Servicios de dominio de Active Directory
Última modificación del tema: 2009-12-17
Los Servicios de dominio de Active Directory (denominados Active Directory en Windows Server 2003) funcionan como servicio de directorio para las redes de Windows Server 2003 y Windows Server 2008. Los Servicios de dominio de Active Directory también constituyen la base sobre la que se ha creado la infraestructura de seguridad de Office Communications Server 2007 R2. En esta sección se describe cómo Office Communications Server utiliza los Servicios de dominio de Active Directory a fin de crear un entorno de confianza para las características de mensajería instantánea, conferencia web, medios y voz. Para obtener información detallada sobre las extensiones de Office Communications Server a los Servicios de dominio de Active Directory y sobre cómo preparar un entorno para estos servicios, vea Preparar los Servicios de dominio de Active Directory para Office Communications Server 2007 R2. Para obtener información detallada sobre el papel que desempeñan los Servicios de dominio de Active Directory en las redes de Windows Server 2003 y Windows Server 2008, consulte la documentación de estos dos productos.
Office Communications Server 2007 R2 usa los Servicios de dominio de Active Directory para almacenar:
- La configuración global que requieren todos los servidores Office Communications Server 2007 R2 de un bosque.
- La información de servicio que identifica las funciones de todos los servidores Office Communications Server 2007 R2 de un bosque.
- La configuración de los usuarios.
Preparación de los Servicios de dominio de Active Directory
Nota
Se recomienda implementar la configuración global en el contenedor de configuración en lugar del contenedor del sistema. Si va a migrar desde una versión anterior y ha utilizado el contenedor del sistema pero desea usar el contenedor de configuración, DEBERÁ mover la configuración del contenedor del sistema ANTES de preparar la actualización. Para migrar la configuración del contenedor del sistema al contenedor de configuración, vea el sitio web sobre la herramienta de migración de la configuración global de Microsoft Office Communications Server 2007 en https://go.microsoft.com/fwlink/?LinkId=145236.
Al implementar Office Communications Server, el primer paso es la preparación de los Servicios de dominio de Active Directory. La preparación de los Servicios de dominio de Active Directory para Office Communications Server consta de los tres pasos siguientes:
- Preparar el esquema. Esta tarea extiende el esquema de los Servicios de dominio de Active Directory para que incluya las clases y los atributos específicos de Office Communications Server 2007 R2. La preparación del esquema la puede realizar únicamente un administrador de esquema o un administrador local en el maestro de esquema.
- Preparar el bosque Esta tarea crea la configuración global y objetos en el dominio raíz del bosque, junto con los grupos universales de servicio y administración que controlan el acceso a dicha configuración y dichos objetos.
- Preparar el dominio. Esta tarea agrega las entradas de control de acceso (ACE) necesarias a los grupos universales que conceden permisos para hospedar y administrar a los usuarios del dominio. La preparación del dominio es necesaria en todos los dominios donde desee implementar servidores Office Communications Server y en todos los dominios donde vayan a residir los usuarios de Office Communications Server.
Si desea obtener información detallada sobre cada uno de estos pasos para preparar los Servicios de dominio de Active Directory, vea Preparar los Servicios de dominio de Active Directory para Office Communications Server 2007 R2.
Grupos universales
Durante la preparación del bosque, Office Communications Server crea varios grupos universales en los Servicios de dominio de Active Directory que tienen permiso para obtener acceso y administrar la configuración global y los servicios. Estos grupos universales son:
- Grupos administrativos. Estos grupos definen las principales funciones administrativas de una red de Office Communications Server. Durante la preparación del bosque, se agregan estos grupos administrativos a los grupos de infraestructura de Office Communications Server.
- Grupos de infraestructura. Estos grupos proporcionan permiso para obtener acceso a áreas específicas de la infraestructura de Office Communications Server. Funcionan como componentes de los grupos administrativos y no deben modificarse ni se deben agregar directamente usuarios a esos grupos.
- Grupos de servicio. Estos grupos son las cuentas de servicio necesarias para obtener acceso a los diversos servicios que proporciona Office Communications Server.
En la tabla siguiente, se describen los grupos universales de Office Communications Server y sus privilegios.
Tabla 1. Grupos universales creados por Office Communications Server 2007 R2
| Grupo administrativo | Privilegios |
|---|---|
RTCUniversalServerAdmins |
Administrar todos los objetos y configuraciones de Office Communications Server en un bosque, incluidos los usuarios, todas las funciones de servidor y la configuración global. |
RTCUniversalUserAdmins |
Administrar a todos los usuarios de un bosque que están habilitados para Office Communications Server. |
RTCUniversalReadOnlyAdmins |
Acceso de solo lectura a todos los servidores y usuarios. |
Grupo de infraestructura |
Privilegios |
RTCUniversalGlobalReadOnlyGroup |
Acceso de solo lectura a la configuración global. |
RTCUniversalGlobalWriteGroup |
Acceso de escritura a la configuración global. |
RTCUniversalUserReadOnlyGroup |
Acceso de solo lectura a la configuración de los usuarios. |
RTCUniversalServerReadOnlyGroup |
Acceso de solo lectura a la configuración de los servidores. |
Grupo de servicio |
Privilegios |
RTCHSUniversalServices |
Es la cuenta de servicio que se usa para ejecutar los servidores Standard Edition y los servidores front-end Enterprise Edition de Office Communications Server 2007 R2. Este grupo autoriza estos servidores a leer y escribir en la configuración global y los objetos de usuario. |
RTCArchivingUniversalServices |
Es la cuenta de servicio que se usa para ejecutar los servidores de archivado de Office Communications Server 2007 R2 y obtener acceso a la base de datos de servicios. |
RTCProxyUniversalServices |
Es la cuenta de servicio que se usa para ejecutar el servidor proxy de Office Communications Server 2007 R2. |
RTCComponentsUniversalServices |
Es la cuenta de servicio que se usa para ejecutar los servidores de conferencia, los servidores de componentes web y los servidores de mediación de Office Communications Server 2007 R2. |
RTCUniversalGuestAccessGroup |
Acceso de solo lectura al contenido de las reuniones de conferencia. Este grupo lo usan los usuarios internos con credenciales de Active Directory que se conectan de forma remota, así como los usuarios externos que no tienen credenciales de Active Directory. |
Información de servidor
Durante la activación, Office Communications Server publica información de servidor en las tres ubicaciones siguientes de los Servicios de dominio de Active Directory:
- Un punto de conexión de servicio (SCP) en cada objeto de equipo de Active Directory que corresponde a un equipo físico en el que está instalado Office Communications Server.
- Objetos de servidor creados en el contenedor de la clase msRTCSIP-Pools.
- Listas de servidores de confianza.
Puntos de conexión de servicio
Cada objeto de Office Communications Server en los Servicios de dominio de Active Directory tiene un punto de conexión de servicio denominado Servicios RTC, que a su vez contiene varios atributos que identifican cada equipo y especifican los servicios que proporciona. Algunos de los atributos más importantes de los puntos de conexión de servicio SCP son: serviceDNSName, serviceDNSNameType, serviceClassname y serviceBindingInformation. Las aplicaciones de administración de activos de otro fabricante pueden recuperar la información de servidor de una implementación consultando estos y otros atributos de los puntos de conexión de servicio.
Objetos de servidor de Active Directory
Cada función de Office Communications Server tiene un objeto de Active Directory correspondiente cuyos atributos definen los servicios proporcionados por dicha función. Cuando se activa un servidor Standard Edition o cuando se crea un grupo de servidores Enterprise Edition, Office Communications Server crea un nuevo objeto msRTCSIP-Pool en el contenedor msRTCSIP-Pools. La clase msRTCSIP-Pool especifica el nombre de dominio completo (FQDN) del grupo de servidores, así como la asociación entre los components front-end y back-end del grupo de servidores. (Un servidor Standard Edition se considera un grupo de servidores lógico cuyos servidores front-end y back-end están instalados en un solo equipo.)
Listas de servidores de confianza
Durante la preparación del bosque, Office Communications Server crea contenedores para las listas de servidores de confianza. Durante la activación, Office Communications Server publica el FQDN de cada servidor en el contenedor correspondiente. Un servidor de confianza es un servidor que cumple los criterios siguientes:
- El FQDN del servidor figura en una de las listas de servidores de confianza que están almacenadas en los Servicios de dominio de Active Directory, tal y como se ha descrito en la sección anterior.
- El servidor presenta un certificado válido de una CA de confianza. El FQDN en este certificado coincide con el FQDN de ese servidor en una de las listas de servidores de confianza. Para obtener información detallada sobre cómo Office Communications Server utiliza los certificados, vea Infraestructura de clave pública de Office Communications Server 2007 R2.
Si no se cumple alguno de estos criterios, el servidor no se considera de confianza y se rechaza la conexión con dicho servidor. Estos dos requisitos impiden que se produzca un posible ataque, aunque poco probable, en el que un servidor no autorizado intenta adoptar el FQDN de un servidor válido.
El uso de varias listas de servidores de confianza se aparta de las versiones anteriores de Live Communications Server, que solo mantenían una lista de servidores de confianza. Cada servidor de la lista se representa como un identificador único global (GUID) en el contenedor de la configuración global. Al incluir Office Communications Server 2007 R2 nuevas funciones de servidor, se han definido nuevos contenedores para los GUID de las distintas funciones de servidor. Estos nuevos contenedores y las respectivas listas de servidores de confianza se muestran en la tabla siguiente.
Tabla 2. Listas de servidores de confianza y sus contenedores de Active Directory
| Lista de servidores de confianza | Contenedor de Active Directory |
|---|---|
Servidores Standard Edition y servidores front-end del grupo de servidores Enterprise |
Servicio RTC/Configuración global |
Servidores de conferencia |
Servicio RTC/MCU de confianza |
Servidores de componentes web |
Servicio RTC/Servidores de componentes web de confianza |
Servidores de mediación y servidores Communicator Web Access (también servidores SIP de otros fabricantes) |
Servicio RTC/Servicios de confianza |
Servidores proxy |
Servicio RTC/Servidores proxy de confianza |
Las listas de servidores de confianza duplican las entradas de FQDN que también se encuentran en cada objeto de Office Communications Server. El propósito de esta redundancia es evitar una posible suplantación de identidad de los servidores de confianza. Esto podría producirse porque los Servicios de dominio de Active Directory permiten a usuarios individuales modificar los atributos de los objetos de equipo que corresponden a sus equipos. La mayoría de las organizaciones no permiten a los usuarios realizar este tipo de modificaciones en sus equipos de trabajo, pero las listas de servidores de confianza agregan un nivel de seguridad adicional ya que hacen que dichas modificaciones solo las puedan realizar los miembros del grupo RTCUniversalServerAdmins.