New-CsKerberosAccount
Letztes Änderungsdatum des Themas: 2012-03-25
Erstellt ein neues Kerberos-Konto für die IIS-Authentifizierung (Internet Information Services)
Syntax
New-CsKerberosAccount -UserAccount <String> [-Confirm [<SwitchParameter>]] [-ContainerDN <String>] [-Force <SwitchParameter>] [-Report <String>] [-WhatIf [<SwitchParameter>]]
Detaillierte Beschreibung
In Microsoft Office Communications Server 2007 und Microsoft Office Communications Server 2007 R2 wurde IIS unter einem Standardbenutzerkonto ausgeführt. Dies konnte potenziell Probleme mit sich bringen: Bei Ablauf des zugehörigen Kennworts gingen möglicherweise die Webdienste verloren, und dieses Problem war häufig nur schwer zu diagnostizieren. Um die durch abgelaufene Kennwörter verursachten Probleme zu vermeiden, können Sie mit Microsoft Lync Server 2010 ein Computerkonto (für einen Computer, den es eigentlich nicht gibt) erstellen, das als Authentifizierungsprinzipal für alle Computer an einem Standort fungiert, auf denen IIS ausgeführt wird. Da diese Konten das Kerberos-Authentifizierungsprotokoll verwenden, werden sie als Kerberos-Konten und der neue Authentifizierungsprozess als Kerberos-Webauthentifizierung bezeichnet. Auf diese Weise können Sie alle IIS-Server über ein einziges Konto verwalten.
Damit Sie Ihre Server unter diesem Authentifizierungsprinzipal ausführen können, müssen Sie zunächst mit dem Cmdlet New-CsKerberosAccount ein Computerkonto erstellen. Dieses Konto wird dann einem oder mehreren Standorten zugewiesen. Nach der Zuweisung wird die Zuordnung zwischen dem Konto und dem Lync Server 2010-Standort durch Ausführen des Cmdlets Enable-CsTopology aktiviert. Damit wird unter anderem der erforderliche Dienstprinzipalname (Service Principal Name, SPN) in Active Directory-Domänendienste (AD DS) erstellt. Mithilfe von SPNs können Clientanwendungen einen bestimmten Dienst finden.
Dieses Cmdlet kann von folgenden Benutzern ausgeführt werden: Sie müssen ein Domänenadministrator sein, um das Cmdlet New-CsKerberosAccount lokal ausführen zu können. Geben Sie den folgenden Befehl an der Windows PowerShell-Eingabeaufforderung ein, um eine Liste aller rollenbasierten Zugriffssteuerungsrollen zurückzugeben, die diesem Cmdlet zugewiesen wurden (einschließlich der benutzerdefinierten rollenbasierten Zugriffssteuerungsrollen, die Sie selbst erstellt haben):
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "New-CsKerberosAccount\b"}
Parameter
| Parameter | Erforderlich | Typ | Beschreibung |
|---|---|---|---|
ContainerDN |
Optional |
Active Directory-DN (Distinguished Name) |
Distinguished Name des Active Directory-Containers, in dem das neuen Konto erstellt werden soll. Beispiel: -ContainerDN "ou=Finance,dc=litwareinc,dc=com". Wird dieser Parameter nicht angegeben, erstellt New-CsKerberosAccount das neue Konto im Container "Computers" in Active Directory. |
UserAccount |
Erforderlich |
Zeichenfolge |
Kontoname für das neue Konto, angegeben im Format "Name_Domäne\Name_Benutzer". Beispiel: -UserAccount "litwareinc\kerberostest". Beachten Sie, dass beim Ausführen des Befehls ein Fehler auftritt, wenn das angegebene Konto bereits vorhanden ist. Beachten Sie außerdem, dass es sich trotz des Namens "UserAccount" bei dem mit New-CsKerberosAccount erstellten Konto nicht um ein Benutzerkonto, sondern um ein Computerkonto handelt. |
Force |
Optional |
Switch-Parameter |
Unterdrückt die Anzeige von Meldungen bei nicht schwerwiegenden Fehlern, die beim Ausführen des Befehls auftreten können. |
Report |
Optional |
Zeichenfolge |
Ermöglicht es Ihnen, einen Dateipfad für die bei der Ausführung des Cmdlets erstellte Protokolldatei anzugeben. Beispiel: -Report "C:\Logs\KerberosAccount.html". |
WhatIf |
Optional |
Switch-Parameter |
Beschreibt die Auswirkungen einer Ausführung des Befehls, ohne den Befehl tatsächlich auszuführen. |
Confirm |
Optional |
Switch-Parameter |
Fordert Sie vor der Ausführung des Befehls zum Bestätigen auf. |
Eingabetypen
Keine. New-CsKerberosAccount akzeptiert keine weitergeleitete Eingabe.
Rückgabetypen
Mit New-CsKerberosAccount werden neue Instanzen des Objekts "Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccount" erstellt.
Beispiel
-------------------------- Beispiel 1 ------------------------
New-CsKerberosAccount -UserAccount "litwareinc\kerberostest" -ContainerDN "cn=Computers,dc=litwareinc,dc=com"
New-CsKerberosAccountAssignment -UserAccount "litwareinc\kerberostest" -Identity "site:Redmond"
Enable-CsTopology
Mit den Befehlen in Beispiel 1 wird ein neues Kerberos-Konto (litwareinc\kerberostest) erstellt, das anschließend dem Standort "Redmond" zugeordnet wird. Hierzu wird mit dem ersten Befehl im Beispiel ein Konto mit dem Kontonamen "litwareinc\kerberostest" erstellt. Dieses Konto wird im Container "Computers" in der Domäne "Litwareinc.com" erstellt. Nach der Erstellung wird das Kerberos-Konto über den zweiten Befehl mithilfe von New-CsKerberosAccountAssignment dem Standort "Redmond" zugewiesen.
Nachdem das neue Konto zugewiesen wurde, ruft der letzte Befehl zum Aktivieren der Änderungen das Cmdlet Enable-CsTopology auf.