Lync Server 2010 中的關鍵安全性增強功能

上次修改主題的時間： 2012-10-18

Microsoft Lync Server 2010 包含下列安全性增強功能：

• 規劃設計工具   Lync Server 2010 提供兩項工具，可以加快規劃及設計的速度，以及減少 Lync Server 元件設定錯誤的機率。大多數的拓撲設計程序皆可使用規劃工具加以自動化。您可以將規劃工具的結果匯出到拓撲產生器，在安裝每一部執行 Lync Server 2010 的伺服器時，皆會需要此工具。拓撲產生器會將所有的設定資訊儲存在儲存中央管理存放區中。如需這些工具的詳細資訊。請參閱＜規劃＞文件中的＜開始規劃程序＞。

• 中央管理存放區。在 Lync Server 2010 中，伺服器與服務的設定資料會移至中央管理存放區。中央管理存放區可以提供穩定的系統化資料存放區，供定義、設定、維護、管理、描述及進行 Lync Server 部署之用。除此之外還會驗證資料，以確保設定的一致性。所有對此設定資料的變更皆會在中央管理存放區上進行，以避免發生不同步的問題。資料的唯讀版本會複寫到拓撲中的所有伺服器，包括 Edge Server 及 Survivable Branch Appliance。複寫預設由網路服務內容中所執行的伺服器所管理，藉此降低電腦上簡易使用者的權利與權限。如需詳細資訊，請參閱快速入門文件中的＜新集中管理儲存區＞。

• Windows PowerShell 管理與 Web 管理介面   Lync Server 2010 以 Windows PowerShell 命令列介面為基礎，提供功能強大的管理介面。其包含可以用於管理安全性的 Cmdlet，而且預設會啟用 Windows PowerShell 安全性功能，讓使用者無法輕易地或在不知情的情況下執行指令碼。這表示此軟體預設會自動將安全性設在最高的程度，藉此減少攻擊的入侵管道。如需 Lync Server 2010 中 Windows PowerShell 管理支援的詳細資訊，請參閱＜Windows PowerShell 和 Lync Server 管理工具。

• 角色存取控制 (RBAC)   Microsoft Lync Server 2010 引進角色存取控制 (RBAC)，讓您既可委派管理工作，又可維持嚴密的安全性。您可以利用 RBAC 遵循「最低權限」的原則，讓使用者只獲得其工作所需的管理能力。如需詳細資訊，請參閱＜角色型存取控制 (RBAC)＞。

• 網路位址轉譯 (NAT)   Lync Server 2010 無法對 Edge Server 內部介面使用網路位址轉譯 (NAT)，但允許在負責為單一與整併後之Edge Server 拓撲執行網路位址轉譯 (NAT) 的路由器或防火牆後方，放置 Access Edge 服務、Web Conferencing Edge Service 及 A/V Edge Service 的內部介面。位於硬體負載平衡器後方的多個 Edge Server無法使用 NAT。如有多個 Edge Server 在其外部介面上使用 NAT，即需要網域命名系統 (DNS) 負載平衡，藉以減少 Edge Server 集區中每個 Edge Server 的公開 IP 位址數目。如需詳細資訊，請參閱＜Access Edge Service＞。

• 連接埠需求   

  附註：
  您若與使用 Microsoft Office Communications Server 2007 部署的企業建立同盟，並需要在企業和同盟企業之間使用音訊/視訊功能，即須滿足所部署之舊版 Edge Server 的連接埠需求。例如，在同盟夥伴將其 Edge Server 升級為 Lync Server 2010 之前，兩家企業皆必須開啟舊版所需的連接埠範圍。待同盟夥伴完成升級之後，即可根據新的設定重新檢視連接埠需求並予以減少。

• 簡化的 Edge Server 憑證   [部署精靈] 可以自動填入主體名稱 (SN) 與主體別名 (SAN)，降低在其中加入不必要與可能不安全之項目的機率。

如需 Lync Server 2010 及 Microsoft Lync 2010 之新功能的完整清單與討論，請參閱開始使用文件。