Schützen von IIS

Lync Server 2010
 

Letztes Änderungsdatum des Themas: 2011-04-08

In Microsoft Office Communications Server 2007 und Microsoft Office Communications Server 2007 R2 wurden die Internetinformationsdienste (Internet Information Services, IIS) unter einem Standardbenutzerkonto ausgeführt. Dies konnte potenziell Probleme mit sich bringen: Bei Ablauf des zugehörigen Kennworts gingen möglicherweise die Webdienste verloren, und dieses Problem war häufig nur schwer zu diagnostizieren. Um die durch abgelaufene Kennwörter verursachten Probleme zu vermeiden, können Sie mit Microsoft Lync Server 2010 ein Computerkonto (für einen Computer, den es eigentlich nicht gibt) erstellen, das als Authentifizierungsprinzipal für alle Computer an einem Standort fungiert, auf denen IIS ausgeführt wird. Da diese Konten das Kerberos-Authentifizierungsprotokoll verwenden, werden sie als Kerberos-Konten und der neue Authentifizierungsprozess als Kerberos-Webauthentifizierung bezeichnet. Auf diese Weise können Sie alle IIS-Server über ein einziges Konto verwalten.

Damit Sie Ihre Server unter diesem Authentifizierungsprinzipal ausführen können, müssen Sie zunächst ein Computerkonto mithilfe des New-CsKerberosAccount-Cmdlets erstellen. Dieses Konto wird dann einem oder mehreren Standorten zugewiesen. Nach der Zuweisung wird die Zuordnung zwischen dem Konto und dem Lync Server 2010-Standort durch Ausführen des Enable-CsTopology-Cmdlets aktiviert. Damit wird u. a. der erforderliche Dienstprinzipalname (Service Principal Name, SPN) in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) erstellt. Mithilfe von SPNs können Clientanwendungen einen bestimmten Dienst finden. Ausführliche Informationen finden Sie unter New-CsKerberosAccount in der Betriebsdokumentation.

Zur Verbesserung der Sicherheit von IIS wird die Implementierung eines Kerberos-Kontos für IIS empfohlen. Ohne Implementierung eines Kerberos-Kontos wird IIS unter einem Standardbenutzerkonto ausgeführt.

 
Anzeigen: