Protezione di IIS

 

Ultima modifica dell'argomento: 2011-04-08

In Microsoft Office Communications Server 2007 e Microsoft Office Communications Server 2007 R2 IIS (Internet Information Services) viene eseguito con un account utente standard. Ciò può causare problemi perché in caso di scadenza della password i servizi Web potrebbero non essere più disponibili e il problema è spesso difficile da diagnosticare. Per evitare il problema della scadenza delle password, Microsoft Lync Server 2010 consente di creare un account computer (per un computer che in effetti non esiste) da utilizzare come entità di autenticazione per tutti i computer in un sito che eseguono IIS. Poiché questi account utilizzano il protocollo di autenticazione Kerberos, vengono denominati account Kerberos e il nuovo processo di autenticazione è noto come autenticazione Web Kerberos. In questo modo è possibile gestire tutti i server IIS utilizzando un singolo account.

Per eseguire i server con questa singola entità di autenticazione, è innanzitutto necessario creare un account computer utilizzando il cmdlet New-CsKerberosAccount. Questo account viene quindi assegnato a uno o più siti. Dopo aver effettuato l'assegnazione, l'associazione tra l'account e il sito di Lync Server 2010 viene abilitata tramite l'esecuzione del cmdlet Enable-CsTopology. Tra l'altro, ciò determina la creazione del nome SPN (Service Principal Name) necessario in Servizi di dominio Active Directory. I nomi SPN offrono alle applicazioni client un mezzo per individuare un particolare servizio. Per informazioni dettagliate, vedere New-CsKerberosAccount nella documentazione relativa alle operazioni.

Procedure consigliate

Per migliorare la sicurezza di IIS, è consigliabile implementare un account Kerberos per IIS. Se non si implementa un account Kerberos, IIS viene eseguito con un account utente standard.