Schützen von IIS in Lync Server 2013

Lync Server 2013
 

Letztes Änderungsdatum des Themas: 2013-12-05

In Microsoft Office Communications Server 2007 und Microsoft Office Communications Server 2007 R2 wurden die Internetinformationsdienste (IIS) unter einem Standardbenutzerkonto ausgeführt. Dies konnte potenziell Probleme mit sich bringen: Bei Ablauf des zugehörigen Kennworts gingen möglicherweise Ihre Webdienste verloren und dieses Problem war häufig nur schwer zu diagnostizieren. Um die durch abgelaufene Kennwörter verursachten Probleme zu vermeiden, können Sie mit Microsoft Lync Server 2013 ein Computerkonto (für einen Computer, den es eigentlich nicht gibt) erstellen, das als Authentifizierungsprinzipal für alle Computer an einem Standort fungiert, auf denen IIS ausgeführt wird. Da diese Konten das Kerberos-Authentifizierungsprotokoll verwenden, werden sie als Kerberos-Konten und der neue Authentifizierungsprozess als Kerberos-Webauthentifizierung bezeichnet. Auf diese Weise können Sie alle IIS-Server über ein einziges Konto verwalten.

Damit Sie Ihre Server unter diesem Authentifizierungsprinzipal ausführen können, müssen Sie zunächst mit dem Cmdlet "New-CsKerberosAccount" ein Computerkonto erstellen. Dieses Konto wird dann einem oder mehreren Standorten zugewiesen. Nach der Zuweisung wird die Zuordnung zwischen dem Konto und dem Lync Server 2013-Standort durch Ausführen des Cmdlets "Enable-CsTopology" aktiviert. Damit wird unter anderem der erforderliche Dienstprinzipalname (Service Principal Name, SPN) in den Active Directory-Verbunddiensten erstellt. Mithilfe von SPNs können Clientanwendungen einen bestimmten Dienst finden. Ausführliche Informationen finden Sie unter New-CsKerberosAccount in der Betriebsdokumentation.

Für eine höhere IIS-Sicherheit wird empfohlen, ein Kerberos-Konto für IIS zu implementieren. Wenn Sie kein Kerberos-Konto implementieren, wird IIS unter einem Standardbenutzerkonto ausgeführt.

 
Anzeigen: