Servicios de dominio de Active Directory para Skype Empresarial Server 2015Active Directory Domain Services for Skype for Business Server 2015

Los servicios de dominio de Active Directory funciona como el servicio de directorio para redes de Windows Server 2003, Windows Server 2008, Windows Server 2012 y Windows Server R2 de 2012.Active Directory Domain Services functions as the directory service for Windows Server 2003, Windows Server 2008, Windows Server 2012, and Windows Server 2012 R2 networks. Los servicios de dominio de Active Directory también sirve como la base sobre la que se ha construido el Skype para la infraestructura de seguridad de Business Server 2015.Active Directory Domain Services also serves as the foundation on which the Skype for Business Server 2015 security infrastructure is built. El propósito de esta sección es describir cómo Skype para el año 2015 de Business Server utiliza los servicios de dominio de Active Directory para crear un entorno de confianza para mensajería instantánea, conferencias Web, multimedia y voz.The purpose of this section is to describe how Skype for Business Server 2015 uses Active Directory Domain Services to create a trustworthy environment for IM, Web conferencing, media, and voice. Para obtener más información acerca de cómo preparar el entorno de servicios de dominio de Active Directory, vea Instalar Skype para Business Server 2015 en la documentación de implementación.For details about preparing your environment for Active Directory Domain Services, see Install Skype for Business Server 2015 in the Deployment documentation. Para obtener más información acerca de la función de servicios de dominio de Active Directory en redes de Windows Server, consulte la documentación de la versión del sistema operativo que está utilizando.For details about the role of Active Directory Domain Services in Windows Server networks, see the documentation for the version of the operating system you are using.

Skype para el año 2015 de Business Server utiliza los servicios de dominio de Active Directory para almacenar:Skype for Business Server 2015 uses Active Directory Domain Services to store:

  • Configuración global de todos los servidores que ejecutan Skype para Business Server 2015 en un bosque requieren.Global settings that all servers running Skype for Business Server 2015 in a forest require.

  • Información de servicio que identifica las funciones de todos los servidores de Skype para Business Server 2015 en un bosque.Service information that identifies the roles of all servers running Skype for Business Server 2015 in a forest.

  • Algunas configuraciones de usuario.Some user settings.

Infraestructura de Active DirectoryActive Directory Infrastructure

Requisitos de infraestructura de Active Directory incluyen los siguientes:Infrastructure requirements for Active Directory include the following:

  • Requisitos del sistema operativo para los controladores de dominioOperating system requirements for domain controllers

  • Requisitos del nivel funcional de dominio y bosqueDomain and forest functional level requirements

  • Requisitos del dominio del catálogo globalGlobal catalog domain requirements

Para obtener más información, consulte requisitos ambientales para Skype para Business Server 2015 en la documentación de implementación.For details, see Environmental requirements for Skype for Business Server 2015 in the Deployment documentation.

Grupos universalesUniversal Groups

Durante la preparación del bosque, Skype para Business Server 2015 crea varios grupos universales en servicios de dominio de Active Directory que tienen permiso para obtener acceso y administrar la configuración global y servicios.During preparation of the forest, Skype for Business Server 2015 creates various universal groups within Active Directory Domain Services that have permission to access and manage global settings and services. Entre estos grupos universales se incluyen:These universal groups include:

  • Grupos administrativos.Administrative groups. Estos grupos definen las funciones de administrador fundamentales para un Skype para red Business Server.These groups define the fundamental administrator roles for a Skype for Business Server network. Durante la preparación del bosque, estos grupos de administrador se agregan al Skype para grupos de infraestructura de servidores de negocios.During forest preparation, these administrator groups are added to Skype for Business Server infrastructure groups.

  • Grupos de servicio.Service groups. Estos grupos son cuentas de servicio que requieren acceso a diversos servicios proporcionados por Skype para Business Server.These groups are service accounts that are required to access various services provided by Skype for Business Server.

  • Grupos de infraestructura.Infrastructure groups. Estos grupos proporcionan el permiso de acceso a áreas específicas de la Skype para infraestructura de servidores empresariales.These groups provide permission to access specific areas of the Skype for Business Server infrastructure. Funcionan como componentes de los grupos administrativos y no deben modificarse ni se deben agregar directamente usuarios a esos grupos.They function as components of administrative groups, and you should not modify them or add users to them directly. Durante la preparación del bosque, se añaden grupos de servicio y administración específicos a los grupos de infraestructura correspondientes.During forest preparation, specific service and administration groups are added to the appropriate infrastructure groups.

Para obtener más información acerca de los grupos universales específicos creados al preparar AD Skype para Business Server, así como los grupos de administración y servicio que se agregan a los grupos de infraestructura, consulte cambios realizados por la preparación del bosque de Skype para empresas Servidor en la documentación de implementación.For details about the specific universal groups created when preparing AD for Skype for Business Server, as well as the service and administration groups that get added to the infrastructure groups, see Changes made by forest preparation in Skype for Business Server in the Deployment documentation.

Nota

Skype para el año 2015 de Business Server admite los grupos universales en el Windows Server 2012, así como los sistemas operativos de Windows Server 2003 controladores de dominio.Skype for Business Server 2015 supports the universal groups in the Windows Server 2012, as well as Windows Server 2003 operating systems for domain controllers. Los miembros de grupos universales pueden incluir otros grupos y cuentas de cualquier dominio en el árbol de dominio o bosque, y se les pueden asignar permisos en cualquier dominio en el árbol de dominio o bosque.Members of universal groups can include other groups and accounts from any domain in the domain tree or forest and can be assigned permissions in any domain in the domain tree or forest. Soporte de grupo universal, combinado con la delegación del administrador, simplifica la administración de un Skype para la implementación de Business Server.Universal group support, combined with administrator delegation, simplifies the management of a Skype for Business Server deployment. Por ejemplo, no es necesario agregar un dominio a otro para que un administrador pueda administrar ambos.For example, it is not necessary to add one domain to another to enable an administrator to manage both.

Control de acceso basado en rolesRole-Based Access Control

Además de crear grupos universales de servicio y administración y añadir grupos de servicio y administración a los grupos universales correspondientes, la preparación del bosque también crea grupos de control de acceso basado en roles (RBAC).In addition to creating universal service and administration groups and adding service and administration groups to the appropriate universal groups, forest preparation also creates Role-Based Access Control (RBAC) groups. Para obtener más información acerca de los grupos específicos de RBAC creados por la preparación del bosque, vea los cambios realizados por la preparación del bosque en Skype para Business Server en la documentación de implementación.For details about the specific RBAC groups created by forest preparation, see Changes made by forest preparation in Skype for Business Server in the Deployment documentation. Para obtener más información acerca de los grupos RBAC, consulte control de acceso basado en roles (RBAC) de Skype para Business Server 2015.For more information about RBAC groups, see Role-based access control (RBAC) for Skype for Business Server 2015.

Entradas de control de acceso (ACE) y herenciaAccess Control Entries (ACEs) and Inheritance

La preparación del bosque crea ACE privadas y públicas, y añade ACE en los grupos universales que crea.Forest preparation creates both private and public ACEs and, adding ACEs for the universal groups it creates. Crea en el contenedor de configuración global utilizado por Skype para Business Server ACE privadas específicas.It creates specific private ACEs on the global settings container used by Skype for Business Server. Este contenedor sólo utiliza Skype para Business Server y se encuentra en el contenedor de configuración o en el contenedor del sistema en el dominio raíz, dependiendo de dónde guardar la configuración global.This container is used only by Skype for Business Server and is located either in the Configuration container or the System container in the root domain, depending on where you store global settings.

El paso de preparación del dominio agrega las entradas de control de acceso (ACE) necesarias a los grupos universales que conceden permisos para hospedar y administrar los usuarios dentro del dominio. La preparación del dominio crea entradas ACE en la raíz del dominio y tres contenedores integrados: usuarios, equipos y controladores de dominio.The domain preparation step adds the necessary access control entries (ACEs) to universal groups that grant permissions to host and manage users within the domain. Domain preparation creates ACEs on the domain root and three built-in containers: User, Computers, and Domain Controllers.

Para detalles acerca de las entradas ACE públicas crean y agregado por la preparación del bosque y la preparación de dominio, vea los cambios realizados por la preparación del bosque en Skype para Business Server y los cambios realizados por la preparación del dominio en Skype para Business Server en el Documentación de implementación.For details about the public ACEs created and added by forest preparation and domain preparation, see Changes made by forest preparation in Skype for Business Server and Changes made by domain preparation in Skype for Business Server in the Deployment documentation.

Las organizaciones suelen bloquean los servicios de dominio de Active Directory (AD DS) para mitigar los riesgos de seguridad.Organizations often lock down Active Directory Domain Services (AD DS) to help mitigate security risks. Sin embargo, un entorno de Active Directory bloqueado, puede limitar los permisos que requiere Skype para Business Server 2015.However, a locked-down Active Directory environment can limit the permissions that Skype for Business Server 2015 requires. Puede incluir la eliminación de ACE de contenedores y unidades organizativas y la deshabilitación de la herencia de permisos en los objetos User, Contact, InetOrgPerson o Computer.This can include removal of ACEs from containers and OUs and disabling of permissions inheritance on User, Contact, InetOrgPerson, or Computer objects. Un bloqueado en el entorno de Active Directory, deben configurarse manualmente los permisos en los contenedores y las unidades organizativas que se requieran.In a locked down Active Directory environment, permissions must be set manually on containers and OUs that require them.

Información sobre el servidorServer Information

Durante la activación, Skype para Business Server 2015 publica información del servidor en las tres ubicaciones siguientes en servicios de dominio de Active Directory:During activation, Skype for Business Server 2015 publishes server information to the three following locations in Active Directory Domain Services:

  • Punto de conexión de servicio correspondiente a un equipo físico en el que está instalado Skype para Business Server 2015 cada objeto de equipo de Active Directory (SCP).A service connection point (SCP) on each Active Directory computer object corresponding to a physical computer on which Skype for Business Server 2015 is installed.

  • Objetos de servidor creados en el contenedor de la clase msRTCSIP-Pools.Server objects created in the container of the msRTCSIP-Pools class.

  • Servidores de confianza especificados en el generador de topología.Trusted servers specified in Topology Builder.

Puntos de conexión de servicioService Connection Points

Cada Skype para objeto Business Server 2015 en servicios de dominio de Active Directory tiene un SCP llamado servicios de RTC, que a su vez contiene un número de atributos que identifican cada equipo y especificar los servicios que proporciona.Each Skype for Business Server 2015 object in Active Directory Domain Services has an SCP called RTC Services, which in turn contains a number of attributes that identify each computer and specify the services that it provides. Entre el SCP más importante atributos son serviceBindingInformation , serviceDNSNameType , serviceClassname y serviceDNSName .Among the more important SCP attributes are serviceDNSName , serviceDNSNameType , serviceClassname , and serviceBindingInformation . Las aplicaciones de administración de activos de otro fabricante pueden recuperar la información de servidor de una implementación consultando estos y otros atributos de los SCP.Third-party asset management applications can retrieve server information across a deployment by querying against these and other SCP attributes.

Objetos de servidor de Active DirectoryActive Directory Server Objects

Cada Skype para la función de servidor de Business Server 2015 tiene un correspondiente en Active Directory objeto cuyos atributos definen los servicios proporcionados por esa función.Each Skype for Business Server 2015 server role has a corresponding Active Directory object whose attributes define the services provided by that role. Además, cuando se activa un servidor Standard Edition, o cuando se crea un grupo de servidores Enterprise Edition, Skype para Business Server 2015 crea un nuevo objeto msRTCSIP-Pool en el contenedor de msRTCSIP-Pools .Also, when a Standard Edition server is activated, or when an Enterprise Edition pool is created, Skype for Business Server 2015 creates a new msRTCSIP-Pool object in the msRTCSIP-Pools container. La clase msRTCSIP-Pool especifica el nombre de dominio completo (FQDN) del grupo, junto con la asociación entre los componentes front-end y back-end del grupo de servidores.The msRTCSIP-Pool class specifies the fully qualified domain name (FQDN) of the pool, along with the association between the front-end and back-end components of the pool. (Un servidor Standard Edition se considera como una agrupación lógica cuyos extremos delanteros y trasero están ubicados en un único equipo).(A Standard Edition server is regarded as a logical pool whose front and back ends are collocated on a single computer.)

Servidores de confianzaTrusted Servers

En Skype para Business Server 2015, servidores de confianza son los que se especificó al ejecutar el generador de topología y publicar la topología.In Skype for Business Server 2015, trusted servers are the ones specified when you run Topology Builder and publish your topology. La topología publicada, incluida toda la información del servidor, se almacena en el almacén de administración central.The published topology, including all the server information, is stored in the Central Management store. Solo los servidores definidos en el almacén de administración central son de confianza.Only servers defined in the Central Management store are trusted. En Skype para Business Server 2015, un servidor de confianza es uno que cumpla los siguientes criterios:In Skype for Business Server 2015, a trusted server is one that meets the following criteria:

Si no se cumple alguno de estos criterios, el servidor no se considera de confianza y se rechaza la conexión con dicho servidor.If either of these criteria is missing, the server is not trusted and connection with it is refused. Este requisito doble previene un ataque posible, si no es probable, en el cual un falso servidor intenta asumir el FQDN de un servidor válido.This double requirement prevents a possible, if unlikely, attack in which a rogue server attempts to take over a valid server's FQDN.

Además, para habilitar Microsoft Office Communications Server 2007 R2 y las implementaciones de Microsoft Office Communications Server 2007 para comunicarse con Skype para servidores Business Server 2015, Skype para Business Server 2015 crea contenedores durante el bosque preparación para la celebración de las listas de servidores de confianza para las versiones anteriores.Additionally, to enable Microsoft Office Communications Server 2007 R2 and Microsoft Office Communications Server 2007 deployments to communicate with Skype for Business Server 2015 servers, Skype for Business Server 2015 creates containers during forest preparation for holding lists of trusted servers for previous releases. La siguiente tabla describe los contenedores creados para habilitar la compatibilidad con implementaciones anteriores.The following table describes the containers created to enable compatibility with previous deployments.

Listas de servidores y sus contenedores de Active Directory de confianza para la compatibilidad con versiones anterioresTrusted Server Lists and Their Active Directory Containers for Compatibility with Previous Releases

Lista de servidores de confianzaTrusted server list Contenedor de Active DirectoryActive Directory container
Servidores de Standard Edition y servidores front-end del grupo Enterprise EditionStandard Edition servers and Enterprise pool Front End Servers
Servicio RTC/Configuración globalRTC Service/Global Settings
Servidores de conferenciaConferencing Servers
Servicio RTC/MCU de confianzaRTC Service/Trusted MCUs
Servidores de componentes webWeb Components Servers
Servicio RTC/Servidores de componentes web de confianzaRTC Service/TrustedWebComponentsServers
Servidores de mediación y servidores de Communicator Web Access, Servidor de aplicaciones, Registrador con QoE, Servicio de conferencia A/V (también servidores SIP de otros fabricantes)Mediation Servers and Communicator Web Access Servers, Application Server, Registrar with QoE, A/V Conferencing Service (also 3rd-party SIP servers)
Servicio RTC/Servicios de confianzaRTC Service/Trusted Services
Servidores proxyProxy Servers
Skype para Business Server 2015 no admite compatibilidad con versiones anteriores de servidores proxySkype for Business Server 2015 does not support backward compatibility for proxy servers