Schützen von IIS in Lync Server 2013

 

Thema Letzte Änderung: 05.12.2013

In Microsoft Office Communications Server 2007 und Microsoft Office Communications Server 2007 R2 wurden Internetinformationsdienste (IIS) unter einem Standardbenutzerkonto ausgeführt. Dies hatte das Potenzial, Probleme zu verursachen: Wenn dieses Kennwort abgelaufen ist, könnten Sie Ihre Webdienste verlieren, ein Problem, das oft schwer zu diagnostizieren war. Um das Problem ablaufender Kennwörter zu vermeiden, können Sie mit Microsoft Lync Server 2013 ein Computerkonto (für einen Computer, der nicht tatsächlich vorhanden ist) erstellen, das als Authentifizierungsprinzipal für alle Computer an einem Standort dienen kann, auf dem IIS ausgeführt wird. Da diese Konten das Kerberos-Authentifizierungsprotokoll verwenden, werden sie als Kerberos-Konten und der neue Authentifizierungsprozess als Kerberos-Webauthentifizierung bezeichnet. Auf diese Weise können Sie alle IIS-Server über ein einziges Konto verwalten.

Um Ihre Server unter diesem Authentifizierungsprinzipal auszuführen, müssen Sie zuerst ein Computerkonto mithilfe des cmdlets New-CsKerberosAccount erstellen. dieses Konto wird dann einer oder mehreren Websites zugewiesen. Nachdem die Zuweisung vorgenommen wurde, wird die Zuordnung zwischen dem Konto und der Lync Server 2013-Website aktiviert, indem das cmdlet Enable-CsTopology ausgeführt wird. Dadurch wird unter anderem der erforderliche Dienstprinzipalname (SPN) in Active Directory Domain Services (AD DS) erstellt. SPNs bieten Clientanwendungen die Möglichkeit, einen bestimmten Dienst zu finden. Ausführliche Informationen finden Sie unter New-CsKerberosAccount in der Betriebsdokumentation.

Bewährte Methoden

Um die Sicherheit von IIS zu erhöhen, empfehlen wir, ein Kerberos-Konto für IIS zu implementieren. Wenn Sie kein Kerberos-Konto implementieren, wird IIS unter einem Standardbenutzerkonto ausgeführt.