Compartir a través de


Crear una cuenta de autenticación Kerberos

 

Última modificación del tema: 2012-04-06

Para completar correctamente el procedimiento Para crear una cuenta Kerberos, debe iniciar sesión en el servidor o dominio como miembro del grupo Admins. del dominio como mínimo. En caso de que su infraestructura Active Directory Domain Services (AD DS) esté bloqueada o asegurada, es posible que los cmdlets Windows PowerShell que automatizan la creación de la cuenta Kerberos no funcionen correctamente y provoquen un error. Si trabaja en un Active Directory bloqueado, consulte el procedimiento posterior a Para crear una cuenta Kerberos titulado Para crear una cuenta Kerberos manualmente.

Puede crear cuentas de autenticación Kerberos para cada uno de los sitios, o bien crear una sola cuenta de autenticación Kerberos y usarla para todos los sitios. Se usan cmdlets Windows PowerShell para crear y administrar las cuentas, incluida la identificación de las cuentas asignadas a cada uno de los sitios. Topology Builder y Panel de control de Lync Server 2010 no muestran cuentas de autenticación Kerberos. Use el siguiente procedimiento para crear la(s) cuenta(s) de usuario que se usará(n) para la autenticación Kerberos.

Para crear una cuenta Kerberos

  1. Como miembro del grupo Admins. del dominio, inicie sesión en un equipo del dominio que ejecuta Lync Server 2010 o en un equipo que tenga las herramientas administrativas instaladas.

  2. Inicie el Shell de administración de Lync Server: haga clic en Inicio, Todos los programas, Microsoft Lync Server 2010 y después en Shell de administración de Lync Server.

  3. Desde la línea de comandos, ejecute el siguiente comando:

    New-CsKerberosAccount -UserAccount "Domain\UserAccount" -ContainerDN "CN=Users,DC=DomainName,DC=DomainExtension"
    

    Por ejemplo:

    New-CsKerberosAccount -UserAccount "Contoso\KerbAuth" -ContainerDN "CN=Users,DC=contoso,DC=com"
    
  4. Confirme que se ha creado el objeto Equipo al abrir el usuario y los equipos de Active Directory, expanda el contenedor Usuarios y, a continuación, confirme que el objeto Equipo de la cuenta de usuario se encuentra en el contenedor.

Para crear una cuenta Kerberos manualmente

  1. En una infraestructura Active Directory Domain Services (AD DS) asegurada y bloqueada, realice el siguiente procedimiento.

    warningAdvertencia:
    El siguiente procedimiento requiere tener instaladas las herramientas de administración de servidor remoto o trabajar de manera local o remota con la característica Herramientas de AD DS instalada.
  2. Como miembro del grupo Admins. del dominio, inicie sesión en un equipo del dominio que ejecuta Lync Server 2010 o en un equipo que tenga las herramientas administrativas instaladas.

  3. Haga clic en Iniciar, elija Herramientas administrativas y ejecute Usuarios y equipos de Active Directory.

  4. En Usuarios y equipos de Active Directory, cree la cuenta de usuario en la unidad organizativa (OU) o en el contenedor de usuarios.

  5. Para tener acceso a la ficha Seguridad de la cuenta de usuario, en Usuarios y equipos de Active Directory, haga clic en Ver y en Características avanzadas. Las características avanzadas deberían tener una marca de verificación que indique que ahora están seleccionadas.

  6. En la unidad organizativa o el contenedor de usuarios, haga clic con el botón secundario en la cuenta de usuario que ha creado y seleccionado Propiedades. Seleccione la ficha Seguridad. En la ficha Seguridad, haga clic en Avanzada.

  7. En la ficha Configuración de seguridad avanzada de la cuenta de usuario seleccionada, haga clic en Agregar. En el cuadro de diálogo Seleccionar usuario, cuenta de servicio del equipo o grupo, escriba RTCUniversalServerAdmins en Escriba el nombre de objeto a seleccionar. Haga clic en Comprobar nombres. Si es correcto, haga clic en Aceptar.

  8. Seleccione la ficha Objeto en el cuadro de diálogo Entrada de permiso de la cuenta de usuario. Haga clic en la lista desplegable Aplicar a ye seleccione Solo este objeto.

  9. En el panel de selección Permisos, seleccione los siguientes permisos:

    Permiso Permitir o denegar Herencia Aplicar a

    Cambiar contraseña

    Permitir

    No heredado

    Solo este objeto

    Restablecer contraseña

    Permitir

    No heredado

    Solo este objeto

    Permisos de lectura

    Permitir

    No heredado

    Solo este objeto

    Escribir servicePrincipalName

    Permitir

    No heredado

    Solo este objeto

  10. Haga clic en Aceptar tres veces para cerrar los cuadros de diálogo. Cierre y salga de Usuarios y equipos de Active Directory.

  11. Haga clic en Iniciar, elija Herramientas administrativas y ejecute Editor ADSI.

  12. Haga clic con el botón secundario en Editor ADSI, seleccione Conectarse con y seleccione Seleccione un contexto de nomenclatura conocido. Seleccione Contexto de nomenclatura predeterminado de la lista. Haga clic en Aceptar.

  13. En la unidad organizativa o el contenedor donde se ubica el objeto de usuario, haga clic con el botón secundario en el objeto de usuario y seleccione Propiedades.

  14. En la ficha Editor de atributos, localice el atributo userAccountControl y, a continuación, haga clic en Editar.

  15. El Editor de atributo del entero muestra el valor del entero de userAccountControl. Cambie el valor a 69664. El valor del entero mostrado define las marcas para PASSWD_NOTREQD, WORKSTATION_TRUST_ACCOUNT y DON’T_EXPIRE_PASSWD.

  16. Haga clic en Aceptar para confirmar el cambio en el atributo. Cierre el Editor ADSI.