我最近需要协助在 Exchange CAS 阵列上设置 Exchange 备用服务帐户 (ASA) 凭证。我们确实让 ASA 正常工作,但我对 ASA 凭证在后台如何工作有一些疑问。
场景是我们需要启用 Exchange CAS 阵列以进行 Kerberos 身份验证。我熟悉 Kerberos,并且知道在这种情况下,您需要在 Active Directory 中创建一个服务帐户,并将任何必要的 SPN 关联到该服务帐户,并且只关联到该服务帐户。此时,对于大多数负载平衡或集群服务,您将访问集群中的每个节点,并将已进行负载平衡的服务配置为使用您创建的服务帐户。
这确实是您在为 Kerberos 身份验证配置 Exchange CAS 阵列时所做的操作。Microsoft 提供了一个名为 rollalternativeserviceaccountpassword.ps1 的脚本,该脚本会自动配置 CAS 阵列所有成员上的服务以使用您创建的服务帐户。以下是有关此过程的一些文档
http://technet.microsoft.com/en-us/library/ff808312(v=exchg.141).aspx
脚本可以运行,我们的阵列正在使用 Kerberos,但是脚本部署服务帐户的方式对我来说似乎非常奇怪。运行脚本后,我原本希望看到阵列成员上的各种 Exchange 服务和应用程序池以服务帐户身份运行,但事实并非如此。它们仍然以其他 LocalSystem 或 NetworkService 身份运行,而不是服务帐户名称。我对 Kerberos 的理解告诉我这行不通,但显然可以。
我做了进一步研究并发现了这篇文章。
http://technet.microsoft.com/en-us/library/ff808313(v=exchg.141).aspx
这表明操作系统的行为已经发生了一些变化,以便 LocalSystem 和 NetworkService 既可以充当服务帐户,也可以充当 LocalSystem 和 NetworkService。相关段落位于解决方案部分。除了本文档之外,似乎几乎没有关于 ASA 内部工作原理的信息。
有人能解释一下这是怎么做到的吗?