New-CsKerberosAccount
Tópico modificado em: 2012-03-25
Cria uma nova conta Kerberos usada para a autenticação do IIS (Serviços de Informações da Internet).
Sintaxe
New-CsKerberosAccount -UserAccount <String> [-Confirm [<SwitchParameter>]] [-ContainerDN <String>] [-Force <SwitchParameter>] [-Report <String>] [-WhatIf [<SwitchParameter>]]
Descrição Detalhada
No Microsoft Office Communications Server 2007 e no Microsoft Office Communications Server 2007 R2, o IIS era executado sob uma conta de usuário padrão. Isso poderia causar problemas: se a senha expirasse, você poderia perder seu Serviços Web, um problema muitas vezes difícil de diagnosticar. Para ajudar a evitar o problema de senhas que expiram, o Microsoft Lync Server 2010 permite a criação de uma conta de computador (para um computador que não existe de verdade) que pode servir como entidade de segurança de autenticação de todos os computadores em um site que executem o IIS. Como essas contas usam o protocolo de autenticação Kerberos, elas são conhecidas como contas Kerberos, e o novo processo de autenticação é conhecido como autenticação Web Kerberos. Isso permite o gerenciamento de todos os seus servidores do IIS usando uma conta única.
Para executar seus servidores Web sob essa entidade de segurança de autenticação, comece criando uma conta de computador usando o cmdlet New-CsKerberosAccount; essa conta será atribuída a um ou mais sites. Depois de feita a atribuição, a associação entre a conta e o site do Lync Server 2010 é habilitada com a execução do cmdlet Enable-CsTopology. Dentre outras coisas, isso cria o SPN (nome da entidade de serviço) necessário no Serviços de Domínio Active Directory (AD DS). Os SPNs oferecem uma maneira de os aplicativos cliente localizarem um serviço específico.
Quem pode executar este cmdlet: Você deve ser um administrador de domínio para executar o cmdlet New-CsKerberosAccount localmente. Para retornar uma lista de todas as funções do RBAC (controle de acesso baseado na função) atribuídas a este cmdlet (incluindo eventuais funções personalizadas do RBAC que você mesmo tenha criado), execute o comando a seguir no prompt do Windows PowerShell:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "New-CsKerberosAccount\b"}
Parâmetros
Parâmetro | Obrigatório | Tipo | Descrição |
---|---|---|---|
ContainerDN |
Opcional |
Nome diferenciado do Active Directory |
Nome diferenciado do contêiner do Active Directory em que a nova conta deve ser criada. Por exemplo: -ContainerDN "ou=Finance,dc=litwareinc,dc=com". Se este parâmetro não for especificado, New-CsKerberosAccount irá criar a nova conta no contêiner Computers do Active Directory. |
UserAccount |
Obrigatório |
Cadeia de caracteres |
Nome de conta da nova conta, usando o formato nome_de_dominio\nome_de_usuario. Por exemplo: -UserAccount "litwareinc\kerberostest". Observe que seu comando irá falhar se a conta especificada já existir. Observe também que, apesar do nome UserAccount, a conta é na verdade uma conta do computador, criada com New-CsKerberosAccount, e não uma conta de usuário. |
Force |
Opcional |
Parâmetros de opção |
Suprime a exibição de mensagens de erro não fatais que possam ocorrer na execução do comando. |
Report |
Opcional |
Cadeia de caracteres |
Permite especificar um caminho de arquivo para o arquivo de log criado quando o cmdlet é executado. Por exemplo: -Report "C:\Logs\KerberosAccount.html". |
WhatIf |
Opcional |
Parâmetros de opção |
Descreve o que aconteceria se o comando fosse executado sem ser executado de fato. |
Confirm |
Opcional |
Parâmetros de opção |
Solicita confirmação antes da execução do comando. |
Tipos de Entrada
Nenhuma. New-CsKerberosAccount não aceita entrada em pipeline.
Tipos de Retorno
New-CsKerberosAccount cria novas instâncias do objeto Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccount.
Exemplo
-------------------------- Exemplo 1 ------------------------
New-CsKerberosAccount -UserAccount "litwareinc\kerberostest" -ContainerDN "cn=Computers,dc=litwareinc,dc=com"
New-CsKerberosAccountAssignment -UserAccount "litwareinc\kerberostest" -Identity "site:Redmond"
Enable-CsTopology
Os comandos mostrados no Exemplo 1 criam uma nova conta Kerberos (litwareinc\kerberostest) e a atribuem ao site Redmond. Para isso, o primeiro comando no exemplo cria uma conta com o nome de conta "litwareinc\kerberostest". Essa conta será criada no contêiner Computers do domínio Litwareinc.com. Depois que a conta for criada, o segundo comando usará New-CsKerberosAccountAssignment para atribuir essa conta Kerberos ao site Redmond.
Depois de fazer a atribuição da nova conta, o último comando chama Enable-CsTopology para habilitar as alterações.