Exchange 2010 CAS Array のEWSにKerberos 委任で接続する場合の設定
2016/3/22 追記
今更ですが、昔記載していた内容(末尾に記載)は正しいやり方ではなくて、次の手順を設定する必要があります。
■負荷分散されたクライアント アクセス サーバーの Kerberos 認証の構成
http://technet.microsoft.com/ja-jp/library/ff808312.aspx
■シェルでの RollAlternateserviceAccountCredential.ps1 スクリプトの使用
http://technet.microsoft.com/ja-jp/library/ff808311.aspx
前提として、以下が終わっている事。
①Exchange 2010 (sp1以上)のインストール
②CAS Arrayの設定(DNSへの登録を含む)
手順を要約すると、以下の通り。
①代替サービスアカウントの作成します。
AD上でコンピュータアカウントとして作成。デフォルト設定でOK
②SPN登録を実施します。CAS Arrayのアドレスと、①の代替サービスアカウントを紐づけます。
例:ドメイン 「myad.local」 代替サービスアカウント 「ASA」、CAS Arrayアドレス 「CasArrayNlb.local」の場合、
setspn -A http/CasArrayNlb.local myad\ASA
setspn -A http/CasArrayNlb myad\ASA
③CASサーバに代替サービスアカウントを登録します。
Exchange Management Shellを起動し、以下を実行します。
CD "C:\Program Files\Microsoft\Exchange Server\v14\Scripts"
.\RollAlternateserviceAccountPassword.ps1 -ToEntireForest -GenerateNewPasswordFor "myad\ASA$" -Verbose
※C:\Program Files\Microsoft\Exchange Serverはインストールに合わせて変更して下さい。
※"myad\ASA$"はコンピュータアカウント名を指定してください。最後の「$」は忘れないよう注意して下さい。
コマンド実行中、
「Do you want to change password for myad\ASA$ in Active Directory at this time?」
と、ASAのパスワードを変更するメッセージが表示されるので、「Y」を入力。
「THE SCRIPT HAS SUCCEEDED」
が表示されたらOKです。
※Exchange 2010では、ADの「サイト」単位(Active Directoryサイトとサービスで確認)で、1つのCAS Arrayを構成する仕様となっており、
複数のCASが、単一の「サイト」に存在する場合、すべてのCASにASAの設定をする必要があります。
上記コマンドは、同一サイトのCASにすべてASAの設定を行います。
※Exchange 2010と2013環境が混在する場合、別の注意事項があるようです。
■Kerberos 認証を使用する場合の Exchange 2013 と Exchange 2010 の共存
http://blogs.technet.com/b/exchangeteamjp/archive/2015/03/05/exchange-2013-and-exchange-2010-coexistence-with-kerberos-authentication.aspx
ひょっとしたら参照されて混乱される方がいるかもと思いましたので、今更ながら更新します。
とりあえず、社内環境でうまくいったのでメモ書き。
※CAS Arrayは既に構築済みとします。
※EWS以外の機能については確認していません。というか、このままだとダメな気がする・・・
①ドメインにCASArray用のユーザアカウントを作成する。
②作成したユーザアカウントを下記のグループへ入れる。
Exchange Trusted Subsystem
③SETSPNで、ユーザアカウントに対して、CAS ArrayのNLB名(NetBIOS、FQDN)のhttpサービスを登録。
④各CASサーバのEWS仮想フォルダのアプリケーションプールIDに、作成したドメインユーザアカウントを設定する。
※Alternate Service Account と呼ばれる代替サービスアカウントの設定は使っていません。
※./RollAlternateserviceAccountPassword.ps1を実行したら、パスワードが変わるんだけど、アプリケーションプールIDのパスワードは放置なんで、EWSが起動しなくなります。。。
暫定の開発環境用設定かな・・・