Anforderungen in Bezug auf Konten und Berechtigungen
Letztes Änderungsdatum des Themas: 2009-04-01
Für Office Communications Server 2007 R2 gelten die folgenden Sicherheitsanforderungen:
- Administratoranmeldeinformationen
- Sicherheitsebenen
- Mediengateway-Sicherheit
Administratoranmeldeinformationen
In der folgenden Tabelle werden die Berechtigungen beschrieben, die zum Bereitstellen der verschiedenen Serverrollen erforderlich sind.
.gif "Dd425321.note(de-de,office.13).gif") Hinweis: |
|---|
| Die Mitgliedschaft in der Gruppe Domänenadministratoren ist standardmäßig für die Bereitstellung und Aktivierung eines Servers erforderlich, der Mitglied einer Active Directory-Domäne ist. Wenn Sie der Gruppe oder einzelnen Personen, die Office Communications Server bereitstellen, nicht diese Berechtigungsstufe zuweisen möchten, können Sie einer bestimmten Gruppe mit dem Setup-Delegierungs-Assistenten die für diese Aufgabe erforderliche Teilmenge an Berechtigungen gewähren. |
Tabelle 1. Für Bereitstellungsaufgaben erforderliche Administratoranmeldeinformationen
| Verfahren | Erforderliche Administratoranmeldeinformationen oder -rollen |
|---|---|
Standard Edition |
|
Installieren der erforderlichen Software |
Gruppe RTCUniversalServerAdmins Gruppe Domänen-Admins |
Vorbereiten der Active Directory-Dienste (AD DS) |
Mitglied der Gruppe Schema-Admins und Administratorrechte für den Schemamaster Mitglied der Gruppe EnterpriseAdmins für die Gesamtstruktur-Stammdomäne Mitglied der Gruppe Organisations-Admins oder Domänen-Admins |
Vorbereiten von Windows für das Setup |
Gruppe Administratoren |
Erstellen und Überprüfen von DNS-Einträgen |
Gruppe DNS-Administratoren |
Bereitstellen und Aktivieren von Standard Edition-Server und Anwendungen |
Gruppe RTCUniversalServerAdmins Gruppe Domänen-Admins |
Konfigurieren des Standard Edition-Servers |
Gruppe RTCUniversalServerAdmins |
Konfigurieren der Zertifikate für Office Communications Server |
Gruppe Administratoren Gruppe RTCUniversalServerAdmins |
Starten der Dienste |
Gruppe RTCUniversalServerAdmins |
Überprüfen der Serverkonfiguration |
Gruppe RTCUniversalServerAdmins |
Optionales Konfigurieren von A/V-Konferenzen und Webkonferenzen |
Gruppe RTCUniversalServerAdmins |
Konsolidierte Enterprise Edition-Topologie |
|
Installieren der erforderlichen Software |
Gruppe RTCUniversalServerAdmins Gruppe Domänen-Admins |
Vorbereiten von AD DS |
Mitglied der Gruppe Schema-Admins und Administratorrechte für den Schemamaster Mitglied der Gruppe EnterpriseAdmins für die Gesamtstruktur-Stammdomäne Mitglied der Gruppe Organisations-Admins oder Domänen-Admins |
Vorbereiten von Windows für das Setup |
Gruppe Administratoren |
Installieren von SQL Server |
Lokaler Administrator |
Konfigurieren von SQL Server für Office Communications Server |
SQL Server-Administrator Lokaler Administrator |
Optionales Konfigurieren eines Systems zum Lastenausgleich für den Pool |
Administrator des Systems zum Lastenausgleich |
Erstellen und Überprüfen von DNS-Einträgen |
Gruppe DNS-Administratoren |
Erstellen des Pools |
Gruppe RTCUniversalServerAdmins Gruppe Domänen-Admins |
Konfigurieren des Pools und der Anwendungen |
Gruppe RTCUniversalServerAdmins |
Hinzufügen von Servern zum Pool |
Gruppe Administratoren Gruppe RTCUniversalServerAdmins Gruppe Domänen-Admins |
Konfigurieren der Zertifikate für Office Communications Server |
Gruppe Administratoren Gruppe RTCUniversalServerAdmins |
Starten der Dienste |
RTCUniversalUserAdmins |
Überprüfen der Server- und Poolkonfiguration |
RTCUniversalUserAdmins |
Einwahlkonferenzen |
|
Installieren und Aktivieren von Office Communications Server 2007 R2 |
Gruppe Administratoren Gruppe RTCUniversalServerAdmins Gruppe Domänen-Admins |
Aktivieren der Anwendungen Konferenzzentrale und Konferenzankündigungsdienst |
Gruppe RTCUniversalServerAdmins Gruppe Domänen-Admins |
Installieren, Aktivieren und Konfigurieren der 2007 R2-Version des Microsoft Office Communicator Web Access-Servers |
Gruppe Administratoren Gruppe Domänen-Admins |
Bei Bedarf Aktivieren des Remotebenutzerzugriffs auf Communicator Web Access |
Gruppe Administratoren Gruppe Domänen-Admins |
Testen der Webseite für Einwahlkonferenzen |
Office Communications Server 2007 R2-Benutzer |
Erstellen eines oder mehrerer Standortprofile |
Gruppe RTCUniversalServerAdmins |
Konfigurieren einer globalen Richtlinie als Unterstützung von Einwahlkonferenzen |
Gruppe RTCUniversalServerAdmins |
Bereitstellen eines Vermittlungsservers |
Gruppe RTCUniversalServerAdmins |
Stellen Sie ein Basismediengateway eines Drittanbieters bereit. oder Konfigurieren Sie den Vermittlungsserver für das SIP-Trunking. |
Gruppe RTCUniversalServerAdmins (für die Konfiguration des Vermittlungsservers) Administrator des SIP-Trunking-Anbieters |
Reaktionsgruppendienst |
|
Installieren und Aktivieren von Office Communications Server 2007 R2 |
Gruppe Administratoren Gruppe RTCUniversalServerAdmins Gruppe Domänen-Admins |
Aktivieren des Reaktionsgruppendiensts |
Gruppe RTCUniversalServerAdmins Gruppe Domänen-Admins |
Hinzufügen von Agents, Erstellen von Agentgruppen und Erstellen von Warteschlangen für den Serverpool |
Gruppe RTCUniversalServerAdmins |
Erstellen des Workflows |
Gruppe RTCUniversalServerAdmins |
Konfigurieren der Registerkarte Reaktionsgruppe |
Gruppe Domänen-Admins |
Archivierungsserver |
|
Installieren der erforderlichen Software |
Gruppe Administratoren und Gruppe Domänenadministratoren (zur Installation von Message Queuing mit aktivierter Active Directory-Integration) |
Installieren und Aktivieren des Archivierungsservers |
Gruppe Administratoren Gruppe Domänenadministratoren und RTCUniversalServerAdmins |
Konfigurieren der Zuordnungen des Archivierungsservers |
Gruppe Administratoren |
Konfigurieren von Benutzern für die Archivierung |
RTCUniversalUserAdmins Gruppe |
Starten der Archivierungsdienste |
Gruppe RTCUniversalUserAdmins |
Monitoring Server |
|
Installieren der erforderlichen Software |
Gruppe Administratoren Gruppe Domänenadministratoren (zur Installation von Message Queuing mit aktivierter Active Directory-Integration) |
Installieren und Aktivieren des Monitoring Servers |
Gruppe Administratoren Gruppe Domänenadministratoren und RTCUniversalServerAdmins |
Starten der Dienste |
Gruppe Administratoren |
Bereitstellen der Monitoring Server-Berichte |
Gruppe Administratoren |
Konfigurieren der Zuordnungen des Monitoring Servers |
Gruppe Administratoren |
Communicator Web Access |
|
Installieren und Aktivieren |
Domänenadministratoren |
Erstellen eines virtuellen Servers |
Domänenadministratoren oder RTCUniversalUserAdmins und lokale Administratoren |
Veröffentlichen Sie Communicator Web Access-URLs. |
Domänenadministratoren oder RTCUniversalUserAdmins und lokale Administratoren |
Verwalten von Communicator Web Access-Einstellungen |
Domänenadministratoren oder RTCUniversalUserAdmins und lokale Administratoren |
Gruppenchat |
|
Erstellen einer SQL Server-Datenbank |
Datenbankadministrator |
Einrichten von Gruppenchatkonten und -berechtigungen |
Gruppe Administratoren |
Beschaffen der Zertifikate für Gruppenchat |
Gruppe Administratoren |
Installieren von Gruppenchat |
Gruppe Administratoren |
Konfigurieren von Websiteeinstellungen in IIS |
Gruppe Administratoren |
Verbinden des Gruppenchat-Verwaltungstools mit Gruppenchat |
Gruppe Administratoren Kanaldienstadministrator |
Konfigurieren des Gruppenchat-Benutzerzugriffs |
Gruppe Administratoren |
Bereitstellen der Archivierungs- und Kompatibilitätsunterstützung |
Datenbankadministrator Gruppe Administratoren |
Verwaltungstools |
|
Installieren der Verwaltungstools auf einer zentralisierten Verwaltungskonsole, auf der Office Communications Server nicht ausgeführt wird |
Gruppe Administratoren Gruppe Domänen-Admins |
Konfigurieren der Benutzerkontoeinstellungen |
RTCUniversalUserAdmins |
Konfigurieren aller weiteren Einstellungen (mit Ausnahme der Kontoeinstellungen) |
RTCUniversalUserAdmins |
Edgeserver |
|
Einrichten der Infrastruktur für Edgeserver |
Gruppe Administratoren |
Einrichten von Edgeservern |
Gruppe Administratoren Gruppe Domänenadministratoren und RTCUniversalServerAdmins |
Konfigurieren der Umgebung. |
Gruppe Administratoren Gruppe Domänenadministratoren und RTCUniversalServerAdmins |
Überprüfen der Edgeserverkonfiguration |
Gruppe Administratoren Gruppe Domänenadministratoren und RTCUniversalServerAdmins |
Communicator Mobile für Windows Mobile |
|
Installationsvoraussetzungen |
Administrator |
Installieren von Communicator Mobile für Windows Mobile |
Administrator |
Installieren eines selbstsignierten Zertifikats |
Administrator |
Konfigurieren des Clients |
Administrator |
Testen der Sofortnachrichten und Anwesenheit |
Administrator |
Communicator Mobile für Java |
|
Überprüfen, ob die Voraussetzungen und Abhängigkeiten erfüllt werden |
Administrator |
Bereitstellen der Communicator Mobile-Komponente |
Administrator |
Installieren der Communicator Mobile für Java-Clientsoftware |
Administrator |
Konfigurieren und Verwenden des Clients |
Administrator |
Testen der Sofortnachrichten und Anwesenheit |
Administrator |
Externe Sprachsteuerung |
|
Installieren und Aktivieren von Office Communications Server 2007 R2 |
Gruppe Administratoren Gruppe RTCUniversalServerAdmins Gruppe Domänen-Admins |
Aktivieren der externen Sprachsteuerung |
Gruppe RTCUniversalServerAdmins Gruppe Domänen-Admins |
Starten der Anwendung |
Gruppe RTCUniversalServerAdmins |
Testen der externen Sprachsteuerung auf einem unterstützten mobilen Client |
Office Communications Server 2007 R2-Benutzer |
Enterprise Voice bei Koexistenz mit Nebenstellenanlage |
|
Bereitstellen von Office Communications Server, einschließlich des Vermittlungsservers für die Verbindung mit der Nebenstellenanlage |
|
Bereitstellen von Office Communicator 2007 |
Administrator auf dem Computer, auf dem Office Communicator installiert wird |
Aktivieren der Benutzer für Sofortnachrichten und Anwesenheit |
Gruppe RTCUniversalUserAdmins |
Konfigurieren von Communications Server für Enterprise-VoIP |
Gruppe RTCUniversalServerAdmins |
Konfigurieren der Nebenstellenanlage für die Verzweigung von Anrufen an Office Communications Server |
RTCUniversalUserAdmins (zum Abrufen von Informationen von AD DS und Umwandeln einer Durchwahl in einen richtigen Telefon-URI) |
Bereitstellen von Mediengateways (sofern erforderlich) |
Mediengateways sind externe Systeme mit eigenen Authentifizierungs- und Autorisierungsschemas. Falls für den Mediengateway die Erstellung von vertrauenswürdigen Diensteinträgen erforderlich ist, müssen Sie mindestens ein Mitglied der Gruppe RTCUniversalServerAdmins sein. |
Bereitstellen eines Gateways für die Remoteanrufsteuerung (sofern erforderlich) |
Gateways für die Remoteanrufsteuerung sind externe Systeme mit eigenen Authentifizierungs- und Autorisierungsschemas. Zum Erstellen der erforderlichen vertrauenswürdigen Diensteinträge müssen Sie mindestens ein Mitglied der Gruppe RTCUniversalServerAdmins sein. |
Aktivieren von Benutzern für Enterprise-VoIP und die Integration einer Nebenstellenanlage |
Gruppe RTCUniversalUserAdmins |
Eigenständige Enterprise Voice (keine Koexistenz mit einer Nebenstellenanlage) |
|
Bereitstellen von Office Communications Server |
|
Bereitstellen von Office Communicator 2007 |
Administrator auf dem Computer, auf dem Office Communicator installiert wird |
Konfigurieren von Office Communications Server für Enterprise-VoIP |
Gruppe RTCUniversalUserAdmins |
Bereitstellen von Exchange Server 2007 Unified Messaging und Konfigurieren für die Integration mit Office Communications Server |
|
Bereitstellen von Mediengateways |
Mediengateways sind externe Systeme mit eigenen Authentifizierungs- und Autorisierungsschemas. Falls für den Mediengateway die Erstellung von vertrauenswürdigen Diensteinträgen erforderlich ist, müssen Sie mindestens ein Mitglied der Gruppe RTCUniversalServerAdmins sein. |
Aktivieren von Benutzern für Enterprise-VoIP |
Gruppe RTCUniversalUserAdmins |
Geräteaktualisierungsdienst |
|
Bereitstellung |
Der Geräteaktualisierungsdienst wird automatisch auf dem Webkomponentenserver ausgeführt. Es sind keine besonderen Bereitstellungsberechtigungen erforderlich, mit Ausnahme der für die Bereitstellung von Standard Edition oder Enterprise Edition benötigten Berechtigungen. |
Sicherheitsebenen
Die für die Bereitstellung von Office Communications Server 2007 R2 erforderlichen Sicherheitsberechtigungen richten sich nach den Komponenten, deren Bereitstellung von Ihrem Unternehmen geplant wird.
Exchange UM-Sicherheitsstufen
Ein Wählplan von Exchange Unified Messaging (UM) unterstützt drei unterschiedliche Sicherheitsebenen: Unsecured, SIPSecured und Secured. Sie konfigurieren die Sicherheitsebenen mithilfe des Parameters VoipSecurity des UM-Wählplans. Die folgende Tabelle zeigt geeignete Sicherheitsebenen für Wählpläne, abhängig davon, ob Mutual TLS (MTLS) und/oder SRTP (Secure Real-Time Transport Protocol) aktiviert oder deaktiviert ist.
Tabelle 2: VoIPSecurity-Werte für unterschiedliche Kombinationen von Mutual TLS und SRTP
| Sicherheitsebene | Mutual TLS | SRTP |
|---|---|---|
Unsecured |
Deaktiviert |
Deaktiviert |
SIPSecured |
Aktiviert (erforderlich) |
Deaktiviert |
Secured |
Aktiviert (erforderlich) |
Aktiviert (erforderlich) |
Bei der Integration von Exchange UM mit Communications Server 2007 R2 müssen Sie für jedes VoIP-Profil die am besten geeignete Wählplan-Sicherheitsebene auswählen. Bei dieser Auswahl sollten Sie folgende Punkte beachten:
- MTLS ist zwischen Exchange UM und Office Communications Server erforderlich. Daher darf die Wählplan-Sicherheitsebene nicht auf Unsecured festgelegt werden.
- Wenn die Wählplansicherheit auf SIPSecured festgelegt ist, ist SRTP deaktiviert. In diesem Fall muss die Clientverschlüsselungsebene von Office Communicator 2007 R2 auf rejected oder optional festgelegt werden.
- Wenn die Wählplansicherheit auf Secured festgelegt ist, ist SRTP aktiviert und für Exchange UM erforderlich. In diesem Fall muss die Clientverschlüsselungsebene von Office Communicator 2007 R2 auf optional oder required festgelegt werden.
Mediengateway-Sicherheit
Medien mit bidirektionalem Fluss zwischen dem Vermittlungsserver und dem Communications Server-Netzwerk werden mit SRTP verschlüsselt. Organisationen, die für die Paketsicherheit IPsec verwenden, sollten vor der Bereitstellung von Enterprise-VoIP unbedingt eine Ausnahme für einen kleinen Medienportbereich erstellen. Die für IPsec erforderlichen Sicherheitsverhandlungen funktionieren für normale UDP- oder TCP-Verbindungen gut; sie können jedoch den Verbindungsaufbau inakzeptabel verlangsamen.
Weil Mediengateways Anrufe vom Telefonfestnetz empfangen, stellen sie ein potenzielles Sicherheitsrisiko dar. Im Folgenden werden Aktionen zur Risikominderung beschrieben:
- Aktivieren Sie TLS für die Verbindung zwischen Gateway und Vermittlungsserver. Damit wird sichergestellt, dass die zwischen Gateway und internen Benutzern übermittelten Signaldaten verschlüsselt werden.
- Isolieren Sie das Mediengateway physisch vom internen Netzwerk, indem Sie den Vermittlungsserver auf einem Computer mit zwei Netzwerkadaptern bereitstellen: Die eine Netzwerkkarte empfängt nur Datenverkehr aus dem internen Netzwerk, und die andere empfängt nur Datenverkehr von einem Mediengateway. Jede Karte ist mit einer separaten Überwachungsadresse konfiguriert, sodass stets eine klare Trennung zwischen vertrauenswürdigem Datenverkehr aus dem Communications Server-Netzwerk und nicht vertrauenswürdigem Datenverkehr aus dem Telefonfestnetz besteht.
Die interne Schnittstelle eines Vermittlungsservers sollte so konfiguriert werden, dass er einer eindeutigen statischen Route entspricht, die durch eine IP-Adresse und eine Portnummer beschrieben wird. Der Standardport ist 5061.
Die externe Schnittstelle eines Vermittlungsservers sollte als interner Proxy für den nächsten Hop für das Mediengateway konfiguriert werden. Er muss durch eine eindeutige Kombination aus IP-Adresse und Portnummer identifiziert werden. Die IP-Adresse darf nicht dieselbe sein wie die der internen Schnittstelle. Der Standardport ist jedoch 5060.