Protection des services Internet (IIS) dans Lync Server 2013Protecting IIS in Lync Server 2013

 

Dernière modification de la rubrique : 2013-12-05Topic Last Modified: 2013-12-05

Dans Microsoft Office Communications Server 2007 et Microsoft Office Communications Server 2007 R2, Internet Information Services (IIS) s’est exécuté sous un compte d’utilisateur standard.In Microsoft Office Communications Server 2007 and Microsoft Office Communications Server 2007 R2, Internet Information Services (IIS) ran under a standard user account. Cela était susceptible de provoquer des problèmes : si ce mot de passe a expiré, vous pouviez perdre vos services Web, un problème souvent difficile à diagnostiquer.This had the potential to cause issues: if that password expired you could lose your Web Services, an issue that was often difficult to diagnose. Pour éviter le problème d’expiration des mots de passe, Microsoft Lync Server 2013 vous permet de créer un compte d’ordinateur (pour un ordinateur qui n’existe pas réellement) qui peut servir de principal d’authentification pour tous les ordinateurs d’un site qui exécutent les services Internet (IIS).To help avoid the issue of expiring passwords, Microsoft Lync Server 2013 enables you to create a computer account (for a computer that doesn’t actually exist) that can serve as the authentication principal for all the computers in a site that are running IIS. Étant donné que ces comptes utilisent le protocole d’authentification Kerberos, les comptes sont appelés comptes Kerberos et le nouveau processus d’authentification est appelé authentification Web Kerberos.Because these accounts use the Kerberos authentication protocol, the accounts are referred to as Kerberos accounts, and the new authentication process is known as Kerberos web authentication. Cela vous permet de gérer tous vos serveurs IIS à l’aide d’un seul compte.This enables you to manage all your IIS servers by using a single account.

Pour pouvoir exécuter vos serveurs sous ce nom principal d’authentification, vous devez créer un compte d’ordinateur au moyen de l’applet de commande New-CsKerberosAccount, le compte étant ensuite affecté à un ou plusieurs sites.To run your servers under this authentication principal, you must first create a computer account by using the New-CsKerberosAccount cmdlet; this account is then assigned to one or more sites. Une fois l’affectation effectuée, l’association entre le compte et le site Lync Server 2013 est activée en exécutant l’applet de commande Enable-CsTopology.After the assignment has been made, the association between the account and the Lync Server 2013 site is enabled by running the Enable-CsTopology cmdlet. Entre autres choses, cela crée le nom de principal du service (SPN) requis dans les services de domaine Active Directory (AD DS).Among other things, this creates the required service principal name (SPN) in Active Directory Domain Services (AD DS). Les noms SPN permettent aux applications clientes de localiser un service.SPNs provide a way for client applications to locate a particular service. Pour plus d’informations, consultez la rubrique New-CsKerberosAccount dans la documentation des opérations.For details, see New-CsKerberosAccount in the Operations documentation.

Meilleures pratiquesBest Practices

Pour aider à améliorer la sécurité d’IIS, nous vous recommandons d’implémenter un compte Kerberos pour IIS. Si vous ne le faites pas, IIS est exécuté sous un compte utilisateur standard.To help increase security of IIS, we recommend that you implement a Kerberos account for IIS. If you do not implement a Kerberos account, IIS runs under a standard user account.