報は、コンピューター アカウントまたはサービス アカウントで、アレイ内のすべてのクライアント アクセス サーバーに知られている必要があります。通常、組織ではアカウントのパスワードの定期的な変更が必要です。このため、すべてのクライアント アクセス サーバーに対してこの共有される資格情報を配布および更新する継続的なタスクが義務付けられます。Exchange 2010 SP1 の前は、Windows Server 2008 にも Microsoft Exchange にもこの問題に対するソリューションがありませんでした。

注意

ここではネットワーク負荷分散装置とクライアント アクセス サーバー アレイについて説明していますが、クライアントが特定のクライアント アクセス サーバーに直接接続しないネットワーク インフラストラクチャまたは構成には、これと同じ認証問題が発生します。この構成のその他の例には、DNS ラウンド ロビン負荷分散を使用するクライアント アクセス サーバーとカスタム DNS レコードを使用するクライアント アクセス サーバーが含まれます。次のソリューションは、クライアント アクセス サーバー アレイまたはネットワーク負荷分散装置の背後にあるクライアント アクセス サーバーのメンバーに、代替サービス アカウント資格情報を簡単に配布できるように設計されています。クライアント アクセス サーバーがクライアント アクセス アレイに構成されていない構成とは機能しません。

ソリューション

この問題を解決するには、アレイ内または負荷分散装置の背後にあるすべてのクライアント アクセス サーバーが使用できる共有された資格情報が必要です。この資格情報は代替サービス アカウント資格情報 (ASA 資格情報) として知られ、コンピューターまたはユーザー サービス アカウントです。代替サービス アカウント資格情報をすべてのクライアント アクセス サーバーに配布するには、Exchange 2010 SP1 に 3 段構えのソリューションが実装されています。

クライアント アクセス サーバー サービス ホストは、Kerberos 認証に対して共有される資格情報を使用するように拡張されています。このサービス ホスト拡張機能はローカル コンピューターを監視します。資格情報が追加または削除されると、ローカル システムおよびネットワーク サービス コンテキスト上の Kerberos 認証パッケージが更新されます。資格情報が認証パッケージに追加されるとすぐに、すべてのクライアント アクセス サービスでそれを Kerberos 認証に使用できます。クライアント アクセス サーバーでは、共有される資格情報を使用できるほか、直接アドレス指定されたサービス要求を認証することもできます。サービスレット と呼ばれるこの拡張が既定で実行されます。実行するための構成や操作は不要です。

共有される資格情報とパスワードを、Exchange 管理シェルを使用して取得および設定できます。これにより、資格情報をリモート コンピューターから設定することができます。資格情報を設定するには、サービス ホストが使用するために、対象のコンピューターのレジストリに資格情報を格納します。Set-ClientAccessServer コマンドレットと新しい AlternateServiceAccountCredential パラメーターを使用して、資格情報を設定します。共有される資格情報のパスワードが設定されたら、共有される資格情報を使用してクライアント アクセス サービスでイントラネット接続クライアントの Kerberos 認証を実行できます。Set-ClientAccessServer コマンドレットの詳細については、「Set-ClientAccessServer」を参照してください。

スクリプトの範囲内に指定されたすべてのクライアント アクセス サーバーに共有される資格情報を配布する作業を自動化するため、管理スクリプトが作成されます。クライアント アクセス サーバー アレイの Kerberos 認証用の共有される資格情報を使用および保守する方法として、このスクリプトを推奨します。スクリプトにより、自動的に Set-ClientAccessServer コマンドを使用して次のタスクを簡単に実行できます。

  • 初期セットアップ   ASA 資格情報がアレイまたはフォレスト内のすべてのクライアント アクセス サーバーに設定されます。

  • パスワード ロール オーバー   Active Directory の更新に加えて、ASA 資格情報の新しいパスワードが生成され、すべてのクライアント アクセス サーバーにロールアウトされます。

  • 複数のコンピューターのクライアント アクセス サーバー アレイへの追加   ASA 資格情報が既存のサーバーからコピーされ、他のサーバーに配布されるため、現在の資格情報とパスワードで Kerberos 認証を実行できます。

  • 継続的な保守   無人方法を使用してパスワードを定期的にロールするためのスケジュールされたタスクが作成されます。

詳細情報

Kerberos 認証を負荷分散されたクライアント アクセス サーバー用に構成する方法については、「負荷分散されたクライアント アクセス サーバーの Kerberos 認証の構成」を参照してください。

RollAlternateServiceAccountCredential.ps1 スクリプトの詳細については、「シェルでの RollAlternateserviceAccountCredential.ps1 スクリプトの使用」を参照してください。

 © 2010 Microsoft Corporation.All rights reserved.