Exchange中客户端的认证方式做一个总结。

默认情况下如果Exchange环境中如果搭建了CAS Array的话,客户使用是使用NTLM认证方式。如果没有构建CAS Array,那么客户端是使用Kerberos认证方式的。总结如下。

Scenarios

Default Authentication 

Support Kerberos?

CAS Array

NTLM

Yes

None CAS Array

Kerberos

Yes

往往出于如下的需求,客户需要在CAS Array的环境部署Kerberos

ØKerberos authentication is necessary for your local security policy.

ØYou're encountering or anticipating NTLM scalability issues, for example, when direct MAPI connectivity to the RPC Client Access service causes intermittent NTLM failures. 

ØIn large-scale customer deployments, NTLM can cause bottlenecks on Client Access servers that can result in sporadic authentication failures. Services that use NTLM authentication are more sensitive to Active Directory latency issues. These lead to authentication failures when increases in the rate of Client Access server requests are encountered.

CAS Array的环境部署Kerberos认证的,需要在服务器端以及AD中做较多变更,具体步骤不在详谈,可参考如下文章。以前两篇为主,其它为辅。

Kerberos authentication for MAPI client connection to a Client Access server array

http://support.microsoft.com/kb/2688772/en-us

Configuring Kerberos Authentication for Load-Balanced Client Access Servers

http://technet.microsoft.com/en-us/library/ff808312.aspx

Using Kerberos with a Client Access Server Array or a Load-Balancing Solution

http://technet.microsoft.com/en-us/library/ff808313.aspx

http://www.msexchange.org/articles-tutorials/exchange-server-2010/management-administration/enabling-kerberos-authentication-mapi-clients-connecting-exchange-2010-sp1.html

pre-required knowledge

======================

Øauto discovery

ØKerberos authentication

ØCAS Array