Proteger IIS en Lync Server 2013

 

Último tema modificado: 2013-12-05

En Microsoft Office Communications Server 2007 y Microsoft Office Communications Server 2007 R2, Internet Information Services (IIS) se ejecutaba con una cuenta de usuario estándar. Esto tenía el potencial de causar problemas: si esa contraseña expiraba, podría perder los servicios web, un problema que a menudo resultaba difícil de diagnosticar. Para evitar el problema de expirar contraseñas, Microsoft Lync Server 2013 le permite crear una cuenta de equipo (para un equipo que no existe realmente) que puede servir como entidad de seguridad de autenticación para todos los equipos de un sitio que ejecutan IIS. Dado que estas cuentas usan el protocolo de autenticación Kerberos, se llaman cuentas Kerberos y el nuevo proceso de autenticación se denomina autenticación web Kerberos. Esto permite administrar todos los servidores IIS usando una única cuenta.

Para ejecutar los servidores con esta entidad de autenticación, primero debe crear una cuenta de equipo mediante el cmdlet New-CsKerberosAccount; esta cuenta se asigna a uno o más sitios. Después de realizar la asignación, se habilita la asociación entre la cuenta y el sitio de Lync Server 2013 mediante la ejecución del cmdlet de Enable-CsTopology. Entre otras cosas, esto crea el nombre principal de servicio (SPN) necesario en Servicios de dominio de Active Directory (AD DS). Los SPN ofrecen a las aplicaciones cliente una manera de ubicar un servicio en particular. Para obtener más información, consulte New-CsKerberosAccount en la documentación de Operations.

Procedimientos recomendados

Para ayudar a aumentar la seguridad de IIS, le recomendamos que implemente una cuenta Kerberos para IIS. Si no implementa una cuenta Kerberos, IIS se ejecuta con una cuenta de usuario estándar.