New-CsKerberosAccount
トピックの最終更新日: 2012-03-25
インターネット インフォメーション サービス (IIS) 認証で使用する新しい Kerberos アカウントを作成します。
構文
New-CsKerberosAccount -UserAccount <String> [-Confirm [<SwitchParameter>]] [-ContainerDN <String>] [-Force <SwitchParameter>] [-Report <String>] [-WhatIf [<SwitchParameter>]]
解説
Microsoft Office Communications Server 2007 および Microsoft Office Communications Server 2007 R2 では、IIS を標準ユーザー アカウントで実行していました。これには、次の問題が発生する可能性がありました。標準ユーザー アカウントのパスワードの有効期限が切れると、Web サービスが失われる可能性があり、これは多くの場合、診断が困難な問題でした。パスワードの期限切れの問題を防ぐため、Microsoft Lync Server 2010 では、IIS を実行するサイト内の全コンピューターの認証プリンシパルとして機能できる (実際には存在しないコンピューター用の) コンピューター アカウントを作成することができます。これらのアカウントは Kerberos 認証プロトコルを使用するため、アカウントは Kerberos アカウントと呼ばれ、新しい認証プロセスが Kerberos Web 認証として認識されます。これにより、単一のアカウントを使用して、すべての IIS サーバーを管理することができます。
この認証プリンシパルでサーバーを実行するには、最初に New-CsKerberosAccount コマンドレットを使用してコンピューター アカウントを作成してから、このアカウントを 1 つ以上のサイトに割り当てる必要があります。この割り当てを行うと、Enable-CsTopology コマンドレットを実行して、このアカウントと Lync Server 2010 サイト間の関連付けができるようになります。特に重要なのは、これにより、必要なサービス プリンシパル名 (SPN) が Active Directory ドメイン サービス (AD DS) 内に作成されることです。SPN は、クライアント アプリケーションが特定のサービスを検出するためのものです。
このコマンドレットを実行できるユーザー:New-CsKerberosAccount コマンドレットをローカルで実行するには、ドメイン管理者である必要があります。このコマンドレットが割り当てられているすべての役割ベースのアクセス制御 (RBAC) の役割の一覧 (自身が作成したカスタムの RBAC の役割を含む) を戻すには、Windows PowerShell プロンプトから次のコマンドを実行します。
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "New-CsKerberosAccount\b"}
パラメーター
パラメーター | 必須かどうか | 型 | 説明 |
---|---|---|---|
ContainerDN |
省略可能 |
Active Directory の識別名 |
新しいアカウントを作成する Active Directory コンテナーの識別名。次に例を示します。-ContainerDN "ou=Finance,dc=litwareinc,dc=com"。このパラメーターを指定しない場合、New-CsKerberosAccount により、Active Directory 内の Computers コンテナー内に新しいアカウントが作成されます。 |
UserAccount |
必須 |
文字列 |
新しいアカウントのアカウント名。domain_name\user_name の形式を使用します。次に例を示します。-UserAccount "litwareinc\kerberostest"。指定のアカウントが既に存在する場合、コマンドは失敗します。 また、UserAccount という名前ではあっても、New-CsKerberosAccount を実行して作成されるアカウントは実際にはコンピューター アカウントであり、ユーザー アカウントではありません。 |
Force |
省略可能 |
スイッチ パラメーター |
コマンド実行中に発生する可能性のある、致命的ではないすべてのエラー メッセージを表示しないようにします。 |
Report |
省略可能 |
文字列 |
コマンドレット実行時に作成されるログ ファイルのファイル パスを指定できるようにします。次に例を示します。-Report "C:\Logs\KerberosAccount.html"。 |
WhatIf |
省略可能 |
スイッチ パラメーター |
実際にコマンドを実行せずに、コマンドの実行結果がわかります。 |
Confirm |
省略可能 |
スイッチ パラメーター |
コマンドの実行前に確認メッセージを表示します。 |
入力の種類
なし。New-CsKerberosAccount は、パイプライン処理された入力を受け入れません。
戻り値の種類
New-CsKerberosAccount は、Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccount オブジェクトの新しいインスタンスを作成します。
例
-------------------------- 例 1 ------------------------
New-CsKerberosAccount -UserAccount "litwareinc\kerberostest" -ContainerDN "cn=Computers,dc=litwareinc,dc=com"
New-CsKerberosAccountAssignment -UserAccount "litwareinc\kerberostest" -Identity "site:Redmond"
Enable-CsTopology
例 1 に示すコマンドでは、新しい Kerberos アカウント (litwareinc\kerberostest) を作成して Redmond サイトに割り当てます。これを実行するため、例の最初のコマンドでは、"litwareinc\kerberostest" というアカウント名のアカウントを作成します。このアカウントは、Litwareinc.com ドメインの Computers コンテナー内に作成されます。アカウントが作成された後、2 番目のコマンドでは、New-CsKerberosAccountAssignment を使用してその Kerberos アカウントを Redmond サイトに割り当てます。
新しいアカウントの割り当てを行った後、最後のコマンドでは、Enable-CsTopology を呼び出して変更を有効にします。