Freigeben über

Konfigurieren der passiven Lync Server 2013-Authentifizierung

  • Artikel

 

Letzte Änderung: 11.07.2013

Im folgenden Abschnitt wird beschrieben, wie Sie Lync Server 2013 mit kumulativem Aktualisierungen konfigurieren: Juli 2013 zur Unterstützung der passiven Authentifizierung. Nach der Aktivierung müssen Lync-Benutzer, die für die zweistufige Authentifizierung aktiviert sind, eine physische oder virtuelle Smartcard und eine gültige PIN verwenden, um sich mit dem Lync 2013 mit kumulativem Aktualisierungen: Juli 2013-Client anzumelden.

Hinweis

Kunden wird dringend empfohlen, die passive Authentifizierung für Registrierungsstellen und Webdienste auf Dienstebene zu aktivieren. Wenn die passive Authentifizierung für Registrierungsstellen und Webdienste auf globaler Ebene aktiviert ist, führt dies wahrscheinlich zu organisationsweiten Authentifizierungsfehlern für Benutzer, die sich nicht mit dem Lync 2013 mit kumulativem Aktualisierungen anmelden: Clientdesktopclient vom Juli 2013.

Webdienstkonfiguration

In den folgenden Schritten wird die Erstellung einer angepassten Webdienstkonfiguration für Directorserver, Enterprise Pools und Standard Edition-Server, die für die passive Authentifizierung aktiviert werden sollen, beschrieben.

So erstellen Sie eine benutzerdefinierte Webdienstkonfiguration

  1. Melden Sie sich mit kumulativem Aktualisierungen: Front-End-Server juli 2013 mit einem Lync-Administratorkonto bei Ihrem Lync Server 2013 an.

  2. Starten Sie die Lync Server 2013-Verwaltungsshell.

  3. Erstellen Sie über die Befehlszeile der Lync Server-Verwaltungsshell eine neue Webdienstkonfiguration für jeden Director-, Enterprise Pool- und Standard Edition-Server, der für die passive Authentifizierung aktiviert wird, indem Sie den folgenden Befehl ausführen:

    New-CsWebServiceConfiguration -Identity "Service:WebServer:LyncPool01.contoso.com" -UseWsFedPassiveAuth $true -WsFedPassiveMetadataUri https://dc.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    Warnung

    Der Wert für den vollqualifizierten Domänennamen in „WsFedPassiveMetadataUri“ ist der Name des Partnerverbunddiensts Ihres AD FS 2.0-Servers. Sie können den Wert des Namens des Partnerverbunddiensts in der AD FS 2.0-Verwaltungskonsole abrufen, indem Sie im Navigationsbereich auf Dienst klicken und dann Eigenschaften des Verbunddiensts bearbeiten auswählen.

  4. Überprüfen Sie, ob die Werte von „UseWsFedPassiveAuth“ und „WsFedPassiveMetadataUri“ richtig festgelegt wurden, indem Sie den folgenden Befehl ausführen:

    Get-CsWebServiceConfiguration -identity "Service:WebServer:LyncPool01.contoso.com" | format-list UseWsFedPassiveAuth, WsFedPassiveMetadataUri

  5. Für Clients stellt die passive Authentifizierung die am wenigsten vorzuziehende Authentifizierungsmethode für die Authentifizierung mithilfe von Webtickets dar. Für alle Directors, Enterprise Pools und Standard Edition-Server, die für die passive Authentifizierung aktiviert werden, müssen alle anderen Authentifizierungstypen in Lync Web Services deaktiviert werden, indem Sie den folgenden Befehl ausführen:

    Set-CsWebServiceConfiguration -Identity "Service:WebServer:LyncPool01.contoso.com" -UseCertificateAuth $false -UsePinAuth $false -UseWindowsAuth NONE

  6. Stellen Sie sicher, dass alle anderen Authentifizierungstypen erfolgreich deaktiviert wurden, indem Sie den folgenden Befehl ausführen:

    Get-CsWebServiceConfiguration -Identity "Service:WebServer:LyncPool01.contoso.com" | format-list UseCertificateAuth, UsePinAuth, UseWindowsAuth

Proxykonfiguration

Wenn die Zertifikatauthentifizierung für Lync-Webdienste deaktiviert ist, verwendet der Lync-Client einen weniger bevorzugten Authentifizierungstyp wie Kerberos oder NTLM, um sich beim Registrierungsstellendienst zu authentifizieren. Die Zertifikatauthentifizierung ist weiterhin erforderlich, damit der Lync-Client ein Webticket abrufen kann. Kerberos und NTLM müssen jedoch für den Registrierungsstellendienst deaktiviert werden.

In den folgenden Schritten wird die Erstellung einer angepassten Proxykonfiguration für Edge Pools, Enterprise Pools und Standard Edition-Server, die für die passive Authentifizierung aktiviert werden sollen, beschrieben.

So erstellen Sie eine benutzerdefinierte Proxykonfiguration

  1. Erstellen Sie über die Befehlszeile der Lync Server-Verwaltungsshell eine neue Proxykonfiguration für jeden Lync Server 2013 mit kumulativem Aktualisierungen: Edgepool, Enterprise Pool und Standard Edition-Server vom Juli 2013, der für die passive Authentifizierung aktiviert wird, indem Sie die folgenden Befehle ausführen:

     New-CsProxyConfiguration -Identity "Service:EdgeServer:EdgePool01.contoso.com" 
 -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False

     New-CsProxyConfiguration -Identity "Service:Registrar:LyncPool01.contoso.com" 
 -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False

  2. Überprüfen Sie, ob alle anderen Proxyauthentifizierungsarten erfolgreich deaktiviert wurden, indem Sie den folgenden Befehl ausführen:

    Get-CsProxyConfiguration -Identity "Service:Registrar:LyncPool01.contoso.com"
     | format-list UseKerberosForClientToProxyAuth, UseNtlmForClientToProxyAuth, UseCertifcateForClientToProxyAuth