Exchange 2013 でのケルベロス認証の設定について

Exchange 2013 でケルベロス認証を利用する場合には、Exchange 2010 の場合と同様に、ASA (Alternate Service Account) の設定と SPN (Service Principal Name) の登録をしますが、CAS の役割のみインストールされているサーバーで設定するには、Set-ClientAccessServer だけでは設定できません。これは、CAS 上でコマンドレットを実行しても Exchange 管理シェル自体がメールボックス サーバーに接続している状態のためです。

そのため、以下のように実行する必要があります。

例: ここでは、ASA アカウントが contoso\asa、CAS が "E2013.contoso.local" です。

$cred = Get-Credential contoso\asa
$server = "E2013.contoso.local"
$session = CreateOrGetExchangeSession $server -targetServerUriParameter:$server
Invoke-Command -Session $session -Args ($cred,$server) -ScriptBlock {param($cred, $server) Set-ClientAccessServer $server -AlternateServiceAccountCredential $cred}

なお、ASA の資格情報は以下のレジストリに保存されます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeServiceHost\ServiceAccounts

この内容につきましては、下記の TechNet にも情報が記載されていますので、こちらもご参考ください。

Configuring Kerberos authentication for load-balanced Client Access servers
https://technet.microsoft.com/en-us/library/ff808312(v=exchg.150).aspx