Serviços de domínio do Active Directory para o Lync Server 2013Active Directory Domain Services for Lync Server 2013

 

Última modificação do tópico: 2013-11-13Topic Last Modified: 2013-11-13

O serviços de domínio do Active Directory funciona como o serviço de diretório para redes Windows Server 2003, Windows Server 2008, Windows Server 2012 e Windows Server 2012 R2.Active Directory Domain Services functions as the directory service for Windows Server 2003, Windows Server 2008, Windows Server 2012, and Windows Server 2012 R2 networks. Os serviços de domínio do Active Directory também servem como a base na qual a infraestrutura de segurança do Microsoft Lync Server 2013 é criada.Active Directory Domain Services also serves as the foundation on which the Microsoft Lync Server 2013 security infrastructure is built. O objetivo desta seção é descrever como o Lync Server 2013 usa os serviços de domínio do Active Directory para criar um ambiente confiável para mensagens instantâneas, conferências da Web, mídia e voz.The purpose of this section is to describe how Lync Server 2013 uses Active Directory Domain Services to create a trustworthy environment for IM, Web conferencing, media, and voice. Para obter detalhes sobre as extensões do Lync Server para os serviços de domínio do Active Directory e sobre como preparar seu ambiente para os serviços de domínio do Active Directory, consulte preparação de serviços de domínio do Active Directory para o Lync Server 2013 na documentação de implantação.For details about Lync Server extensions to Active Directory Domain Services and about preparing your environment for Active Directory Domain Services, see Preparing Active Directory Domain Services for Lync Server 2013 in the Deployment documentation. Para obter detalhes sobre a função dos Serviços de Domínio Active Directory em redes do Windows Server, consulte a documentação da versão do sistema operacional que você está usando.For details about the role of Active Directory Domain Services in Windows Server networks, see the documentation for the version of the operating system you are using.

O Lync Server 2013 usa os serviços de domínio do Active Directory para armazenar:Lync Server 2013 uses Active Directory Domain Services to store:

  • Configurações globais que todos os servidores que executam o Lync Server 2013 em uma floresta exigem.Global settings that all servers running Lync Server 2013 in a forest require.

  • Informações de serviço que identificam as funções de todos os servidores que executam o Lync Server 2013 em uma floresta.Service information that identifies the roles of all servers running Lync Server 2013 in a forest.

  • Algumas configurações de usuário.Some user settings.

Infraestrutura do Active DirectoryActive Directory Infrastructure

Os requisitos de infraestrutura do Active Directory incluem o seguinte:Infrastructure requirements for Active Directory include the following:

  • Requisitos do sistema operacional para controladores de domínioOperating system requirements for domain controllers

  • Requisitos de nível funcional de floresta e domínioDomain and forest functional level requirements

  • Requisitos de domínio do catálogo globalGlobal catalog domain requirements

Para obter detalhes, consulte Active Directory Infrastructure Requirements for Lync Server 2013 na documentação de implantação.For details, see Active Directory infrastructure requirements for Lync Server 2013 in the Deployment documentation.

Preparação dos Serviços de Domínio Active DirectoryActive Directory Domain Services Preparation

Observação

Recomendamos que você implante as configurações globais no contêiner de Configuração em vez do contêiner do Sistema.We recommend that you deploy global settings to the Configuration container instead of the System container. Isso não melhora a segurança, mas pode resultar em melhorias de escalabilidade para algumas topologias dos Serviços de Domínio Active Directory.This does not enhance security, but can result in scalability improvements for some Active Directory Domain Services topologies. Se você estiver migrando do Microsoft Office Communications Server 2007 e tiver usado o contêiner de sistema, mas planejar usar o contêiner de configuração, você deve mover as configurações no contêiner do sistema antes de fazer preparativos de atualização.If you are migrating from Microsoft Office Communications Server 2007 and have used the System container but plan to use the Configuration container, you MUST move the settings in the System container BEFORE you do any upgrade preparations. Para migrar as configurações do contêiner de sistema para o contêiner de configuração, confira ferramenta de migração de configurações globais do Office Communications Server 2007 em https://go.microsoft.com/fwlink/p/?LinkId=145236 .To migrate your System container settings to the Configuration container, see Office Communications Server 2007 Global Settings Migration Tool at https://go.microsoft.com/fwlink/p/?LinkId=145236.

Ao implantar o Lync Server 2013, a primeira etapa é preparar os serviços de domínio do Active Directory.When deploying Lync Server 2013, the first step is to prepare Active Directory Domain Services. Preparar os serviços de domínio do Active Directory para o Lync Server 2013 consiste nas seguintes três etapas:Preparing Active Directory Domain Services for Lync Server 2013 consists of the following three steps:

  • Preparar Esquema.Prepare Schema. Esta tarefa estende o esquema nos serviços de domínio do Active Directory para incluir classes e atributos específicos do Lync Server 2013.This task extends the schema in Active Directory Domain Services to include classes and attributes specific to Lync Server 2013. Para obter detalhes sobre como preparar o esquema, consulte running Active Directory Schema Preparation no Lync Server 2013 na documentação de implantação.For details about preparing the schema, see Running Active Directory schema preparation in Lync Server 2013 in the Deployment documentation. Para obter mais informações, consulte migração do Office Communications Server 2007 R2 para o Lync Server 2013.For more information, see Migration from Office Communications Server 2007 R2 to Lync Server 2013.

  • Preparar a floresta.Prepare Forest. Esta tarefa cria objetos e configurações globais no domínio raiz da floresta, juntamente com os grupos universais administrativos e de serviços que regulam o acesso a esses objetos e configurações.This task creates global settings and objects in the forest root domain, along with the universal service and administrative groups that govern access to these settings and objects. Para obter detalhes sobre como preparar a floresta, consulte running Forest Preparation for Lync Server 2013 na documentação de implantação.For details about preparing the forest, see Running forest preparation for Lync Server 2013 in the Deployment documentation.

  • Preparar Domínio.Prepare Domain. Esta tarefa adiciona as ACEs (entradas de controle de acesso) a grupos universais que concedem permissões para hospedar e gerenciar usuários dentro do domínio.This task adds the necessary access control entries (ACEs) to universal groups that grant permissions to host and manage users within the domain. Essa tarefa deve ser concluída em todos os domínios em que você deseja implantar servidores que executam o Lync Server 2013 e todos os domínios onde seus usuários do Lync Server residem.This task must be completed in all domains where you want to deploy servers running Lync Server 2013 and any domains where your Lync Server users reside. Para obter detalhes sobre como preparar o domínio, consulte running Domain Preparation for Lync Server 2013 na documentação de implantação.For details about preparing the domain, see Running domain preparation for Lync Server 2013 in the Deployment documentation.

Para obter uma visão geral do processo completo para preparar o Active Directory e os direitos e permissões necessários para executar cada etapa, consulte Active Directory Infrastructure Requirements for Lync Server 2013 na documentação de implantação.For an overview of the complete process for preparing Active Directory and the rights and permissions required to perform each step, see Active Directory infrastructure requirements for Lync Server 2013 in the Deployment documentation.

Grupos universaisUniversal Groups

Durante a preparação da floresta, o Lync Server 2013 cria vários grupos universais nos serviços de domínio do Active Directory que têm permissão para acessar e gerenciar configurações globais e serviços.During preparation of the forest, Lync Server 2013 creates various universal groups within Active Directory Domain Services that have permission to access and manage global settings and services. Esses grupos universais incluem:These universal groups include:

  • Grupos administrativos.Administrative groups. Esses grupos definem as funções de administrador fundamentais para uma rede do Lync Server.These groups define the fundamental administrator roles for a Lync Server network. Durante a preparação da floresta, esses grupos de administradores são adicionados aos grupos de infraestrutura do Lync Server.During forest preparation, these administrator groups are added to Lync Server infrastructure groups.

  • Grupos de serviço.Service groups. Esses grupos são contas de serviço necessárias para acessar vários serviços fornecidos pelo Lync Server.These groups are service accounts that are required to access various services provided by Lync Server.

  • Grupos de infraestrutura.Infrastructure groups. Esses grupos fornecem permissão para acessar áreas específicas da infraestrutura do Lync Server.These groups provide permission to access specific areas of the Lync Server infrastructure. Eles funcionam como componentes de grupos administrativos e você não deve modificá-los ou adicionar usuários diretamente a eles.They function as components of administrative groups, and you should not modify them or add users to them directly. Durante a preparação da floresta, os grupos de serviços e de administração específicos são adicionados aos grupos de infraestrutura apropriados.During forest preparation, specific service and administration groups are added to the appropriate infrastructure groups.

Para obter detalhes sobre os grupos universais específicos criados ao preparar o AD para o Lync Server, bem como os grupos de serviço e administração que são adicionados aos grupos de infraestrutura, confira as alterações feitas pela preparação da floresta no Lync Server 2013 na documentação de implantação.For details about the specific universal groups created when preparing AD for Lync Server, as well as the service and administration groups that get added to the infrastructure groups, see Changes made by forest preparation in Lync Server 2013 in the Deployment documentation.

Observação

O Lync Server 2013 oferece suporte aos grupos universais no Windows Server 2012 para servidores que executam o Lync Server 2013, bem como sistemas operacionais Windows Server 2003 para controladores de domínio.Lync Server 2013 supports the universal groups in the Windows Server 2012 for servers running Lync Server 2013, as well as Windows Server 2003 operating systems for domain controllers. Os membros de grupos universais podem incluir outros grupos e contas de qualquer domínio na árvore ou floresta de domínios e podem receber permissões em qualquer domínio na árvore ou floresta de domínios.Members of universal groups can include other groups and accounts from any domain in the domain tree or forest and can be assigned permissions in any domain in the domain tree or forest. O suporte a grupos universais, combinado com a delegação de administrador, simplifica o gerenciamento de uma implantação do Lync Server.Universal group support, combined with administrator delegation, simplifies the management of a Lync Server deployment. Por exemplo, não é necessário adicionar um domínio para outro para permitir que um administrador gerencie os dois.For example, it is not necessary to add one domain to another to enable an administrator to manage both.

Controle de Acesso Baseado em FunçãoRole-Based Access Control

Além de criar grupos universais de serviço e de administração e de adicionar grupos de serviços e de administração aos grupos universais apropriados, a preparação da floresta também cria grupos de controle de acesso de Role-Based (RBAC).In addition to creating universal service and administration groups and adding service and administration groups to the appropriate universal groups, forest preparation also creates Role-Based Access Control (RBAC) groups. Para obter detalhes sobre grupos de RBAC específicos criados pela preparação da floresta, confira as alterações feitas pela preparação da floresta no Lync Server 2013 na documentação de implantação.For details about the specific RBAC groups created by forest preparation, see Changes made by forest preparation in Lync Server 2013 in the Deployment documentation. Para obter mais informações sobre grupos RBAC, consulte controle de acesso baseado em função (RBAC) para o Lync Server 2013.For more information about RBAC groups, see Role-based access control (RBAC) for Lync Server 2013.

Entradas de Controle de Acesso (ACEs) e herançaAccess Control Entries (ACEs) and Inheritance

A preparação de floresta cria ACEs particulares e públicas e adiciona as ACEs aos grupos universais criados.Forest preparation creates both private and public ACEs and, adding ACEs for the universal groups it creates. Ele cria ACEs privadas específicas no contêiner de configurações globais usado pelo Lync Server.It creates specific private ACEs on the global settings container used by Lync Server. Esse contêiner é usado apenas pelo Lync Server e está localizado no contêiner de configuração ou no contêiner de sistema no domínio raiz, dependendo de onde você armazena as configurações globais.This container is used only by Lync Server and is located either in the Configuration container or the System container in the root domain, depending on where you store global settings.

A etapa de preparação do domínio adiciona ACEs (entradas de controle de acesso) a grupos universais que concedem permissões para hospedar e gerenciar usuários dentro do domínio. A preparação de domínio cria ACEs na raiz do domínio e três contêineres internos: Usuários, Computadores e Controladores de Domínio.The domain preparation step adds the necessary access control entries (ACEs) to universal groups that grant permissions to host and manage users within the domain. Domain preparation creates ACEs on the domain root and three built-in containers: User, Computers, and Domain Controllers.

Para obter detalhes sobre as ACEs públicas criadas e adicionadas pela preparação da floresta e pela preparação do domínio, confira as alterações feitas pela preparação da floresta no Lync Server 2013 e as alterações feitas pela preparação do domínio no Lync Server 2013 na documentação de implantação.For details about the public ACEs created and added by forest preparation and domain preparation, see Changes made by forest preparation in Lync Server 2013 and Changes made by domain preparation in Lync Server 2013 in the Deployment documentation.

As organizações geralmente bloqueiam o AD DS (Serviços de Domínio Active Directory) para ajudar a atenuar os riscos de segurança.Organizations often lock down Active Directory Domain Services (AD DS) to help mitigate security risks. No entanto, um ambiente do Active Directory bloqueado pode limitar as permissões exigidas pelo Lync Server 2013.However, a locked-down Active Directory environment can limit the permissions that Lync Server 2013 requires. Isso pode incluir a remoção das ACEs de contêineres e OUs e a desabilitação da herança de permissões nos objetos User, Contact, InetOrgPerson ou Computer.This can include removal of ACEs from containers and OUs and disabling of permissions inheritance on User, Contact, InetOrgPerson, or Computer objects. Em um ambiente bloqueado do Active Directory, as permissões devem ser definidas manualmente em contêineres e UOs que necessitam deles.In a locked down Active Directory environment, permissions must be set manually on containers and OUs that require them. Para obter detalhes, consulte preparação de serviços de domínio do Active Directory bloqueados no Lync Server 2013 na documentação de implantação.For details, see Preparing a locked-down Active Directory Domain Services in Lync Server 2013 in the Deployment documentation.

Informações do servidorServer Information

Durante a ativação, o Lync Server 2013 publica as informações do servidor nos três seguintes locais nos serviços de domínio do Active Directory:During activation, Lync Server 2013 publishes server information to the three following locations in Active Directory Domain Services:

  • Um ponto de conexão de serviço (SCP) em cada objeto de computador do Active Directory correspondente a um computador físico no qual o Lync Server 2013 está instalado.A service connection point (SCP) on each Active Directory computer object corresponding to a physical computer on which Lync Server 2013 is installed.

  • Objetos de servidor criados no contêiner da classe msRTCSIP-Pools.Server objects created in the container of the msRTCSIP-Pools class.

  • Servidores confiáveis especificados no construtor de topologias.Trusted servers specified in Topology Builder.

Pontos de conexão de serviçoService Connection Points

Cada objeto do Lync Server 2013 nos serviços de domínio do Active Directory tem um SCP chamado serviços RTC, que por sua vez contém vários atributos que identificam cada computador e especificam os serviços que ele fornece.Each Lync Server 2013 object in Active Directory Domain Services has an SCP called RTC Services, which in turn contains a number of attributes that identify each computer and specify the services that it provides. Entre os atributos do SCP mais importantes estão serviceDNSName, serviceDNSNameType, serviceClassname e serviceBindingInformation.Among the more important SCP attributes are serviceDNSName, serviceDNSNameType, serviceClassname, and serviceBindingInformation. Os aplicativos de gerenciamento de ativos de terceiros podem recuperar informações do servidor em uma implantação consultando nesses e em outros atributos do SCP.Third-party asset management applications can retrieve server information across a deployment by querying against these and other SCP attributes.

Objetos de servidor do Active DirectoryActive Directory Server Objects

Cada função de servidor do Lync Server 2013 tem um objeto Active Directory correspondente cujos atributos definem os serviços fornecidos por essa função.Each Lync Server 2013 server role has a corresponding Active Directory object whose attributes define the services provided by that role. Além disso, quando um servidor Standard Edition é ativado ou quando um pool Enterprise Edition é criado, o Lync Server 2013 cria um novo objeto msRTCSIP-pool no contêiner msRTCSIP-Pools .Also, when a Standard Edition server is activated, or when an Enterprise Edition pool is created, Lync Server 2013 creates a new msRTCSIP-Pool object in the msRTCSIP-Pools container. A classe msRTCSIP-Pool especifica o FQDN (nome de domínio totalmente qualificado) do pool, juntamente com a associação entre os componentes de front-end e back-end do pool.The msRTCSIP-Pool class specifies the fully qualified domain name (FQDN) of the pool, along with the association between the front-end and back-end components of the pool. (Um servidor Standard Edition é considerado um pool lógico cujos front-end e back-end são colocados em um único computador.)(A Standard Edition server is regarded as a logical pool whose front and back ends are collocated on a single computer.)

Servidores confiáveisTrusted Servers

No Lync Server 2013, os servidores confiáveis são aqueles especificados quando você executa o construtor de topologias e publica sua topologia.In Lync Server 2013, trusted servers are the ones specified when you run Topology Builder and publish your topology. A topologia publicada, incluindo todas as informações do servidor, é armazenada no repositório de Gerenciamento Central.The published topology, including all the server information, is stored in the Central Management store. Somente os servidores definidos no repositório de Gerenciamento Central são confiáveis.Only servers defined in the Central Management store are trusted. No Lync Server 2013, um servidor confiável é aquele que atende aos seguintes critérios:In Lync Server 2013, a trusted server is one that meets the following criteria:

Quando um dos seguintes critérios está ausente, o servidor não é confiável e a conexão com ele é recusada. Esse requisito duplo impede um possível ataque, embora improvável, em que um servidor não autorizado tenta assumir o FQDN do servidor válido.If either of these criteria is missing, the server is not trusted and connection with it is refused. This double requirement prevents a possible, if unlikely, attack in which a rogue server attempts to take over a valid server’s FQDN.

Além disso, para habilitar o Microsoft Office Communications Server 2007 R2 e o Microsoft Office Communications Server 2007 implantações para se comunicar com os servidores do Lync Server 2013, o Lync Server 2013 cria contêineres durante a preparação da floresta para manter listas de servidores confiáveis para versões anteriores.Additionally, to enable Microsoft Office Communications Server 2007 R2 and Microsoft Office Communications Server 2007 deployments to communicate with Lync Server 2013 servers, Lync Server 2013 creates containers during forest preparation for holding lists of trusted servers for previous releases. A tabela a seguir descreve os contêineres criados para permitir a compatibilidade com implementações anteriores.The following table describes the containers created to enable compatibility with previous deployments.

Listas de servidores confiáveis e seus contêineres do Active Directory para compatibilidade com versões anterioresTrusted Server Lists and Their Active Directory Containers for Compatibility with Previous Releases

Lista de servidores confiáveisTrusted server list Contêiner do Active DirectoryActive Directory container

Servidores Standard Edition e Servidores Fron-End do pool EnterpriseStandard Edition servers and Enterprise pool Front End Servers

Serviço RTC/Configurações GlobaisRTC Service/Global Settings

Servidores de ConferênciaConferencing Servers

Serviço RTC/MCUs confiáveisRTC Service/Trusted MCUs

Servidores de Web ComponentsWeb Components Servers

Serviço RTC/TrustedWebComponentsServersRTC Service/TrustedWebComponentsServers

Servidores de Mediação e Servidores do Communicator Web Access, Servidor de Aplicativos, Registrador com QoE, Serviço de Conferência A/V (além de servidores SIP de terceiros)Mediation Servers and Communicator Web Access Servers, Application Server, Registrar with QoE, A/V Conferencing Service (also 3rd-party SIP servers)

Serviço RTC/serviços confiáveisRTC Service/Trusted Services

Servidores ProxyProxy Servers

O Lync Server 2013 não dá suporte à compatibilidade com versões anteriores para servidores proxyLync Server 2013 does not support backward compatibility for proxy servers

Para dar suporte a servidores confiáveis de versões anteriores, você deve executar a ferramenta Best Practices Analyzer.To support trusted servers of previous releases, you must run the best practices analyzer tool. Para obter detalhes sobre como executar o analisador de práticas recomendadas, consulte https://go.microsoft.com/fwlink/p/?LinkId=330633 .For details about running the best practices analyzer, see https://go.microsoft.com/fwlink/p/?LinkId=330633.