Защита IIS в Lync Server 2013

 

Последнее изменение раздела: 2013-12-05

В Microsoft Office Communications Server 2007 и Microsoft Office Communications Server 2007 R2 службы IIS выполнялись под стандартной учетной записью пользователя. Это могло вызвать проблемы: если срок действия пароля истек, вы можете потерять веб-службы, что часто было сложно диагностировать. Чтобы избежать проблемы с истекающим сроком действия паролей, Microsoft Lync Server 2013 позволяет создать учетную запись компьютера (для компьютера, который фактически не существует), который может служить субъектом проверки подлинности для всех компьютеров на сайте, на котором запущены службы IIS. Поскольку для этих учетных записей применяется протокол проверки подлинности Kerberos, они называются учетными записями Kerberos, а новый процесс проверки подлинности — веб-проверкой подлинности Kerberos. Таким образом, одна учетная запись обеспечивает управление всеми серверами IIS.

Чтобы запустить серверы в рамках этого субъекта проверки подлинности, необходимо сначала создать учетную запись компьютера с помощью New-CsKerberosAccount командлета. Затем эта учетная запись назначается одному или нескольким сайтам. После назначения связь между учетной записью и сайтом Lync Server 2013 включается с помощью Enable-CsTopology командлета. Помимо прочего, это создает необходимое имя субъекта-службы (SPN) в доменные службы Active Directory (AD DS). Имя SPN предоставляет клиентским службам информацию о расположении конкретной службы. Дополнительные сведения см. в разделе New-CsKerberosAccount в документации по эксплуатации.

Рекомендации

Чтобы повысить безопасность IIS, рекомендуется реализовать учетную запись Kerberos для IIS. Если вы не реализуете учетную запись Kerberos, службы IIS выполняются под стандартной учетной записью пользователя.