Set-CsKerberosAccountAssignment
上一次修改主题: 2012-04-23
将 Kerberos 帐户(用于 IIS 信息服务 (IIS) 身份验证)与站点关联。
语法
Set-CsKerberosAccountAssignment [-Identity <XdsIdentity>] [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-UserAccount <String>] [-WhatIf [<SwitchParameter>]]
Set-CsKerberosAccountAssignment [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Instance <PSObject>] [-UserAccount <String>] [-WhatIf [<SwitchParameter>]]
详细说明
在 Microsoft Office Communications Server 2007 和 Microsoft Office Communications Server 2007 R2 中,IIS 使用标准用户帐户运行。这有可能会导致问题:如果该密码过期,您可能无法使用 Web 服务,此问题通常难于诊断。为了帮助避免出现密码过期的问题,您可以通过 Microsoft Lync Server 2010 创建一个计算机帐户(用于实际上不存在的计算机),该帐户可充当站点中正运行 IIS 的所有计算机的身份验证主体。由于这些帐户使用 Kerberos 身份验证协议,因此称为 Kerberos 帐户,并且新的身份验证过程称为 Kerberos Web 身份验证。使您可以使用单个帐户管理所有 IIS 服务器。
要使用此新身份验证主体运行服务器,必须首先使用 New-CsKerberosAccount cmdlet 创建一个计算机帐户;然后,将此帐户分配给一个或多个站点。完成分配后,可通过运行 Enable-CsTopology cmdlet 启用该帐户与 Lync Server 2010 站点之间的关联。此操作的功能之一是还可在 Active Directory 域服务 (AD DS) 中创建必需的服务主体名称 (SPN)。SPN 为客户端应用程序提供了一种查找特定服务的方式。
通过 Set-CsKerberosAccountAssignment cmdlet 可更改向给定站点分配的 Kerberos 帐户。此 cmdlet 用于已经与某个帐户关联的站点。要向当前没有与某个 Kerberos 帐户关联的站点分配帐户,请改用 New-CsKerberosAccountAssignment cmdlet。
谁能运行此 cmdlet:默认情况下,以下各组的成员有权在本地运行 Set-CsKerberosAccountAssignment cmdlet:RTCUniversalServerAdmins。要返回分配了此 cmdlet 的所有基于角色的访问控制 (RBAC) 角色列表(包括您自己创建的任何自定义 RBAC 角色),请从 Windows PowerShell 提示符处运行以下命令:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Set-CsKerberosAccountAssignment"}
参数
| 参数 | 必需 | 类型 | 描述 |
|---|---|---|---|
Identity |
必需 |
字符串 |
已分配 Kerberos 帐户的站点的唯一标识符。(这是站点的 Identity,而非计算机帐户的 Identity。)例如:-Identity "site:Redmond"。 |
UserAccount |
必需 |
字符串 |
要分配的帐户的名称,使用格式 domain_name\user_name。例如:-UserAccount "litwareinc\kerberostest"。帐户的用户名部分 (kerberostest) 是一个 NETBIOS 名称,最多可以包含 15 个字符。 请注意,尽管可以使用名称 UserAccount,但该帐户实际上是计算机帐户,而不是用户帐户。 |
Instance |
可选 |
Kerberos 帐户分配对象 |
允许您将对对象的引用传递到 cmdlet,而不是设置单个参数值。 |
Force |
可选 |
开关参数 |
禁止显示运行此命令时可能出现的任何非严重错误消息。 |
WhatIf |
可选 |
开关参数 |
描述如果执行命令会发生什么情况(无需实际执行命令)。 |
Confirm |
可选 |
开关参数 |
在执行命令之前提示您进行确认。 |
输入类型
Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment 对象。Set-CsKerberosAccountAssignment 接受通过管道传递的 Kerberos 帐户分配对象的实例。
返回类型
Set-CsKerberosAccountAssignment 不会返回任何对象或值。此 cmdlet 修改 Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment 对象的现有实例。
示例
-------------------------- 示例 1 ------------------------
Set-CsKerberosAccountAssignment -UserAccount "litwareinc\keberostest" -Identity "site:Redmond"
Enable-CsTopology
示例 1 中显示的命令将现有 Kerberos 帐户 (litwareinc\keberostest) 与 Redmond 站点关联,然后使用 Enable-CsTopology 启用新关联。为执行此操作,示例中的第一个命令用 Set-CsKerberosAccountAssignment 将帐户 litwareinc\keberostest 与 Redmond 站点关联;然后,第二个命令调用 Enable-CsTopology 在 Active Directory 中创建所需的服务主体名称,并启用经过修改的帐户分配。