Доменные службы Active Directory для Skype для бизнеса Server 2015

Skype for Business Server 2015
 

Дата изменения раздела:2016-04-06

Active Directory работает в качестве службы каталогов для сетей Windows Server 2003, Windows Server 2008, Windows Server 2012 и Windows Server 2012 R2. Active Directory также служит основой, на которой создается инфраструктура безопасности Skype для бизнеса Server 2015. Целью данного раздела заключается в описании способа использования сервером Skype для бизнеса Server 2015 Active Directory для создания надежной среды для служб мгновенных сообщений, веб-конференций, мультимедиа и голосовых служб. Дополнительные сведения по подготовке среды для Active Directory см. в разделе Установка Skype для бизнеса Server 2015 документации по развертыванию. Дополнительные сведения о роли Active Directory в сетях Windows Server см. в документации к версии используемой операционной системы.

Сервер Skype для бизнеса Server 2015 использует Active Directory для хранения следующих данных:

  • глобальные параметры, которые требуются для всех серверов под управлением Skype для бизнеса Server 2015 в лесе;

  • служебная информация, которая определяет роли всех серверов под управлением Skype для бизнеса Server 2015 в лесе;

  • некоторые пользовательские параметры.

Требования к инфраструктуре для Active Directory содержат:

  • требования к ОС для доменных контроллеров;

  • требования для функциональных уровней домена и леса;

  • требования для домена глобального каталога.

Более подробные сведения см. в разделе Требования к среде Skype для бизнеса Server 2015 документации по развертыванию.

Во время подготовки леса Skype для бизнеса Server 2015 создает разные универсальные группы в Active Directory, которые имеют разрешения для доступа и управления глобальными параметрами и службами. Универсальные группы делятся на следующие группы:

  • административные группы . Эти группы определяют основные роли администратора для сети Skype для бизнеса Server. При подготовке леса эти группы администрирования добавляются в группы инфраструктуры Skype для бизнеса Server;

  • группы обслуживания . Эти группы представляют собой служебные учетные записи, которым требуется доступ к разным службам, предоставляемым Skype для бизнеса Server;

  • группы инфраструктур . Эти группы предоставляют разрешения для доступа к определенным областям инфраструктуры Skype для бизнеса Server. Они работают как компоненты административных групп; не следует изменять их или добавлять в них пользователей непосредственно. При подготовке леса определенные группы обслуживания и администрирования добавляются в соответствующие группы инфраструктур.

Подробные сведения об определенных универсальных группах, созданных при подготовке AD для Skype для бизнеса Server, а также о добавляемых в группы инфраструктур группах обслуживания и группах администрирования см. в разделе Changes made by forest preparation in Skype for Business Server документации по развертыванию.

noteПримечание.
Сервер Skype для бизнеса Server 2015 поддерживает универсальные группы в Windows Server 2012, а также ОС Windows Server 2003 для контроллеров доменов. Участники универсальных групп могут включать в себя другие группы и учетные записи из любого домена в дереве доменов или лесе; можно назначить разрешения в любом домене дерева доменов или леса. Поддержка универсальных групп совместно с делегированием административных полномочий упрощает управление развертыванием Lync Server. Например, не нужно добавлять один домен к другому, чтобы разрешить администратору управлять обоими.

Кроме создания универсальных групп обслуживания и администрирования и добавления этих групп в соответствующие универсальные группы, подготовка леса также создает группы управления доступом на основе ролей (RBAC). Подробные сведения об определенных группах RBAC, созданных при подготовке леса, см. в разделе Changes made by forest preparation in Skype for Business Server документации по развертыванию. Дополнительные сведения о группах RBAC см. в разделе Управление доступом на основе ролей (RBAC) для Skype для бизнеса Server 2015.

В процессе подготовки леса создаются частные и общедоступные записи ACE, а также создаются записи ACE универсальных групп при их добавлении. Создаются определенные частные записи ACE в контейнере глобальных параметров, используемом Skype для бизнеса Server. Этот контейнер используется только Skype для бизнеса Server и расположен в контейнере конфигураций или в контейнере системы в корневом домене в зависимости от местоположения для хранения глобальных параметров.

На этапе подготовки домена в универсальные группы добавляются необходимые записи управления доступом (ACE), которые предоставляют разрешения для размещения и управления пользователями в домене. При подготовке домена создаются записи ACE в корне домена и три встроенных контейнера: пользователи, компьютеры и контроллеры домена.

Подробные сведения об общедоступных записях ACE, созданных и добавленных в процессе подготовки леса и домена, см. в разделе Changes made by forest preparation in Skype for Business Server и Changes made by domain preparation in Skype for Business Server документации по развертыванию.

Организации часто блокируют Active Directory (AD DS) во избежание рисков для безопасности. Однако при блокировании среды Active Directory могут ограничиваться разрешения, необходимые для Skype для бизнеса Server 2015. Это может включать в себя записи ACE из контейнеров и подразделений, а также отключение разрешений наследования для объектов пользователя, контакта, InetOrgPerson или компьютеров. В заблокированной среде Active Directory разрешения должны устанавливаться вручную для контейнеров и подразделений, которым они требуются.

В процессе активации сервер Skype для бизнеса Server 2015 публикует информацию о сервере в три следующих местоположения в Active Directory:

  • точка подключения службы (SCP) для каждого объекта компьютера Active Directory, соответствующего физическому компьютеру, на котором установлен сервер Skype для бизнеса Server 2015;

  • объекты сервера, созданные в контейнере класса msRTCSIP-Pools ;

  • доверенные серверы, указанные в топологий.

Каждый объект Skype для бизнеса Server 2015 в Active Directory имеет SCP под названием RTC Services, который в свою очередь содержит количество атрибутов для определения каждого компьютера и указания предоставляемых им служб. Более важные атрибуты SCP включают в себя serviceDNSName , serviceDNSNameType , serviceClassname и serviceBindingInformation . Сторонние приложения по управлению активами могут извлекать информацию о сервере в развертывании путем выдачи запросов по отношению этих и других атрибутов SCP.

Каждая роль сервера Skype для бизнеса Server 2015 имеет соответствующий объект Active Directory, атрибуты которого определяют предоставляемые этой ролью службы. Также при активации Standard Edition или создании пула Enterprise Edition сервер Skype для бизнеса Server 2015 создает новый объект msRTCSIP-Pool в контейнере msRTCSIP-Pools . Класс msRTCSIP-Pool указывает полное доменное имя пула и сопоставление между компонентами переднего плана и встроенными компонентами пула. (Standard Edition рассматривается как логический пул, передний и встроенный план которого совмещается на одном компьютере.)

В Skype для бизнеса Server 2015 доверенными серверами являются те, которые указываются при выполнении топологий и публикации топологии. Опубликованная топология, включая все сведения сервера, сохраняется в центральном хранилище управления. Только серверы, определенные в центральном хранилище управления, являются доверенными. В Skype для бизнеса Server 2015 доверенными сервером является тот, который соответствует указанным ниже критериям.

  • Полное доменное имя сервера встречается в топологии, сохраненной в центральном хранилище управления.

  • Сервер предоставляет действительный сертификат от доверенного ЦС. Подробные сведения см. в разделе Требования к среде Skype для бизнеса Server 2015.

При отсутствии любого из этих критериев сервер не является доверенным, а при подключении приходит отказ. Это двойное требование предотвращает возможную атаку, в которой незаконный сервер пытается присвоить себе полное доменное имя действительного сервера.

Кроме того, для разрешения развертываниям Microsoft Office Communications Server 2007 R2 и Microsoft Office Communications Server 2007 взаимодействовать с серверами Skype для бизнеса Server 2015 сервер Skype для бизнеса Server 2015 создает контейнеры на этапе подготовки леса для размещения списков недоверенных серверов из предыдущих выпусков. В таблице ниже описаны контейнеры, созданные для обеспечения совместимости с предыдущими развертываниями.

Списки доверенных серверов и их контейнеры Active Directory для совместимости с предыдущими выпусками

Список доверенных серверов Контейнер Active Directory

Серверы стандартного выпуска и серверы переднего плана пула Enterprise

Служба RTC Service/глобальные параметры

Серверы для конференций

Служба RTC Service/доверенные MCU

Серверы веб-компонентов

Служба RTC Service/доверенные серверы веб-компонентов

Серверы-посредники и серверы веб-клиента Communicator, сервер приложений, регистратор с качеством взаимодействия, служба аудио- и видеоконференции (а также сторонние серверы SIP)

Служба RTC Service/доверенные службы

Прокси-серверы

Сервер Skype для бизнеса Server 2015 не поддерживает возможность обратной совместимости для прокси-серверов.

 
Показ: