Применимо к: Exchange Server 2010 SP1

Последнее изменение раздела: 2010-09-07

Топология развертываний Microsoft Exchange Server 2010, включающих в себя несколько серверов клиентского доступа на одном сайте Служба каталогов Active Directory, обычно требует создания массива серверов клиентского доступа и решения балансировки нагрузки для распределения трафика между всеми серверами клиентского доступа на сайте. Дополнительные сведения о настройке массивов серверов клиентского доступа см. в разделе Общие сведения о серверах клиентского доступа RPC. Дополнительные сведения о балансировке нагрузки см. в разделе Общие сведения о балансировке нагрузки в Exchange 2010.

Использование проверки подлинности Kerberos

Обычно в сети организации почтовые клиенты на входящих в домен компьютерах используют проверку подлинности NTLM. В некоторых случаях может потребоваться использовать проверку подлинности Kerberos. Проверку подлинности Kerberos следует использовать, только если она является обязательной, так как ее установка и реализация вызывает дополнительные трудности. Дополнительные сведения о проверке подлинности Kerberos см. в разделе Улучшения проверки подлинности Kerberos и Проверка подлинности Microsoft Kerberos.

Примечание.
Проверку подлинности Kerberos в сети организации можно использовать только для входящих в домен компьютеров. К ним относятся и клиенты, подключенные к виртуальной частной сети. Для подключений, выходящих за пределы этой сети, например для Outlook Anywhere, проверка подлинности Kerberos не поддерживается.

Использование проверки подлинности Kerberos в организации Exchange 2010 является обязательным в следующих случаях. 

  • Проверка подлинности Kerberos требуется для локальной политики безопасности.

  • Если существуют или ожидаются проблемы, связанные с масштабируемостью NTLM, например если прямое подключение MAPI к службе клиентского доступа RPC приводит к временным ошибкам NTLM.

    В крупномасштабных настраиваемых развертываниях использование проверки подлинности NTLM может привести к появлению узких мест на серверах клиентского доступа и к отдельным ошибкам проверки подлинности. Службы, использующие проверку подлинности NTLM, более чувствительны к ошибкам, связанным с задержкой в работе Служба каталогов Active Directory. Это приводит к ошибкам проверки подлинности при увеличении частоты запросов на серверы клиентского доступа.

Чтобы настроить проверку подлинности Kerberos, необходимо иметь общие сведения о службе каталогов Служба каталогов Active Directory и настройке массивов серверов клиентского доступа. Также необходимо иметь практические знания о проверке подлинности Kerberos.

Проблемы, связанные с проверкой подлинности Kerberos и использованием серверов клиентского доступа с балансировкой нагрузки

Если серверы клиентского доступа являются серверами с балансировкой нагрузки или участвуют в массиве серверов клиентского доступа, то клиенты, для которых настроена проверка подлинности NTLM, будут успешно устанавливать подключения. Однако использование проверки подлинности Kerberos требует выполнения дополнительных действий по установке и вызывало трудности в версиях, предшествующих Exchange 2010 с пакетом обновления 1 (SP1).

В топологии с подсистемой балансировки нагрузки или массивом серверов клиентского доступа подключение клиента к определенному серверу будет выполняться не по имени сервера, а по имени массива или подсистемы балансировки нагрузки. Это не позволит использовать проверку подлинности Kerberos, если не выполнить дополнительные шаги по настройке.

При использовании проверки подлинности Kerberos первым шагом по настройке является создание массива определенных имен участников служб (SPN) для служб клиентского доступа. После создания этого массива почтовые клиенты, настроенные на использование проверки подлинности с согласованием, будут выполнять проверку подлинности Kerberos. Они будут получать билеты службы Kerberos в контексте этого массива и предъявлять эти билеты серверу клиентского доступа. Однако на некоторых серверах клиентского доступа службы Exchange работают в контексте своих учетных записей локальной системы или сетевой службы и будут выполнять проверку подлинности билетов службы Kerberos в этих контекстах, а не в контексте массива. Это приведет к несоответствию контекстов и к сбою проверки подлинности Kerberos. Так как проверка подлинности Kerberos имеет повышенный уровень безопасности, клиенты, настроенные на выполнение проверки подлинности с согласованием, не только переключатся на использование проверки подлинности NTLM, но будут также использовать по умолчанию Outlook Anywhere (если доступно) или не выполнят проверку подлинности и подключение из-за сбоя.

Для успешного выполнения проверки подлинности Kerberos требуется, чтобы член массива серверов клиентского доступа использовал альтернативные учетные данные, общие для всех членов этого массива. Учетные данные также должны быть сопоставлены с определенными для этого массива именами участников служб. В качестве этих общих учетных данных можно использовать учетную запись компьютера или службы, а также они должны быть известны каждому серверу клиентского доступа в массиве. Обычно в организациях требуется периодическое изменение паролей учетных записей. В связи с этим возникает текущая задача по рассылке и обновлению этих общих учетных данных на всех серверах клиентского доступа. До версии Exchange 2010 с пакетом обновления 1 (SP1) (ни в Windows Server 2008, ни в Microsoft Exchange) эта проблема не была решена.

Примечание.
Хотя речь идет о подсистеме балансировки сетевой нагрузки и массиве серверов клиентского доступа, в любой инфраструктуре или конфигурации сети, в которой клиент не подключается напрямую к определенному серверу клиентского доступа, будут происходить идентичные сбои проверки подлинности. Другими примерами такой конфигурации являются серверы клиентского доступа с балансировкой нагрузки с помощью циклического перебора DNS и серверы клиентского доступа с пользовательскими DNS-записями. Следующее решение позволяет упростить процесс рассылки учетных данных альтернативной учетной записи службы членам массива серверов клиентского доступа или серверам клиентского доступа за пределами подсистемы балансировки сетевой нагрузки. Оно не работает в конфигурациях, в которых серверы клиентского доступа не объединены в массив.

Решение

Чтобы решить эту проблему, необходимо создать общие учетные данные, которые могут использовать все серверы клиентского доступа в массиве или за пределами подсистемы балансировки нагрузки. Эти учетные данные называются учетными данными альтернативной учетной записи службы (учетными данными ASA), и для них можно использовать учетную запись компьютера или пользователя службы. Для рассылки этих учетных данных на все серверы клиентского доступа в системе Exchange 2010 с пакетом обновления 1 (SP1) реализовано трехступенчатое решение.

Узел службы серверов клиентского доступа расширен для использования общих учетных данных для проверки подлинности Kerberos. Это расширение узла службы позволяет отслеживать локальный компьютер. При добавлении или удалении учетных данных обновляются пакет проверки подлинности Kerberos в локальной системе и контекст сетевой службы. После добавления учетных данных в пакет проверки подлинности все службы клиентского доступа могут использовать их для проверки подлинности Kerberos. Сервер клиентского доступа сможет не только использовать общие учетные данные, но также проверять подлинность запросов в службы, адресованных напрямую. Это расширение, известное как служба, запускается по умолчанию и не требует выполнения настройки или действий по запуску.

Общие учетные данные и пароль можно получить и установить с помощью командной консоли Exchange. Она позволяет установить учетные данные с удаленного компьютера. При установке учетных данных они сохраняются в реестре целевого компьютера для использования узлом службы. Учетные данные можно установить с помощью нового параметра AlternateServiceAccountCredential командлета Set-ClientAccessServer. После установки пароля для общих учетных данных эти данные позволяют службам клиентского доступа выполнять проверку подлинности Kerberos для клиентов, подключенных к интрасети. Дополнительные сведения о командлете Set-ClientAccessServer см. в разделе Set-ClientAccessServer.

Создан сценарий управления, позволяющий автоматизировать процесс рассылки общих учетных данных на все серверы клиентского доступа, указанные в области сценария. Рекомендуется использовать и обслуживать общие учетные данные для проверки подлинности Kerberos массива серверов клиентского доступа с помощью этого сценария. Этот сценарий обеспечивает автоматическое использование командлета Set-ClientAccessServer для упрощения выполнения следующих задач.

  • Начальная установка   Учетные данные ASA устанавливаются на всех серверах клиентского доступа в массиве или лесу.

  • Переключение пароля   Новый пароль для учетных данных ASA создается и переключается на всех серверах клиентского доступа, а также обновляется в службе каталогов Служба каталогов Active Directory.

  • Добавление одного или нескольких компьютеров в массив серверов клиентского доступа   Учетные данные ASA копируются с существующего сервера и рассылаются на другие серверы, которые получают возможность выполнять проверку подлинности Kerberos с помощью текущих учетных данных и пароля.

  • Текущее обслуживание   Создается запланированная задача по регулярному переключению пароля в автоматическом режиме.

Дополнительные сведения

Дополнительные сведения о настройке проверки подлинности Kerberos для серверов клиентского доступа с балансировкой нагрузки см. в разделе Настройка проверки подлинности Kerberos для серверов клиентского доступа с балансировкой нагрузки.

Дополнительные сведения о сценарии RollAlternateServiceAccountCredential.ps1 см. в разделе Использование сценария RollAlternateserviceAccountCredential.ps1 в консоли.