Lync Server 2013 的Active Directory 域服务
上次修改的主题: 2013-11-13
Active Directory 域服务充当 Windows Server 2003、Windows Server 2008、Windows Server 2012 和 Windows Server 2012 R2 网络的目录服务。 Active Directory 域服务也是构建 Microsoft Lync Server 2013 安全基础结构的基础。 本部分的目的是介绍 Lync Server 2013 如何使用Active Directory 域服务为 IM、Web 会议、媒体和语音创建值得信赖的环境。 有关用于Active Directory 域服务的 Lync Server 扩展以及如何为Active Directory 域服务准备环境的详细信息,请参阅部署文档中的“为 Lync Server 2013 准备Active Directory 域服务”。 有关在 Windows Server 网络中Active Directory 域服务角色的详细信息,请参阅所使用的操作系统的版本文档。
Lync Server 2013 使用Active Directory 域服务来存储:
林中运行 Lync Server 2013 的所有服务器都需要的全局设置。
用于标识林中运行 Lync Server 2013 的所有服务器的角色的服务信息。
一些用户设置。
Active Directory 基础结构
Active Directory 的基础结构要求包括:
域控制器的操作系统要求
域和林的功能级别要求
全局编录域要求
有关详细信息,请参阅部署文档中 Lync Server 2013 的 Active Directory 基础结构要求 。
Active Directory 域服务准备
注意
建议将全局设置部署到配置容器,而不是系统容器。 这不会增强安全性,但可能导致某些Active Directory 域服务拓扑的可伸缩性改进。 如果要从 Microsoft Office Communications Server 2007 迁移,并且已使用系统容器,但计划使用配置容器,则必须在进行任何升级准备之前移动系统容器中的设置。 若要将系统容器设置迁移到配置容器,请参阅 Office Communications Server 2007 全局设置迁移工具 https://go.microsoft.com/fwlink/p/?LinkId=145236。
部署 Lync Server 2013 时,第一步是准备Active Directory 域服务。 为 Lync Server 2013 准备Active Directory 域服务包括以下三个步骤:
准备架构。 此任务扩展Active Directory 域服务中的架构,以包含特定于 Lync Server 2013 的类和属性。 有关准备架构的详细信息,请参阅部署文档 中的 Lync Server 2013 中运行 Active Directory 架构准备 。 有关详细信息,请参阅 从 Office Communications Server 2007 R2 迁移到 Lync Server 2013。
准备林。 此任务在林根域中创建全局设置和对象,以及控制对这些设置和对象的访问的通用服务和管理组。 有关准备林的详细信息,请参阅部署文档中的 Lync Server 2013 运行林准备 。
准备域。 此任务将必要的访问控制条目 (ACE) 添加到授予在域中托管和管理用户的权限的通用组。 必须在要部署运行 Lync Server 2013 的服务器的所有域和 Lync Server 用户所在的任何域中完成此任务。 有关准备域的详细信息,请参阅部署文档中的 Lync Server 2013 运行域准备 。
有关准备 Active Directory 的完整过程以及执行每个步骤所需的权限和权限的概述,请参阅部署文档中 针对 Lync Server 2013 的 Active Directory 基础结构要求 。
通用组
在准备林期间,Lync Server 2013 在Active Directory 域服务中创建各种通用组,这些组有权访问和管理全局设置和服务。 这些通用组包括:
管理组。 这些组定义 Lync Server 网络的基本管理员角色。 在林准备期间,这些管理员组将添加到 Lync Server 基础结构组。
服务组。 这些组是访问 Lync Server 提供的各种服务所需的服务帐户。
基础结构组。 这些组提供访问 Lync Server 基础结构特定区域的权限。 这些基础结构组将用作管理组的组件,不应修改这些基础结构组或直接向其中添加用户。 在林的准备过程中,会将特定的服务组和管理组添加到适当的基础结构组。
有关为 Lync Server 准备 AD 时创建的特定通用组以及添加到基础结构组的服务和管理组的详细信息,请参阅部署文档 中的 Lync Server 2013 中的林准备所做的更改 。
注意
Lync Server 2013 支持Windows Server 2012中运行 Lync Server 2013 的服务器的通用组,以及用于域控制器的 Windows Server 2003 操作系统。 通用组的成员可包括域树或林中的任何域中的其他组和帐户,并且可将域树或林中的任何域中的权限分配给这些成员。 通用组支持与管理员委派相结合,简化了 Lync Server 部署的管理。 例如,不必将一个域添加到另一个域,管理员即可同时管理这两个域。
基于角色的访问控制
除创建通用服务组和管理组以及将服务组和管理组添加到适当的通用组之外,林准备还创建基于角色的访问控制 (RBAC) 组。 有关由林准备创建的特定 RBAC 组的详细信息,请参阅部署文档 中的 Lync Server 2013 中的林准备所做的更改 。 有关 RBAC 组的详细信息,请 参阅 Lync Server 2013 的基于角色的访问控制 (RBAC) 。
访问控制项 (ACE) 与继承
林准备同时创建专用和公共 ACE,并为其创建的通用组添加 ACE。 它在 Lync Server 使用的全局设置容器上创建特定的专用 AES。 此容器仅由 Lync Server 使用,并且位于根域中的配置容器或系统容器中,具体取决于存储全局设置的位置。
域准备步骤将向通用组添加必要的访问控制项 (ACE),这些访问控制项将授予承载和管理域中用户的权限。 域准备过程将在域根和以下三个内置容器中创建 ACE:“用户”、“计算机”和“域控制器”。
有关由林准备和域准备创建和添加的公共 AES 的详细信息,请参阅部署文档 中的 Lync Server 2013 中的林准备 和 Lync Server 2013 中域准备所做的更改 。
组织通常锁定ACTIVE DIRECTORY 域服务 (AD DS) ,以帮助缓解安全风险。 但是,锁定的 Active Directory 环境可以限制 Lync Server 2013 所需的权限。 这可以包括从容器和 OU 中删除 ACE 以及在“用户”、“联系人”、“InetOrgPerson”或“计算机”对象上禁用权限继承。 在锁定的 Active Directory 环境中,必须在需要权限的容器和 OU 上手动设置权限。 有关详细信息,请参阅部署文档中的 Lync Server 2013 中准备锁定的Active Directory 域服务。
服务器信息
在激活期间,Lync Server 2013 将服务器信息发布到Active Directory 域服务中的以下三个位置:
与安装 Lync Server 2013 的物理计算机对应的每个 Active Directory 计算机对象上的一个服务连接点 (SCP) 。
在 msRTCSIP-Pools 类的容器中创建的服务器对象。
拓扑生成器中指定的受信任服务器。
服务连接点
Active Directory 域服务中的每个 Lync Server 2013 对象都有一个名为 RTC Services 的 SCP,该 SCP 又包含许多属性,用于标识每台计算机并指定其提供的服务。 在这些 SCP 属性中,比较重要的 SCP 属性为 serviceDNSName 、serviceDNSNameType 、serviceClassname 和 serviceBindingInformation 。 第三方资产管理应用程序可以通过针对上述 SCP 属性和其他 SCP 属性进行查询来检索部署中的服务器信息。
Active Directory Server 对象
每个 Lync Server 2013 服务器角色都有相应的 Active Directory 对象,其属性定义该角色提供的服务。 此外,当激活 Standard Edition 服务器或创建Enterprise Edition池时,Lync Server 2013 将在 msRTCSIP-Pools 容器中创建新的 msRTCSIP-Pool 对象。 msRTCSIP-Pool 类指定池的完全限定域名 (FQDN) ,以及池的前端和后端组件之间的关联。 (标准版服务器被视为一个逻辑池,其前端和后端并置在一台计算机上。)
受信任的服务器
在 Lync Server 2013 中,受信任的服务器是在运行拓扑生成器并发布拓扑时指定的服务器。 发布的拓扑(包括所有服务器信息)存储在中央管理存储中。 只有中央管理存储中定义的服务器是受信任的。 在 Lync Server 2013 中,受信任的服务器符合以下条件:
服务器的 FQDN 出现在存储在中央管理存储中的拓扑中。
服务器提供了来自受信任的 CA 的有效证书。 有关详细信息,请参阅 Lync Server 2013 的证书基础结构要求。
如果未满足上述任一条件,则该服务器将不会受到信任,并且与该服务器的连接将被拒绝。 此双重要求可防止未授权服务器可能通过尝试接管有效服务器的 FQDN 来发起攻击(虽然出现此情况的可能性不大)。
此外,为了使 Microsoft Office Communications Server 2007 R2 和 Microsoft Office Communications Server 2007 部署能够与 Lync Server 2013 服务器通信,Lync Server 2013 在林准备期间创建容器,以便保存以前版本的受信任服务器列表。 下表介绍为了与早期部署兼容而创建的容器。
受信任的服务器列表及其 Active Directory 容器,以便与以前的版本兼容
| 受信任的服务器列表 | Active Directory 容器 |
|---|---|
Standard Edition Server 和企业版池前端服务器 |
RTC 服务/全局设置 |
会议服务器 |
RTC 服务/受信任的 MCU |
Web 组件服务器 |
RTC 服务/TrustedWebComponentsServers |
中介服务器和 Communicator Web Access 服务器、应用程序服务器、QoE 注册器、A/V 会议服务(也称作第三方 SIP 服务器) |
RTC 服务/受信任的服务 |
代理服务器 |
Lync Server 2013 不支持代理服务器的向后兼容性 |
若要支持以前版本的受信任服务器,必须运行最佳做法分析器工具。 有关运行最佳做法分析器的详细信息,请参阅 https://go.microsoft.com/fwlink/p/?LinkId=330633。