New-CsKerberosAccount
上一次修改主题: 2012-03-25
创建一个用于 Internet 信息服务 (IIS) 身份验证的新 Kerberos 帐户。
语法
New-CsKerberosAccount -UserAccount <String> [-Confirm [<SwitchParameter>]] [-ContainerDN <String>] [-Force <SwitchParameter>] [-Report <String>] [-WhatIf [<SwitchParameter>]]
详细说明
在 Microsoft Office Communications Server 2007 和 Microsoft Office Communications Server 2007 R2 中,IIS 使用标准用户帐户运行。这有可能会导致问题:如果该密码过期,您可能无法使用 Web 服务,此问题通常难于诊断。为了帮助避免出现密码过期的问题,您可以通过 Microsoft Lync Server 2010 创建一个计算机帐户(用于实际上不存在的计算机),该帐户可充当站点中正运行 IIS 的所有计算机的身份验证主体。由于这些帐户使用 Kerberos 身份验证协议,因此称为 Kerberos 帐户,并且新的身份验证过程称为 Kerberos Web 身份验证。使您可以使用单个帐户管理所有 IIS 服务器。
要使用此身份验证主体运行服务器,必须首先使用 New-CsKerberosAccount cmdlet 创建一个计算机帐户;然后,将此帐户分配给一个或多个站点。完成分配后,可通过运行 Enable-CsTopology cmdlet 启用该帐户与 Lync Server 2010 站点之间的关联。此操作的功能之一是还可在 Active Directory 域服务 (AD DS) 中创建必需的服务主体名称 (SPN)。通过 SPN,客户端应用程序可以定位特定服务。
谁能运行此 cmdlet:只有域管理员才能在本地运行 New-CsKerberosAccount cmdlet。要返回分配了此 cmdlet 的所有基于角色的访问控制 (RBAC) 角色列表(包括您自己创建的任何自定义 RBAC 角色),请从 Windows PowerShell 提示符处运行以下命令:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "New-CsKerberosAccount\b"}
参数
| 参数 | 必需 | 类型 | 描述 |
|---|---|---|---|
ContainerDN |
可选 |
Active Directory 可分辨名称 |
在其中创建新帐户的 Active Directory 容器的可分辨名称。例如:-ContainerDN "ou=Finance,dc=litwareinc,dc=com"。如果未指定该参数,则 New-CsKerberosAccount 将在 Active Directory 中的“计算机”容器中创建新帐户。 |
UserAccount |
必需 |
字符串 |
新帐户的帐户名,采用“域名\用户名”格式。例如:-UserAccount "litwareinc\kerberostest"。请注意,如果已存在指定帐户,则命令将失败。 另请注意,尽管名称为 UserAccount,但通过运行 New-CsKerberosAccount 创建的帐户实际上是计算机帐户,而不是用户帐户。 |
Force |
可选 |
开关参数 |
禁止显示运行此命令时可能出现的任何非严重错误消息。 |
Report |
可选 |
字符串 |
使您可指定 cmdlet 运行时创建的日志文件的文件路径。例如:-Report "C:\Logs\KerberosAccount.html"。 |
WhatIf |
可选 |
开关参数 |
描述如果执行命令会发生什么情况(无需实际执行命令)。 |
Confirm |
可选 |
开关参数 |
在执行命令之前提示您进行确认。 |
输入类型
无。New-CsKerberosAccount 不接受通过管道传递的输入。
返回类型
New-CsKerberosAccount 创建 Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccount 对象的新实例。
示例
-------------------------- 示例 1 ------------------------
New-CsKerberosAccount -UserAccount "litwareinc\kerberostest" -ContainerDN "cn=Computers,dc=litwareinc,dc=com"
New-CsKerberosAccountAssignment -UserAccount "litwareinc\kerberostest" -Identity "site:Redmond"
Enable-CsTopology
在示例 1 中显示的命令创建了一个新 Kerberos 帐户 (litwareinc\kerberostest),然后将该帐户分配给 Redmond 站点。为执行此操作,此示例中的第一个命令创建一个帐户名为“litwareinc\kerberostest”的帐户。将在 Litwareinc.com 域中的“计算机”容器中创建该帐户。已创建帐户后,第二个命令使用 New-CsKerberosAccountAssignment 将该 Kerberos 帐户分配到 Redmond 站点。
进行新帐户分配后,最后一个命令调用 Enable-CsTopology,以便启用更改。