Zum Inhalt springen
Der Windows Papst – IT Blog Walter

Der Windows Papst – IT Blog Walter

Anleitungen & Lösungen rund um die IT

Blog Suche

  • Der Windows Papst
  • Wer bin ich
    • Unterstützung per PayPal
    • Mein Hobby
  • Kontaktformular
  • Impressum
  • Datenschutz

Du bist hier:

  • Startseite
  • 2020
  • Dezember
  • 1
  • Exchange Server Authentisierung mit Kerberos einrichten
Exchange Server 2019

Exchange Server Authentisierung mit Kerberos einrichten

1. Dezember 2020 Jörn Walter Office & Exchange

Alternate Service Account (ASA) in Active Directory

Kerberos ist das Standard-Authentisierungsprotokoll welches leider noch immer nicht von allen Diensten automatisch verwendet wird. Damit das funktioniert und kein Client ein Fallback auf NTLM machen muss setzen wir an dieser Stelle auf den ASA Account. Was sich genau dahinter verbirgt wisst ihr ja bereits, wenn nicht dann gibt es hier was zu lesen.

Configuring ASA (Alternate Service Account) for Kerberos authentication on all of the CAS

Ich hatte schon einmal etwas dazu geschrieben aber nicht so detailliert in der Umsetzung wie hier jetzt.

Und so richten wir das für einen Exchange-Verbund ein.

Zuerst prüft man ob überhaupt ein ASA existiert
Get-ClientAccessService -IncludeAlternateServiceAccountCredentialStatus | fl name, altern*

query Alternate Service Account Powershell

Alternate Service Account (ASA) in Active Directory erstellen
New-ADComputer -Name SRVEX-MSXASA -AccountPassword (Read-Host ‘Enter password’ -AsSecureString) -Description ‘Alternate Service Account credentials for Exchange’ -Enabled:$True -SamAccountName SRVEX-MSXASA

Alternate Service Account (ASA) in Active Directory erstellen

Den Verschlüsselungstyp AES256 Bit setzen
Set-ADComputer SRVEX-MSXASA -add @{“msDS-SupportedEncryptionTypes”=”28”}

Den Verschlüsselungstyp AES256 Bit setzen

Den ASA Account dem ersten Exchange Server zuweisen und Kennwort ändern JA
cd $exscripts
.\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer SRVEX.dwp.local -GenerateNewPasswordFor dwp.local\srvex-msxasa$

Den ASA Account dem ersten Exchange Server zuweisen

Auf jedem weiteren Exchange wird die Konfiguration vom ersten Exchange kopiert
cd $exscripts
.\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer SRVEX2.dwp.local -CopyFrom SRVEX.dwp.local

Auf jedem weiteren Exchange wird die Konfiguration vom ersten Exchange kopiert

Prüfen ob die benötigten SPNs vorhanden sind
setspn -F -Q http/mail.dwp.local
setspn -F -Q http/autodiscover.dwp.local

Prüfen ob die SPNs vorhanden sind

Die Service Principal Names für den ASA Account erstellen
setspn -S http/mail.dwp.local dwp.local\SRVEX-MSXASA$
setspn -S http/autodiscover.dwp.local dwp.local\SRVEX-MSXASA$

Die Service Principal Names für den ASA Account erstellen

Kerberos Deployment prüfen
Get-ClientAccessService SRVEX -IncludeAlternateServiceAccountCredentialStatus | Format-List

Kerberos Deployment prüfen

ADAlternate Service AccountASAAuthentisierungconfigureeinrichtenExchangeInstallinstallierenKerberosmsDS-SupportedEncryptionTypesServerSPNzuweisen

Kategorien

  • ADMX Vorlagen & Tools (2)
  • Allgemein (587)
  • Gruppenrichtlinien (47)
  • Internet (60)
  • Netzwerk (112)
  • Office & Exchange (241)
  • Security (239)
  • Skripte (536)
  • Windows 10 (219)
  • Windows 11 (36)
  • Windows 7 (76)
  • Windows 8 (68)
  • Windows Server 2008 (8)
  • Windows Server 2012 (91)
  • Windows Server 2016 (82)
  • Windows Server 2019 (107)
  • Windows Server 2022 (18)
  • Windows Server 2025 (13)
  • Zertifikate (107)

Archive

Blogverzeichnisse

TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste

Aktuelle Themen

  • Import Export Scheduled Tasks Tool
    13. Juni 2025
  • IIS Inetpub Folder ACL Manager
    7. Juni 2025
  • Das Mesh-Netzwerk für WLAN: Funktionsweise, Vorteile und Anwendung
    1. Juni 2025
  • Exchange SMTP Test anonym und authentifiziert
    28. Mai 2025
  • Gebrauchte Windows Server Lizenzen: Was Sie beachten müssen
    28. Mai 2025
  • WinRM-TLS Verbindungstest Tool
    22. Mai 2025
  • Krypto-Debitkarten vs. Bankkarten in Deutschland – Ein neutraler Vergleich 2025
    21. Mai 2025
  • ASP.NET Entwicklung mit KI Tools: Tipps Einstellung von Entwicklern
    16. Mai 2025
  • Missing Advanced Audit Policy Configuration RSOP
    16. Mai 2025
  • Powerpoint Vergleichen Funktion fehlt
    12. Mai 2025
Copyright Jörn Walter 2025