我最近不得不协助在Exchange CASarrays上设置Exchange Alternative Service Account(ASA)凭证。 我们确实得到了ASA正常工作,但是我有一些关于ASA Credientials如何工作的问题。
该scheme是我们需要启用Exchange CASarrays进行Kerberos身份validation。 我熟悉Kerberos,并知道在这种情况下,您需要在Active Directory中创build一个服务帐户,并将所有必要的SPN与该服务帐户关联起来。 此时,对于大多数负载均衡或群集服务,您将访问群集中的每个节点,并将服务configuration为负载平衡,以使用您创build的服务帐户。
configurationExchange CASarrays进行Kerberos身份validation时的确如此。 Microsoft提供了一个名为rollalternativeserviceaccountpassword.ps1的脚本,该脚本自动configurationCASarrays的所有成员上的服务,以使用您创build的服务帐户。 这里是关于这个过程的一些文件
http://technet.microsoft.com/en-us/library/ff808312(v=exchg.141).aspx
脚本工作,我们的arrays正在使用Kerberos,但脚本部署服务帐户的方式似乎是非常奇怪的。 运行脚本之后,我期待看到作为服务帐户运行的arrays成员上的各种Exchange服务和应用程序池,但是他们不是。 它们仍以其他本地系统或networking服务运行,而不是服务帐户名称。 我对Kerberos的理解告诉我这是行不通的,但显然是这样。
我做了更多的研究,并find了这篇文章。
http://technet.microsoft.com/en-us/library/ff808313(v=exchg.141).aspx
这表明,不pipe怎样,操作系统的行为已经发生了一些变化,以便LocalSystem和NetworkService都能像服务帐户一样行事,就像LocalSystem和NetworkService一样。 相关的段落在“解决scheme”部分。 除此之外,这个文件似乎几乎没有关于ASA如何工作的信息。
有人可以解释这是怎么完成的?