Set-CsKerberosAccountAssignment
上次修改主題的時間: 2012-04-23
讓用於 IIS Internet Information Services (IIS) 驗證的 Kerberos 帳戶與網站產生關聯。
語法
Set-CsKerberosAccountAssignment [-Identity <XdsIdentity>] [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-UserAccount <String>] [-WhatIf [<SwitchParameter>]]
Set-CsKerberosAccountAssignment [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Instance <PSObject>] [-UserAccount <String>] [-WhatIf [<SwitchParameter>]]
詳細描述
在 Microsoft Office Communications Server 2007 和 Microsoft Office Communications Server 2007 R2 中,IIS 以標準使用者帳戶來執行。這可能會導致問題:如果該密碼過期,您會遺失 Web 服務,這是通常很難診斷的問題。為了幫助避免過期密碼問題,Microsoft Lync Server 2010 可讓您 (針對實際上不存在的電腦) 建立電腦帳戶,作為網站內執行 IIS 之所有電腦的驗證主體。因為這些帳戶使用 Kerberos 驗證通訊協定,所以帳戶稱為 Kerberos 帳戶,新驗證處理序別名 Kerberos Web 驗證。這樣可讓您使用單一帳戶來管理所有 IIS 伺服器。
若要在這個新的驗證主體下執行伺服器,您必須先使用 New-CsKerberosAccount 指令程式建立新的電腦帳戶,然後將此帳戶指派給一或多個網站。完成指派後,請執行 Enable-CsTopology 指令程式來啟用帳戶與 Lync Server 2010 網站之間的關聯。除此之外,這會在 Active Directory 網域服務 (AD DS) 中建立所需之服務主體名稱 (SPN)。SPN 提供一種方式,讓用戶端應用程式找到特定服務。
Set-CsKerberosAccountAssignment 指令程式可讓您變更指派給指定網站的 Kerberos 帳戶。此指令程式是供已經與某帳戶相關聯的網站使用。若要將帳戶指派給目前與 Kerberos 帳戶沒有關聯的網站,請改用 New-CsKerberosAccountAssignment 指令程式。
誰可以執行此 Cmdlet:下列群組的成員預設會獲授權可以在本機上執行 Set-CsKerberosAccountAssignment Cmdlet:RTCUniversalServerAdmins。若要傳回所有獲指派此 Cmdlet 的角色存取控制 (RBAC) 角色清單 (包括您自行建立的自訂 RBAC 角色),請在 Windows PowerShell 提示字元中執行下列命令:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Set-CsKerberosAccountAssignment"}
參數
| 參數 | 必要 | 類型 | 說明 |
|---|---|---|---|
Identity |
必要 |
字串 |
已指派 Kerberos 帳戶之網站的唯一識別碼 (這是該網站的 Identity,而不是電腦帳戶的 Identity)。例如:-Identity "site:Redmond"。 |
UserAccount |
必要 |
字串 |
要指派之帳戶的帳戶名稱,採用 domain_name\user_name 格式。例如:-UserAccount "litwareinc\kerberostest"。帳戶的使用者名稱部分 (kerberostest) 是 NETBIOS 名稱,且最多可以包含 15 個字元。 請注意,除了名稱 UserAccount,此帳戶實際上是電腦帳戶,不是使用者帳戶。 |
Instance |
選用 |
KerberosAccountAssignment 物件 |
允許您將物件參照傳遞給 Cmdlet,而不設定個別參數值。 |
Force |
選用 |
切換參數 |
隱藏顯示當執行命令時可能發生的任何非嚴重錯誤訊息。 |
WhatIf |
選用 |
切換參數 |
描述執行命令後的結果,但無須實際執行命令。 |
Confirm |
選用 |
切換參數 |
執行命令前先要求您確認。 |
輸入類型
Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment 物件。Set-CsKerberosAccountAssignment 接受管線傳送的 Kerberos 帳戶指派物件執行個體。
傳回類型
Set-CsKerberosAccountAssignment 不會傳回任何物件或值。而是由指令程式修改 Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment 物件現有的執行個體。
範例
-------------------------- 範例 1 ------------------------
Set-CsKerberosAccountAssignment -UserAccount "litwareinc\keberostest" -Identity "site:Redmond"
Enable-CsTopology
範例 1 所示的命令會讓現有的 Kerberos 帳戶 (litwareinc\keberostest) 與 Redmond 網站產生關聯,然後使用 Enable-CsTopology 啟用新關聯。為達成此目的,範例中的第一個命令使用 Set-CsKerberosAccountAssignment 讓帳戶 litwareinc\keberostest 與 Redmond 網站產生關聯;接著,第二個命令會呼叫 Enable-CsTopology,以便在 Active Directory 中建立必要的服務主體名稱,並啟用已修改的帳戶指派。