Lync Server 2013 での IIS の保護

 

トピック最終更新日: 2013-12-05

Microsoft Office Communications Server 2007 および Microsoft Office Communications Server 2007 R2 では、インターネット インフォメーション サービス (IIS) が標準ユーザー アカウントで実行されました。 これにより、問題が発生する可能性がありました。パスワードの有効期限が切れた場合、Web サービスが失われる可能性があります。多くの場合、診断が困難な問題です。 パスワードの期限切れの問題を回避するために、Microsoft Lync Server 2013 を使用すると、IIS を実行しているサイト内のすべてのコンピューターの認証プリンシパルとして機能するコンピューター アカウント (実際には存在しないコンピューターの場合) を作成できます。 これらのアカウントは Kerberos 認証プロトコルを使用するため、アカウントは Kerberos アカウントと呼ばれ、新しい認証プロセスが Kerberos Web 認証として認識されます。 このため、1 つのアカウントを使用してすべての IIS サーバーを管理できます。

この認証プリンシパルでサーバーを実行するには、最初にNew-CsKerberosAccount コマンドレットを使用してコンピューター アカウントを作成する必要があります。その後、このアカウントは 1 つ以上のサイトに割り当てられます。 割り当てが完了すると、Enable-CsTopology コマンドレットを実行することで、アカウントと Lync Server 2013 サイト間の関連付けが有効になります。 特に、Active Directory Domain Services (AD DS) に必要なサービス プリンシパル名 (SPN) が作成されます。 SPN は、クライアント アプリケーションが特定のサービスを検出するためのものです。 詳細については、 Operations のドキュメントの「New-CsKerberosAccount 」を参照してください。

ベスト プラクティス

IIS のセキュリティを強化するために、IIS 用の Kerberos アカウントを実装することをお勧めします。 Kerberos アカウントを実装しない場合、IIS は標準ユーザー アカウントで実行されます。