New-CsKerberosAccount
Dernière rubrique modifiée : 2012-03-25
Crée un compte Kerberos pour l’authentification via les services IIS (Internet Information Services).
Syntaxe
New-CsKerberosAccount -UserAccount <String> [-Confirm [<SwitchParameter>]] [-ContainerDN <String>] [-Force <SwitchParameter>] [-Report <String>] [-WhatIf [<SwitchParameter>]]
Description détaillée
Dans Microsoft Office Communications Server 2007 et Microsoft Office Communications Server 2007 R2, IIS était exécuté sous un compte d’utilisateur standard, ce qui pouvait poser plusieurs problèmes potentiels : en cas d’expiration du mot de passe, vous pouviez perdre vos services Web, problème généralement difficile à identifier. Afin d’éviter la question des mots de passe arrivant à expiration, Microsoft Lync Server 2010 permet à présent de créer un compte d’ordinateur (pour un ordinateur qui n’existe pas réellement) pouvant servir de nom principal d’authentification pour tous les ordinateurs d’un site qui exécutent IIS. Parce que ces comptes utilisent le protocole d’authentification Kerberos, les comptes sont désignés en qualité de comptes Kerberos et le nouveau processus d’authentification est désigné sous le nom d’authentification Web Kerberos. Vous pouvez ainsi gérer tous vos serveurs IIS à l’aide d’un seul et même compte.
Pour pouvoir exécuter vos serveurs sous ce nom principal d’authentification, vous devez créer un compte d’ordinateur au moyen de la cmdlet New-CsKerberosAccount, le compte étant ensuite affecté à un ou plusieurs sites. Une fois l’affectation effectuée, l’association entre le compte et le site de Lync Server 2010 est activée en exécutant la cmdlet Enable-CsTopology. Cette opération crée, entre autres, le nom principal de service (SPN) dans services de domaine Active Directory (AD DS). Les SPN permettent aux applications clientes de rechercher un service particulier.
Personnes autorisées à exécuter cette cmdlet : Vous devez être administrateur de domaine pour pouvoir exécuter localement la cmdlet New-CsKerberosAccount. Pour retourner une liste de tous les rôles RBAC (Contrôle d’accès basé sur un rôle) auxquels cette cmdlet a été affectée (y compris les rôles RBAC personnalisés créés par vos soins), exécutez la commande suivante à l’invite Windows PowerShell :
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "New-CsKerberosAccount\b"}
Paramètres
| Paramètre | Obligatoire | Type | Description |
|---|---|---|---|
ContainerDN |
Facultatif |
Nom unique Active Directory |
Nom unique du conteneur Active Directory où le compte doit être créé. Par exemple : -ContainerDN "ou=Finance,dc=litwareinc,dc=com". Si ce paramètre n’est pas spécifié, alors New-CsKerberosAccount créera un compte dans le conteneur Ordinateurs dans Active Directory. |
UserAccount |
Obligatoire |
Chaîne |
Nom du nouveau compte, au format nom_domaine\nom_utilisateur. Par exemple : -UserAccount "litwareinc\kerberostest". Notez que votre commande échouera si le compte spécifié existe déjà. Notez aussi que, en dépit de son nom UserAccount, ce compte créé en exécutant New-CsKerberosAccount est en fait un compte d’ordinateur et non un compte d’utilisateur. |
Force |
Facultatif |
Paramètre de commutateur |
Supprime l’affichage de tous les messages d’erreur récupérable susceptibles d’apparaître lors de l’exécution de la commande. |
Report |
Facultatif |
Chaîne |
Permet de spécifier un chemin d’accès au fichier journal créé lors de l’exécution de la cmdlet. Par exemple : -Report "C:\Logs\KerberosAccount.html". |
WhatIf |
Facultatif |
Paramètre de commutateur |
Décrit ce qui se passe si vous exécutez la commande sans l’exécuter réellement. |
Confirm |
Facultatif |
Paramètre de commutateur |
Vous demande confirmation avant d’exécuter la commande. |
Types d’entrées
Aucun. New-CsKerberosAccount n’accepte pas la saisie de données transmises via le pipeline.
Types de retours
New-CsKerberosAccount crée des instances de l’objet Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccount.
Exemple
-------------------------- Exemple 1 --------------------------
New-CsKerberosAccount -UserAccount "litwareinc\kerberostest" -ContainerDN "cn=Computers,dc=litwareinc,dc=com"
New-CsKerberosAccountAssignment -UserAccount "litwareinc\kerberostest" -Identity "site:Redmond"
Enable-CsTopology
Les deux commandes illustrées à l’exemple 1 créent un nouveau compte Kerberos (litwareinc\kerberostest) et affectent ce compte au site de Redmond. Pour ce faire, la première commande de l’exemple crée un compte portant le nom « litwareinc\kerberostest ». Ce compte sera créé dans le conteneur Ordinateurs du domaine Litwareinc.com. Une fois le compte créé, la deuxième commande utilise New-CsKerberosAccountAssignment pour affecter ce compte Kerberos au site de Redmond.
Une fois la nouvelle affectation terminée pour ce compte, la commande finale appelle Enable-CsTopology afin d’activer les modifications.