Protection des services Internet (IIS) dans Lync Server 2013

 

Rubrique Dernière modification : 2013-12-05

Dans Microsoft Office Communications Server 2007 et Microsoft Office Communications Server 2007 R2, Internet Information Services (IIS) s’exécutait sous un compte d’utilisateur standard. Cela peut entraîner des problèmes : si ce mot de passe a expiré, vous risquez de perdre vos services Web, un problème souvent difficile à diagnostiquer. Pour éviter le problème d’expiration des mots de passe, Microsoft Lync Server 2013 vous permet de créer un compte d’ordinateur (pour un ordinateur qui n’existe pas réellement) qui peut servir de principal d’authentification pour tous les ordinateurs d’un site exécutant IIS. Étant donné que ces comptes utilisent le protocole d’authentification Kerberos, les comptes sont appelés comptes Kerberos et le nouveau processus d’authentification est appelé authentification web Kerberos. Cela vous permet de gérer tous vos serveurs IIS à l’aide d’un seul compte.

Pour exécuter vos serveurs sous ce principal d’authentification, vous devez d’abord créer un compte d’ordinateur à l’aide de l’applet de commande New-CsKerberosAccount ; ce compte est ensuite affecté à un ou plusieurs sites. Une fois l’affectation effectuée, l’association entre le compte et le site Lync Server 2013 est activée en exécutant l’applet de commande Enable-CsTopology. Entre autres choses, cela crée le nom de principal de service (SPN) requis dans services de domaine Active Directory (AD DS). Les noms SPN permettent aux applications clientes de localiser un service. Pour plus d’informations, consultez New-CsKerberosAccount dans la documentation Sur les opérations.

Meilleures pratiques

Pour renforcer la sécurité d’IIS, nous vous recommandons d’implémenter un compte Kerberos pour IIS. Si vous n’implémentez pas de compte Kerberos, IIS s’exécute sous un compte d’utilisateur standard.