доменные службы Active Directory для Skype для бизнеса Server
доменные службы Active Directory работает как служба каталогов для сетей Windows Server 2003, Windows Server 2008, Windows Server 2012 и Windows Server 2012 R2. доменные службы Active Directory также служит основой, на которой строится инфраструктура безопасности Skype для бизнеса Server. Цель этого раздела — описать, как Skype для бизнеса Server использует доменные службы Active Directory для создания надежной среды для обмена мгновенными сообщениями, веб-конференций, мультимедиа и голосовой связи. Дополнительные сведения о подготовке среды для доменные службы Active Directory см. в разделе Установка Skype для бизнеса Server документации по развертыванию. Дополнительные сведения о роли доменные службы Active Directory в сетях Windows Server см. в документации по используемой версии операционной системы.
Skype для бизнеса Server использует доменные службы Active Directory для хранения:
Глобальные параметры, необходимые для всех серверов, работающих Skype для бизнеса Server в лесу.
Сведения о службе, определяющие роли всех серверов, работающих Skype для бизнеса Server в лесу.
некоторые пользовательские параметры.
Инфраструктура Active Directory
Требования к инфраструктуре для Active Directory включают следующее:
требования к ОС для доменных контроллеров;
требования для функциональных уровней домена и леса;
требования для домена глобального каталога.
Дополнительные сведения см. в разделе Требования к среде для Skype для бизнеса Server 2015 г. или Требования к серверу для Skype для бизнеса Server 2019 г.
Универсальные группы
Во время подготовки леса Skype для бизнеса Server создает в доменные службы Active Directory различные универсальные группы, которые имеют разрешение на доступ к глобальным параметрам и службам и управление ими. Универсальные группы делятся на следующие группы:
административные группы. Эти группы определяют основные роли администратора для Skype для бизнеса Server сети. Во время подготовки леса эти группы администраторов добавляются в группы инфраструктуры Skype для бизнеса Server.
группы обслуживания. Эти группы являются учетными записями служб, которые необходимы для доступа к различным службам, предоставляемым Skype для бизнеса Server.
группы инфраструктур. Эти группы предоставляют разрешение на доступ к определенным областям инфраструктуры Skype для бизнеса Server. Они работают как компоненты административных групп; не следует изменять их или добавлять в них пользователей непосредственно. При подготовке леса определенные группы обслуживания и администрирования добавляются в соответствующие группы инфраструктур.
Дополнительные сведения о конкретных универсальных группах, созданных при подготовке AD к Skype для бизнеса Server, а также о группах служб и администрирования, которые добавляются в группы инфраструктуры, см. в разделе Изменения, внесенные подготовкой леса в Skype для бизнеса Server документации по развертыванию.
Примечание.
Skype для бизнеса Server поддерживает универсальные группы в Windows Server 2012, а также операционных системах Windows Server 2003 для контроллеров домена. Members of universal groups can include other groups and accounts from any domain in the domain tree or forest and can be assigned permissions in any domain in the domain tree or forest. Поддержка универсальной группы в сочетании с делегированием администратора упрощает управление развертыванием Skype для бизнеса Server. For example, it is not necessary to add one domain to another to enable an administrator to manage both.
Управление доступом на основе ролей
Кроме создания универсальных групп обслуживания и администрирования и добавления этих групп в соответствующие универсальные группы, подготовка леса также создает группы управления доступом на основе ролей (RBAC). Подробные сведения об определенных группах RBAC, созданных при подготовке леса, см. в разделе Changes made by forest preparation in Skype for Business Server документации по развертыванию. Дополнительные сведения о группах RBAC см. в разделе Управление доступом на основе ролей (RBAC) для Skype для бизнеса Server.
Записи управления доступом (ACE) и наследование
В процессе подготовки леса создаются частные и общедоступные записи ACE, а также создаются записи ACE универсальных групп при их добавлении. Он создает определенные частные ACE в контейнере глобальных параметров, используемом Skype для бизнеса Server. Этот контейнер используется только Skype для бизнеса Server и находится либо в контейнере Configuration, либо в контейнере System в корневом домене в зависимости от того, где хранятся глобальные параметры.
На этапе подготовки домена в универсальные группы добавляются необходимые записи управления доступом (ACE), которые предоставляют разрешения для размещения и управления пользователями в домене. При подготовке домена создаются записи ACE в корне домена и три встроенных контейнера: пользователи, компьютеры и контроллеры домена.
Дополнительные сведения о общедоступных ACE, созданных и добавленных при подготовке леса и подготовке домена, см. в разделах Изменения, внесенные подготовкой леса в Skype для бизнеса Server и Изменения, внесенные подготовкой домена в Skype для бизнеса Server документации по развертыванию.
Организации часто блокируют доменные службы Active Directory (AD DS), чтобы снизить риски безопасности. Однако заблокированная среда Active Directory может ограничить разрешения, необходимые Skype для бизнеса Server. Это может включать в себя записи ACE из контейнеров и подразделений, а также отключение разрешений наследования для объектов пользователя, контакта, InetOrgPerson или компьютеров. В заблокированной среде Active Directory разрешения необходимо задать вручную для контейнеров и подразделений, которым они требуются.
Информация о сервере
Во время активации Skype для бизнеса Server публикует сведения о сервере в трех следующих расположениях в доменные службы Active Directory:
Точка подключения службы (SCP) на каждом объекте компьютера Active Directory, соответствующем физическому компьютеру, на котором установлена Skype для бизнеса Server.
объекты сервера, созданные в контейнере класса msRTCSIP-Pools;
Доверенные серверы, указанные в построителе топологий.
Точки подключения служб
Каждый объект Skype для бизнеса Server в доменные службы Active Directory имеет SCP под названием RTC Services, который, в свою очередь, содержит ряд атрибутов, которые идентифицируют каждый компьютер и указывают предоставляемые им службы. Среди более важных атрибутов SCP — serviceDNSName , serviceDNSNameType , serviceClassname и serviceBindingInformation . Сторонние приложения по управлению активами могут извлекать информацию о сервере в развертывании путем выдачи запросов по отношению этих и других атрибутов SCP.
Объекты сервера Active Directory
Каждая роль сервера Skype для бизнеса Server имеет соответствующий объект Active Directory, атрибуты которого определяют службы, предоставляемые этой ролью. Кроме того, при активации сервера Standard Edition или при создании пула выпуск Enterprise Skype для бизнеса Server создает новый объект msRTCSIP-Pool в контейнере msRTCSIP-Pools. Класс msRTCSIP-Pool указывает полное доменное имя пула и сопоставление между компонентами переднего плана и встроенными компонентами пула. (Сервер Standard Edition считается логическим пулом, передний и внутренний части которого расположены на одном компьютере.)
Доверенные серверы
В Skype для бизнеса Server доверенные серверы указываются при запуске построителя топологий и публикации топологии. Опубликованная топология, включая все сведения сервера, сохраняется в центральном хранилище управления. Только серверы, определенные в центральном хранилище управления, являются доверенными. В Skype для бизнеса Server доверенный сервер соответствует следующим критериям:
Полное доменное имя сервера встречается в топологии, сохраненной в центральном хранилище управления.
Сервер предоставляет действительный сертификат от доверенного ЦС. Дополнительные сведения см. в разделе Требования к окружающей среде для Skype для бизнеса Server 2015 года или Требования к системе для Skype для бизнеса Server 2019 года.
При отсутствии любого из этих критериев сервер не является доверенным, а при подключении приходит отказ. Это двойное требование предотвращает возможную, если маловероятно, атаку, в которой изгоев сервер пытается захватить полное доменное имя допустимого сервера.
Кроме того, чтобы включить развертывание Microsoft Office Communications Server 2007 R2 и Microsoft Office Communications Server 2007 для взаимодействия с Skype для бизнеса Server серверами, Skype для бизнеса Server создает контейнеры во время подготовки леса для хранения списков доверенных серверов для предыдущих выпусков. В таблице ниже описаны контейнеры, созданные для обеспечения совместимости с предыдущими развертываниями.
Списки доверенных серверов и их контейнеры Active Directory для совместимости с предыдущими выпусками
| Список доверенных серверов | Контейнер Active Directory |
|---|---|
| Серверы стандартного выпуска и серверы переднего плана пула Enterprise |
Служба RTC Service/глобальные параметры |
| Серверы для конференций |
Служба RTC Service/доверенные MCU |
| Серверы веб-компонентов |
Служба RTC Service/доверенные серверы веб-компонентов |
| Серверы-посредники и серверы веб-клиента Communicator, сервер приложений, регистратор с качеством взаимодействия, служба аудио- и видеоконференции (а также сторонние серверы SIP) |
Служба RTC Service/доверенные службы |
| Прокси-серверы |
Skype для бизнеса Server не поддерживает обратную совместимость прокси-серверов |