Usar Kerberos com uma matriz de servidor de Acesso para Cliente ou uma solução de balanceamento de carga

  • Artigo

 

Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Tópico modificado em: 2016-11-28

Para implantações do Microsoft Exchange Server 2010 que têm mais de um servidor de Acesso para Cliente em um site do Active Directory, a topologia geralmente exigirá uma matriz de servidor de Acesso para Cliente e uma solução de balanceamento de carga para distribuir o tráfego entre todos os servidores de Acesso para Cliente no site. Para obter mais informações sobre as matrizes do servidor de Acesso para Cliente, consulte Noções Básicas Sobre o Acesso para Cliente RPC. Para mais informações sobre o balanceamento de carga, consulte Noções Básicas do Balanceamento de Carga no Exchange 2010.

Usar a autenticação Kerberos

Normalmente, os clientes de email em computadores associados a um domínio dentro de sua rede usam a autenticação NTLM. Em algumas circunstâncias, você talvez tenha que usar a autenticação Kerberos. Isso somente deve ser feito caso seja requisitado, pois o Kerberos apresenta desafios adicionais para a instalação e implantação. Para mais informações sobre o Kerberos, consulte Melhorias do Kerberos e Microsoft Kerberos.

Dica

O Kerberos pode ser usado apenas para computadores associados a um domínio dentro de sua rede. Isto inclui os clientes conectados via uma VPN. Para conexões fora da rede, como o Outlook Anywhere, o Kerberos não é suportado.

Você talvez tenha que usar a autenticação Kerberos em sua organização do Exchange 2010 pelos motivos a seguir: 

  • A autenticação Kerberos é necessária para sua diretiva de segurança local.

  • Você está passando ou está se antecipando a problemas de escalabilidade de NTLM, por exemplo, quando a conectividade MAPI direta ao serviço de Acesso para Cliente RPC causa falhas de NTLM intermitentes.

    Em implantações de cliente em larga escala, o NTLM talvez cause afunilamentos nos servidores de Acesso para Cliente que podem levar a falhas de autenticação esporádicas. Os serviços que usam a autenticação NTLM são mais sensíveis aos problemas de latência do Active Directory. Estes problemas levam a falhas de autenticação quando são encontrados aumentos na taxa de solicitações de servidor de Acesso para Cliente.

Para configurar a autenticação Kerberos, você precisa estar familiarizado com o Active Directory e com a instalação das matrizes de servidor de Acesso para Cliente. Além disso, você deve conhecer o funcionamento do Kerberos.

Problemas com Kerberos e servidores de Acesso para Cliente com carga balanceada

Quando os servidores de Acesso para Cliente estiverem com a carga balanceada ou forem parte de uma matriz de servidor de Acesso para Cliente, os clientes configurados com a autenticação NTLM farão sua conexão sem quaisquer problemas. No entanto, o uso do Kerberos requer configuração adicional e causou problemas antes do Exchange 2010 Service Pack 1 (SP1).

Em uma topologia com um balanceador de carga ou uma matriz de Acesso para Cliente, o cliente não se conecta a um servidor individual por nome, mas sim pelo nome da matriz ou do balanceador de carga. Isto impede a autenticação Kerberos, a menos que sejam seguidas etapas de configurações adicionais.

Ao usar Kerberos, a primeira etapa de configuração é instalar uma matriz de SPNs (Nomes da entidade de serviço) específicos para os serviços de acesso para cliente. Assim que a matriz esteja instalada, os clientes de email que foram configurados para usar a autenticação Negotiate tentarão executar a autenticação Kerberos. Eles conseguirão os tíquetes de serviço Kerberos relacionados à matriz e os apresentarão ao servidor de Acesso para cliente. Contudo, em qualquer servidor de Acesso para cliente particular, os serviços do Exchange são executados tanto no contexto do sistema local ou conta de serviço da rede e tentarão fazer a autenticação dos tíquetes de serviço Kerberos em tais contextos, em vez de o fazer no contexto da matriz. Isto leva à incompatibilidade de contexto e resulta em falha de autenticação Kerberos. Por causa da segurança aprimorada do Kerberos, os clientes configurados para executar a autenticação Negotiate não vão simplesmente retornar para a autenticação NTLM; em vez disso, terão como padrão o uso do Outlook, se disponível, ou falharão na autenticação e conexão.

Para que a autenticação Kerberos tenha êxito, a matriz de servidor de Acesso para Cliente deve usar uma credencial alternativa que é compartilhada por todos os membros da matriz. A credencial deve também estar associada aos SPNs específicos da matriz. Esta credencial compartilhada pode ser tanto uma conta de computador quanto uma conta de serviço, devendo ser conhecida por todos os servidores de Acesso para Cliente na matriz. Normalmente, as organizações exigem que as senhas das contas sejam alteradas periodicamente. Isto torna necessária uma tarefa contínua de distribuição e atualização desta credencial compartilhada para todos os servidores de Acesso para Cliente. Antes do Exchange 2010 SP1, nem o Windows Server 2008 ou o Microsoft Exchange tinham uma solução para este problema.

Dica

Embora essa discussão se refira a um balanceador de carga de rede e a uma matriz de servidor de Caixa de correio, quaisquer infraestruturas ou configurações de rede que não façam com que o cliente se conecte diretamente a um servidor específico de Acesso para Cliente enfrentarão estes mesmos problemas de autenticação. Outros exemplos desta configuração incluem os servidores de Acesso para Cliente com balanceamento de carga de round robin de DNS, além dos servidores de Acesso para Cliente com registros DNS personalizados. A solução a seguir é designada para simplificar a distribuição das credenciais alternativas de conta de serviço aos membros de uma matriz de servidor de Acesso para Cliente ou de servidores de Acesso para Cliente por trás de um balanceador de carga de rede. Essa solução não é feita para funcionar com configurações nas quais os servidores de Acesso para Cliente não estejam configurados em uma matriz de Acesso para Cliente.

A solução

Para resolver este problema, é preciso que haja uma credencial compartilhada que possa ser usada por todos os servidores de Acesso para Cliente na matriz ou por trás do balanceador de carga. Esta credencial é conhecida como credencial de conta de serviço alternativa(credencial ASA) e pode ser tanto uma conta de computador quanto uma conta de serviço de usuário. Para distribuir esta credencial de conta de serviço alternativa para todos os servidores de Acesso para Cliente, uma solução de três partes foi implementada no Exchange 2010 SP1.

O host de serviço de servidor de Acesso para Cliente foi extendido para usar uma credencial compartilhada para a autenticação Kerberos. Esta extensão do host de serviço monitora a máquina local. Quando se adicionam ou removem credenciais, o pacote de autenticação Kerberos no sistema local e contexto de serviço de rede é atualizado. Assim que uma credencial é adicionada ao pacote de autenticação, todos os serviços de Acesso para Cliente conseguem usá-la para a autenticação Kerberos O servidor de Acesso para cliente também poderá fazer a autenticação de solicitações de serviços enviadas diretamente, além de poder usar a credencial compartilhada. Estas extensão, conhecida como servicelet, é executada por padrão e não requer nenhuma configuração ou ação para sua execução.

A credencial e a senha compartilhadas podem ser obtidas e definidas usando o Shell de Gerenciamento do Exchange. Isso faz com que a credencial possa ser definida a partir de um computador remoto. A credencial é definida ao se armazenar a credencial no registro do computador de destino para consumo pelo host de serviço. Você define a credencial usando o cmdlet Set-ClientAccessServer com o novo parâmetro AlternateServiceAccountCredential. Após a definição da senha da credencial compartilhada, essa credencial permitirá que os serviços de Acesso para Cliente façam a autenticação Kerberos para clientes conectados na Intranet. Para mais informações sobre o cmdlet Set-ClientAccessServer, consulte Set-ClientAccessServer.

Um script de gerenciamento foi criado como auxílio para automatizar a distribuição da credencial compartilhada para todos os servidores de Acesso para Cliente especificados no escopo do script. Este script é a maneira recomendada de utilizar e manter uma credencial compartilhada para a autenticação Kerberos da matriz de servidores de Acesso para Cliente. O script proporciona um modo automatizado para utilizar o cmdlet Set-ClientAccessServer a fim de facilitar as seguintes tarefas:

  • Configuração inicial   A credencial ASA está definida em todos os servidores de Acesso para Cliente em uma matriz ou floresta.

  • Substituição de senha   Uma nova senha para a credencial ASA é gerada e passada para todos os servidores de Acesso para Cliente, além de atualizar o Active Directory.

  • Adicionar um ou mais computadores para uma matriz de servidor de Acesso para Cliente   A credencial ASA é copiada de um servidor já existente e então distribuída para outros servidores, de forma que eles possam realizar a autenticação Kerberos com a credencial e a senha atuais.

  • Manutenção contínua   Uma tarefa agendada é criada para trocar regularmente a senha utilizando um método automático.

Para mais informações

Para obter mais informações sobre como configurar a autenticação Kerberos para os servidores de Acesso para Cliente com balanceamento de carga, consulte Configurando a Autenticação Kerberos para Servidores de Acesso para Cliente com Balanceamento de Carga.

Para mais informações sobre o script RollAlternateServiceAccountCredential.ps1, consulte Usando o Script RollAlternateserviceAccountCredential.ps1 no Shell.

 © 2010 Microsoft Corporation. Todos os direitos reservados.