Active Directory Domain Services

 

Letztes Änderungsdatum des Themas: 2012-10-15

Die Active Directory-Domänendienste übernehmen die Rolle eines Verzeichnisdiensts für Windows Server 2003-, Windows Server 2008- und Windows Server 2008 R2-Netzwerke. Sie stellen außerdem die Grundlage dar, auf der die Sicherheitsinfrastruktur von Microsoft Lync Server 2010 beruht. In diesem Abschnitt wird beschrieben, wie Lync Server 2010 mit den Active Directory-Domänendiensten eine vertrauenswürdige Umgebung für Sofortnachrichten, Webkonferenzen, Medien und VoIP aufbaut. Ausführliche Informationen zu Lync Server-Erweiterungen für die Active Directory-Domänendienste und zum Vorbereiten der Umgebung auf die Active Directory-Domänendienste finden Sie unter Vorbereiten der Active Directory-Domänendienste für Lync Server 2010 in der Bereitstellungsdokumentation. Ausführliche Informationen zur Rolle der Active Directory-Domänendienste in Windows Server-Netzwerken finden Sie in der Dokumentation für die Version des von Ihnen verwendeten Betriebssystems.

Die Active Directory-Domänendienste werden von Lync Server 2010 zum Speichern folgender Elemente verwendet:

  • Globale Einstellungen, die für alle Lync Server 2010-Server in einer Gesamtstruktur erforderlich sind

  • Dienstinformationen, mit denen die Rollen aller Lync Server 2010-Server in einer Gesamtstruktur identifiziert werden

  • Einige Benutzereinstellungen

Active Directory-Infrastruktur

Für Active Directory gelten die folgenden Infrastrukturanforderungen:

  • Betriebssystemanforderungen für Domänencontroller

  • Anforderungen bezüglich der Funktionsebene der Domäne und der Gesamtstruktur

  • Domänenanforderungen bezüglich des globalen Katalogs

Ausführliche Informationen finden Sie unter Active Directory-Infrastrukturanforderungen in der Bereitstellungsdokumentation.

Vorbereiten der Active Directory-Domänendienste

noteHinweis:
Es wird empfohlen, globale Einstellungen nicht im Systemcontainer, sondern im Konfigurationscontainer bereitzustellen. Dadurch wird zwar die Sicherheit nicht optimiert, aber es kann zu Verbesserungen bei der Skalierbarkeit für einige Topologien der Active Directory-Domänendienste führen. Wenn Sie von Microsoft Office Communications Server 2007 migrieren und bisher den Systemcontainer verwendet haben, jetzt aber den Konfigurationscontainer verwenden möchten, MÜSSEN Sie die Einstellungen in den Systemcontainer verschieben, BEVOR Sie mit den Vorbereitungen für das Upgrade beginnen. Informationen zum Migrieren der Einstellungen des Systemcontainers zum Konfigurationscontainer finden Sie unter "Migrationstool für globale Einstellungen von Office Communications Server 2007" auf der Webseite https://go.microsoft.com/fwlink/?linkid=145236&clcid=0x407.

Der erste Schritt der Bereitstellung von Lync Server 2010 besteht in der Vorbereitung der Active Directory-Domänendienste. Dies beinhaltet die drei folgenden Schritte:

  • Schema vorbereiten: Bei dieser Aufgabe wird das Schema der Active Directory-Domänendienste so erweitert, dass Klassen und Attribute aufgenommen werden können, die spezifisch für Lync Server 2010 sind. Ausführliche Informationen zum Vorbereiten des Schemas finden Sie unter Ausführen der Schemavorbereitung in der Bereitstellungsdokumentation. Ausführliche Informationen zum Schema finden Sie unter Referenz zu den Active Directory-Domänendiensten in der Bereitstellungsdokumentation.

  • Gesamtstruktur vorbereiten: Bei dieser Aufgabe werden globale Einstellungen und Objekte in der Stammdomäne der Gesamtstruktur sowie die universellen Dienst- und Verwaltungsgruppen erstellt, die den Zugriff auf diese Einstellungen und Objekte regeln. Ausführliche Informationen zum Vorbereiten der Gesamtstruktur finden Sie unter Ausführen der Gesamtstrukturvorbereitung in der Bereitstellungsdokumentation.

  • Domäne vorbereiten: Bei dieser Aufgabe werden universellen Gruppen die erforderlichen Zugriffssteuerungseinträge (Access Control Entries, ACEs) hinzugefügt, über die Berechtigungen zum Hosten und Verwalten von Benutzern in der Domäne gewährt werden. Diese Aufgabe muss für alle Domänen ausgeführt werden, für die Sie Server mit Lync Server 2010 bereitstellen möchten, sowie für Domänen, in denen sich Ihre Lync Server-Benutzer befinden. Ausführliche Informationen zum Vorbereiten der Domäne finden Sie unter Ausführen der Domänenvorbereitung in der Bereitstellungsdokumentation.

Eine Übersicht über den kompletten Prozess zum Vorbereiten von Active Directory und die erforderlichen Rechte und Berechtigungen zum Ausführen der einzelnen Schritte finden Sie unter Active Directory-Infrastrukturanforderungen in der Bereitstellungsdokumentation.

Universelle Gruppen

Während der Vorbereitung der Gesamtstruktur werden von Lync Server 2010 mehrere universelle Gruppen innerhalb der Active Directory-Domänendienste erstellt, die über die Berechtigung für den Zugriff auf globale Einstellungen und Dienste verfügen und diese verwalten können. Dazu gehören folgende universelle Gruppen:

  • Verwaltungsgruppen: Diese Gruppen definieren die grundlegenden Administratorrollen für ein Lync Server-Netzwerk. Während der Vorbereitung der Gesamtstruktur werden diese Verwaltungsgruppen den Infrastrukturgruppen von Lync Server hinzugefügt.

  • Dienstgruppen: Diese Gruppen sind Dienstkonten, die für den Zugriff auf verschiedene Dienste von Lync Server erforderlich sind.

  • Infrastrukturgruppen: Mit diesen Gruppen werden Berechtigungen zum Zugriff auf spezielle Bereiche der Lync Server-Infrastruktur erteilt. Sie fungieren als Komponenten der Verwaltungsgruppen. Es sollten keine Infrastrukturgruppen geändert oder Benutzer direkt zu ihnen hinzugefügt werden. Während der Vorbereitung der Gesamtstruktur werden den entsprechenden Infrastrukturgruppen bestimmte Dienst- und Verwaltungsgruppen hinzugefügt.

Ausführliche Informationen zu den speziellen universellen Gruppen, die bei der Vorbereitung von Active Directory für Lync Server erstellt werden, sowie zu den Dienst- und Verwaltungsgruppen, die den Infrastrukturgruppen hinzugefügt werden, finden Sie unter Änderungen bei der Gesamtstrukturvorbereitung in der Bereitstellungsdokumentation.

noteHinweis:
Lync Server 2010 unterstützt die universellen Gruppen in Windows Server 2008 R2 und Windows Server 2008 für Server mit Lync Server 2010 sowie in den Windows Server 2003-Betriebssystemen für Domänencontroller. Mitglieder universeller Gruppen können andere Gruppen und Konten aus beliebigen Domänen in der Domänen- oder Gesamtstruktur umfassen und über Berechtigungen für beliebige Domänen in der Domänen- oder Gesamtstruktur verfügen. Durch die Unterstützung universeller Gruppen in Verbindung mit der Delegierung administrativer Aufgaben wird die Verwaltung einer Lync Server-Bereitstellung vereinfacht. Beispielsweise ist es nicht erforderlich, eine Domäne einer anderen Domäne hinzuzufügen, um einem Administrator die Verwaltung beider Domänen zu ermöglichen.

Rollenbasierte Zugriffssteuerung

Neben dem Erstellen universeller Dienst- und Verwaltungsgruppen und dem Hinzufügen von Dienst- und Verwaltungsgruppen zu den entsprechenden universellen Gruppen werden bei der Gesamtstrukturvorbereitung auch Gruppen mit rollenbasierter Zugriffssteuerung (Role Based Access Control, RBAC) erstellt. Ausführliche Informationen zu den von der Gesamtstrukturvorbereitung erstellten RBAC-Gruppen finden Sie unter Änderungen bei der Gesamtstrukturvorbereitung in der Bereitstellungsdokumentation. Weitere Informationen zu RBAC-Gruppen finden Sie unter Rollenbasierte Zugriffssteuerung (RBAC).

Zugriffssteuerungseinträge und Vererbung

Bei der Gesamtstrukturvorbereitung werden sowohl private als auch öffentliche Zugriffssteuerungseinträge (Access Control Entries, ACEs) erstellt sowie ACEs für die erstellten universellen Gruppen hinzugefügt. Private ACEs werden im Container mit den globalen Einstellungen erstellt, der von Lync Server verwendet wird. Dieser Container wird ausschließlich von Lync Server verwendet und befindet sich entweder im Konfigurationscontainer oder im Systemcontainer der Stammdomäne (abhängig davon, wo Sie die globalen Einstellungen speichern).

Beim Schritt zur Domänenvorbereitung werden universellen Gruppen die erforderlichen Zugriffssteuerungseinträge (Access Control Entries, ACEs) hinzugefügt, über die Berechtigungen zum Hosten und Verwalten von Benutzern in der Domäne gewährt werden. Bei der Domänenvorbereitung werden ACEs im Domänenstamm und in drei integrierten Containern erstellt: für Benutzer, Computer und Domänencontroller.

Ausführliche Informationen zu den von der Gesamtstrukturvorbereitung und der Domänenvorbereitung erstellten öffentlichen ACEs finden Sie unter Änderungen bei der Gesamtstrukturvorbereitung und Änderungen bei der Domänenvorbereitung in der Bereitstellungsdokumentation.

In Organisationen werden die Active Directory-Domänendienste (Active Directory Domain Services, AD DS) häufig gesperrt, um Sicherheitsrisiken nach Möglichkeit auszuschließen. Durch das Sperren einer Active Directory-Umgebung können jedoch die Berechtigungen beschränkt werden, die für Lync Server 2010 erforderlich sind. Dies kann das Entfernen von ACEs aus Containern und Organisationseinheiten (Organizational Units, OUs) und das Deaktivieren der Vererbung von Berechtigungen für Benutzer-, Kontakt-, InetOrgPerson- oder Computerobjekte beinhalten. In einer gesperrten Active Directory-Umgebung müssen Berechtigungen manuell für die entsprechenden Container und Organisationseinheiten festgelegt werden. Ausführliche Informationen finden Sie unter Vorbereiten gesperrter Active Directory-Domänendienste in der Bereitstellungsdokumentation.

Serverinformationen

Während der Aktivierung werden von Lync Server 2010 Serverinformationen an den drei folgenden Orten in den Active Directory-Domänendiensten veröffentlicht:

  • Ein Dienstverbindungspunkt auf jedem Active Directory-Computerobjekt, das einem physischen Computer mit Lync Server 2010 entspricht

  • Serverobjekte, die im Container der msRTCSIP-Pools-Klasse erstellt wurden

  • Im Topologie-Generator angegebene vertrauenswürdige Server

Dienstverbindungspunkte

Jedes Lync Server 2010-Objekt in den Active Directory-Domänendiensten verfügt über den Dienstverbindungspunkt "RTC-Dienste". Dieser enthält wiederum eine Reihe von Attributen, welche die einzelnen Computer identifizieren und die Dienste angeben, die von ihnen bereitgestellt werden. Die wichtigsten Attribute der Dienstverbindungspunkte sind serviceDNSName, serviceDNSNameType, serviceClassname und serviceBindingInformation. Über Asset Management-Anwendungen von Drittanbietern können Serverinformationen über eine Bereitstellung abgerufen werden, indem diese und andere Attribute von Dienstverbindungspunkten abgefragt werden.

Active Directory-Serverobjekte

Jeder Lync Server 2010-Serverrolle ist ein entsprechendes Active Directory-Objekt mit Attributen zugeordnet, welche die von dieser Rolle bereitgestellten Dienste definieren. Wenn außerdem ein Standard Edition-Server aktiviert oder ein Enterprise Edition-Pool erstellt wird, erstellt Lync Server 2010 ein neues msRTCSIP-Pool-Objekt im msRTCSIP-Pools-Container. In der msRTCSIP-Pool-Klasse werden der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des Pools und die Zuordnung zwischen Front-End- und Back-End-Komponenten des Pools festgelegt. (Ein Standard Edition-Server wird als logischer Pool betrachtet, dessen Front- und Back-Ends gemeinsam auf einem einzigen Computer ausgeführt werden.)

Vertrauenswürdige Server

In Lync Server 2010 sind vertrauenswürdige Server jene Server, die beim Ausführen des Topologie-Generators und beim Veröffentlichen der Topologie angegeben werden. Die veröffentlichte Topologie, einschließlich aller Serverinformationen, wird im zentralen Verwaltungsspeicher gespeichert. Nur im zentralen Verwaltungsspeicher definierte Server sind vertrauenswürdig. In Lync Server 2010 erfüllt ein vertrauenswürdiger Server folgende Kriterien:

  • Der vollqualifizierte Domänenname (FQDN) des Servers ist in der im zentralen Verwaltungsspeicher gespeicherten Topologie vorhanden.

  • Der Server verfügt über ein gültiges Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle. Ausführliche Informationen finden Sie unter Zertifikate für Lync Server 2010.

Wenn eines dieser Kriterien nicht zutrifft, gilt der Server nicht als vertrauenswürdig und es wird keine Verbindung damit hergestellt. Diese doppelte Anforderung soll einen möglichen, wenn auch unwahrscheinlichen Angriff ausschließen, bei dem ein nicht autorisierter Server versucht, den FQDN eines gültigen Servers zu übernehmen.

Um darüber hinaus die Kommunikation von Bereitstellungen von Microsoft Office Communications Server 2007 R2 und Microsoft Office Communications Server 2007 mit Lync Server 2010-Servern zu ermöglichen, erstellt Lync Server 2010 während der Gesamtstrukturvorbereitung Container für Listen vertrauenswürdiger Server für vorherige Versionen. In der folgenden Tabelle werden die Container beschrieben, die erstellt werden, um die Kompatibilität mit früheren Bereitstellungen zu ermöglichen.

Listen mit vertrauenswürdigen Servern und ihre entsprechenden Active Directory-Container für die Kompatibilität mit vorherigen Versionen

Listen mit vertrauenswürdigen Servern Active Directory-Container

Standard Edition-Server und Front End-Server von Enterprise-Pools

RTC-Dienst/Globale Einstellungen

Konferenzserver

RTC-Dienst/Vertrauenswürdige MCUs

Webkomponentenserver

RTC-Dienst/TrustedWebComponentsServers

Vermittlungsserver und Communicator Web Access-Server, Anwendungsserver, Registrierungsstelle mit QoE, A/V-Konferenzdienst (auch SIP-Server von Drittanbietern)

RTC-Dienst/Vertrauenswürdige Dienste

Proxyserver

Die Abwärtskompatibilität für Proxyserver wird von Lync Server 2010 nicht unterstützt

Ausführliche Informationen zu vertrauenswürdigen Servern in vorherigen Versionen finden Sie in der Office Communications Server 2007 R2-Sicherheitsdokumentation unter https://go.microsoft.com/fwlink/?linkid=154162&clcid=0x407 sowie in der Office Communications Server 2007-Sicherheitsdokumentation unter https://go.microsoft.com/fwlink/?linkid=213307&clcid=0x407. Zur Unterstützung vertrauenswürdiger Server von früheren Versionen müssen Sie das Abwärtskompatibilitätstool ausführen. Ausführliche Informationen zum Ausführen des Abwärtskompatibilitätstools und zum Migrieren von Office Communications Server 2007 R2 zu Lync Server 2010 finden Sie unter https://go.microsoft.com/fwlink/?linkid=205475&clcid=0x407. Ausführliche Informationen zum Migrieren von Office Communications Server 2007 zu Lync Server 2010 finden Sie unter https://go.microsoft.com/fwlink/?linkid=205476&clcid=0x407.