доменные службы Active Directory Lync Server 2013
Последнее изменение раздела: 2013-11-13
доменные службы Active Directory в качестве службы каталогов для сетей Windows Server 2003, Windows Server 2008, Windows Server 2012 и Windows Server 2012 R2. доменные службы Active Directory также служит основой для создания инфраструктуры безопасности Microsoft Lync Server 2013. Цель этого раздела — описать, как Lync Server 2013 использует доменные службы Active Directory для создания надежной среды для обмена мгновенными сообщениями, веб-конференций, мультимедиа и голосовой связи. Дополнительные сведения о расширениях Lync Server для доменные службы Active Directory и о подготовке среды к доменные службы Active Directory см. в разделе "Подготовка доменные службы Active Directory для Lync Server 2013". в документации по развертыванию. Дополнительные сведения о роли доменные службы Active Directory в сетях Windows Server см. в документации по используемой версии операционной системы.
Lync Server 2013 использует доменные службы Active Directory для хранения:
Глобальные параметры, необходимые для всех серверов, работающих под управлением Lync Server 2013 в лесу.
Сведения о службе, определяющее роли всех серверов, работающих под управлением Lync Server 2013 в лесу.
некоторые пользовательские параметры.
Инфраструктура Active Directory
Требования к инфраструктуре для Active Directory включают следующие:
требования к ОС для доменных контроллеров;
требования для функциональных уровней домена и леса;
требования для домена глобального каталога.
Дополнительные сведения см. в документации по развертыванию требований к инфраструктуре Active Directory для Lync Server 2013 .
доменные службы Active Directory подготовки
Примечание.
Мы рекомендуем развернуть глобальные параметры в контейнере конфигурации, а не в системный контейнер. Это не повышает безопасность, но может привести к улучшению масштабируемости для некоторых доменные службы Active Directory топологий. Если вы выполняете миграцию с Microsoft Office Communications Server 2007 и используете системный контейнер, но планируете использовать контейнер конфигурации, необходимо переместить параметры в системный контейнер перед подготовкой к обновлению. Сведения о переносе параметров системного контейнера в контейнер конфигурации см. в статье "Средство миграции глобальных параметров Office Communications Server 2007" https://go.microsoft.com/fwlink/p/?LinkId=145236.
При развертывании Lync Server 2013 первым шагом является подготовка доменные службы Active Directory. Подготовка доменные службы Active Directory для Lync Server 2013 состоит из следующих трех этапов:
Подготовка схемы. Эта задача расширяет схему в доменные службы Active Directory, включая классы и атрибуты, относящиеся к Lync Server 2013. Дополнительные сведения о подготовке схемы см. в разделе "Выполнение подготовки схемы Active Directory в Lync Server 2013 " документации по развертыванию. Дополнительные сведения см. в статье о миграции с Office Communications Server 2007 R2 на Lync Server 2013.
Подготовка леса. Эта задача создает глобальные параметры и объекты в корневом домене леса, а также универсальные службы и административные группы, управляющие доступом к этим параметрам и объектам. Дополнительные сведения о подготовке леса см. в разделе "Выполнение подготовки леса для Lync Server 2013 " документации по развертыванию.
Подготовка домена. Эта задача добавляет необходимые записи управления доступом (API) в универсальные группы, которые предоставляют разрешения на размещение пользователей в домене и управление ими. Эта задача должна быть выполнена во всех доменах, где требуется развернуть серверы под управлением Lync Server 2013, и во всех доменах, где находятся пользователи Lync Server. Дополнительные сведения о подготовке домена см. в разделе "Выполнение подготовки домена для Lync Server 2013 " документации по развертыванию.
Общие сведения о процессе подготовки Active Directory, а также о правах и разрешениях, необходимых для выполнения каждого шага, см. в документации по развертыванию требований к инфраструктуре Active Directory для Lync Server 2013 .
Универсальные группы
Во время подготовки леса Lync Server 2013 создает различные универсальные группы в доменные службы Active Directory, которые имеют разрешение на доступ к глобальным параметрам и службам и управление ими. Универсальные группы делятся на следующие группы:
административные группы. Эти группы определяют основные роли администратора для сети Lync Server. Во время подготовки леса эти группы администраторов добавляются в группы инфраструктуры Lync Server.
группы обслуживания. Эти группы — это учетные записи служб, необходимые для доступа к различным службам, предоставляемым Lync Server.
группы инфраструктур. Эти группы предоставляют разрешение на доступ к определенным областям инфраструктуры Lync Server. Они работают как компоненты административных групп; не следует изменять их или добавлять в них пользователей непосредственно. При подготовке леса определенные группы обслуживания и администрирования добавляются в соответствующие группы инфраструктур.
Дополнительные сведения о конкретных универсальных группах, созданных при подготовке AD для Lync Server, а также о группах служб и администрирования, добавляемых в группы инфраструктуры, см. в разделе "Изменения, внесенные подготовкой леса в Lync Server 2013 " в документации по развертыванию.
Примечание.
Lync Server 2013 поддерживает универсальные группы в Windows Server 2012 для серверов под управлением Lync Server 2013, а также операционные системы Windows Server 2003 для контроллеров домена. Members of universal groups can include other groups and accounts from any domain in the domain tree or forest and can be assigned permissions in any domain in the domain tree or forest. Поддержка универсальных групп в сочетании с делегированием администратора упрощает управление развертыванием Lync Server. For example, it is not necessary to add one domain to another to enable an administrator to manage both.
Управление доступом на основе ролей
Кроме создания универсальных групп обслуживания и администрирования и добавления этих групп в соответствующие универсальные группы, подготовка леса также создает группы управления доступом на основе ролей (RBAC). Дополнительные сведения о конкретных группах RBAC, созданных при подготовке леса, см. в разделе "Изменения, внесенные при подготовке леса в Lync Server 2013 " в документации по развертыванию. Дополнительные сведения о группах RBAC см. в разделе управления доступом на основе ролей (RBAC) для Lync Server 2013.
Записи управления доступом (ACE) и наследование
В процессе подготовки леса создаются частные и общедоступные записи ACE, а также создаются записи ACE универсальных групп при их добавлении. Он создает определенные частные ACL в контейнере глобальных параметров, используемом Lync Server. Этот контейнер используется только сервером Lync Server и находится в контейнере конфигурации или системный контейнер в корневом домене в зависимости от того, где хранятся глобальные параметры.
На этапе подготовки домена в универсальные группы добавляются необходимые записи управления доступом (ACE), которые предоставляют разрешения для размещения и управления пользователями в домене. При подготовке домена создаются записи ACE в корне домена и три встроенных контейнера: пользователи, компьютеры и контроллеры домена.
Дополнительные сведения об общедоступных API, созданных и добавленных при подготовке леса и подготовке домена, см. в разделах "Изменения, внесенные подготовкой леса в Lync Server 2013 и изменения, внесенные при подготовке домена в Lync Server 2013 " в документации по развертыванию.
Организации часто блокирует доменные службы Active Directory (AD DS), чтобы снизить риски безопасности. Однако заблокированная среда Active Directory может ограничить разрешения, необходимые Lync Server 2013. Это может включать в себя записи ACE из контейнеров и подразделений, а также отключение разрешений наследования для объектов пользователя, контакта, InetOrgPerson или компьютеров. В заблокированной среде Active Directory разрешения должны быть заданы вручную для контейнеров и подразделений, которые их требуют. Дополнительные сведения см. в разделе "Подготовка заблокированного доменные службы Active Directory в Lync Server 2013 в документации по развертыванию".
Информация о сервере
Во время активации Lync Server 2013 публикует сведения о сервере в трех следующих расположениях в доменные службы Active Directory:
Точка подключения службы (SCP) на каждом объекте компьютера Active Directory, соответствующем физическому компьютеру, на котором установлен Lync Server 2013.
объекты сервера, созданные в контейнере класса msRTCSIP-Pools;
Доверенные серверы, указанные в построителе топологий.
Точки подключения служб
Каждый объект Lync Server 2013 в доменные службы Active Directory имеет SCP с именем RTC Services, который, в свою очередь, содержит ряд атрибутов, которые идентифицируют каждый компьютер и указывают службы, которые он предоставляет. Более важные атрибуты SCP включают в себя serviceDNSName , serviceDNSNameType , serviceClassname и serviceBindingInformation. Сторонние приложения по управлению активами могут извлекать информацию о сервере в развертывании путем выдачи запросов по отношению этих и других атрибутов SCP.
Объекты сервера Active Directory
Каждая роль сервера Lync Server 2013 имеет соответствующий объект Active Directory, атрибуты которого определяют службы, предоставляемые этой ролью. Кроме того, при активации сервера Standard Edition или при создании пула выпуск Enterprise Lync Server 2013 создает объект msRTCSIP-Pool в контейнере msRTCSIP-Pools. Класс msRTCSIP-Pool указывает полное доменное имя пула и сопоставление между компонентами переднего плана и встроенными компонентами пула. (Сервер Standard Edition рассматривается как логический пул, внешний и внутренний сервер которого размещены на одном компьютере.)
Доверенные серверы
В Lync Server 2013 доверенные серверы указаны при запуске построителя топологий и публикации топологии. Опубликованная топология, включая все сведения сервера, сохраняется в центральном хранилище управления. Только серверы, определенные в центральном хранилище управления, являются доверенными. В Lync Server 2013 доверенный сервер соответствует следующим критериям:
Полное доменное имя сервера встречается в топологии, сохраненной в центральном хранилище управления.
Сервер предоставляет действительный сертификат от доверенного ЦС. Дополнительные сведения см . в разделе о требованиях к инфраструктуре сертификатов для Lync Server 2013.
При отсутствии любого из этих критериев сервер не является доверенным, а при подключении приходит отказ. Это двойное требование предотвращает возможную атаку, в которой незаконный сервер пытается присвоить себе полное доменное имя действительного сервера.
Кроме того, чтобы развертывания Microsoft Office Communications Server 2007 R2 и Microsoft Office Communications Server 2007 взаимодействовали с серверами Lync Server 2013, Lync Server 2013 создает контейнеры во время подготовки леса для хранения списков доверенных серверов для предыдущих выпусков. В таблице ниже описаны контейнеры, созданные для обеспечения совместимости с предыдущими развертываниями.
Списки доверенных серверов и их контейнеры Active Directory для совместимости с предыдущими выпусками
| Список доверенных серверов | Контейнер Active Directory |
|---|---|
Серверы стандартного выпуска и серверы переднего плана пула Enterprise |
Служба RTC Service/глобальные параметры |
Серверы для конференций |
Служба RTC Service/доверенные MCU |
Серверы веб-компонентов |
Служба RTC Service/доверенные серверы веб-компонентов |
Серверы-посредники и серверы веб-клиента Communicator, сервер приложений, регистратор с качеством взаимодействия, служба аудио- и видеоконференции (а также сторонние серверы SIP) |
Служба RTC Service/доверенные службы |
Прокси-серверы |
Lync Server 2013 не поддерживает обратную совместимость для прокси-серверов |
Для поддержки доверенных серверов предыдущих выпусков необходимо запустить средство анализатора рекомендаций. Дополнительные сведения о запуске анализатора рекомендаций см. в разделе https://go.microsoft.com/fwlink/p/?LinkId=330633.