Защита служб IIS в Lync Server 2013Protecting IIS in Lync Server 2013

 

Последнее изменение темы: 2013-12-05Topic Last Modified: 2013-12-05

В Microsoft Office Communications Server 2007 и Microsoft Office Communications Server 2007 R2 службы IIS выполнялись от имени стандартной учетной записи пользователя.In Microsoft Office Communications Server 2007 and Microsoft Office Communications Server 2007 R2, Internet Information Services (IIS) ran under a standard user account. Это может привести к возникновению проблем: в случае истечения срока действия пароля можно потерять веб-службы, что часто трудно диагностировать.This had the potential to cause issues: if that password expired you could lose your Web Services, an issue that was often difficult to diagnose. Чтобы избежать проблем с истекшим сроком действия паролей, Microsoft Lync Server 2013 позволяет создать учетную запись компьютера (для компьютера, который не существует), который может выступать в качестве субъекта проверки подлинности для всех компьютеров сайта, на котором запущены службы IIS.To help avoid the issue of expiring passwords, Microsoft Lync Server 2013 enables you to create a computer account (for a computer that doesn’t actually exist) that can serve as the authentication principal for all the computers in a site that are running IIS. Так как эти учетные записи используют протокол проверки подлинности Kerberos, учетные записи называются учетными записями Kerberos, а новый процесс проверки подлинности называется проверкой подлинности Kerberos.Because these accounts use the Kerberos authentication protocol, the accounts are referred to as Kerberos accounts, and the new authentication process is known as Kerberos web authentication. Это позволяет управлять всеми серверами IIS с помощью одной учетной записи.This enables you to manage all your IIS servers by using a single account.

Для запуска серверов под этим субъектом проверки подлинности необходимо сначала создать учетную запись компьютера с помощью командлета New-CsKerberosAccount; Затем эта учетная запись назначается одному или нескольким сайтам.To run your servers under this authentication principal, you must first create a computer account by using the New-CsKerberosAccount cmdlet; this account is then assigned to one or more sites. После выполнения назначения связь между учетной записью и сайтом Lync Server 2013 включается с помощью командлета Enable-CsTopology.After the assignment has been made, the association between the account and the Lync Server 2013 site is enabled by running the Enable-CsTopology cmdlet. Помимо прочего, при этом создается имя участника-службы (SPN) в доменных службах Active Directory (AD DS).Among other things, this creates the required service principal name (SPN) in Active Directory Domain Services (AD DS). Имена субъектов-служб предоставляют клиентским приложениям способ для обнаружения конкретной службы.SPNs provide a way for client applications to locate a particular service. Дополнительные сведения см. в статье New – CsKerberosAccount в документации по операциям.For details, see New-CsKerberosAccount in the Operations documentation.

РекомендацииBest Practices

Для повышения безопасности IIS рекомендуется реализовать учетную запись Kerberos для служб IIS.To help increase security of IIS, we recommend that you implement a Kerberos account for IIS. Если вы не реализуете учетную запись Kerberos, службы IIS выполняются с использованием стандартной учетной записи пользователя.If you do not implement a Kerberos account, IIS runs under a standard user account.