Дата последнего изменения раздела:
2006-05-12
Средство анализатора сервера Microsoft® Exchange запрашивает службу Active Directory®, чтобы определить, имеет ли сервер Microsoft Exchange Server 2003, установленный в службе кластеров Windows™ Server 2003, полное доменное имя сервера в качестве значения ресурса SMTPSVC в атрибуте servicePrincipalName.
Если анализатор сервера Exchange обнаружит, что атрибут servicePrincipalName ресурса SMTPSVC приложения Exchange в службе кластеров не содержит полного доменного имени сервера в качестве значения, анализатор сервера Exchange выведет сообщение с рекомендациями.
Рекомендуется включить проверку подлинности по протоколу Kerberos для служб SMTP (Simple Mail Transfer Protocol) на серверах кластера Windows Server 2003, на которых выполняется Exchange Server 2003. Проверку подлинности по протоколу Kerberos можно включить, установив вручную новое значение имени участника службы (Service Principal Name, SPN) для ресурса SMTPSVC приложения Exchange.
По умолчанию операционная система Windows Server 2003 использует проверку подлинности по протоколу NTLM. Протокол Kerberos отличается большей гибкостью и эффективностью, чем NTLM, и к тому же более защищенный. При использовании протокола Kerberos достигаются следующие преимущества:
- Более скоростные подключения. При использовании проверки
подлинности по протоколу NTLM сервер приложений должен подключиться
к контроллеру домена, чтобы проверить подлинность каждого клиента.
При использовании проверки подлинности по протоколу Kerberos
серверу не надо искать контроллер домена. Сервер может проверить
подлинность клиента путем анализа учетных данных, предоставляемых
клиентом. Клиенты могут получить учетные данные для конкретного
сервера один раз и повторно использовать их в сеансе входа в
сеть.
- Взаимная проверка подлинности. Протокол NTLM предоставляет
серверам возможность проверки удостоверений своих клиентов.
Протокол NTLM не предоставляет клиентам возможности проверки
удостоверения сервера, и не предусматривает проверку одним сервером
удостоверения другого сервера. Проверка подлинности по протоколу
NTLM была разработана для сетевой среды, в которой предполагалось,
что серверы не могут быть поддельными. В протоколе Kerberos
отсутствует подобное допущение. Участники на обоих концах сетевого
соединения могут убедиться в том, что сторона на другом конце
является именно тем субъектом, за которого она себя выдает.
- Делегированная проверка подлинности. Службы Windows имитируют
клиентов, когда получают доступ к ресурсам от имени клиентов. Часто
служба может выполнить работу за клиента, обратившись к ресурсам на
локальном компьютере. Оба протокола NTLM и Kerberos предоставляют
сведения, которые необходимо иметь службе, чтобы играть роль своего
клиента в локальном масштабе. Однако некоторые распределенные
приложения разработаны таким образом, что интерфейсная служба
должна имитировать клиентов при подключении к прикладным службам на
других компьютерах. В протоколе Kerberos имеется механизм
прокси-сервера, который позволяет службе имитировать своих клиентов
при подключении к другим службам. В протоколе NTLM отсутствует
эквивалент такого механизма.
Чтобы устранить эту проблему, выполните приводимые шаги, чтобы добавить отсутствующие значений для задействованных атрибутов.
Использование средства SETSPN.exe для добавления имени участника службы (SPN) с отсутствующими значениями-
Установите программное средство Setspn.exe. Сведения о получении программного средства Setspn.exe см. в разделе, посвященном средству из набора ресурсов Windows 2000: Setspn.exe (http://go.microsoft.com/fwlink/?LinkId=28103).
Версия программного средства командной строки, Setspn.exe, для Windows Server 2003 доступна в средствах поддержки Windows Server 2003, поставляемых на компакт-диске Windows Server 2003. Чтобы установить средства поддержки Server 2003, дважды щелкните файл Suptools.msi в папке «Support/Tools».
-
Следуйте инструкциям, приведенным в фале Setspn_d.txt средства SETSPN.EXE, чтобы добавить отсутствующее значение в объект Active Directory для своего сервера Exchange. В следующем примере показано, как добавить значение полного доменного имени для имени участника службы (SPN) виртуального SMTP-сервера:
- Откройте окно командной строки, а затем укажите каталог, в
котором установлено программное средство Setspn.exe.
- В командной строке введите следующую команду:
setspn.exe-a SMTPSVC/ mail.yourdomain.com ИМЯ_ИСПОЛЬЗУЕМОГО_СЕРВЕРА
Примечание.Замените mail.yourdomain.com полным доменным именем виртуального SMTP-сервера, а ИМЯ_ИСПОЛЬЗУЕМОГО_СЕРВЕРА замените именем сервера Exchange. - Нажмите клавишу ВВОД.
- Откройте окно командной строки, а затем укажите каталог, в
котором установлено программное средство Setspn.exe.