Alternate Service Account (ASA) in Active Directory
Kerberos ist das Standard-Authentisierungsprotokoll welches leider noch immer nicht von allen Diensten automatisch verwendet wird. Damit das funktioniert und kein Client ein Fallback auf NTLM machen muss setzen wir an dieser Stelle auf den ASA Account. Was sich genau dahinter verbirgt wisst ihr ja bereits, wenn nicht dann gibt es hier was zu lesen.
Configuring ASA (Alternate Service Account) for Kerberos authentication on all of the CAS
Ich hatte schon einmal etwas dazu geschrieben aber nicht so detailliert in der Umsetzung wie hier jetzt.
Und so richten wir das für einen Exchange-Verbund ein.
Zuerst prüft man ob überhaupt ein ASA existiert
Get-ClientAccessService -IncludeAlternateServiceAccountCredentialStatus | fl name, altern*
![query Alternate Service Account Powershell query Alternate Service Account Powershell](https://www.der-windows-papst.de/wp-content/uploads/2020/12/query-Alternate-Service-Account-Powershell-300x110.jpg)
Alternate Service Account (ASA) in Active Directory erstellen
New-ADComputer -Name SRVEX-MSXASA -AccountPassword (Read-Host ‘Enter password’ -AsSecureString) -Description ‘Alternate Service Account credentials for Exchange’ -Enabled:$True -SamAccountName SRVEX-MSXASA
![Alternate Service Account (ASA) in Active Directory erstellen Alternate Service Account (ASA) in Active Directory erstellen](https://www.der-windows-papst.de/wp-content/uploads/2020/12/Alternate-Service-Account-ASA-in-Active-Directory-erstellen-300x66.jpg)
Den Verschlüsselungstyp AES256 Bit setzen
Set-ADComputer SRVEX-MSXASA -add @{“msDS-SupportedEncryptionTypes”=”28”}
![ASA Account Verschlüsselungstyp AES256 Bit setzen Den Verschlüsselungstyp AES256 Bit setzen](https://www.der-windows-papst.de/wp-content/uploads/2020/12/Den-Verschluesselungstyp-AES256-Bit-setzen-300x66.jpg)
Den ASA Account dem ersten Exchange Server zuweisen und Kennwort ändern JA
cd $exscripts
.\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer SRVEX.dwp.local -GenerateNewPasswordFor dwp.local\srvex-msxasa$
![Exchange Server Authentisierung mit Kerberos einrichten 2 Den ASA Account dem ersten Exchange Server zuweisen](https://www.der-windows-papst.de/wp-content/uploads/2020/12/Den-ASA-Account-dem-ersten-Exchange-Server-zuweisen-291x300.jpg)
Auf jedem weiteren Exchange wird die Konfiguration vom ersten Exchange kopiert
cd $exscripts
.\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer SRVEX2.dwp.local -CopyFrom SRVEX.dwp.local
![Auf jedem weiteren Exchange wird die Konfiguration vom ersten Exchange kopiert Auf jedem weiteren Exchange wird die Konfiguration vom ersten Exchange kopiert](https://www.der-windows-papst.de/wp-content/uploads/2020/12/Auf-jedem-weiteren-Exchange-wird-die-Konfiguration-vom-ersten-Exchange-kopiert-300x249.jpg)
Prüfen ob die benötigten SPNs vorhanden sind
setspn -F -Q http/mail.dwp.local
setspn -F -Q http/autodiscover.dwp.local
![Exchange Server Authentisierung mit Kerberos einrichten 3 Prüfen ob die SPNs vorhanden sind](https://www.der-windows-papst.de/wp-content/uploads/2020/12/Pruefen-ob-die-SPNs-vorhanden-sind-300x87.jpg)
Die Service Principal Names für den ASA Account erstellen
setspn -S http/mail.dwp.local dwp.local\SRVEX-MSXASA$
setspn -S http/autodiscover.dwp.local dwp.local\SRVEX-MSXASA$
![Die Service Principal Names für den ASA Account erstellen Die Service Principal Names für den ASA Account erstellen](https://www.der-windows-papst.de/wp-content/uploads/2020/12/Die-Service-Principal-Names-fuer-den-ASA-Account-erstellen-300x105.jpg)
Kerberos Deployment prüfen
Get-ClientAccessService SRVEX -IncludeAlternateServiceAccountCredentialStatus | Format-List
![Kerberos Deployment prüfen Kerberos Deployment prüfen](https://www.der-windows-papst.de/wp-content/uploads/2020/12/Kerberos-Deployment-pruefen-300x222.jpg)