Active Directory Domain Services für Lync Server 2013
Letzte Änderung: 13.11.2013
Active Directory Domain Services fungiert als Verzeichnisdienst für Windows Server 2003-, Windows Server 2008-, Windows Server 2012- und Windows Server 2012 R2-Netzwerke. Active Directory Domain Services dient auch als Grundlage für die Sicherheitsinfrastruktur von Microsoft Lync Server 2013. In diesem Abschnitt wird beschrieben, wie Lync Server 2013 Active Directory Domain Services verwendet, um eine vertrauenswürdige Umgebung für Chats, Webkonferenzen, Medien und VoIP zu erstellen. Ausführliche Informationen zu Lync Server-Erweiterungen für Active Directory Domain Services und zur Vorbereitung Ihrer Umgebung für Active Directory Domain Services finden Sie unter Vorbereiten von Active Directory Domain Services für Lync Server 2013 in der Bereitstellungsdokumentation. Ausführliche Informationen zur Rolle von Active Directory Domain Services in Windows Server-Netzwerken finden Sie in der Dokumentation zur Version des verwendeten Betriebssystems.
Lync Server 2013 verwendet Active Directory Domain Services zum Speichern:
Globale Einstellungen, die alle Server mit Lync Server 2013 in einer Gesamtstruktur benötigen.
Dienstinformationen, die die Rollen aller Server mit Lync Server 2013 in einer Gesamtstruktur identifizieren.
Einige Benutzereinstellungen
Active Directory-Infrastruktur
Zu den Infrastrukturanforderungen für Active Directory gehören Folgendes:
Betriebssystemanforderungen für Domänencontroller
Anforderungen für die Domänen- und Gesamtstrukturfunktionsebene
Anforderungen für die globale Katalogdomäne
Ausführliche Informationen finden Sie unter Active Directory-Infrastrukturanforderungen für Lync Server 2013 in der Bereitstellungsdokumentation.
Active Directory Domain Services Vorbereitung
Hinweis
Es wird empfohlen, globale Einstellungen im Konfigurationscontainer anstelle des Systemcontainers bereitzustellen. Dies erhöht nicht die Sicherheit, kann aber zu Skalierbarkeitsverbesserungen für einige Active Directory Domain Services Topologien führen. Wenn Sie von Microsoft Office Communications Server 2007 migrieren und den Systemcontainer verwendet haben, aber die Verwendung des Konfigurationscontainers planen, MÜSSEN Sie die Einstellungen im Systemcontainer verschieben, BEVOR Sie Upgradevorbereitungen durchführen. Informationen zum Migrieren Ihrer Systemcontainereinstellungen zum Konfigurationscontainer finden Sie unter Office Communications Server 2007 Global Settings Migration Tool unter https://go.microsoft.com/fwlink/p/?LinkId=145236.
Bei der Bereitstellung von Lync Server 2013 besteht der erste Schritt darin, Active Directory Domain Services vorzubereiten. Die Vorbereitung Active Directory Domain Services für Lync Server 2013 besteht aus den folgenden drei Schritten:
Vorbereiten des Schemas. Diese Aufgabe erweitert das Schema in Active Directory Domain Services um Klassen und Attribute, die für Lync Server 2013 spezifisch sind. Ausführliche Informationen zum Vorbereiten des Schemas finden Sie in der Bereitstellungsdokumentation unter Ausführen der Active Directory-Schemavorbereitung in Lync Server 2013 . Weitere Informationen finden Sie unter Migration von Office Communications Server 2007 R2 zu Lync Server 2013.
Gesamtstruktur vorbereiten. Diese Aufgabe erstellt globale Einstellungen und Objekte in der Stammdomäne der Gesamtstruktur zusammen mit dem Universaldienst und administrativen Gruppen, die den Zugriff auf diese Einstellungen und Objekte steuern. Ausführliche Informationen zum Vorbereiten der Gesamtstruktur finden Sie in der Bereitstellungsdokumentation unter Ausführen der Gesamtstrukturvorbereitung für Lync Server 2013 .
Domäne vorbereiten. Diese Aufgabe fügt die erforderlichen Zugriffssteuerungseinträge (ACEs) zu universellen Gruppen hinzu, die Berechtigungen zum Hosten und Verwalten von Benutzern innerhalb der Domäne erteilen. Diese Aufgabe muss in allen Domänen abgeschlossen werden, in denen Sie Server mit Lync Server 2013 bereitstellen möchten, und in allen Domänen, in denen sich Ihre Lync Server-Benutzer befinden. Ausführliche Informationen zum Vorbereiten der Domäne finden Sie in der Bereitstellungsdokumentation unter "Ausführen der Domänenvorbereitung für Lync Server 2013 ".
Eine Übersicht über den vollständigen Prozess für die Vorbereitung von Active Directory und die erforderlichen Rechte und Berechtigungen für die einzelnen Schritte finden Sie unter Active Directory-Infrastrukturanforderungen für Lync Server 2013 in der Bereitstellungsdokumentation.For an overview of the complete process for preparing Active Directory and permissions required to perform each step, see Active Directory infrastructure requirements for Lync Server 2013 in the Deployment documentation.
Universelle Gruppen
Während der Vorbereitung der Gesamtstruktur erstellt Lync Server 2013 verschiedene universelle Gruppen innerhalb Active Directory Domain Services, die über die Berechtigung zum Zugreifen auf und Verwalten globaler Einstellungen und Dienste verfügen. Zu diesen Gruppen zählen die folgenden:
Administrative Gruppen: Diese Gruppen definieren die grundlegenden Administratorrollen für ein Lync Server-Netzwerk. Während der Gesamtstrukturvorbereitung werden diese Administratorgruppen zu Lync Server-Infrastrukturgruppen hinzugefügt.
Dienstgruppen: Diese Gruppen sind Dienstkonten, die für den Zugriff auf verschiedene von Lync Server bereitgestellte Dienste erforderlich sind.
Infrastrukturgruppen: Diese Gruppen bieten die Berechtigung für den Zugriff auf bestimmte Bereiche der Lync Server-Infrastruktur. Sie dienen als Komponenten von administrativen Gruppen und Sie sollten sie weder ändern noch ihnen direkt Nutzer hinzufügen. Während der Gesamtstrukturvorbereitung werden den entsprechenden Infrastrukturgruppen bestimmte Dienst- und Administrationsgruppen hinzugefügt.
Ausführliche Informationen zu den spezifischen universellen Gruppen, die bei der Vorbereitung von AD für Lync Server erstellt wurden, sowie zu den Dienst- und Verwaltungsgruppen, die den Infrastrukturgruppen hinzugefügt werden, finden Sie unter Änderungen, die durch die Gesamtstrukturvorbereitung in Lync Server 2013 in der Bereitstellungsdokumentation vorgenommen wurden.
Hinweis
Lync Server 2013 unterstützt die universellen Gruppen im Windows Server 2012 für Server mit Lync Server 2013 sowie Windows Server 2003-Betriebssysteme für Domänencontroller. Mitglieder universeller Gruppen können andere Gruppen und Konten aus beliebigen Domänen in der Domänen- oder Gesamtstruktur umfassen und über Berechtigungen für beliebige Domänen in der Domänen- oder Gesamtstruktur verfügen. Die Unterstützung universeller Gruppen in Kombination mit Administratordelegierung vereinfacht die Verwaltung einer Lync Server-Bereitstellung. Beispielsweise ist es nicht erforderlich, eine Domäne einer anderen hinzuzufügen, um einem Administrator die Verwaltung beider Domänen zu ermöglichen.
Rollenbasierte Zugriffssteuerung
Neben dem Erstellen von Universaldienst- und Verwaltungsgruppen und dem Hinzufügen von Dienst- und Verwaltungsgruppen zu den entsprechenden universellen Gruppen erstellt die Gesamtstrukturvorbereitung auch Role-Based Access Control (RBAC)-Gruppen. Ausführliche Informationen zu den spezifischen RBAC-Gruppen, die durch die Gesamtstrukturvorbereitung erstellt wurden, finden Sie in der Bereitstellungsdokumentation unter Änderungen, die durch die Gesamtstrukturvorbereitung in Lync Server 2013 vorgenommen wurden . Weitere Informationen zu RBAC-Gruppen finden Sie unter Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für Lync Server 2013.
Zugriffssteuerungseinträge (Access Control Entries,ACEs) und Vererbung
Bei der Gesamtstrukturvorbereitung werden sowohl private als auch öffentliche ACEs erstellt und ACEs zu den erstellten universellen Gruppen hinzugefügt. Es erstellt bestimmte private ACEs im globalen Einstellungscontainer, der von Lync Server verwendet wird. Dieser Container wird nur von Lync Server verwendet und befindet sich entweder im Konfigurationscontainer oder im Systemcontainer in der Stammdomäne, je nachdem, wo Sie globale Einstellungen speichern.
Beim Schritt zur Domänenvorbereitung werden universellen Gruppen die erforderlichen ACEs (Access Control Entries, Zugriffssteuerungseinträge) hinzugefügt, über die Berechtigungen zum Hosten und Verwalten von Benutzern in der Domäne gewährt werden. Bei der Domänenvorbereitung werden ACEs im Domänenstamm und in drei integrierten Containern erstellt: für Benutzer, Computer und Domänencontroller.
Ausführliche Informationen zu den öffentlichen ACEs, die durch die Gesamtstrukturvorbereitung und Domänenvorbereitung erstellt und hinzugefügt wurden, finden Sie unter Änderungen, die durch die Gesamtstrukturvorbereitung in Lync Server 2013 vorgenommen wurden , und Änderungen, die durch die Domänenvorbereitung in Lync Server 2013 vorgenommen wurden , in der Bereitstellungsdokumentation.
Organisationen sperren häufig Active Directory Domain Services (AD DS), um Sicherheitsrisiken zu mindern. Eine gesperrte Active Directory-Umgebung kann jedoch die Berechtigungen einschränken, die Lync Server 2013 erfordert. Dazu kann das Entfernen von ACEs aus Containern und Organisationseinheiten und das Deaktivieren der Vererbung von Berechtigungen für Nutzer-, Kontakt-, InetOrgPerson- oder Computerobjekten gehören. In einer gesperrten Active Directory-Umgebung müssen Berechtigungen manuell für Container und OUs festgelegt werden, für die sie erforderlich sind. Ausführliche Informationen finden Sie unter Vorbereiten einer gesperrten Active Directory Domain Services in Lync Server 2013 in der Bereitstellungsdokumentation.
Serverinformationen
Während der Aktivierung veröffentlicht Lync Server 2013 Serverinformationen an den drei folgenden Speicherorten in Active Directory Domain Services:
Ein Dienstverbindungspunkt (SCP) auf jedem Active Directory-Computerobjekt, das einem physischen Computer entspricht, auf dem Lync Server 2013 installiert ist.
Serverobjekte, die im Container der Klasse msRTCSIP-Pools erstellt wurden
Im Topologie-Generator angegebene vertrauenswürdige Server.
Dienstverbindungspunkte
Jedes Lync Server 2013-Objekt in Active Directory Domain Services verfügt über einen SCP mit dem Namen RTC Services, der wiederum eine Reihe von Attributen enthält, die jeden Computer identifizieren und die von ihm bereitgestellten Dienste angeben. Zu den wichtigeren Attributen der Dienstverbindungspunkte zählen serviceDNSName , serviceDNSNameType, serviceClassname und serviceBindingInformation . Asset Management-Anwendungen von Drittanbietern können Serverinformationen bereitstellungsübergreifend abrufen, indem sie diese und andere Attribute von Dienstverbindungspunkten anfragen.
Active Directory-Serverobjekte
Jede Lync Server 2013-Serverrolle verfügt über ein entsprechendes Active Directory-Objekt, dessen Attribute die von dieser Rolle bereitgestellten Dienste definieren. Außerdem erstellt Lync Server 2013 beim Aktivieren eines Standard Edition-Servers oder beim Erstellen eines Enterprise Edition Pools ein neues msRTCSIP-Pool-Objekt im Container "msRTCSIP-Pools". Die msRTCSIP-Pool-Klasse gibt den vollständig qualifizierten Domänennamen (FQDN) des Pools sowie die Verbindung zwischen den Front-End- und Back-End-Komponenten des Pools an. (Ein Standard Edition-Server gilt als logischer Pool, dessen Front- und Back-Ends auf einem einzelnen Computer verbunden sind.)
Vertrauenswürdige Server
In Lync Server 2013 sind vertrauenswürdige Server die, die angegeben werden, wenn Sie den Topologie-Generator ausführen und Ihre Topologie veröffentlichen. Die veröffentlichte Topologie wird einschließlich aller Serverinformationen im zentralen Verwaltungsspeicher gespeichert. Nur die im zentralen Verwaltungsspeicher definierten Server sind vertrauenswürdig. In Lync Server 2013 ist ein vertrauenswürdiger Server einer, der die folgenden Kriterien erfüllt:
Der FQDN des Servers ist in der im zentralen Verwaltungsspeicher gespeicherten Topologie enthalten.
Der Server verfügt über ein gültiges Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle. Ausführliche Informationen finden Sie unter Zertifikatinfrastrukturanforderungen für Lync Server 2013.
Wird eins dieser Kriterien nicht erfüllt, ist der Server nicht vertrauenswürdig, und die Verbindung mit ihm wird abgelehnt. Diese doppelte Anforderung verhindert einen möglichen, wenn auch unwahrscheinlichen, Angriff, bei dem ein nicht autorisierter Server versucht, den FQDN eines gültigen Servers zu übernehmen.
Um Microsoft Office Communications Server 2007 R2- und Microsoft Office Communications Server 2007-Bereitstellungen für die Kommunikation mit Lync Server 2013-Servern zu ermöglichen, erstellt Lync Server 2013 während der Gesamtstrukturvorbereitung Container für die Aufbewahrung von Listen vertrauenswürdiger Server für frühere Versionen. In der folgenden Tabelle sind die für die Kompatibilität mit früheren Bereitstellungen erstellten Container beschrieben.
Vertrauenswürdige Serverlisten und ihre Active Directory-Container aus Gründen der Kompatibilität mit früheren Versionen
| Liste vertrauenswürdiger Server | Active Directory-Container |
|---|---|
Standard Edition-Server und Enterprise-Pool-Front-End-Server |
RTC Service/Global Settings |
Konferenzserver |
RTC Service/Trusted MCUs |
Webkomponentenserver |
RTC Service/TrustedWebComponentsServers |
Vermittlungsservers und Communicator Web Access-Server, Anwendungsserver, Registrierung mit QoE, A/V-Konferenzdienst (auch SIP-Server von Drittanbietern) |
RTC Service/Trusted Services |
Proxyserver |
Lync Server 2013 unterstützt keine Abwärtskompatibilität für Proxyserver |
Um vertrauenswürdige Server früherer Versionen zu unterstützen, müssen Sie das Tool "Best Practices Analyzer" ausführen. Ausführliche Informationen zum Ausführen des Analyzers für bewährte Methoden finden Sie unter https://go.microsoft.com/fwlink/p/?LinkId=330633.