Protección de IIS

Última modificación del tema: 2011-04-08

En Microsoft Office Communications Server 2007 y Microsoft Office Communications Server 2007 R2, Internet Information Services (IIS) se ejecutaban con una cuenta de usuario estándar. Esto podía provocar problemas: si la contraseña expiraba, se podían perder los servicios web, un problema que a menudo era difícil de diagnosticar. Para evitar el problema de expiración de una contraseña, Microsoft Lync Server 2010 permite crear una cuenta de equipo (para un equipo que no existe realmente) capaz de funcionar como entidad de seguridad de autenticación para todos los equipos de un sitio que ejecuten IIS. Debido a que estas cuentas usan el protocolo de autenticación Kerberos, se hace referencia a las cuentas como cuentas Kerberos, y el nuevo proceso de autenticación se conoce como autenticación web Kerberos. Esto le permite administrar todos sus servidores IIS usando una sola cuenta.

Para ejecutar los servidores con esta entidad de seguridad de autenticación, antes debe crear una cuenta de equipo usando el cmdlet New-CsKerberosAccount; a continuación, esta cuenta se asigna a uno o más sitios. Una vez realizada la asignación, se habilita la asociación entre la cuenta y el sitio de Lync Server 2010 ejecutando el cmdlet Enable-CsTopology. Esta acción crea, entre otras cosas, el nombre de entidad de seguridad de servicio (SPN) necesario en los servicios de dominio de Active Directory (AD DS). Los SPN ofrecen un modo para que las aplicaciones cliente ubiquen un servicio concreto. Para obtener más información, consulte New-CsKerberosAccount en la documentación de operaciones.