Remove-CsKerberosAccountAssignment
トピックの最終更新日: 2012-03-25
1 つ以上の Kerberos アカウントの割り当てを削除します。
構文
Remove-CsKerberosAccountAssignment -Identity <XdsIdentity> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
解説
Microsoft Office Communications Server 2007 および Microsoft Office Communications Server 2007 R2 では、IIS は標準ユーザー アカウントで実行されていました。これにより、次の問題が発生する可能性がありました。パスワードが期限切れになると、Web サービス の Web サービスが失われる可能性があり、多くの場合、診断が困難なものでした。パスワードの期限切れの問題を防ぐため、Microsoft Lync Server 2010 では、IIS を実行するサイト内の全コンピューターの認証プリンシパルとして機能できる (実際には存在しないコンピューター用の) コンピューター アカウントを作成することができます。これらのアカウントは Kerberos 認証プロトコルを使用するため、アカウントは Kerberos アカウントと呼ばれ、新しい認証プロセスが Kerberos Web 認証として認識されます。この結果、単一のアカウントを使用してすべての IIS サーバーを管理できます。
この新しい認証原則でサーバーを実行するには、まず New-CsKerberosAccount コマンドレットを使用してコンピューター アカウント (これも実際のコンピューターと結びついていません) を作成する必要があります。その後このアカウントが 1 つ以上のサイトに割り当てられます。割り当てが行われた後、その割り当ては Enable-CsTopology コマンドレットを実行することによって有効にされます。これにより、その他の情報と一緒に、必要なサービス プリンシパル名 (SPN) が Active Directory ドメイン サービス (AD DS) に作成されます。SPN は、クライアント アプリケーションが特定のサービスを検出するためのものです。
各 Lync Server 2010 サイトには、多くても 1 つの Kerberos アカウントを関連付けることができます (ただし、各アカウントは複数のサイトに関連付けることができます。)Remove-CsKerberosAccountAssignment コマンドレットを使用することにより、いつでもサイトとアカウントの間の関連付けを削除できます。このコマンドレットは、当該アカウントを削除しません。単にアカウントとサイトの間の関連付けを行い、そのサイトでの Kerberos Web 認証を実質的に無効にするだけです。
Remove-CsKerberosAccountAssignment コマンドレットを実行した後、次に Enable-CsTopology コマンドレットを実行する必要があることに注意してください。この結果、アカウントのサービス プリンシパル名が Active Directory から削除され、Kerberos Web 認証が完全に無効になります。
このコマンドレットを実行できるユーザー: 既定では、次のグループのメンバーが、Remove-CsKerberosAccountAssignment コマンドレットのローカル実行を承認されています。RTCUniversalServerAdmins。このコマンドレットが割り当てられているすべての役割ベースのアクセス制御 (RBAC) の役割の一覧 (自身が作成したカスタムの RBAC の役割を含む) を戻すには、Windows PowerShell プロンプトから次のコマンドを実行します。
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Remove-CsKerberosAccountAssignment"}
パラメーター
| パラメーター | 必須かどうか | 型 | 説明 |
|---|---|---|---|
Identity |
必須 |
文字列 |
Kerberos アカウント割り当てが削除されるサイトの一意の識別子。(これは、Kerberos アカウントではなく、サイトの Identity です。)次に例を示します。-Identity "site:Redmond"。 |
Force |
省略可能 |
スイッチ パラメーター |
指定すると、致命的エラーを除くすべてのエラー メッセージが表示されなくなります。 |
WhatIf |
省略可能 |
スイッチ パラメーター |
実際にコマンドを実行せずに、コマンドの実行結果がわかります。 |
Confirm |
省略可能 |
スイッチ パラメーター |
コマンドの実行前に確認メッセージを表示します。 |
入力の種類
Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment オブジェクト。Remove-CsKerberosAccountAssignment は、Keroberos アカウント割り当てオブジェクトに関する、パイプ処理されたインスタンスを受け入れます。
戻り値の種類
なし。代わりに、Remove-CsKerberosAccountAssignment は、オブジェクトや値を戻しません。代わりにこのコマンドレットを実行すると、Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment オブジェクトの既存インスタンスが削除されます。
例
-------------------------- 例 1 ------------------------
Remove-CsKerberosAccountAssignment -Identity "site:Redmond"
Enable-CsTopology
上のコマンドは、Redmond サイトから Kerberos アカウント割り当てを削除し、次に Enable-CsTopology を呼び出して Kerberos Web 認証の無効化を完了します。
-------------------------- 例 2 ------------------------
Get-CsKerberosAccountAssignment | Remove-CsKerberosAccountAssignment
Enable-CsTopology
例 2 では、現在使用中のすべての Kerberos アカウント割り当てが削除されます。これを行うため、このコマンドは、(パラメーターを何も指定せずに) Get-CsKerberosAccountAssignment を呼び出してすべての Kerberos アカウント割り当てのコレクションを戻します。次にこのコレクションは Remove-CsKerberosAccountAssignment にパイプ処理され、コレクションの各割り当てが削除されます。上記のコマンドが完了した後、この例の 2 番目のコマンドは Enable-CsTopology を呼び出して Kerberos Web 認証の無効化を完了します。