Zum Inhalt springen
IT-Service Walter - ISW ADTools

Der Windows Papst – IT Blog Walter

Anleitungen & Infos rund um die IT

Blog Suche

  • Der Windows Papst
  • Wer bin ich
    • Unterstützung per PayPal
    • Mein Hobby
  • Admin und Compliance Software
  • Impressum
    • Disclaimer
  • Datenschutz
  • Cookie-Richtlinie

Du bist hier:

  • Startseite
  • 2020
  • Dezember
  • 1
  • Exchange Server Authentisierung mit Kerberos einrichten
Exchange Server 2019

Exchange Server Authentisierung mit Kerberos einrichten

1. Dezember 2020 Jörn Walter Office & Exchange

Alternate Service Account (ASA) in Active Directory

Kerberos ist das Standard-Authentisierungsprotokoll welches leider noch immer nicht von allen Diensten automatisch verwendet wird. Damit das funktioniert und kein Client ein Fallback auf NTLM machen muss setzen wir an dieser Stelle auf den ASA Account. Was sich genau dahinter verbirgt wisst ihr ja bereits, wenn nicht dann gibt es hier was zu lesen.

Configuring ASA (Alternate Service Account) for Kerberos authentication on all of the CAS

Ich hatte schon einmal etwas dazu geschrieben aber nicht so detailliert in der Umsetzung wie hier jetzt.

Und so richten wir das für einen Exchange-Verbund ein.

Zuerst prüft man ob überhaupt ein ASA existiert
Get-ClientAccessService -IncludeAlternateServiceAccountCredentialStatus | fl name, altern*

query Alternate Service Account Powershell

Alternate Service Account (ASA) in Active Directory erstellen
New-ADComputer -Name SRVEX-MSXASA -AccountPassword (Read-Host ‘Enter password’ -AsSecureString) -Description ‘Alternate Service Account credentials for Exchange’ -Enabled:$True -SamAccountName SRVEX-MSXASA

Alternate Service Account (ASA) in Active Directory erstellen

Den Verschlüsselungstyp AES256 Bit setzen
Set-ADComputer SRVEX-MSXASA -add @{“msDS-SupportedEncryptionTypes”=”28”}

Den Verschlüsselungstyp AES256 Bit setzen

Den ASA Account dem ersten Exchange Server zuweisen und Kennwort ändern JA
cd $exscripts
.\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer SRVEX.dwp.local -GenerateNewPasswordFor dwp.local\srvex-msxasa$

Den ASA Account dem ersten Exchange Server zuweisen

Auf jedem weiteren Exchange wird die Konfiguration vom ersten Exchange kopiert
cd $exscripts
.\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer SRVEX2.dwp.local -CopyFrom SRVEX.dwp.local

Auf jedem weiteren Exchange wird die Konfiguration vom ersten Exchange kopiert

Prüfen ob die benötigten SPNs vorhanden sind
setspn -F -Q http/mail.dwp.local
setspn -F -Q http/autodiscover.dwp.local

Prüfen ob die SPNs vorhanden sind

Die Service Principal Names für den ASA Account erstellen
setspn -S http/mail.dwp.local dwp.local\SRVEX-MSXASA$
setspn -S http/autodiscover.dwp.local dwp.local\SRVEX-MSXASA$

Die Service Principal Names für den ASA Account erstellen

Kerberos Deployment prüfen
Get-ClientAccessService SRVEX -IncludeAlternateServiceAccountCredentialStatus | Format-List

Kerberos Deployment prüfen

ADAlternate Service AccountASAAuthentisierungconfigureeinrichtenExchangeInstallinstallierenKerberosmsDS-SupportedEncryptionTypesServerSPNzuweisen

Kategorien

  • ADMX Vorlagen & Tools (3)
  • Allgemein (733)
  • Gruppenrichtlinien (49)
  • Internet (60)
  • Netzwerk (120)
  • Office & Exchange (260)
  • Security (289)
  • Skripte (546)
  • Windows 10 (221)
  • Windows 11 (41)
  • Windows 7 (76)
  • Windows 8 (68)
  • Windows Server 2008 (8)
  • Windows Server 2012 (91)
  • Windows Server 2016 (82)
  • Windows Server 2019 (107)
  • Windows Server 2022 (19)
  • Windows Server 2025 (29)
  • Zertifikate (114)

Archiv

Blogverzeichnisse

TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste

Auszeichnung

DIIND_SIEGEL_Business_Innovator_IT-Service-Walter

Aktuelle Themen

  • Digitale Pforte: Effiziente Lösungen für moderne Logistik- und Industrieprozesse
    7. Juli 2026
  • PDF übersetzen: So gelingt es schnell und unkompliziert
    4. Juli 2026
  • Grundschutz++ ist da – und damit der neue „Stand der Technik“
    30. Juni 2026
  • NIST 800-53 im DACH-Raum – und die OSCAL-Brücke zu Grundschutz++
    30. Juni 2026
  • Die Lifecycle-Falle 2026/2027
    30. Juni 2026
  • Wenn nicht Ihr Zertifikat schuld ist, sondern die Kette
    30. Juni 2026
  • Wie man gelöschte Dateien aus dem Papierkorb nach dem Leeren von Windows wiederherstellt
    30. Juni 2026
  • Wie optimiert Licht das Homeoffice-Erlebnis?
    29. Juni 2026
  • Wo liegen eigentlich Ihre privaten Schlüssel? Warum kein Unternehmen seinen Zertifikatsbestand wirklich kennt
    25. Juni 2026
  • IT-Automatisierung in Windows-Umgebungen – Routineaufgaben effizient delegieren
    24. Juni 2026
Copyright Jörn Walter 2025