Compartir a través de

  • Artículo

Requisitos de cuentas y permisos

Última modificación del tema: 2009-04-01

Entre los requisitos de seguridad de Office Communications Server 2007 R2 se incluyen los siguientes:

  • Credenciales administrativas
  • Niveles de seguridad
  • Seguridad de la puerta de enlace multimedia

Credenciales administrativas

En la siguiente tabla se muestran los permisos necesarios para implementar las distintas funciones de servidor.

Nota

De forma predeterminada, se requiere la pertenencia al grupo Admins. del dominio para implementar o activar un servidor que se une a un dominio de Active Directory. Si no desea conceder este nivel de privilegio al grupo o a los usuarios que implementan Office Communications Server, puede usar el Asistente para configurar la delegación con el objeto de proporcionar a un grupo específico el subconjunto de permisos necesario para esta tarea.

Tabla 1. Credenciales administrativas necesarias para las tareas de implementación

Procedimiento Funciones o credenciales administrativas necesarias

Standard Edition

 

Instalar el software necesario como requisito previo

Grupo RTCUniversalServerAdmins

Grupo Admins. del dominio

Preparar Servicios de dominio de Active Directory (AD DS)

Miembro del grupo Administradores de esquema y derechos de administrador en el maestro de esquema

Miembro del grupo Administradores de organización del dominio raíz del bosque

Miembro del grupo Administradores de organización o Admins. del dominio

Preparar Windows para la instalación

Grupo Administradores

Crear y comprobar los registros DNS

Grupo Administradores de DNS

Implementar y activar el servidor Standard Edition y las aplicaciones

Grupo RTCUniversalServerAdmins

Grupo Admins. del dominio

Configurar el servidor Standard Edition

Grupo RTCUniversalServerAdmins

Configurar certificados para Office Communications Server

Grupo Administradores

Grupo RTCUniversalServerAdmins

Iniciar los servicios

Grupo RTCUniversalServerAdmins

Validar la configuración del servidor

Grupo RTCUniversalServerAdmins

Opcionalmente, configurar la conferencia A/V y web

Grupo RTCUniversalServerAdmins

Topología consolidada de Enterprise Edition

 

Instalar el software necesario como requisito previo

Grupo RTCUniversalServerAdmins

Grupo Admins. del dominio

Preparar AD DS

Miembro del grupo Administradores de esquema y derechos de administrador en el maestro de esquema

Miembro del grupo Administradores de organización del dominio raíz del bosque

Miembro del grupo Administradores de organización o Admins. del dominio

Preparar Windows para la instalación

Grupo Administradores

Instalar SQL Server

Administrador local

Configurar SQL Server para Office Communications Server

Administrador de SQL Server

Administrador local

De manera opcional, configurar un equilibrador de carga para el grupo de servidores

Administrador de equilibrador de carga

Crear y comprobar los registros DNS

Grupo Administradores de DNS

Crear el grupo de servidores

Grupo RTCUniversalServerAdmins

Grupo Admins. del dominio

Configurar el grupo de servidores y las aplicaciones

Grupo RTCUniversalServerAdmins

Agregar servidores al grupo de servidores

Grupo Administradores

Grupo RTCUniversalServerAdmins

Grupo Admins. del dominio

Configurar certificados para Office Communications Server

Grupo Administradores

Grupo RTCUniversalServerAdmins

Iniciar los servicios

RTCUniversalServerAdmins

Validar la configuración del servidor y del grupo de servidores

RTCUniversalServerAdmins

Conferencia de acceso telefónico local

 

Instalar y activar Office Communications Server 2007 R2

Grupo Administradores

Grupo RTCUniversalServerAdmins

Grupo Admins. del dominio

Activar las aplicaciones Operador de conferencia y Servicio de anuncio de conferencia

Grupo RTCUniversalServerAdmins

Grupo Admins. del dominio

Instalar, activar y configurar la versión 2007 R2 de Microsoft Office Communicator Web Access Server

Grupo Administradores

Grupo Admins. del dominio

Opcionalmente, habilitar el acceso de los usuarios remotos a Communicator Web Access

Grupo Administradores

Grupo Admins. del dominio

Probar la página web de conferencia de acceso telefónico local

Usuario de Office Communications Server 2007 R2

Crear uno o más perfiles de ubicación

Grupo RTCUniversalServerAdmins

Configurar una directiva global para admitir la conferencia de acceso telefónico local

Grupo RTCUniversalServerAdmins

Implementar un servidor de mediación

Grupo RTCUniversalServerAdmins

Implementar una puerta de enlace multimedia básica de otro fabricante

O bien

Configurar el servidor de mediación para realizar conexiones basadas en troncos SIP

Grupo RTCUniversalServerAdmins (para configurar el servidor de mediación)

Administrador del proveedor de conexiones basadas en troncos SIP

Servicio de grupo de respuesta

 

Instalar y activar Office Communications Server 2007 R2

Grupo Administradores

Grupo RTCUniversalServerAdmins

Grupo Admins. del dominio

Activar la aplicación Servicio de grupo de respuesta

Grupo RTCUniversalServerAdmins

Grupo Admins. del dominio

Agregar agentes, crear grupos de agentes y crear colas para el grupo de servidores

Grupo RTCUniversalServerAdmins

Crear flujos de trabajo

Grupo RTCUniversalServerAdmins

Configurar la ficha Grupo de respuesta

Grupo Admins. del dominio

Servidor de archivado

 

Instalar el software necesario como requisito previo

Grupo Administradores y grupo Admins. del dominio (para instalar Message Queue Server con la integración de Active Directory habilitada)

Instalar y activar el servidor de archivado

Grupo Administradores

Grupo Admins. del dominio o RTCUniversalServerAdmins

Configurar las asociaciones del servidor de archivado

Grupo Administradores

Configurar los usuarios para el archivado

RTCUniversal-UserAdmins grupo

Iniciar los servicios de archivado

Grupo RTCUniversalUserAdmins

Servidor de supervisión

 

Instalar el software necesario como requisito previo

Grupo Administradores

Grupo Admins. del dominio (para instalar Message Queue Server con la integración de Active Directory habilitada)

Instalar y activar el servidor de supervisión

Grupo Administradores

Grupo Admins. del dominio o RTCUniversalServerAdmins

Iniciar los servicios

Grupo Administradores

Implementar los informes del servidor de supervisión

Grupo Administradores

Configurar las asociaciones del servidor de supervisión

Grupo Administradores

Communicator Web Access

 

Instalar y activar

Admins. del dominio

Crear servidor virtual

Admins. del dominio o RTCUniversalServerAdmins y administradores locales

Publicar direcciones URL de Communicator Web Access

Admins. del dominio o RTCUniversalServerAdmins y administradores locales

Administrar la configuración de Communicator Web Access

Admins. del dominio o RTCUniversalServerAdmins y administradores locales

Conversaciones en grupo

 

Crear la base de datos de SQL Server

Administrador de base de datos

Configurar las cuentas y los permisos de Conversaciones en grupo

Grupo Administradores

Obtener certificados para Conversaciones en grupo

Grupo Administradores

Instalar Conversaciones en grupo

Grupo Administradores

Configurar el sitio web en IIS

Grupo Administradores

Conectar la herramienta de administración de conversaciones en grupo a Conversaciones en grupo

Grupo Administradores

Administrador del servicio de canal

Configurar el acceso de los usuarios a Conversaciones en grupo

Grupo Administradores

Implementar la compatibilidad con el archivado y el cumplimiento

Administrador de base de datos

Grupo Administradores

Herramientas administrativas

 

Instalar Herramientas administrativas en una consola administrativa centralizada que no ejecuta Office Communications Server

Grupo Administradores

Grupo Admins. del dominio

Configurar la cuenta de usuario

RTCUniversalUserAdmins

Configurar el resto de opciones (excepto la configuración de la cuenta de usuario)

RTCUniversalServerAdmins

Servidor perimetral

 

Configurar la infraestructura de servidores perimetrales

Grupo Administradores

Configurar los servidores perimetrales

Grupo Administradores

Grupo Admins. del dominio o RTCUniversalServerAdmins

Configurar el entorno

Grupo Administradores

Grupo Admins. del dominio o RTCUniversalServerAdmins

Validar la configuración perimetral

Grupo Administradores

Grupo Admins. del dominio o RTCUniversalServerAdmins

Communicator Mobile para Windows Mobile

 

Instalar los requisitos previos

Administrador

Instalar Communicator Mobile para Windows Mobile

Administrador

Instalar certificados autofirmados

Administrador

Configurar el cliente

Administrador

Probar la mensajería instantánea y la presencia

Administrador

Communicator Mobile para Java

 

Comprobar el cumplimiento de los requisitos previos y las dependencias

Administrador

Implementar el componente de Communicator Mobile

Administrador

Instalar el software cliente de Communicator Mobile para Java

Administrador

Configurar y utilizar el cliente

Administrador

Probar la mensajería instantánea y la presencia

Administrador

Control de voz externa

 

Instalar y activar Office Communications Server 2007 R2

Grupo Administradores

Grupo RTCUniversalServerAdmins

Grupo Admins. del dominio

Activar la aplicación Control de voz externa

Grupo RTCUniversalServerAdmins

Grupo Admins. del dominio

Iniciar la aplicación

Grupo RTCUniversalServerAdmins

Probar el marcado de voz externo en un cliente móvil admitido

Usuario de Office Communications Server 2007 R2

Coexistencia de Enterprise Voice y PBX

 

Implementar Office Communications Server, incluido el servidor de mediación que se conecta al sistema PBX
  • Crear un grupo de servidores Enterprise: credenciales de RTCUniversalServerAdmins y Admins. del dominio o equivalentes
  • Configurar grupo de servidores: RTCUniversalServerAdmins
  • Agregar un servidor al grupo de servidores: RTCUniversalServerAdmins
  • Configurar el certificado: RTCUniversalServerAdmins
  • Configurar el certificado del servidor de componentes web: credenciales de administrador local
  • Validar la funcionalidad del servidor y del grupo de servidores: RTCUniversalServerAdmins

Implementar Office Communicator 2007

Administrador en el equipo en el que se instala Office Communicator

Habilitar a los usuarios para la mensajería instantánea y la presencia

Grupo RTCUniversalUserAdmins

Configurar Communications Server para Enterprise Voice

Grupo RTCUniversalServerAdmins

Configurar PBX para que se bifurquen las llamadas a Office Communications Server

RTCUniversalServerAdmins (para recibir la información de AD DS para convertir una extensión en el URI del teléfono correcto)

Implementar puertas de enlace multimedia (si es necesario)

Las puertas de enlace multimedia son los sistemas externos con sus propios esquemas de autorización y autenticación. Si la puerta de enlace multimedia requiere la creación de entradas de servicio confiables, debe ser miembro del grupo RTCUniversalServerAdmins, como mínimo.

Implementar la puerta de enlace RCC (si es necesario)

Las puertas de enlace RCC son los sistemas externos con sus propios esquemas de autorización y autenticación. Debe ser miembro del grupo RTCUniversalServerAdmins, como mínimo, para crear las entradas de servicio confiables requeridas.

Habilitar a los usuarios para la integración de Enterprise Voice y PBX

Grupo RTCUniversalUserAdmins

Enterprise Voice independiente (sin coexistencia con PBX)

 

Implementar Office Communications Server
  • Crear grupo de servidores Enterprise: credenciales de RTCUniversalServerAdmins y Admins. del dominio o equivalentes
  • Configurar grupo de servidores: RTCUniversalServerAdmins
  • Agregar un servidor al grupo de servidores: RTCUniversalServerAdmins
  • Configurar el certificado: RTCUniversalServerAdmins
  • Configurar el certificado del servidor de componentes web: credenciales de administrador local
  • Validar la funcionalidad del servidor y del grupo de servidores: RTCUniversalServerAdmins

Implementar Office Communicator 2007

Administrador en el equipo en el que se instala Office Communicator

Configurar Office Communications Server para Enterprise Voice

Grupo RTCUniversalUserAdmins

Implementar la Mensajería unificada de Exchange Server 2007 y configurarla de modo que se integre con Office Communications Server
  • Para Office Communications Server: Grupo RTCUniversalServerAdmins
  • Para Exchange Server: los permisos de administradores de organización de Exchange son suficientes cuando Office Communications Server y Exchange Server se ejecutan en el mismo bosque.
    Dd425321.note(es-es,office.13).gifNota:
    La cuenta de usuario que se usa para configurar la Mensajería unificada de Exchange debe tener acceso de lectura a los grupos de servidores de Office Communications Server en AD DS y acceso de lectura/escritura en los contenedores de configuración de Exchange (contenedor de primera organización o plan de marcado de mensajería unificada, puerta de enlace IP de mensajería unificada, operador automático de mensajería unificada, etc.).

Implementar puertas de enlace multimedia

Las puertas de enlace multimedia son los sistemas externos con sus propios esquemas de autorización y autenticación. Si la puerta de enlace multimedia requiere la creación de entradas de servicio confiables, debe ser miembro del grupo RTCUniversalServerAdmins, como mínimo.

Habilitar a los usuarios para Enterprise Voice

Grupo RTCUniversalUserAdmins

Servicio de actualización de dispositivos

 

Implementación

El Servicio de actualización de dispositivos se instala automáticamente en el servidor de componentes web. No se necesita ningún permiso de implementación concreto aparte de los necesarios para implementar Standard Edition o Enterprise Edition.

Niveles de seguridad

Los niveles de seguridad requeridos para implementar Office Communications Server 2007 R2 dependen de los componentes que se vayan a implementar en la organización.

Niveles de seguridad de Mensajería unificada de Exchange

Un plan de marcado de Mensajería unificada (UM) de Exchange admite tres niveles de seguridad diferentes: Unsecured (no seguro), SIPSecured (seguro para SIP) y Secured (seguro). Los niveles de seguridad se configuran mediante el parámetro VoipSecurity del plan de marcado de la Mensajería unificada. En la siguiente tabla se muestran los niveles de seguridad apropiados del plan de marcado, que dependen de si están habilitados Mutual TLS (MTLS) o el Protocolo de transporte en tiempo real seguro (SRTP).

Tabla 2. Valores de VoipSecurity para varias combinaciones de Mutual TLS y SRTP

Nivel de seguridad Mutual TLS SRTP

Unsecured

Deshabilitado

Deshabilitado

SIPSecured

Habilitado (requerido)

Deshabilitado

Secured

Habilitado (requerido)

Habilitado (requerido)

Al integrar la Mensajería unificada de Exchange con Communications Server 2007 R2, es necesario seleccionar para cada perfil de voz el nivel de seguridad más adecuado del plan de marcado. Para realizar esta selección, deben tenerse en cuenta las siguientes consideraciones:

  • Se requiere el uso de MTLS entre la Mensajería unificada de Exchange y Office Communications Server. Por lo tanto, el nivel de seguridad del plan de marcado no debe establecerse en Unsecured.
  • Al establecer la seguridad del plan de marcado en SIPSecured, SRTP se deshabilita. En este caso, el nivel de cifrado del cliente de Office Communicator 2007 R2 debe establecerse en rechazado u opcional.
  • Al establecer la seguridad del plan de marcado en Secured, se habilita y se requiere SRTP para la Mensajería unificada de Exchange. En este caso, el nivel de cifrado del cliente de Office Communicator 2007 R2 debe establecerse en opcional o requerido.

Seguridad de la puerta de enlace multimedia

Los medios que fluyen en ambas direcciones entre el servidor de mediación y la red de Communications Server se cifran con SRTP. A las organizaciones que usen IPsec para la seguridad de paquetes se les recomienda crear una excepción en un intervalo de puertos pequeño si van a implementar Enterprise Voice. Las negociaciones de seguridad requeridas por IPsec funcionan bien para las conexiones UDP o TCP normales, pero pueden ralentizar el establecimiento de llamadas hasta niveles inaceptables.

Dado que una puerta de enlace multimedia recibe llamadas de la RTC que pueden presentar una posible vulnerabilidad de la seguridad, se recomiendan las siguientes acciones de mitigación:

  • Habilitar TLS en el vínculo entre la puerta de enlace y el servidor de mediación. De esta forma, se asegura el cifrado punto a punto de la señalización entre la puerta de enlace y los usuarios internos.
  • Aislar físicamente la puerta de enlace multimedia de la red interna implementando el servidor de mediación en un equipo con dos adaptadores de red: el primero que sólo acepte tráfico de la red interna y el segundo que acepte tráfico de una puerta de enlace multimedia. Cada tarjeta se configura con una dirección de escucha independiente para que siempre haya una separación clara entre el tráfico de confianza que se origina en la red de Communications Server y el tráfico que no es de confianza procedente de la RTC.
    El perímetro interno de un servidor de mediación debe configurarse de forma que se corresponda con una ruta estática única descrita mediante una dirección IP y un número de puerto. El puerto predeterminado es 5061.
    El perímetro externo de un servidor de mediación debe configurarse como el proxy interno del próximo salto para la puerta de enlace multimedia. Debe identificarse mediante una combinación única de dirección IP y número de puerto. La dirección IP no debería ser igual que la del perímetro interno, pero el puerto predeterminado es 5060.