Recentemente, tive de ajudar com a configuração de uma credencial da Conta de Serviço Alternativa do Exchange (ASA) em uma matriz CAS do Exchange. Nós conseguimos o ASA funcionando corretamente, mas eu tenho algumas perguntas sobre como o ASA Credientials funciona sob o capô.
O cenário é que precisávamos ativar uma matriz CAS do Exchange para autenticação Kerberos. Estou familiarizado com o Kerberos e sei que, nessa situação, você cria uma conta de serviço no Active Directory e associa quaisquer SPNs necessários a essa conta de serviço e somente a essa conta de serviço. Neste ponto, para a maioria dos serviços com carga balanceada ou em cluster, você visitaria cada nó no cluster e configuraria o serviço com carga balanceada para usar a conta de serviço criada.
Isso é realmente o que você faz ao configurar uma matriz CAS do Exchange para a autenticação do Kerberos. A Microsoft fornece um script chamado rollalternativeserviceaccountpassword.ps1 que configura automaticamente os serviços em todos os membros da matriz CAS para usar a conta de serviço que você criou. Aqui está alguma documentação sobre este processo
O script funciona e nossa matriz está usando o Kerberos, no entanto, a maneira como o script implantou a conta de serviço parece muito bizarra para mim. Depois que executamos o script, eu esperava ver vários serviços do Exchange e pools de aplicativos nos membros da matriz em execução como a conta de serviço, no entanto, eles não são. Eles ainda estão sendo executados como outro LocalSystem ou NetworkService, não o nome da conta de serviço. Minha compreensão do Kerberos me diz que isso não funciona, mas obviamente é.
Eu fiz mais algumas pesquisas e encontrei este artigo.
O que sugere que, de alguma maneira ou de outra, o comportamento do sistema operacional foi alterado um pouco, de modo que LocalSystem e NetworkService possam atuar como a conta de serviço e também como LocalSystem e NetworkService. O parágrafo relevante está na seção A Solução . Outros, então, este documento parece não ter quase nenhuma informação sobre como os ASAs funcionam sob o capô.
Alguém pode explicar como isso foi feito?