Criar uma conta de autenticação Kerberos

 

Tópico modificado em: 2012-04-06

Para concluir com êxito o procedimento Para criar uma conta Kerberos, você deve estar conectado ao servidor ou domínio no mínimo como membro do grupo Administradores de Domínio. Caso sua infraestrutura do Serviços de Domínio Active Directory (AD DS) esteja bloqueada ou protegida, é possível que os cmdlets Windows PowerShell que automatizam a criação da conta Kerberos não funcionem corretamente e falhem. Se você estiver trabalhando em um Active Directory bloqueado, consulte o procedimento a seguir para criar uma conta Kerberos denominado Para criar manualmente uma conta Kerberos.

Você pode criar contas de autenticação Kerberos para cada site ou pode criar uma única conta de autenticação Kerberos e usá-la em todos os sites. Use os cmdlets Windows PowerShell para criar e gerenciar contas, inclusive a identificação de contas atribuídas a cada site. O Construtor de Topologias e o Painel de Controle do Lync Server 2010 não exibem contas de autenticação Kerberos. Use o procedimento a seguir para criar uma ou mais contas de computador a serem usadas para autenticação Kerberos.

Para criar uma conta Kerberos

1. Como membro do grupo de Administradores de Domínio, faça o login em um computador do domínio executando o Lync Server 2010 ou em um computador onde as ferramentas administrativas estão instaladas.

2. Inicie o Shell de Gerenciamento do Lync Server: clique em Iniciar, em Todos os Programas, em Microsoft Lync Server 2010 e em Shell de Gerenciamento do Lync Server.

3. Na linha de comando, execute o seguinte comando:

   New-CsKerberosAccount -UserAccount "Domain\ComputerAccount" -ContainerDN "CN=Computers,DC=DomainName,DC=DomainExtension"
   

   Por exemplo:

   New-CsKerberosAccount -UserAccount "Contoso\KerbAuth" -ContainerDN "CN=Computers,DC=contoso,DC=com"
   

4. Confirme se o objeto Computer foi criado, abra os Usuários e Computadores do Active Directory, expanda o contêiner Usuários e confirme se o objeto Computer da conta Kerberos está no contêiner.

   Observação:

   Inicialmente, pode ser confuso entender que você deve criar um objeto de computador quando o parâmetro para o cmdlet claramente indica que você está criando uma conta de usuário. Na hierarquia do Active Directory, o objeto de usuário é herdado do objeto de computador, tornando os dois tipos de conta muito semelhantes. Uma grande diferença é que a conta de usuário tem uma senha expira por padrão e a conta de computador tem um mecanismo de senha completamente diferente. O comportamento dessa última é o melhor motivo para usar uma conta de computador em vez de uma conta de usuário.

Para criar manualmente uma conta Kerberos

1. Em uma infraestrutura segura ou bloqueada do Serviços de Domínio Active Directory (AD DS), execute estes procedimentos.

   Aviso:
   O procedimento a seguir exige que você tenha as ferramentas de administração de servidor remoto instaladas ou que esteja trabalhando localmente ou remotamente com o recurso Ferramentas do AD DS instalado.

2. Como membro do grupo de Administradores de Domínio, faça o login em um computador do domínio executando o Lync Server 2010 ou em um computador onde as ferramentas administrativas estão instaladas.

3. Clique em Iniciar, em Ferramentas Administrativas, execute os Usuários e Computadores do Active Directory.

4. Em Usuários e Computadores do Active Directory, crie a conta de computador na UO (unidade organizacional) apropriada ou no contêiner de Computadores.

5. Para acessar a guia Segurança da conta de usuário, em Usuários e Computadores do Active Directory, clique em Exibir e em Recursos Avançados. Os Recursos Avançados agora deve têm uma marca de verificação para indicar que estão selecionados.

6. Na unidade organizacional ou no contêiner de Computadores, clique com o botão direito do mouse na conta de computador que você criou e selecione Propriedades. Selecione a guia Segurança. Na guia Segurança, clique em Avançado.

7. Na guia Configurações de Segurança Avançadas da conta de computador selecionada, clique em Adicionar. Na caixa de diálogo Selecionar Usuário, Conta de Serviço de Computador ou Grupo, digite RTCUniversalServerAdmins em Digite o nome do objeto a ser selecionado. Clique em Verificar Nomes. Se isso for bem-sucedido, clique em OK.

8. Selecione a guia Objeto na caixa de diálogo Entrada de Permissão da conta do computador. Clique na lista suspensa Aplicar a e selecione Apenas este objeto.

9. No painel de seleção de Permissões, selecione as seguintes permissões:

   Permissão	Permitir ou Negar	Herança	Aplicar a
   Alterar Senha	Permitir	Não herdado	Apenas este objeto
   Redefinir Senha	Permitir	Não herdado	Apenas este objeto
   Permissões de Leitura	Permitir	Não herdado	Apenas este objeto
   Gravar servicePrincipalName	Permitir	Não herdado	Apenas este objeto

10. Clique em OK três vezes para fechar as caixas de diálogo. Feche e saia dos Usuários e Computadores do Active Directory.

11. Clique em Iniciar, em Ferramentas Administrativas e execute o ADSI Edit.

12. Com o botão direito do mouse no ADSI Edit, selecione Conectar a e selecione Selecione um Contexto de Nomenclatura bem conhecido. Selecione Contexto de nomenclatura padrão na lista. Clique em OK.

13. Na unidade organizacional ou contêiner onde se encontra o objeto de computador, clique com o botão direito do mouse no objeto de computador e selecione Propriedades.

14. Na guia Editor de Atributos, localize o atributo userAccountControl e clique em Editar.

15. O Editor de Atributos de Inteiro exibe o valor inteiro de userAccountControl. Altere o valor para 69664. O valor inteiro mostrado define os sinalizadores de PASSWD_NOTREQD, WORKSTATION_TRUST_ACCOUNT e DON'T_EXPIRE_PASSWD.

16. Clique em OK para confirmar a alteração para o atributo. Feche o ADSI Edit.