Servicios de dominio de Active Directory para Lync Server 2013
Última modificación del tema: 11-2013-13
Servicios de dominio de Active Directory funciona como servicio de directorio de redes de Windows Server 2003, Windows Server 2008, Windows Server 2012 y Windows Server 2012 R2. Servicios de dominio de Active Directory también sirve como base sobre la que se basa la infraestructura de seguridad de Microsoft Lync Server 2013. El propósito de esta sección es describir cómo Lync Server 2013 usa Servicios de dominio de Active Directory para crear un entorno de confianza para mensajería instantánea, conferencias web, medios y voz. Para obtener más información sobre las extensiones de Lync Server para Servicios de dominio de Active Directory y sobre cómo preparar el entorno para Servicios de dominio de Active Directory, vea Preparar Servicios de dominio de Active Directory para Lync Server 2013 en la documentación de implementación. Para obtener más información sobre el rol de Servicios de dominio de Active Directory en las redes de Windows Server, consulta la documentación de la versión del sistema operativo que estás usando.
Lync Server 2013 usa Servicios de dominio de Active Directory para almacenar:
Configuración global que requieren todos los servidores que ejecutan Lync Server 2013 en un bosque.
Información de servicio que identifica los roles de todos los servidores que ejecutan Lync Server 2013 en un bosque.
Algunas configuraciones de usuario.
Infraestructura de Active Directory
Los requisitos de infraestructura para Active Directory incluyen lo siguiente:
Requisitos del sistema operativo para los controladores de dominio
Requisitos del nivel funcional de dominio y bosque
Requisitos del dominio del catálogo global
Para obtener más información, consulte Requisitos de infraestructura de Active Directory para Lync Server 2013 en la documentación de implementación.
preparación del Servicios de dominio de Active Directory
Nota
Le recomendamos que implemente la configuración global en el contenedor Configuration en lugar del contenedor system. Esto no mejora la seguridad, pero puede resultar en mejoras de escalabilidad para algunas topologías de Servicios de dominio de Active Directory. Si va a migrar desde Microsoft Office Communications Server 2007 y ha usado el contenedor del sistema pero planea usar el contenedor Configuration, DEBE mover la configuración en el contenedor del sistema ANTES de realizar las preparaciones de actualización. Para migrar la configuración del contenedor del sistema al contenedor de configuración, consulte Herramienta de migración de configuración global de Office Communications Server 2007 en https://go.microsoft.com/fwlink/p/?LinkId=145236.
Al implementar Lync Server 2013, el primer paso es preparar Servicios de dominio de Active Directory. La preparación de Servicios de dominio de Active Directory para Lync Server 2013 consta de los siguientes tres pasos:
Preparar esquema. Esta tarea amplía el esquema de Servicios de dominio de Active Directory para incluir clases y atributos específicos de Lync Server 2013. Para obtener más información sobre cómo preparar el esquema, consulte Ejecución de la preparación del esquema de Active Directory en Lync Server 2013 en la documentación de implementación. Para obtener más información, vea Migración de Office Communications Server 2007 R2 a Lync Server 2013.
Preparar bosque. Esta tarea crea la configuración global y los objetos en el dominio raíz del bosque, junto con el servicio universal y los grupos administrativos que rigen el acceso a estas configuraciones y objetos. Para obtener más información sobre cómo preparar el bosque, consulte Preparación del bosque en ejecución para Lync Server 2013 en la documentación de implementación.
Preparar dominio. Esta tarea agrega las entradas de control de acceso (AA) necesarias a los grupos universales que conceden permisos para hospedar y administrar usuarios dentro del dominio. Esta tarea debe completarse en todos los dominios en los que desee implementar servidores que ejecuten Lync Server 2013 y todos los dominios donde residan los usuarios de Lync Server. Para obtener más información sobre cómo preparar el dominio, consulte Ejecución de la preparación del dominio para Lync Server 2013 en la documentación de implementación.
Para obtener información general sobre el proceso completo de preparación de Active Directory y los derechos y permisos necesarios para realizar cada paso, consulte Requisitos de infraestructura de Active Directory para Lync Server 2013 en la documentación de implementación.
Grupos universales
Durante la preparación del bosque, Lync Server 2013 crea varios grupos universales dentro de Servicios de dominio de Active Directory que tienen permiso para acceder y administrar la configuración global y los servicios. Entre estos grupos universales se incluyen:
Grupos administrativos. Estos grupos definen los roles fundamentales de administrador de una red de Lync Server. Durante la preparación del bosque, estos grupos de administradores se agregan a los grupos de infraestructura de Lync Server.
Grupos de servicio. Estos grupos son cuentas de servicio necesarias para acceder a varios servicios proporcionados por Lync Server.
Grupos de infraestructura. Estos grupos proporcionan permiso para acceder a áreas específicas de la infraestructura de Lync Server. Funcionan como componentes de los grupos administrativos y no deben modificarse ni se deben agregar directamente usuarios a esos grupos. Durante la preparación del bosque, se añaden grupos de servicio y administración específicos a los grupos de infraestructura correspondientes.
Para obtener más información sobre los grupos universales específicos creados al preparar AD para Lync Server, así como los grupos de servicio y administración que se agregan a los grupos de infraestructura, vea Cambios realizados por la preparación del bosque en Lync Server 2013 en la documentación de implementación.
Nota
Lync Server 2013 admite los grupos universales de la Windows Server 2012 para los servidores que ejecutan Lync Server 2013, así como los sistemas operativos Windows Server 2003 para controladores de dominio. Los miembros de grupos universales pueden incluir otros grupos y cuentas de cualquier dominio en el árbol de dominio o bosque, y se les pueden asignar permisos en cualquier dominio en el árbol de dominio o bosque. La compatibilidad universal de grupos, combinada con la delegación de administrador, simplifica la administración de una implementación de Lync Server. Por ejemplo, no es necesario agregar un dominio a otro para que un administrador pueda administrar ambos.
Control de acceso basado en roles
Además de crear grupos universales de servicio y administración y añadir grupos de servicio y administración a los grupos universales correspondientes, la preparación del bosque también crea grupos de control de acceso basado en roles (RBAC). Para obtener más información sobre los grupos RBAC específicos creados por la preparación del bosque, vea Cambios realizados por la preparación del bosque en Lync Server 2013 en la documentación de implementación. Para obtener más información sobre los grupos RBAC, vea Control de acceso basado en roles (RBAC) para Lync Server 2013.
Entradas de control de acceso (ACE) y herencia
La preparación del bosque crea ACE privadas y públicas, y añade ACE en los grupos universales que crea. Crea CA privadas específicas en el contenedor de configuración global usado por Lync Server. Este contenedor solo lo usa Lync Server y se encuentra en el contenedor De configuración o en el contenedor del sistema en el dominio raíz, dependiendo de dónde almacene la configuración global.
El paso de preparación del dominio agrega las entradas de control de acceso (ACE) necesarias a los grupos universales que conceden permisos para hospedar y administrar los usuarios dentro del dominio. La preparación del dominio crea entradas ACE en la raíz del dominio y tres contenedores integrados: usuarios, equipos y controladores de dominio.
Para obtener más información sobre las AEE públicas creadas y agregadas por la preparación del bosque y la preparación del dominio, vea Cambios realizados por la preparación del bosque en Lync Server 2013 y Cambios realizados por la preparación del dominio en Lync Server 2013 en la documentación de implementación.
Las organizaciones a menudo bloquean Servicios de dominio de Active Directory (AD DS) para ayudar a mitigar los riesgos de seguridad. Sin embargo, un entorno de Active Directory bloqueado puede limitar los permisos que requiere Lync Server 2013. Puede incluir la eliminación de ACE de contenedores y unidades organizativas y la deshabilitación de la herencia de permisos en los objetos User, Contact, InetOrgPerson o Computer. En un entorno de Active Directory bloqueado, los permisos deben establecerse manualmente en contenedores y OU que los requieran. Para obtener más información, consulte Preparar una Servicios de dominio de Active Directory bloqueada en Lync Server 2013 en la documentación de implementación.
Información sobre el servidor
Durante la activación, Lync Server 2013 publica información del servidor en las tres siguientes ubicaciones de Servicios de dominio de Active Directory:
Un punto de conexión de servicio (SCP) en cada objeto del equipo de Active Directory correspondiente a un equipo físico en el que está instalado Lync Server 2013.
Objetos de servidor creados en el contenedor de la clase msRTCSIP-Pools.
Servidores de confianza especificados en el Generador de topologías.
Puntos de conexión de servicio
Cada objeto de Lync Server 2013 de Servicios de dominio de Active Directory tiene un SCP denominado Servicios RTC, que a su vez contiene una serie de atributos que identifican cada equipo y especifican los servicios que proporciona. Algunos de los atributos más importantes de SCP son serviceDNSName, serviceDNSNameType, serviceClassname y serviceBindingInformation. Las aplicaciones de administración de activos de otro fabricante pueden recuperar la información de servidor de una implementación consultando estos y otros atributos de los SCP.
Objetos de Active Directory Server
Cada rol de servidor de Lync Server 2013 tiene un objeto de Active Directory correspondiente cuyos atributos definen los servicios proporcionados por ese rol. Además, cuando se activa un servidor Standard Edition o cuando se crea un grupo de Enterprise Edition, Lync Server 2013 crea un nuevo objeto msRTCSIP-Pool en el contenedor msRTCSIP-Pools. La clase msRTCSIP-Pool especifica el nombre de dominio completo (FQDN) del grupo, junto con la asociación entre los componentes front-end y back-end del grupo de servidores. (Un servidor Standard Edition se considera un grupo lógico cuyos extremos delantero y trasero están col asignados en un único equipo).
Servidores de confianza
En Lync Server 2013, los servidores de confianza son los que se especifican al ejecutar el Generador de topología y publicar la topología. La topología publicada, incluida toda la información del servidor, se almacena en el almacén de administración central. Solo los servidores definidos en el almacén de administración central son de confianza. En Lync Server 2013, un servidor de confianza es aquel que cumple los siguientes criterios:
El FQDN del servidor se produce en la topología almacenada en el almacén de administración central.
El servidor presenta un certificado válido de una CA de confianza. Para obtener más información, consulte Requisitos de infraestructura de certificados para Lync Server 2013.
Si no se cumple alguno de estos criterios, el servidor no se considera de confianza y se rechaza la conexión con dicho servidor. Estos dos requisitos impiden que se produzca un posible ataque, aunque poco probable, en el que un servidor no autorizado intenta adoptar el FQDN de un servidor válido.
Además, para habilitar las implementaciones de Microsoft Office Communications Server 2007 R2 y Microsoft Office Communications Server 2007 para comunicarse con los servidores de Lync Server 2013, Lync Server 2013 crea contenedores durante la preparación del bosque para contener listas de servidores de confianza para versiones anteriores. La siguiente tabla describe los contenedores creados para habilitar la compatibilidad con implementaciones anteriores.
Listas de servidor de confianza y sus contenedores de Active Directory para la compatibilidad con versiones anteriores
| Listas de servidores de confianza | Contenedor de Active Directory |
|---|---|
Servidores de Standard Edition y servidores front-end del grupo Enterprise Edition |
Servicio RTC/Configuración global |
Servidores de conferencia |
Servicio RTC/MCU de confianza |
Servidores de componentes web |
Servicio RTC/Servidores de componentes web de confianza |
Servidores de mediación y servidores de Communicator Web Access, Servidor de aplicaciones, Registrador con QoE, Servicio de conferencia A/V (también servidores SIP de otros fabricantes) |
Servicio RTC/Servicios de confianza |
Servidores proxy |
Lync Server 2013 no admite la compatibilidad con versiones anteriores para servidores proxy |
Para admitir servidores de confianza de versiones anteriores, debe ejecutar la herramienta del analizador de procedimientos recomendados. Para obtener más información sobre cómo ejecutar el analizador de procedimientos recomendados, vea https://go.microsoft.com/fwlink/p/?LinkId=330633.