Protegendo o IIS no Lync Server 2013Protecting IIS in Lync Server 2013

 

Última modificação do tópico: 2013-12-05Topic Last Modified: 2013-12-05

No Microsoft Office Communications Server 2007 e no Microsoft Office Communications Server 2007 R2, o IIS (serviços de informações da Internet) é executado sob uma conta de usuário padrão.In Microsoft Office Communications Server 2007 and Microsoft Office Communications Server 2007 R2, Internet Information Services (IIS) ran under a standard user account. Isso poderia causar problemas: se a senha tiver expirado, você poderia perder os Serviços Web, um problema que geralmente era difícil de diagnosticar.This had the potential to cause issues: if that password expired you could lose your Web Services, an issue that was often difficult to diagnose. Para ajudar a evitar o problema de expirar senhas, o Microsoft Lync Server 2013 permite que você crie uma conta de computador (para um computador que não existe realmente) que possa servir como a entidade de autenticação para todos os computadores em um site que executa o IIS.To help avoid the issue of expiring passwords, Microsoft Lync Server 2013 enables you to create a computer account (for a computer that doesn’t actually exist) that can serve as the authentication principal for all the computers in a site that are running IIS. Como essas contas utilizam o protocolo de autenticação Kerberos, elas são referidas como contas Kerberos e o novo processo de autenticação é conhecido como autenticação Kerberos de Web.Because these accounts use the Kerberos authentication protocol, the accounts are referred to as Kerberos accounts, and the new authentication process is known as Kerberos web authentication. Isso permite que você gerencie todos seus servidores IIS usando uma única conta.This enables you to manage all your IIS servers by using a single account.

Para executar os servidores sob essa entidade de autenticação, primeiro você deve criar uma conta de computador usando o cmdlet New-CsKerberosAccount; essa conta é então atribuída a um ou mais sites.To run your servers under this authentication principal, you must first create a computer account by using the New-CsKerberosAccount cmdlet; this account is then assigned to one or more sites. Após a atribuição ter sido feita, a associação entre a conta e o site do Lync Server 2013 é habilitada executando o cmdlet Enable-CsTopology.After the assignment has been made, the association between the account and the Lync Server 2013 site is enabled by running the Enable-CsTopology cmdlet. Entre outras coisas, isso cria o SPN (nome da entidade de serviço) no AD DS (Serviços de Domínio Active Directory).Among other things, this creates the required service principal name (SPN) in Active Directory Domain Services (AD DS). Os SPNs fornecem uma maneira para os aplicativos cliente localizarem um determinado serviço.SPNs provide a way for client applications to locate a particular service. Para obter detalhes, consulte New-CsKerberosAccount na documentação de Operações.For details, see New-CsKerberosAccount in the Operations documentation.

Práticas recomendadasBest Practices

Para ajudar a aumentar a segurança do IIS, recomendamos que você implemente uma conta Kerberos para o IIS. Se você não implementar uma conta Kerberos, o IIS será executado sob uma conta de usuário padrão.To help increase security of IIS, we recommend that you implement a Kerberos account for IIS. If you do not implement a Kerberos account, IIS runs under a standard user account.