Lync Server 2013 での IIS の保護Protecting IIS in Lync Server 2013


トピックの最終更新日: 2013-12-05Topic Last Modified: 2013-12-05

Microsoft Office Communications Server 2007 および Microsoft Office Communications Server 2007 R2 では、インターネットインフォメーションサービス (IIS) は標準のユーザーアカウントで実行されました。In Microsoft Office Communications Server 2007 and Microsoft Office Communications Server 2007 R2, Internet Information Services (IIS) ran under a standard user account. これにより、問題が発生する可能性がありました。パスワードが期限切れになると、Web サービスが失われる可能性があります。これは、診断が困難な問題です。This had the potential to cause issues: if that password expired you could lose your Web Services, an issue that was often difficult to diagnose. 有効期限が切れたパスワードの問題を回避するために、Microsoft Lync Server 2013 では、IIS を実行しているサイト内のすべてのコンピューターの認証プリンシパルとして機能するコンピューターアカウント (実際に存在しないコンピューターの場合) を作成できます。To help avoid the issue of expiring passwords, Microsoft Lync Server 2013 enables you to create a computer account (for a computer that doesn’t actually exist) that can serve as the authentication principal for all the computers in a site that are running IIS. これらのアカウントは Kerberos 認証プロトコルを使用するため、アカウントは Kerberos アカウントと呼ばれ、新しい認証プロセスは Kerberos web 認証と呼ばれます。Because these accounts use the Kerberos authentication protocol, the accounts are referred to as Kerberos accounts, and the new authentication process is known as Kerberos web authentication. これにより、1つのアカウントを使用してすべての IIS サーバーを管理できるようになります。This enables you to manage all your IIS servers by using a single account.

この認証プリンシパルでサーバーを実行するには、最初に New-CsKerberosAccount コマンドレットを使用してコンピューター アカウントを作成し、次にこのアカウントを 1 つ以上のサイトに割り当てます。To run your servers under this authentication principal, you must first create a computer account by using the New-CsKerberosAccount cmdlet; this account is then assigned to one or more sites. 割り当てが行われた後、Enable-CsTopology コマンドレットを実行することによって、アカウントと Lync Server 2013 サイト間の関連付けが有効になります。After the assignment has been made, the association between the account and the Lync Server 2013 site is enabled by running the Enable-CsTopology cmdlet. 特に重要なのは、これによって必要なサービス プリンシパル名 (SPN) が Active Directory ドメイン サービス (AD DS) 内に作成されることです。Among other things, this creates the required service principal name (SPN) in Active Directory Domain Services (AD DS). SPN は、クライアント アプリケーションが特定のサービスを見つけるために利用されます。SPNs provide a way for client applications to locate a particular service. 詳細については、「操作」のドキュメントの「New-CsKerberosAccount」を参照してください。For details, see New-CsKerberosAccount in the Operations documentation.

ベスト プラクティスBest Practices

IIS のセキュリティを強化するために、IIS 用の Kerberos アカウントを実装することをお勧めします。Kerberos アカウントを実装しない場合、IIS は標準のユーザー アカウントで実行されます。To help increase security of IIS, we recommend that you implement a Kerberos account for IIS. If you do not implement a Kerberos account, IIS runs under a standard user account.