Zum Inhalt springen
Der Windows Papst – IT Blog Walter

Der Windows Papst – IT Blog Walter

Anleitungen & Lösungen rund um die IT

Blog Suche

  • Der Windows Papst
  • Wer bin ich
    • Mein Hobby
    • Unterstützung per PayPal
    • Security Access
  • Kontaktformular
  • Impressum
  • Datenschutz

Du bist hier:

  • Startseite
  • 2020
  • Dezember
  • 1
  • Exchange Server Authentisierung mit Kerberos einrichten
Tipps und Lösungen rund um Windows Exchange Server

Exchange Server Authentisierung mit Kerberos einrichten

1. Dezember 2020 Jörn Walter Office & Exchange

Alternate Service Account (ASA) in Active Directory

Kerberos ist das Standard-Authentisierungsprotokoll welches leider noch immer nicht von allen Diensten automatisch verwendet wird. Damit das funktioniert und kein Client ein Fallback auf NTLM machen muss setzen wir an dieser Stelle auf den ASA Account. Was sich genau dahinter verbirgt wisst ihr ja bereits, wenn nicht dann gibt es hier was zu lesen.

Configuring ASA (Alternate Service Account) for Kerberos authentication on all of the CAS

Ich hatte schon einmal etwas dazu geschrieben aber nicht so detailliert in der Umsetzung wie hier jetzt.

Und so richten wir das für einen Exchange-Verbund ein.

Zuerst prüft man ob überhaupt ein ASA existiert
Get-ClientAccessService -IncludeAlternateServiceAccountCredentialStatus | fl name, altern*

query Alternate Service Account Powershell

Alternate Service Account (ASA) in Active Directory erstellen
New-ADComputer -Name SRVEX-MSXASA -AccountPassword (Read-Host ‘Enter password’ -AsSecureString) -Description ‘Alternate Service Account credentials for Exchange’ -Enabled:$True -SamAccountName SRVEX-MSXASA

Alternate Service Account (ASA) in Active Directory erstellen

Den Verschlüsselungstyp AES256 Bit setzen
Set-ADComputer SRVEX-MSXASA -add @{“msDS-SupportedEncryptionTypes”=”28”}

Den Verschlüsselungstyp AES256 Bit setzen

Den ASA Account dem ersten Exchange Server zuweisen und Kennwort ändern JA
cd $exscripts
.\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer SRVEX.dwp.local -GenerateNewPasswordFor dwp.local\srvex-msxasa$

Den ASA Account dem ersten Exchange Server zuweisen

Auf jedem weiteren Exchange wird die Konfiguration vom ersten Exchange kopiert
cd $exscripts
.\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer SRVEX2.dwp.local -CopyFrom SRVEX.dwp.local

Auf jedem weiteren Exchange wird die Konfiguration vom ersten Exchange kopiert

Prüfen ob die benötigten SPNs vorhanden sind
setspn -F -Q http/mail.dwp.local
setspn -F -Q http/autodiscover.dwp.local

Prüfen ob die SPNs vorhanden sind

Die Service Principal Names für den ASA Account erstellen
setspn -S http/mail.dwp.local dwp.local\SRVEX-MSXASA$
setspn -S http/autodiscover.dwp.local dwp.local\SRVEX-MSXASA$

Die Service Principal Names für den ASA Account erstellen

Kerberos Deployment prüfen
Get-ClientAccessService SRVEX -IncludeAlternateServiceAccountCredentialStatus | Format-List

Kerberos Deployment prüfen

ADAlternate Service AccountASAAuthentisierungconfigureeinrichtenExchangeInstallinstallierenKerberosmsDS-SupportedEncryptionTypesServerSPNzuweisen

Kategorien

  • ADMX Vorlagen & Tools (2)
  • Allgemein (509)
  • Gruppenrichtlinien (44)
  • Internet (60)
  • Netzwerk (103)
  • Office & Exchange (219)
  • Security (216)
  • Skripte (517)
  • Windows 10 (218)
  • Windows 11 (15)
  • Windows 7 (76)
  • Windows 8 (68)
  • Windows Server 2008 (8)
  • Windows Server 2012 (91)
  • Windows Server 2016 (82)
  • Windows Server 2019 (106)
  • Windows Server 2022 (10)
  • Zertifikate (97)

Archive

Blogverzeichnisse

TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste

Wichtige News

Praxis Elektrik Fachbuch

Aktuelle Themen

  • WinRM Negotiate Fehlermeldung Ursachen
    29. September 2023
  • WinGet Version 1.6
    29. September 2023
  • Acrobat Reader Updates per GPO deaktivieren
    23. September 2023
  • SMB-Client Block NTLM
    21. September 2023
  • Recovery Point Objective (RPO): Eine einfache Erklärung
    19. September 2023
  • Exchange Online PowerShell v3.3
    18. September 2023
  • Sizing Exchange Pagefile
    16. September 2023
  • Exchange Client- und Serverkommunikation verschlüsseln
    16. September 2023
  • Windows Explorer Fix für Windows 10 und Windows 11
    11. September 2023
  • Bilder schärfen und hochskalieren mit HitPaw Photo Enhancer
    28. August 2023
  • Windows 11 missing wfs.exe
    27. August 2023
  • IIS 7 IIS 7.5 IIS 8 IIS 8.5 IIS 10 HSTS Header
    26. August 2023
Privatsphäre-Einstellungen ändern
Copyright Jörn Walter 2022