New-CsKerberosAccount
Última modificación del tema: 2012-03-25
Crea una nueva cuenta de Kerberos usada para la autenticación de Internet Information Service (IIS).
Sintaxis
New-CsKerberosAccount -UserAccount <String> [-Confirm [<SwitchParameter>]] [-ContainerDN <String>] [-Force <SwitchParameter>] [-Report <String>] [-WhatIf [<SwitchParameter>]]
Descripción detallada
En Microsoft Office Communications Server 2007 y Microsoft Office Communications Server 2007 R2, IIS se ejecutó en una cuenta de usuario estándar. Esto podía provocar problemas: si la contraseña expiraba se podía perder el Servicios web, un problema generalmente difícil de diagnosticar. Para evitar el problema de expiración de contraseñas, Microsoft Lync Server 2010 permite crear una cuenta de equipo (para un equipo que no existe realmente) capaz de funcionar como entidad de seguridad de autenticación para todos los equipos de un sitio que ejecuten IIS. Dado que estas cuentas usan el protocolo de autenticación Kerberos, se llaman cuentas Kerberos y el nuevo proceso de autenticación se denomina autenticación web Kerberos. Esto permite administrar todos los servidores IIS por medio del uso de una sola cuenta.
Para ejecutar los servidores con esta entidad de seguridad de autenticación, se debe crear primero una cuenta de equipo con el cmdlet New-CsKerberosAccount; a continuación, la cuenta se asigna a uno o más sitios. Tras realizar la asignación, se habilita la asociación entre la cuenta y el sitio Lync Server 2010 ejecutando el cmdlet Enable-CsTopology. Esta acción crea, entre otros, el nombre principal de servicio (SPN) en Active Directory Domain Services (AD DS). Los SPN ofrecen un modo para que las aplicaciones cliente ubiquen un servicio particular.
Quiénes pueden ejecutar este cmdlet: Debe ser administrador de dominios para ejecutar el cmdlet New-CsKerberosAccount localmente. Para obtener una lista de todos los roles de control de acceso basado en roles (RBAC) que se han asignado a este cmdlet (incluidos los roles personalizados RBAC que haya creado usted), ejecute el siguiente comando en el aviso de Windows PowerShell:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "New-CsKerberosAccount\b"}
Parámetros
| Parámetro | Requerido | Tipo | Descripción |
|---|---|---|---|
ContainerDN |
Opcional |
Nombre distintivo de Active Directory |
Nombre distintivo de un contenedor de Active Directory en el que se va a crear la nueva cuenta. Por ejemplo: -ContainerDN "ou=Finance,dc=litwareinc,dc=com". Si no se especifica este parámetro, New-CsKerberosAccount creará la nueva cuenta en el contenedor de equipos de Active Directory. |
UserAccount |
Requerido |
Cadena de caracteres |
Nombre de cuenta para la nueva cuenta, con el formato nombre_dominio\nombre_usuario. Por ejemplo: -UserAccount "litwareinc\kerberostest". Tenga en cuenta que si la cuenta especificada ya existe, el comando producirá un error. Además, tenga en cuenta que, a pesar del nombre UserAccount, la cuenta que se creó al ejecutar New-CsKerberosAccount realmente es una cuenta de equipo, no de usuario. |
Force |
Opcional |
Parámetro modificador |
Suprime la visualización de los mensajes de error que no sean graves y que puedan producirse al ejecutar el comando. |
Report |
Opcional |
Cadena de caracteres |
Le permite especificar una ruta de acceso para el archivo de registro creado cuando se ejecuta el cmdlet. Por ejemplo: -Report "C:\Logs\KerberosAccount.html". |
WhatIf |
Opcional |
Parámetro modificador |
Describe lo que ocurriría si se ejecutara el comando sin ejecutarlo realmente. |
Confirm |
Opcional |
Parámetro modificador |
Solicita confirmación antes de ejecutar el comando. |
Tipos de entrada
Ninguno. New-CsKerberosAccount no acepta entradas canalizadas.
Tipos de valores devueltos
New-CsKerberosAccount crea nuevas instancias del objeto Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccount.
Ejemplo
-------------------------- Ejemplo 1 --------------------------
New-CsKerberosAccount -UserAccount "litwareinc\kerberostest" -ContainerDN "cn=Computers,dc=litwareinc,dc=com"
New-CsKerberosAccountAssignment -UserAccount "litwareinc\kerberostest" -Identity "site:Redmond"
Enable-CsTopology
Los dos comandos que se muestran en el Ejemplo 1 crean una nueva cuenta de Kerberos (litwareinc\kerberostest) y, luego, asignan esa cuenta al sitio de Redmond. Para hacerlo, el primer comando que aparece en el ejemplo crea una cuenta con el nombre de cuenta "litwareinc\kerberostest". esta cuenta se creará en el contenedor Equipos del dominio Litwareinc.com. Después de que se haya creado la cuenta, el segundo comando usa New-CsKerberosAccountAssignment para asignar esa cuenta de Kerberos al sitio de Redmond.
Después de que realice la asignación de la nueva cuenta, el último comando llama a Enable-CsTopology para habilitar los cambios.