Zum Inhalt springen
Der Windows Papst – IT Blog Walter

Der Windows Papst – IT Blog Walter

Anleitungen & Lösungen rund um die IT

Blog Suche

  • Der Windows Papst
  • Wer bin ich
    • Mein Hobby
    • Unterstützung per PayPal
    • Security Access
  • Kontaktformular
  • Impressum
  • Datenschutz

Du bist hier:

  • Startseite
  • 2020
  • Dezember
  • 1
  • Exchange Server Authentisierung mit Kerberos einrichten
Tipps und Lösungen rund um Windows Exchange Server

Exchange Server Authentisierung mit Kerberos einrichten

1. Dezember 2020 Jörn Walter Office & Exchange

Alternate Service Account (ASA) in Active Directory

Kerberos ist das Standard-Authentisierungsprotokoll welches leider noch immer nicht von allen Diensten automatisch verwendet wird. Damit das funktioniert und kein Client ein Fallback auf NTLM machen muss setzen wir an dieser Stelle auf den ASA Account. Was sich genau dahinter verbirgt wisst ihr ja bereits, wenn nicht dann gibt es hier was zu lesen.

Configuring ASA (Alternate Service Account) for Kerberos authentication on all of the CAS

Ich hatte schon einmal etwas dazu geschrieben aber nicht so detailliert in der Umsetzung wie hier jetzt.

Und so richten wir das für einen Exchange-Verbund ein.

Zuerst prüft man ob überhaupt ein ASA existiert
Get-ClientAccessService -IncludeAlternateServiceAccountCredentialStatus | fl name, altern*

query Alternate Service Account Powershell

Alternate Service Account (ASA) in Active Directory erstellen
New-ADComputer -Name SRVEX-MSXASA -AccountPassword (Read-Host ‘Enter password’ -AsSecureString) -Description ‘Alternate Service Account credentials for Exchange’ -Enabled:$True -SamAccountName SRVEX-MSXASA

Alternate Service Account (ASA) in Active Directory erstellen

Den Verschlüsselungstyp AES256 Bit setzen
Set-ADComputer SRVEX-MSXASA -add @{“msDS-SupportedEncryptionTypes”=”28”}

Den Verschlüsselungstyp AES256 Bit setzen

Den ASA Account dem ersten Exchange Server zuweisen und Kennwort ändern JA
cd $exscripts
.\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer SRVEX.dwp.local -GenerateNewPasswordFor dwp.local\srvex-msxasa$

Den ASA Account dem ersten Exchange Server zuweisen

Auf jedem weiteren Exchange wird die Konfiguration vom ersten Exchange kopiert
cd $exscripts
.\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer SRVEX2.dwp.local -CopyFrom SRVEX.dwp.local

Auf jedem weiteren Exchange wird die Konfiguration vom ersten Exchange kopiert

Prüfen ob die benötigten SPNs vorhanden sind
setspn -F -Q http/mail.dwp.local
setspn -F -Q http/autodiscover.dwp.local

Prüfen ob die SPNs vorhanden sind

Die Service Principal Names für den ASA Account erstellen
setspn -S http/mail.dwp.local dwp.local\SRVEX-MSXASA$
setspn -S http/autodiscover.dwp.local dwp.local\SRVEX-MSXASA$

Die Service Principal Names für den ASA Account erstellen

Kerberos Deployment prüfen
Get-ClientAccessService SRVEX -IncludeAlternateServiceAccountCredentialStatus | Format-List

Kerberos Deployment prüfen

ADAlternate Service AccountASAAuthentisierungconfigureeinrichtenExchangeInstallinstallierenKerberosmsDS-SupportedEncryptionTypesServerSPNzuweisen

Kategorien

  • ADMX Vorlagen & Tools (2)
  • Allgemein (491)
  • Gruppenrichtlinien (43)
  • Internet (58)
  • Netzwerk (103)
  • Office & Exchange (211)
  • Security (216)
  • Skripte (514)
  • Windows 10 (218)
  • Windows 11 (12)
  • Windows 7 (76)
  • Windows 8 (68)
  • Windows Server 2008 (8)
  • Windows Server 2012 (91)
  • Windows Server 2016 (82)
  • Windows Server 2019 (105)
  • Windows Server 2022 (8)
  • Zertifikate (97)

Archive

Blogverzeichnisse

Blogtotal Bloggerei.de TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste

Wichtige News

DCOM Härtung 14. März 2023

Exchange Server Sicherheitsupdates Re-Release Februar 2023

Windows DCOM-Server Authentifizierung

Aktuelle Themen

  • Exchange Server Sicherheitsupdates Re-Release Februar 2023
    15. März 2023
  • Exchange Server DKIM Signer
    14. März 2023
  • Digitalisierung im Mitarbeiter-Management – die Vorteile für Unternehmen
    14. März 2023
  • Windows – Reboot Required Neustart ausstehend
    12. März 2023
  • AOMEI Welt Backup Tag 31.3.2023
    11. März 2023
  • Free Programming Books
    7. März 2023
  • Maßnahmenkatalog Ransomware BSI
    7. März 2023
  • Bestes kostenloses VPN von 2022
    7. März 2023
  • Härtung von Endpunkten
    6. März 2023
  • Super Bowl: Ein globaler Anlass mit bahnbrechender Werbung
    6. März 2023
  • Ports Active Directory und Active Directory-Domänendienste
    5. März 2023
  • Besonders beliebte Gaming-Trends für Windows
    27. Februar 2023
Privatsphäre-Einstellungen ändern
Copyright Jörn Walter 2022