Protegendo o IIS no Lync Server 2013

 

Tópico última modificação: 05-12-2013

No Microsoft Office Communications Server 2007 e no Microsoft Office Communications Server 2007 R2, o IIS (Serviços de Informações da Internet) era executado em uma conta de usuário padrão. Isso tinha o potencial de causar problemas: se essa senha expirar, você poderia perder seus Serviços Web, um problema que geralmente era difícil de diagnosticar. Para ajudar a evitar o problema de expiração de senhas, o Microsoft Lync Server 2013 permite que você crie uma conta de computador (para um computador que realmente não existe) que pode servir como a entidade de autenticação para todos os computadores em um site que está executando o IIS. Como essas contas utilizam o protocolo de autenticação Kerberos, elas são referidas como contas Kerberos e o novo processo de autenticação é conhecido como autenticação Kerberos de Web. Isso permite gerenciar todos os servidores IIS usando uma única conta.

Para executar seus servidores nessa entidade de autenticação, primeiro você deve criar uma conta de computador usando o cmdlet New-CsKerberosAccount; essa conta é atribuída a um ou mais sites. Depois que a atribuição for feita, a associação entre a conta e o site do Lync Server 2013 será habilitada executando o cmdlet Enable-CsTopology servidor. Entre outras coisas, isso cria o SPN (nome da entidade de serviço) necessário no Active Directory Domain Services (AD DS). Os SPNs proporcionam aos aplicativos cliente uma maneira de localizar um determinado serviço. Para obter detalhes, consulte New-CsKerberosAccount na documentação de Operações.

Práticas recomendadas

Para ajudar a aumentar a segurança do IIS, recomendamos que você implemente uma conta Kerberos para o IIS. Se você não implementar uma conta Kerberos, o IIS será executado em uma conta de usuário padrão.