Lync Server 2010 中的重要安全增强

上一次修改主题： 2012-10-18

Microsoft Lync Server 2010 具有以下安全增强功能：

• 规划和设计工具   Lync Server 2010 提供两款工具来加速规划和设计并减少错误配置 Lync Server 组件的机会。您可以使用规划工具自动执行大部分拓扑设计过程。还可将结果从规划工具导出到拓扑生成器，后者是安装运行 Lync Server 2010 的各个服务器所需的工具。拓扑生成器在中央管理存储中存储所有配置信息。有关这些工具的详细信息，请参阅规划文档中的开始规划过程。

• 中央管理存储。使用 Lync Server 2010，可将有关服务器和服务的配置数据移动到中央管理存储。中央管理存储为定义、设置、维护、管理、描述和运行 Lync Server 部署所需的数据提供可靠的图表式存储。它还对数据进行验证，以确保配置的一致性。对此配置数据的所有更改均在中央管理存储中进行，这可以消除“不同步”问题。数据的只读副本将复制到拓扑中的所有服务器上，包括边缘服务器和 Survivable Branch Appliance。复制过程由默认情况下使用 Network service 帐户运行的服务进行管理，从而将权限缩减为计算机上的简单用户所拥有的权限。有关详细信息，请参阅入门文档中的新增的中央管理存储。

• 基于 Windows PowerShell 的管理和基于 Web 的管理接口   Lync Server 2010 提供基于 Windows PowerShell 命令行接口构建的功能强大的管理接口。其中包含用于管理安全性的 cmdlet，并且默认情况下会启用 Windows PowerShell 安全功能，以防止用户轻易或无意中运行脚本。这意味着软件默认设置为自动帮助实现最大安全性并减少攻击事件。有关 Lync Server 2010 中的 Windows PowerShell 管理支持的详细信息，请参阅 Windows PowerShell 和 Lync Server 管理工具。

• 基于角色的访问控制 (RBAC)   Microsoft Lync Server 2010 引入了基于角色的访问控制 (RBAC)，让您可以在维护高安全标准的情况下委派管理任务。可以使用 RBAC 来遵守“最小特权”原则，按照该原则，用户只能获得其工作所需的管理权限。有关详细信息，请参阅基于角色的访问控制 (RBAC)。

• 网络地址转换 (NAT)   Lync Server 2010 不支持在边缘服务器内部接口上使用网络地址转换 (NAT)，但支持将访问边缘服务、Web 会议边缘服务和 A/V 边缘服务的外部接口置于路由器或防火墙之后，该路由器或防火墙对单一合并和扩展的合并边缘服务器拓扑执行网络地址转换 (NAT)。硬件负载平衡器后的多台边缘服务器不能使用 NAT。如果多台边缘服务器在其外部接口上使用 NAT，将需要域名系统 (DNS) 负载平衡。反之，使用 DNS 负载平衡让您可以减少边缘服务器池中每台边缘服务器的公共 IP 地址的数量。有关详细信息，请参阅访问边缘服务。

• 端口要求

  注意：
  如果您与拥有 Microsoft Office Communications Server 2007 部署的企业联盟，且需要在您的企业与联盟企业之间使用音频/视频，则端口要求就是对已部署的边缘服务器的早期版本的端口要求。例如，早期版本所需的端口范围必须为两个企业打开，直到联盟伙伴将其边缘服务器升级到 Lync Server 2010。此时，可以根据新配置检查并减少端口要求。

• 边缘服务器的简化证书   部署向导可以自动填充使用者名称 (SN) 和使用者替代名称 (SAN)，从而减少包含不必要的和可能不安全的条目的可能性。

Lync Server 2010 和 Microsoft Lync 2010 中的新功能的完整列表和讨论内容可在入门文档中找到。