Condividi tramite

Utilizzo di Kerberos con un array del server Accesso client o una soluzione con carico bilanciato

  • Articolo

 

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2016-11-28

Per le distribuzioni di Microsoft Exchange Server 2010 con più server Accesso client in un sito Active Directory, la topologia richiederà spesso un array del server Accesso client e una soluzione con carico bilanciato per distribuire il traffico tra tutti i server Accesso client del sito. Per ulteriori informazioni sull' array Accesso client, vedere Informazioni su Accesso client RPC. Per ulteriori informazioni sul bilanciamento del carico, vedere Informazioni su bilanciamento del carico in Exchange 2010.

Utilizzo dell'autenticazione Kerberos

In genere, i client di posta dei computer aggiunti al dominio all'interno della rete utilizzano l'autenticazione NTLM. In alcuni casi, potrebbe essere necessario utilizzare l'autenticazione Kerberos. Questa operazione deve essere eseguita solo se necessaria, perché Kerberos presenta altre difficoltà in termini di installazione e implementazione. Per ulteriori informazioni su Kerberos, vedere Kerberos Enhancements e Microsoft Kerberos.

Nota

Kerberos può essere utilizzata solo per i computer aggiunti al dominio all'interno della rete, compresi i client connessi tramite una rete VPN. Per le connessioni esterne alla rete, ad esempio Outlook Anywhere, Kerberos non è supportata.

Per l'organizzazione di Exchange 2010, potrebbe essere necessario utilizzare l'autenticazione Kerberos per i seguenti motivi: 

  • L'autenticazione Kerberos è necessaria per il criterio di sicurezza locale.

  • Si rilevano o si prevedono problemi legati alla scalabilità NTLM, ad esempio, quando la connettività MAPI diretta al servizio Accesso client RPC causa interruzioni NTLM intermittenti.

    Nelle distribuzioni dei clienti su larga scala, NTLM può causare colli di bottiglia sui server Accesso client che possono portare a sporadici errori di autenticazione. Nei servizi che utilizzano l'autenticazione NTLM si verificano problemi di latenza di Active Directory. Questi causano errori di autenticazione quando si rilevano aumenti nel numero di richieste del server Accesso client.

Per configurare l'autenticazione Kerberos, è necessario avere dimestichezza con Active Directory e l'installazione degli array del server Accesso client ed è necessario avere una conoscenza approfondita di Kerberos.

Problemi con Kerberos e i server Accesso client con carico bilanciato

Quando i server Accesso client sono bilanciati o fanno parte di un array del server Accesso client, i client configurati con l'autenticazione NTLM si connetteranno senza problemi. Tuttavia, l'utilizzo di Kerberos richiede un'ulteriore installazione, problematica prima di Exchange 2010 Service Pack 1 (SP1).

In una topologia con un servizio di bilanciamento del carico o con un array Accesso client, un client non si connette a un singolo server in base al nome, ma in base al nome dell'array o del servizio di bilanciamento del carico. Questo impedisce l'autenticazione Kerberos, a meno che non vengano eseguite ulteriori operazioni di configurazione.

Quando si utilizza Kerberos, il primo passo della configurazione è la creazione di un array di nomi principali del servizio (SPN) specifici per i servizi Accesso client. Una volta installato l'array, i client di posta elettronica configurati per utilizzare l'autenticazione Negotiate tenteranno di eseguire l'autenticazione Kerberos. Otterranno i ticket di servizio Kerberos nel contesto dell'array e li presenteranno al server Accesso client. Tuttavia, su qualsiasi server Accesso client, i servizi di Exchange vengono eseguiti nel contesto dell'account di sistema locale o Servizio di rete e tenteranno di autenticare i ticket di servizio Kerberos in questi contesti, invece che nel contesto dell'array. Ciò causa una mancata corrispondenza di contesto e genera un errore di autenticazione Kerberos. A causa della maggiore sicurezza di Kerberos, i client configurati per eseguire l'autenticazione Negotiate non utilizzeranno automaticamente l'autenticazione NTLM e torneranno all'impostazione predefinita utilizzando Outlook Anywhere, se disponibile, o non riusciranno a eseguire l'autenticazione e a connettersi.

Per una corretta autenticazione Kerberos, il membro dell'array del server Accesso client deve utilizzare una credenziale alternativa condivisa da tutti i membri dell'array. La credenziale deve anche essere associata ai nomi principali del servizio (SPN) specifici per l'array. Questa credenziale condivisa può essere un account computer o di servizio e deve essere nota a ogni server Accesso client all'interno dell'array. In genere, le organizzazioni richiedono la modifica periodica delle password di account. Ciò richiede un'attività costante di distribuzione e aggiornamento della credenziale condivisa a tutti i server Accesso client. Prima di Exchange 2010 SP1, né Windows Server 2008 né Microsoft Exchange disponevano di una soluzione a questo problema.

Nota

Anche se questa analisi si riferisce a un servizio di bilanciamento del carico e a un array del server Accesso client, qualsiasi infrastruttura o configurazione di rete che non porti alla connessione diretta dei client a uno specifico server Accesso client presenterà gli stessi problemi di autenticazione. Altri esempi di questa configurazione comprendono i server Accesso client con bilanciamento del carico round robin DNS e i server Accesso client con record DNS personalizzati. La seguente soluzione è progettata per semplificare la distribuzione della credenziale di account del servizio alternativo ai membri di un array del server Accesso client o ai server Accesso client dietro un servizio di bilanciamento del carico di rete. Non è progettata per l'utilizzo delle configurazioni in cui i server Accesso client non sono configurati in un array Accesso client.

Soluzione

Per risolvere questo problema, deve esistere una credenziale condivisa utilizzabile da tutti i server Accesso client dell'array o dietro il servizio di bilanciamento del carico. Questa credenziale è nota come credenziale di account del servizio alternativo (credenziale ASA) e può essere un account di servizio del computer o dell'utente. Per distribuire questa credenziale di account del servizio alternativo a tutti i server Accesso client, è stata implementata una tripla soluzione in Exchange 2010 SP1.

L'host di servizio per i server Accesso client è stato esteso all'utilizzo di una credenziale condivisa per l'autenticazione Kerberos. Questa estensione dell'host di servizio esegue il monitoraggio del computer locale. Quando le credenziali vengono aggiunte o rimosse, vengono aggiornati il pacchetto di autenticazione Kerberos sul sistema locale e il contesto del servizio di rete. Non appena viene aggiunta al pacchetto di autenticazione, tutti i servizi Accesso client possono utilizzare la credenziale per l'autenticazione Kerberos. Oltre all'utilizzo della credenziale condivisa, il server Accesso client potrà anche autenticare le richieste di servizio indirizzate direttamente. Questa estensione, nota come servicelet, viene eseguita per impostazione predefinita e non richiede alcuna configurazione o azione.

La credenziale condivisa e la password possono essere ottenute e impostate utilizzando Exchange Management Shell. In questo modo, la credenziale può essere impostata da un computer remoto. La credenziale viene impostata archiviando la credenziale nel Registro di sistema del computer di destinazione per l'utilizzo da parte dell'host di servizio. Impostare la credenziale utilizzando il cmdlet Set-ClientAccessServer con il nuovo parametro AlternateServiceAccountCredential. Una volta impostata la password, la credenziale condivisa consente ai servizi Accesso client di eseguire l'autenticazione Kerberos per i client connessi alla rete Intranet. Per ulteriori informazioni sul cmdlet Set-ClientAccessServer, vedere Set-ClientAccessServer.

È stato creato uno script di gestione per automatizzare la distribuzione della credenziale condivisa a tutti i server Accesso client specificati nell'ambito dello script. Questo script è il metodo consigliato per utilizzare e gestire una credenziale condivisa per l'autenticazione Kerberos dell'array del server Accesso client. Lo script fornisce un metodo automatico per utilizzare il cmdlet Set-ClientAccessServer e facilitare le seguenti attività:

  • Installazione iniziale   La credenziale ASA è impostata su tutti i server Accesso client all'interno di un array o di una foresta.

  • Rollover della password   Una nuova password per la credenziale ASA viene creata ed estesa a tutti i server Accesso client, oltre all'aggiornamento di Active Directory.

  • Aggiunta di uno o più computer a un array del server Accesso client   La credenziale ASA viene copiata da un server esistente e distribuita ad altri server in modo che possano eseguire l'autenticazione Kerberos con la credenziale e la password correnti.

  • Manutenzione costante   Viene creata un'attività pianificata per attivare regolarmente la password utilizzando un metodo automatico.

Per ulteriori informazioni

Per ulteriori informazioni su come configurare l'autenticazione Kerberos per i server Accesso client con carico bilanciato, vedere Configurazione dell'autenticazione Kerberos per i server Accesso client con bilanciamento del carico.

Per ulteriori informazioni sullo script RollAlternateServiceAccountCredential.ps1, vedere Utilizzo dello script RollAlternateserviceAccountCredential.ps1 in Shell.

 ©2010 Microsoft Corporation. Tutti i diritti riservati.