services de domaine Active Directory pour Lync Server 2013
Rubrique Dernière modification : 2013-11-13
services de domaine Active Directory fonctionne comme service d’annuaire pour les réseaux Windows Server 2003, Windows Server 2008, Windows Server 2012 et Windows Server 2012 R2. services de domaine Active Directory sert également de base à la construction de l’infrastructure de sécurité Microsoft Lync Server 2013. L’objectif de cette section est de décrire comment Lync Server 2013 utilise services de domaine Active Directory pour créer un environnement digne de confiance pour la messagerie instantanée, la conférence Web, les médias et la voix. Pour plus d’informations sur les extensions Lync Server à services de domaine Active Directory et sur la préparation de votre environnement pour services de domaine Active Directory, consultez Préparation services de domaine Active Directory pour Lync Server 2013 dans la documentation déploiement. Pour plus d’informations sur le rôle de services de domaine Active Directory dans les réseaux Windows Server, consultez la documentation relative à la version du système d’exploitation que vous utilisez.
Lync Server 2013 utilise services de domaine Active Directory pour stocker :
Paramètres globaux requis par tous les serveurs exécutant Lync Server 2013 dans une forêt.
Informations de service qui identifient les rôles de tous les serveurs exécutant Lync Server 2013 dans une forêt.
Certains paramètres utilisateur.
Active Directory Infrastructure
Les exigences d’infrastructure pour Active Directory sont les suivantes :
Systèmes d’exploitation requis pour les contrôleurs de domaine
Exigences de niveau fonctionnel de domaine et de forêt
Exigences de domaine de catalogue global
Pour plus d’informations, consultez les exigences d’infrastructure Active Directory pour Lync Server 2013 dans la documentation de déploiement.
préparation services de domaine Active Directory
Remarque
Nous vous recommandons de déployer des paramètres globaux sur le conteneur configuration au lieu du conteneur système. Cela n’améliore pas la sécurité, mais peut entraîner des améliorations de l’extensibilité pour certaines topologies services de domaine Active Directory. Si vous effectuez une migration à partir de Microsoft Office Communications Server 2007 et que vous avez utilisé le conteneur système, mais que vous prévoyez d’utiliser le conteneur de configuration, vous devez déplacer les paramètres dans le conteneur système avant de procéder à des préparations de mise à niveau. Pour migrer vos paramètres de conteneur système vers le conteneur de configuration, consultez l’outil de migration des paramètres globaux Office Communications Server 2007 à l’adresse https://go.microsoft.com/fwlink/p/?LinkId=145236suivante :
Lors du déploiement de Lync Server 2013, la première étape consiste à préparer services de domaine Active Directory. La préparation de services de domaine Active Directory pour Lync Server 2013 se compose des trois étapes suivantes :
Préparer le schéma. Cette tâche étend le schéma dans services de domaine Active Directory pour inclure des classes et des attributs spécifiques à Lync Server 2013. Pour plus d’informations sur la préparation du schéma, consultez La préparation du schéma En cours d’exécution d’Active Directory dans Lync Server 2013 dans la documentation de déploiement. Pour plus d’informations, consultez Migration d’Office Communications Server 2007 R2 vers Lync Server 2013.
Préparer la forêt. Cette tâche crée des paramètres globaux et des objets dans le domaine racine de forêt, ainsi que le service universel et les groupes d’administration qui régissent l’accès à ces paramètres et objets. Pour plus d’informations sur la préparation de la forêt, consultez La préparation de la forêt en cours d’exécution pour Lync Server 2013 dans la documentation de déploiement.
Préparer le domaine. Cette tâche ajoute les entrées de contrôle d’accès nécessaires aux groupes universels qui accordent des autorisations pour héberger et gérer des utilisateurs au sein du domaine. Cette tâche doit être effectuée dans tous les domaines où vous souhaitez déployer des serveurs exécutant Lync Server 2013 et tous les domaines où résident vos utilisateurs Lync Server. Pour plus d’informations sur la préparation du domaine, consultez La préparation du domaine en cours d’exécution pour Lync Server 2013 dans la documentation de déploiement.
Pour obtenir une vue d’ensemble du processus complet de préparation d’Active Directory et des droits et autorisations nécessaires pour effectuer chaque étape, consultez les exigences d’infrastructure Active Directory pour Lync Server 2013 dans la documentation déploiement.
Groupes universels
Pendant la préparation de la forêt, Lync Server 2013 crée différents groupes universels dans services de domaine Active Directory qui ont l’autorisation d’accéder aux paramètres et services globaux et de les gérer. Ces groupes universels incluent :
Groupes administratifs. Ces groupes définissent les rôles d’administrateur fondamentaux pour un réseau Lync Server. Pendant la préparation de la forêt, ces groupes d’administrateurs sont ajoutés aux groupes d’infrastructure Lync Server.
Groupes de service. Ces groupes sont des comptes de service qui sont nécessaires pour accéder aux différents services fournis par Lync Server.
Groupes d’infrastructure. Ces groupes fournissent l’autorisation d’accéder à des zones spécifiques de l’infrastructure Lync Server. Ils fonctionnent comme des composants de groupes administratifs et vous ne devez pas les modifier ni leur ajouter directement des utilisateurs. Lors de la préparation de la forêt, des groupes de service et d’administration spécifiques sont ajoutés aux groupes d’infrastructure appropriés.
Pour plus d’informations sur les groupes universels spécifiques créés lors de la préparation d’AD pour Lync Server, ainsi que sur les groupes de service et d’administration qui sont ajoutés aux groupes d’infrastructure, consultez Modifications apportées par la préparation de la forêt dans Lync Server 2013 dans la documentation de déploiement.
Remarque
Lync Server 2013 prend en charge les groupes universels dans Windows Server 2012 pour les serveurs exécutant Lync Server 2013, ainsi que les systèmes d’exploitation Windows Server 2003 pour les contrôleurs de domaine. Les membres de groupes universels peuvent inclure d’autres groupes et comptes provenant de n’importe quel domaine de l’arbre ou de la forêt de domaines et peuvent se voir attribuer des autorisations dans n’importe quel domaine également. La prise en charge des groupes universels, combinée à la délégation d’administrateur, simplifie la gestion d’un déploiement Lync Server. Par exemple, il n’est pas nécessaire d’ajouter un domaine à un autre domaine pour permettre à un administrateur de les gérer tous les deux.
Contrôle d’accès basé sur un rôle
En plus de créer des groupes de service et d’administration universels et d’ajouter des groupes de service et d’administration aux groupes universels appropriés, la préparation de forêt crée également des groupes de Contrôle d’accès basé sur un rôle (RBAC). Pour plus d’informations sur les groupes RBAC spécifiques créés par la préparation de la forêt, consultez Modifications apportées par la préparation de la forêt dans Lync Server 2013 dans la documentation de déploiement. Pour plus d’informations sur les groupes RBAC, consultez le contrôle d’accès en fonction du rôle (RBAC) pour Lync Server 2013.
Entrées de contrôle d’accès (ACE) et héritage
La préparation de la forêt crée des ACE privées et publiques et ajoute des ACE pour les groupes universels qu’elle crée. Il crée des CÉR privés spécifiques sur le conteneur de paramètres globaux utilisé par Lync Server. Ce conteneur est utilisé uniquement par Lync Server et se trouve soit dans le conteneur de configuration, soit dans le conteneur système dans le domaine racine, selon l’emplacement où vous stockez les paramètres globaux.
L’étape de préparation du domaine ajoute les entrées de contrôle d’accès (ACE) nécessaires aux groupes universels qui permettent d’héberger et de gérer les utilisateurs au sein du domaine. La préparation de domaine crée des ACE à la racine du domaine et dans trois conteneurs intégrés : Utilisateur, Ordinateurs et Contrôleurs de domaine.
Pour plus d’informations sur les CÉR publiques créées et ajoutées par la préparation de la forêt et la préparation du domaine, consultez Les modifications apportées par la préparation de la forêt dans Lync Server 2013 et les modifications apportées par la préparation du domaine dans Lync Server 2013 dans la documentation de déploiement.
Les organisations verrouillent souvent services de domaine Active Directory (AD DS) pour atténuer les risques de sécurité. Toutefois, un environnement Active Directory verrouillé peut limiter les autorisations requises par Lync Server 2013. Ceci peut inclure la suppression des ACE des conteneurs et des unités d’organisation (OU) et la désactivation de l’héritage des autorisations sur les objets Utilisateur, Contact, InetOrgPerson ou Ordinateur. Dans un environnement Active Directory verrouillé, les autorisations doivent être définies manuellement sur les conteneurs et les unités d’organisation qui en ont besoin. Pour plus d’informations, consultez Préparation d’un services de domaine Active Directory verrouillé dans Lync Server 2013 dans la documentation de déploiement.
Informations du serveur
Pendant l’activation, Lync Server 2013 publie les informations du serveur aux trois emplacements suivants dans services de domaine Active Directory :
Un point de connexion de service (SCP) sur chaque objet d’ordinateur Active Directory correspondant à un ordinateur physique sur lequel Lync Server 2013 est installé.
Les objets Serveur créés dans le conteneur de la classe msRTCSIP-Pools.
Serveurs approuvés spécifiés dans le Générateur de topologie.
Points de connexion de service
Chaque objet Lync Server 2013 dans services de domaine Active Directory a un SCP appelé RTC Services, qui à son tour contient un certain nombre d’attributs qui identifient chaque ordinateur et spécifient les services qu’il fournit. Parmi les attributs des points de connexion de service les plus importants se trouvent serviceDNSName , serviceDNSNameType , serviceClassname et serviceBindingInformation . Les applications de gestion des actifs tiers peuvent récupérer les informations du serveur sur un déploiement en émettant des requêtes concernant ces données et d’autres attributs de points de connexion de service.
Objets serveur Active Directory
Chaque rôle serveur Lync Server 2013 a un objet Active Directory correspondant dont les attributs définissent les services fournis par ce rôle. En outre, lorsqu’un serveur Standard Edition est activé ou lorsqu’un pool Êdition Entreprise est créé, Lync Server 2013 crée un objet msRTCSIP-Pool dans le conteneur msRTCSIP-Pools. La classe msRTCSIP-Pool spécifie le nom de domaine complet (FQDN) du pool, ainsi que l’association entre les composants frontaux et principaux du pool. (Un serveur Standard Edition est considéré comme un pool logique dont les serveurs avant et arrière sont colocalisés sur un seul ordinateur.)
Serveurs approuvés
Dans Lync Server 2013, les serveurs approuvés sont les serveurs spécifiés lorsque vous exécutez le Générateur de topologie et publiez votre topologie. La topologie publiée, y compris toutes les informations du serveur, est enregistrée dans le magasin central de gestion. Seuls les serveurs définis dans le magasin central de gestion sont approuvés. Dans Lync Server 2013, un serveur approuvé répond aux critères suivants :
Le nom de domaine complet (FQDN) du serveur se trouve dans la topologie enregistrée dans le magasin central de gestion.
Le serveur présente un certificat valide d’une autorité de certification approuvée. Pour plus d’informations, consultez la configuration requise pour l’infrastructure de certificat pour Lync Server 2013.
Si l’un de ces critères est manquant, le serveur n’est pas approuvé et la connexion avec celui-ci est refusée. Cette double exigence évite une attaque éventuelle, mais peu probable, dans laquelle un serveur malveillant tente de s’emparer du nom de domaine complet d’un serveur valide.
En outre, pour permettre aux déploiements Microsoft Office Communications Server 2007 R2 et Microsoft Office Communications Server 2007 de communiquer avec les serveurs Lync Server 2013, Lync Server 2013 crée des conteneurs pendant la préparation de la forêt pour conserver des listes de serveurs approuvés pour les versions précédentes. Le tableau suivant décrit les conteneurs créés pour permettre la compatibilité avec les déploiements précédents.
Listes de serveurs approuvés et leurs conteneurs Active Directory pour la compatibilité avec les versions précédentes
| Liste des serveurs approuvés | Conteneur Active Directory |
|---|---|
Serveurs Standard Edition et serveurs frontaux du pool d’entreprise |
RTC Service/Paramètres globaux |
Serveurs de conférence |
RTC Service/MCU approuvés |
Serveurs de composants Web |
RTC Service/TrustedWebComponentsServers |
Serveurs de médiation et serveurs Communicator Web Access, serveur d’application, serveur d’inscriptions avec QoE, service de conférence A/V (également serveurs SIP tiers) |
RTC Service/Services approuvés |
Serveurs proxy |
Lync Server 2013 ne prend pas en charge la compatibilité descendante pour les serveurs proxy |
Pour prendre en charge les serveurs approuvés des versions précédentes, vous devez exécuter l’outil d’analyseur des meilleures pratiques. Pour plus d’informations sur l’exécution de l’analyseur des meilleures pratiques, consultez https://go.microsoft.com/fwlink/p/?LinkId=330633.