Недавно мне пришлось помочь с настройкой учетных данных Exchange Alternative Service Account (ASA) в массиве Exchange CAS. Мы действительно добились правильной работы ASA, однако у меня есть несколько вопросов о том, как ASA Credientials работает под капотом.
Сценарий таков, что нам нужно было включить массив Exchange CAS для аутентификации Kerberos. Я знаком с Kerberos и знаю, что в этой ситуации вы создаете учетную запись службы в Active Directory и связываете все необходимые имена SPN с этой учетной записью службы и только с этой учетной записью службы. На этом этапе для большинства служб с балансировкой нагрузки или кластеризации вы должны посетить каждый узел в кластере и настроить службу с балансировкой нагрузки для использования созданной учетной записи службы.
Это действительно то, что вы делаете при настройке массива Exchange CAS для аутентификации Kerberos. Microsoft предоставляет сценарий rollalternativeserviceaccountpassword.ps1, который автоматически настраивает службы на всех членах массива CAS для использования созданной вами учетной записи службы. Вот некоторая документация по этому процессу
http://technet.microsoft.com/en-us/library/ff808312(v=exchg.141).aspx
Сценарий работает, и наш массив использует Kerberos, однако способ развертывания учетной записи службы скриптом кажется мне очень странным. После того, как мы запустили сценарий, я ожидал увидеть различные службы Exchange и пулы приложений на членах массива, работающих как учетная запись службы, однако это не так. Они по-прежнему работают как другие LocalSystem или NetworkService, а не как имя учетной записи службы. Мое понимание Kerberos подсказывает мне, что это не может работать, но, очевидно, это так.
Я провел еще несколько исследований и нашел эту статью.
http://technet.microsoft.com/en-us/library/ff808313(v=exchg.141).aspx
Это говорит о том, что так или иначе поведение ОС было немного изменено, чтобы LocalSystem и NetworkService могли действовать как учетная запись службы, а также как LocalSystem и NetworkService. Соответствующий абзац находится в Решение раздел. Кроме этого документа, похоже, почти нет информации о том, как ASA работают под капотом.
Кто-нибудь может объяснить, как это было сделано?