New-CsKerberosAccountAssignment
トピックの最終更新日: 2012-04-23
インターネット インフォメーション サービス (IIS) 認証で使用する Kerberos アカウントをサイトに割り当てます。
構文
New-CsKerberosAccountAssignment -Identity <XdsIdentity> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-InMemory <SwitchParameter>] [-UserAccount <String>] [-WhatIf [<SwitchParameter>]]
解説
Microsoft Office Communications Server 2007 および Microsoft Office Communications Server 2007 R2 では、IIS を標準ユーザー アカウントで実行していました。これには、次の問題が発生する可能性がありました。標準ユーザー アカウントのパスワードの有効期限が切れると、Web サービスが失われる可能性があり、これは多くの場合、診断が困難な問題でした。パスワードの期限切れの問題を防ぐため、Microsoft Lync Server 2010 では、IIS を実行するサイト内の全コンピューターの認証プリンシパルとして機能できる (実際には存在しないコンピューター用の) コンピューター アカウントを作成することができます。これらのアカウントは Kerberos 認証プロトコルを使用するため、アカウントは Kerberos アカウントと呼ばれ、新しい認証プロセスが Kerberos Web 認証として認識されます。これにより、単一のアカウントを使用して、すべての IIS サーバーを管理することができます。
この新しい認証プリンシパル下で複数のサーバーを実行するには、最初に New-CsKerberosAccount コマンドレットを使用してコンピューター アカウントを作成してから、このアカウントを 1 つ以上のサイトに割り当てる必要があります。この割り当てを行うと、Enable-CsTopology コマンドレットを実行して、このアカウントと Lync Server 2010 サイト間の関連付けができるようになります。特に重要なのは、これにより、必要なサービス プリンシパル名 (SPN) が Active Directory ドメイン サービス (AD DS) 内に作成されることです。SPN は、クライアント アプリケーションが特定のサービスを検出するためのものです。
New-CsKerberosAccountAssignment コマンドレットを使用すると、現在アカウントと関連付けられていないサイトに、Kerberos アカウントを割り当てることができます。Kerberos アカウントと既に関連付けられているサイトを変更するには、代わりに Set-CsKerberosAccountAssignment コマンドレットを使用します。
このコマンドレットを実行できるユーザー:既定では、次のグループのメンバーが、New-CsKerberosAccountAssignment コマンドレットをローカルで実行することを承認されています。RTCUniversalServerAdmins。このコマンドレットが割り当てられているすべての役割ベースのアクセス制御 (RBAC) の役割の一覧 (自身が作成したカスタムの RBAC の役割を含む) を戻すには、Windows PowerShell プロンプトから次のコマンドを実行します。
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "New-CsKerberosAccountAssignment"}
パラメーター
| パラメーター | 必須かどうか | 型 | 説明 |
|---|---|---|---|
Identity |
必須 |
文字列 |
Kerberos アカウントが割り当てられるサイトの一意の識別子 (コンピューター アカウントの Identity ではなく、サイトの Identity)。次に例を示します。-Identity "site:Redmond" |
UserAccount |
必須 |
文字列 |
割り当てられるアカウントのアカウント名。domain_name\user_name の形式を使用します。次に例を示します。-UserAccount "litwareinc\kerberostest"。アカウント (kerberostest) のユーザー名部分は NETBIOS 名であり、これには最大 15 文字を含めることができます。 また、UserAccount という名前ではあっても、このアカウントは実際にはコンピューター アカウントであり、ユーザー アカウントではありません。 |
Force |
省略可能 |
スイッチ パラメーター |
コマンド実行中に発生する可能性のある、致命的ではないすべてのエラー メッセージを表示しないようにします。 |
InMemory |
省略可能 |
スイッチ パラメーター |
永続的な変更としてオブジェクトをコミットせずに、オブジェクト参照を作成します。このパラメーターを指定して呼び出したコマンドレットの出力を変数に割り当てる場合、オブジェクト参照のプロパティを変更し、コマンドレットに対応する Set- コマンドレットを呼び出してそれらの変更をコミットできます。 |
WhatIf |
省略可能 |
スイッチ パラメーター |
実際にコマンドを実行せずに、コマンドの実行結果がわかります。 |
Confirm |
省略可能 |
コマンドの実行前に確認メッセージを表示します。 |
入力の種類
なし。New-CsKerberosAccountAssignment は、パイプライン処理された入力を受け入れません。
戻り値の種類
New-CsKerberosAccountAssignment は、Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment オブジェクトの新しいインスタンスを作成します。
例
-------------------------- 例 1 ------------------------
New-CsKerberosAccountAssignment -UserAccount "litwareinc\kerberostest" -Identity "site:Redmond"
Enable-CsTopology
例 1 のコマンドでは、Redmond サイトに Kerberos アカウント (litwareinc\kerberostest) を割り当て、その後 Enable-CsTopology を呼び出してこの割り当てを有効にします。これを実行するために、例の最初のコマンドで、New-CsKerberosAccountAssignment を使用して "litwareinc\kerberostest" アカウントを Redmond サイトに関連付けます。次に 2 つ目のコマンドで、Enable-CsTopology を呼び出し、AD DS に必要な SPN を作成してこの新しい割り当てを有効にします。