Zum Inhalt springen
Der Windows Papst – IT Blog Walter

Der Windows Papst – IT Blog Walter

Anleitungen & Lösungen rund um die IT

Blog Suche

  • Der Windows Papst
    • Security Access
  • Wer bin ich
    • Mein Hobby
    • Unterstützung per PayPal
  • Kontaktformular
  • Impressum
  • Datenschutz

Du bist hier:

  • Startseite
  • 2020
  • Dezember
  • 1
  • Exchange Server Authentisierung mit Kerberos einrichten
Tipps und Lösungen rund um Windows Exchange Server

Exchange Server Authentisierung mit Kerberos einrichten

1. Dezember 2020 Jörn Walter Office & Exchange
Lesedauer 3 Minuten

Alternate Service Account (ASA) in Active Directory

Kerberos ist das Standard-Authentisierungsprotokoll welches leider noch immer nicht von allen Diensten automatisch verwendet wird. Damit das funktioniert und kein Client ein Fallback auf NTLM machen muss setzen wir an dieser Stelle auf den ASA Account. Was sich genau dahinter verbirgt wisst ihr ja bereits, wenn nicht dann gibt es hier was zu lesen.

Configuring ASA (Alternate Service Account) for Kerberos authentication on all of the CAS

Ich hatte schon einmal etwas dazu geschrieben aber nicht so detailliert in der Umsetzung wie hier jetzt.

Und so richten wir das für einen Exchange-Verbund ein.

Zuerst prüft man ob überhaupt ein ASA existiert
Get-ClientAccessService -IncludeAlternateServiceAccountCredentialStatus | fl name, altern*

query Alternate Service Account Powershell

Alternate Service Account (ASA) in Active Directory erstellen
New-ADComputer -Name SRVEX-MSXASA -AccountPassword (Read-Host ‘Enter password’ -AsSecureString) -Description ‘Alternate Service Account credentials for Exchange’ -Enabled:$True -SamAccountName SRVEX-MSXASA

Alternate Service Account (ASA) in Active Directory erstellen

Den Verschlüsselungstyp AES256 Bit setzen
Set-ADComputer SRVEX-MSXASA -add @{“msDS-SupportedEncryptionTypes”=”28”}

Den Verschlüsselungstyp AES256 Bit setzen

Den ASA Account dem ersten Exchange Server zuweisen und Kennwort ändern JA
cd $exscripts
.\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer SRVEX.dwp.local -GenerateNewPasswordFor dwp.local\srvex-msxasa$

Den ASA Account dem ersten Exchange Server zuweisen

Auf jedem weiteren Exchange wird die Konfiguration vom ersten Exchange kopiert
cd $exscripts
.\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer SRVEX2.dwp.local -CopyFrom SRVEX.dwp.local

Auf jedem weiteren Exchange wird die Konfiguration vom ersten Exchange kopiert

Prüfen ob die benötigten SPNs vorhanden sind
setspn -F -Q http/mail.dwp.local
setspn -F -Q http/autodiscover.dwp.local

Prüfen ob die SPNs vorhanden sind

Die Service Principal Names für den ASA Account erstellen
setspn -S http/mail.dwp.local dwp.local\SRVEX-MSXASA$
setspn -S http/autodiscover.dwp.local dwp.local\SRVEX-MSXASA$

Die Service Principal Names für den ASA Account erstellen

Kerberos Deployment prüfen
Get-ClientAccessService SRVEX -IncludeAlternateServiceAccountCredentialStatus | Format-List

Kerberos Deployment prüfen

ADAlternate Service AccountASAAuthentisierungconfigureeinrichtenExchangeInstallinstallierenKerberosmsDS-SupportedEncryptionTypesServerSPNzuweisen

Kategorien

  • ADMX Vorlagen & Tools (2)
  • Allgemein (393)
  • Gruppenrichtlinien (37)
  • Internet (54)
  • Netzwerk (92)
  • Office & Exchange (150)
  • Security (172)
  • Skripte (461)
  • Windows 10 (201)
  • Windows 7 (75)
  • Windows 8 (68)
  • Windows Server 2008 (8)
  • Windows Server 2012 (90)
  • Windows Server 2016 (81)
  • Windows Server 2019 (58)
  • Zertifikate (52)

Aktuelle Themen

  • Mehrere Bilder auf einmal bearbeiten und konvertieren – ASCOMP Image Former
    19. Januar 2021
  • Suchen in allen Gruppenrichtlinien
    17. Januar 2021
  • Privatsphäre per Klick Privatsphäre per Klick
    17. Januar 2021
  • Exchange Online Postfächer und Gruppen anlegen Outlook Online Ordernamen auf Deutsch umstellen
    17. Januar 2021
  • Tipps und Lösungen rund um Windows Exchange Server Exchange Nachrichtengröße Anhang Limit
    16. Januar 2021
  • Tipps und Lösungen rund um Windows Exchange Server Uninstall Exchange Server DKIM Signer
    15. Januar 2021
  • Referenz User – die unterschätzte Gefahr Referenz User – die unterschätzte Gefahr
    15. Januar 2021
  • WinRM decommission WinRM Uninstall Service
    13. Januar 2021

Archiv

LinkedIn

Jörn Walter

FEED

 Mit einem Feed-Reader abonnieren

RSS Heise Top News

  • Jetzt neues Passwort vergeben! OpenWrt-Forum gehackt 19. Januar 2021
    Angreifer konnten auf Nutzerdaten des OpenWrt-Forums zugreifen. Dort tauschen sich Nutzer des alternativen Betriebssystems u.a. für Router aus.
  • Netz-Standardisierungsgremium IETF wählt erstmals deutschen Vorsitzenden 18. Januar 2021
    Die Entscheidung wurde mit Spannung erwartet, auch weil sich Mitarbeiter von Huawei und Futurewei mit kontroversen Themen um den Vorsitz beworben hatten.
  • Edit Policy: Trumps Verbannung von Social Media – Kritiker verkennen Gesetze 18. Januar 2021
    Die Sperrung von Donald Trump bei Twitter & Co. sorgt für Diskussionen. Dabei verstrickt sich vor allem die Bundeskanzlerin in Widersprüche, meint Julia Reda.
  • Schnelles WLAN: Wann sich Wi-Fi 6 alias IEEE 802.11ax für Sie lohnt 18. Januar 2021
    Das neue Wi-Fi 6 bringt vor allem Verbesserungen für Funkzellen mit vielen ­Nutzern, nicht nur einfach mehr Datenrate. So flutschen die Daten für alle besser.
  • Soziale Medien: Deutlich weniger Falschinformationen nach Trumps Twitter-Sperre 17. Januar 2021
    Nachdem Trump diverse Konten in den sozialen Medien verliert, kommen Debatten über angeblichen Wahlbetrug weitgehend zum Erliegen. Das hat eine Analyse ergeben.

Blogverzeichnisse

Bloggerei.de Blogtotal Blogverzeichnis TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste

Verlosung Image Former

Verlosung Ascomp Image Former
Copyright Jörn Walter 2021
EnglishGerman
Consent Management mit Real Cookie Banner