Servicios de dominio de Active Directory para Lync Server 2013Active Directory Domain Services for Lync Server 2013

 

Última modificación del tema: 2013-11-13Topic Last Modified: 2013-11-13

Servicios de dominio de Active Directory funciona como el servicio de directorio para Windows Server 2003, Windows Server 2008, Windows Server 2012 y redes de Windows Server 2012 R2.Active Directory Domain Services functions as the directory service for Windows Server 2003, Windows Server 2008, Windows Server 2012, and Windows Server 2012 R2 networks. Los servicios de dominio de Active Directory también sirven como base sobre la que se crea la infraestructura de seguridad de Microsoft Lync Server 2013.Active Directory Domain Services also serves as the foundation on which the Microsoft Lync Server 2013 security infrastructure is built. La finalidad de esta sección es describir cómo Lync Server 2013 usa los servicios de dominio de Active Directory para crear un entorno confiable para la mensajería instantánea, la conferencia Web, los medios y la voz.The purpose of this section is to describe how Lync Server 2013 uses Active Directory Domain Services to create a trustworthy environment for IM, Web conferencing, media, and voice. Para obtener más información sobre las extensiones de Lync Server a los servicios de dominio de Active Directory y sobre cómo preparar el entorno para los servicios de dominio de Active Directory, consulte preparación de los servicios de dominio de Active Directory para Lync Server 2013 en la documentación sobre implementación.For details about Lync Server extensions to Active Directory Domain Services and about preparing your environment for Active Directory Domain Services, see Preparing Active Directory Domain Services for Lync Server 2013 in the Deployment documentation. Para obtener más información sobre el rol de los servicios de dominio de Active Directory en las redes de Windows Server, consulte la documentación de la versión del sistema operativo que está usando.For details about the role of Active Directory Domain Services in Windows Server networks, see the documentation for the version of the operating system you are using.

Lync Server 2013 usa los servicios de dominio de Active Directory para almacenar:Lync Server 2013 uses Active Directory Domain Services to store:

  • La configuración global que requieren todos los servidores que ejecutan Lync Server 2013 en un bosque.Global settings that all servers running Lync Server 2013 in a forest require.

  • Información de servicio que identifica los roles de todos los servidores que ejecutan Lync Server 2013 en un bosque.Service information that identifies the roles of all servers running Lync Server 2013 in a forest.

  • Algunas opciones de configuración del usuario.Some user settings.

Infraestructura de Active DirectoryActive Directory Infrastructure

Entre los requisitos de infraestructura para Active Directory se incluyen los siguientes:Infrastructure requirements for Active Directory include the following:

  • Requisitos del sistema operativo para los controladores de dominioOperating system requirements for domain controllers

  • Requisitos del nivel funcional de dominio y bosqueDomain and forest functional level requirements

  • Requisitos del dominio del catálogo globalGlobal catalog domain requirements

Para obtener más información, consulte Active Directory Infrastructure Requirements for Lync Server 2013 en la documentación sobre implementación.For details, see Active Directory infrastructure requirements for Lync Server 2013 in the Deployment documentation.

Preparación de los servicios de dominio de Active DirectoryActive Directory Domain Services Preparation

Nota

Se recomienda implementar la configuración global en el contenedor de configuración en lugar del contenedor del sistema.We recommend that you deploy global settings to the Configuration container instead of the System container. Esto no mejora la seguridad, pero puede dar como resultado mejoras de escalabilidad para algunas topologías de servicios de dominio de Active Directory.This does not enhance security, but can result in scalability improvements for some Active Directory Domain Services topologies. Si va a migrar desde Microsoft Office Communications Server 2007 y ha usado el contenedor del sistema pero tiene previsto usar el contenedor de configuración, debe mover la configuración del contenedor del sistema antes de realizar los preparativos de actualización.If you are migrating from Microsoft Office Communications Server 2007 and have used the System container but plan to use the Configuration container, you MUST move the settings in the System container BEFORE you do any upgrade preparations. Para migrar la configuración del contenedor del sistema al contenedor de configuración, vea Office Communications Server 2007 global Settings Migration Tool en https://go.microsoft.com/fwlink/p/?LinkId=145236 .To migrate your System container settings to the Configuration container, see Office Communications Server 2007 Global Settings Migration Tool at https://go.microsoft.com/fwlink/p/?LinkId=145236.

Al implementar Lync Server 2013, el primer paso consiste en preparar los servicios de dominio de Active Directory.When deploying Lync Server 2013, the first step is to prepare Active Directory Domain Services. La preparación de los servicios de dominio de Active Directory para Lync Server 2013 consta de los tres pasos siguientes:Preparing Active Directory Domain Services for Lync Server 2013 consists of the following three steps:

  • Preparar el esquema.Prepare Schema. Esta tarea amplía el esquema de los servicios de dominio de Active Directory para incluir clases y atributos específicos de Lync Server 2013.This task extends the schema in Active Directory Domain Services to include classes and attributes specific to Lync Server 2013. Para obtener información detallada sobre la preparación del esquema, consulte Running Active Directory Schema Preparation in Lync Server 2013 en la documentación sobre implementación.For details about preparing the schema, see Running Active Directory schema preparation in Lync Server 2013 in the Deployment documentation. Para obtener más información, vea migración de Office Communications Server 2007 R2 a Lync Server 2013.For more information, see Migration from Office Communications Server 2007 R2 to Lync Server 2013.

  • Preparar el bosque.Prepare Forest. Esta tarea crea la configuración global y los objetos en el dominio raíz del bosque, junto con los grupos de servicio universal y administrativo que rigen el acceso a estos objetos y configuraciones.This task creates global settings and objects in the forest root domain, along with the universal service and administrative groups that govern access to these settings and objects. Para obtener información detallada acerca de la preparación del bosque, consulte Running Forest Preparation for Lync Server 2013 en la documentación sobre implementación.For details about preparing the forest, see Running forest preparation for Lync Server 2013 in the Deployment documentation.

  • Prepare el dominio.Prepare Domain. Esta tarea agrega las entradas de control de acceso (ACE) necesarias a los grupos universales que conceden permisos para hospedar y administrar los usuarios del dominio.This task adds the necessary access control entries (ACEs) to universal groups that grant permissions to host and manage users within the domain. Esta tarea debe completarse en todos los dominios en los que desea implementar servidores que ejecutan Lync Server 2013 y cualquier dominio en el que residen los usuarios de Lync Server.This task must be completed in all domains where you want to deploy servers running Lync Server 2013 and any domains where your Lync Server users reside. Para obtener información detallada sobre la preparación del dominio, consulte Running Domain Preparation for Lync Server 2013 en la documentación sobre implementación.For details about preparing the domain, see Running domain preparation for Lync Server 2013 in the Deployment documentation.

Para obtener información general sobre el proceso completo para preparar Active Directory y los derechos y permisos necesarios para realizar cada paso, consulte Active Directory Infrastructure Requirements for Lync Server 2013 en la documentación sobre implementación.For an overview of the complete process for preparing Active Directory and the rights and permissions required to perform each step, see Active Directory infrastructure requirements for Lync Server 2013 in the Deployment documentation.

Grupos universalesUniversal Groups

Durante la preparación del bosque, Lync Server 2013 crea varios grupos universales dentro de los servicios de dominio de Active Directory que tienen permiso para obtener acceso a los servicios y la configuración global y administrarlos.During preparation of the forest, Lync Server 2013 creates various universal groups within Active Directory Domain Services that have permission to access and manage global settings and services. Estos grupos universales incluyen:These universal groups include:

  • Grupos administrativos.Administrative groups. Estos grupos definen los roles de administrador fundamentales para una red de Lync Server.These groups define the fundamental administrator roles for a Lync Server network. Durante la preparación del bosque, estos grupos de administradores se agregan a los grupos de infraestructura de Lync Server.During forest preparation, these administrator groups are added to Lync Server infrastructure groups.

  • Grupos de servicio.Service groups. Estos grupos son cuentas de servicio necesarias para tener acceso a varios servicios proporcionados por Lync Server.These groups are service accounts that are required to access various services provided by Lync Server.

  • Grupos de infraestructura.Infrastructure groups. Estos grupos proporcionan permiso para acceder a áreas específicas de la infraestructura de Lync Server.These groups provide permission to access specific areas of the Lync Server infrastructure. Funcionan como componentes de los grupos administrativos y no se deben modificar ni agregar usuarios directamente a ellos.They function as components of administrative groups, and you should not modify them or add users to them directly. Durante la preparación del bosque, los grupos de servicio y administración específicos se agregan a los grupos de infraestructura correspondientes.During forest preparation, specific service and administration groups are added to the appropriate infrastructure groups.

Para obtener información detallada sobre los grupos universales específicos que se crearon al preparar AD para Lync Server, así como los grupos de servicio y administración que se agregan a los grupos de infraestructura, vea los cambios realizados por la preparación del bosque en Lync Server 2013 en la documentación sobre implementación.For details about the specific universal groups created when preparing AD for Lync Server, as well as the service and administration groups that get added to the infrastructure groups, see Changes made by forest preparation in Lync Server 2013 in the Deployment documentation.

Nota

Lync Server 2013 admite los grupos universales de Windows Server 2012 para servidores que ejecutan Lync Server 2013, así como sistemas operativos Windows Server 2003 para controladores de dominio.Lync Server 2013 supports the universal groups in the Windows Server 2012 for servers running Lync Server 2013, as well as Windows Server 2003 operating systems for domain controllers. Los miembros de grupos universales pueden incluir otros grupos y cuentas de cualquier dominio en el árbol de dominio o bosque y se les pueden asignar permisos en cualquier dominio en el árbol de dominio o bosque.Members of universal groups can include other groups and accounts from any domain in the domain tree or forest and can be assigned permissions in any domain in the domain tree or forest. La compatibilidad con grupos universales, combinada con la delegación de administrador, simplifica la administración de una implementación de Lync Server.Universal group support, combined with administrator delegation, simplifies the management of a Lync Server deployment. Por ejemplo, no es necesario agregar un dominio a otro para que un administrador pueda administrar ambos.For example, it is not necessary to add one domain to another to enable an administrator to manage both.

Control de acceso Role-BasedRole-Based Access Control

Además de crear grupos de servicio universal y de administración, y agregar grupos de servicio y administración a los grupos universales apropiados, la preparación del bosque también crea grupos de control de acceso (RBAC) de Role-Based.In addition to creating universal service and administration groups and adding service and administration groups to the appropriate universal groups, forest preparation also creates Role-Based Access Control (RBAC) groups. Para obtener más información sobre los grupos RBAC específicos creados por la preparación del bosque, consulte Changes by Forest Preparation in Lync Server 2013 en la documentación sobre implementación.For details about the specific RBAC groups created by forest preparation, see Changes made by forest preparation in Lync Server 2013 in the Deployment documentation. Para obtener más información acerca de los grupos RBAC, consulte role-based access control (RBAC) para Lync Server 2013.For more information about RBAC groups, see Role-based access control (RBAC) for Lync Server 2013.

Entradas de control de acceso (ACE) y herenciaAccess Control Entries (ACEs) and Inheritance

La preparación del bosque crea ACE privadas y públicas, y agrega entradas ACE para los grupos universales que crea.Forest preparation creates both private and public ACEs and, adding ACEs for the universal groups it creates. Crea ACE privadas específicas en el contenedor de configuración global usado por Lync Server.It creates specific private ACEs on the global settings container used by Lync Server. Este contenedor solo se usa en Lync Server y se encuentra en el contenedor de configuración o en el contenedor del sistema en el dominio raíz, en función de dónde almacene la configuración global.This container is used only by Lync Server and is located either in the Configuration container or the System container in the root domain, depending on where you store global settings.

El paso de preparación del dominio agrega las entradas de control de acceso (ACE) necesarias a los grupos universales que conceden permisos para hospedar y administrar los usuarios dentro del dominio.The domain preparation step adds the necessary access control entries (ACEs) to universal groups that grant permissions to host and manage users within the domain. La preparación del dominio crea entradas ACE en la raíz del dominio y tres contenedores integrados: usuarios, equipos y controladores de dominio.Domain preparation creates ACEs on the domain root and three built-in containers: User, Computers, and Domain Controllers.

Para más información sobre las ACE públicas creadas y agregadas por la preparación del bosque y la preparación del dominio, consulte Changes by Forest Preparation in Lync server 2013 y cambios realizados por la preparación del dominio en Lync Server 2013 en la documentación sobre implementación.For details about the public ACEs created and added by forest preparation and domain preparation, see Changes made by forest preparation in Lync Server 2013 and Changes made by domain preparation in Lync Server 2013 in the Deployment documentation.

Las organizaciones a menudo bloquean los servicios de dominio de Active Directory (AD DS) para ayudar a mitigar los riesgos de seguridad.Organizations often lock down Active Directory Domain Services (AD DS) to help mitigate security risks. Sin embargo, un entorno de Active Directory bloqueado puede limitar los permisos que necesita Lync Server 2013.However, a locked-down Active Directory environment can limit the permissions that Lync Server 2013 requires. Esto puede incluir la eliminación de ACE de contenedores y unidades organizativas, y la deshabilitación de la herencia de permisos en objetos user, Contact, InetOrgPerson o Computer.This can include removal of ACEs from containers and OUs and disabling of permissions inheritance on User, Contact, InetOrgPerson, or Computer objects. En un entorno de Active Directory bloqueado, los permisos deben establecerse manualmente en los contenedores y en las unidades organizativas que los requieran.In a locked down Active Directory environment, permissions must be set manually on containers and OUs that require them. Para obtener más información, consulte preparación de servicios de dominio de Active Directory bloqueados en Lync Server 2013 en la documentación sobre implementación.For details, see Preparing a locked-down Active Directory Domain Services in Lync Server 2013 in the Deployment documentation.

Información del servidorServer Information

Durante la activación, Lync Server 2013 publica la información del servidor en las tres ubicaciones siguientes de los servicios de dominio de Active Directory:During activation, Lync Server 2013 publishes server information to the three following locations in Active Directory Domain Services:

  • Un punto de conexión de servicio (SCP) en cada objeto de equipo de Active Directory correspondiente a un equipo físico en el que Lync Server 2013 está instalado.A service connection point (SCP) on each Active Directory computer object corresponding to a physical computer on which Lync Server 2013 is installed.

  • Objetos de servidor creados en el contenedor de la clase msRTCSIP-pools .Server objects created in the container of the msRTCSIP-Pools class.

  • Servidores de confianza especificados en el generador de topologías.Trusted servers specified in Topology Builder.

Puntos de conexión de servicioService Connection Points

Cada objeto de Lync Server 2013 en los servicios de dominio de Active Directory tiene un SCP denominado servicios de RTC, que a su vez contiene una serie de atributos que identifican cada equipo y especifican los servicios que proporciona.Each Lync Server 2013 object in Active Directory Domain Services has an SCP called RTC Services, which in turn contains a number of attributes that identify each computer and specify the services that it provides. Entre los atributos de SCP más importantes se encuentran serviceDNSName, serviceDNSNameType, serviceClassnamey serviceBindingInformation.Among the more important SCP attributes are serviceDNSName, serviceDNSNameType, serviceClassname, and serviceBindingInformation. Las aplicaciones de administración de activos de terceros pueden recuperar información del servidor en una implementación consultando estos y otros atributos de SCP.Third-party asset management applications can retrieve server information across a deployment by querying against these and other SCP attributes.

Objetos de servidor de Active DirectoryActive Directory Server Objects

Cada rol de servidor de Lync Server 2013 tiene un objeto de Active Directory correspondiente cuyos atributos definen los servicios proporcionados por el rol.Each Lync Server 2013 server role has a corresponding Active Directory object whose attributes define the services provided by that role. Además, cuando se activa un servidor Standard Edition o cuando se crea un grupo de servidores Enterprise Edition, Lync Server 2013 crea un nuevo objeto msRTCSIP-Pool en el contenedor msRTCSIP-pools .Also, when a Standard Edition server is activated, or when an Enterprise Edition pool is created, Lync Server 2013 creates a new msRTCSIP-Pool object in the msRTCSIP-Pools container. La clase msRTCSIP-Pool especifica el nombre de dominio completo (FQDN) del grupo, junto con la asociación entre los componentes front-end y back-end del grupo.The msRTCSIP-Pool class specifies the fully qualified domain name (FQDN) of the pool, along with the association between the front-end and back-end components of the pool. (Un servidor Standard Edition se considera un grupo lógico cuyos extremos delantero y back se combinan en un solo equipo).(A Standard Edition server is regarded as a logical pool whose front and back ends are collocated on a single computer.)

Servidores de confianzaTrusted Servers

En Lync Server 2013, los servidores de confianza son los que se especifican al ejecutar el generador de topologías y publicar la topología.In Lync Server 2013, trusted servers are the ones specified when you run Topology Builder and publish your topology. La topología publicada, incluida toda la información del servidor, se almacena en el almacén de administración central.The published topology, including all the server information, is stored in the Central Management store. Solo se confía en los servidores definidos en el almacén de administración central.Only servers defined in the Central Management store are trusted. En Lync Server 2013, un servidor de confianza es el único que cumple con los siguientes criterios:In Lync Server 2013, a trusted server is one that meets the following criteria:

Si falta alguno de estos criterios, el servidor no es de confianza y se rechaza la conexión con él.If either of these criteria is missing, the server is not trusted and connection with it is refused. Este doble requisito evita un posible ataque, si no es probable, en el que un servidor malintencionado intenta asumir el FQDN de un servidor válido.This double requirement prevents a possible, if unlikely, attack in which a rogue server attempts to take over a valid server’s FQDN.

Además, para habilitar las implementaciones de Microsoft Office Communications Server 2007 R2 y Microsoft Office Communications Server 2007 para comunicarse con los servidores de Lync Server 2013, Lync Server 2013 crea contenedores durante la preparación del bosque para la retención de listas de servidores de confianza para versiones anteriores.Additionally, to enable Microsoft Office Communications Server 2007 R2 and Microsoft Office Communications Server 2007 deployments to communicate with Lync Server 2013 servers, Lync Server 2013 creates containers during forest preparation for holding lists of trusted servers for previous releases. En la tabla siguiente se describen los contenedores creados para habilitar la compatibilidad con las implementaciones anteriores.The following table describes the containers created to enable compatibility with previous deployments.

Listas de servidores de confianza y sus contenedores de Active Directory para la compatibilidad con versiones anterioresTrusted Server Lists and Their Active Directory Containers for Compatibility with Previous Releases

Lista de servidores de confianzaTrusted server list Contenedor de Active DirectoryActive Directory container

Servidores Standard Edition y servidores front-end del grupo de servidores EnterpriseStandard Edition servers and Enterprise pool Front End Servers

Servicio RTC/configuración globalRTC Service/Global Settings

Servidores de conferenciaConferencing Servers

Servicio RTC/MCU de confianzaRTC Service/Trusted MCUs

Servidores de componentes WebWeb Components Servers

Servicio de RTC/confianzaRTC Service/TrustedWebComponentsServers

Servidores de mediación y servidores de Communicator Web Access, servidor de aplicaciones, registrador con QoE, servicio de conferencia A/V (también servidores SIP de terceros)Mediation Servers and Communicator Web Access Servers, Application Server, Registrar with QoE, A/V Conferencing Service (also 3rd-party SIP servers)

Servicio RTC/servicios de confianzaRTC Service/Trusted Services

Servidores proxyProxy Servers

Lync Server 2013 no admite compatibilidad con versiones anteriores para servidores proxyLync Server 2013 does not support backward compatibility for proxy servers

Para admitir servidores de confianza de versiones anteriores, debe ejecutar la herramienta Best Practices Analyzer.To support trusted servers of previous releases, you must run the best practices analyzer tool. Para obtener más información sobre cómo ejecutar el analizador de procedimientos recomendados, consulte https://go.microsoft.com/fwlink/p/?LinkId=330633 .For details about running the best practices analyzer, see https://go.microsoft.com/fwlink/p/?LinkId=330633.