Requisitos de contas e permissões
Tópico modificado em: 2009-04-01
Os requisitos de segurança do Office Communications Server 2007 R2 incluem o seguinte:
- Credenciais administrativas
- Níveis de segurança
- Segurança do gateway de mídia
Credenciais administrativas
A tabela a seguir resume as permissões necessárias para implantar as diversas funções de servidor.
.gif "Dd425321.note(pt-br,office.13).gif") Observação: |
|---|
| Por padrão, é necessário ser membro do grupo Admins. do Domínio para implantar ou ativar um servidor que tenha ingressado em um domínio do Active Directory. Caso não deseje conceder esse nível de privilégio ao grupo ou a usuários que estão implantando o servidor do Office Communications Server, você poderá usar o assistente de delegação da instalação para fornecer a um grupo específico o subconjunto de permissões necessárias a essa tarefa. |
Tabela 1. Credenciais administrativas necessárias para as tarefas de implantação
| Procedimento | Funções ou credenciais administrativas necessárias |
|---|---|
Standard Edition |
|
Instalar o software de pré-requisito |
Grupo RTCUniversalServerAdmins Grupo Admins. do Domínio |
Preparar o AD DS (Serviços de Domínio Active Directory) |
Membro do grupo Administradores de Esquema e direitos de administrador no mestre de esquema Membro do grupo Administração de Empresa no domínio raiz da floresta Membro do grupo Administração de Empresa ou Admins. do Domínio |
Preparar o Windows para instalação |
Grupo Administradores |
Criar e verificar registros DNS |
Grupo Admins. de DNS |
Implantar e ativar o servidor Standard Edition e os aplicativos |
Grupo RTCUniversalServerAdmins Grupo Admins. do Domínio |
Configurar o servidor Standard Edition |
Grupo RTCUniversalServerAdmins |
Configurar os certificados para o Office Communications Server |
Grupo Administradores Grupo RTCUniversalServerAdmins |
Iniciar os serviços |
Grupo RTCUniversalServerAdmins |
Validar a configuração do servidor |
Grupo RTCUniversalServerAdmins |
Como opção, configurar a conferência A/V e a webconferência |
Grupo RTCUniversalServerAdmins |
Enterprise Edition, Topologia Consolidada |
|
Instalar o software de pré-requisito |
Grupo RTCUniversalServerAdmins Grupo Admins. do Domínio |
Preparar o AD DS |
Membro do grupo Administradores de Esquema e direitos de Administrador no mestre de esquema Membro do grupo Administração de Empresa no domínio raiz da floresta Membro do grupo Administração de Empresa ou Admins. do Domínio |
Preparar o Windows para instalação |
Grupo Administradores |
Instalar o SQL Server |
Administrador Local |
Configurar o SQL Server para o Office Communications Server |
Administrador do SQL Server Administrador local |
Como opção, configurar um balanceador de carga para o pool |
Administrador de balanceador de carga |
Criar e verificar registros DNS |
Grupo Admins. de DNS |
Criar o pool |
Grupo RTCUniversalServerAdmins Grupo Admins. do Domínio |
Configurar o pool e os aplicativos |
Grupo RTCUniversalServerAdmins |
Adicionar servidores ao pool |
Grupo Administradores Grupo RTCUniversalServerAdmins Grupo Admins. do Domínio |
Configurar os certificados para o Office Communications Server |
Grupo Administradores Grupo RTCUniversalServerAdmins |
Iniciar os serviços |
RTCUniversalServerAdmins |
Validar a configuração do servidor e do pool |
RTCUniversalServerAdmins |
Conferência discada |
|
Instalar e ativar o Office Communications Server 2007 R2 |
Grupo Administradores Grupo RTCUniversalServerAdmins Grupo Admins. do Domínio |
Ativar os aplicativos Atendedor de Conferência e Serviço de Comunicado de Conferência |
Grupo RTCUniversalServerAdmins Grupo Admins. do Domínio |
Instalar, ativar e configurar a versão 2007 R2 do servidor do Microsoft Office Communicator Web Access |
Grupo Administradores Grupo Admins. do Domínio |
Como opção, habilitar o acesso de usuário remoto ao Communicator Web Access |
Grupo Administradores Grupo Admins. do Domínio |
Testar a página da Web de conferência discada |
Usuário do Office Communications Server 2007 R2 |
Criar um ou mais perfis de localidade |
Grupo RTCUniversalServerAdmins |
Configurar uma política global para oferecer suporte à conferência discada |
Grupo RTCUniversalServerAdmins |
Implantar um Servidor de Mediação |
Grupo RTCUniversalServerAdmins |
Implantar um gateway de mídia básico de terceiros OU Configurar um Servidor de Mediação para executar o tronco SIP |
Grupo RTCUniversalServerAdmins (para configurar o Servidor de Mediação) Administração do provedor de tronco SIP |
Serviço de Grupo de Resposta |
|
Instalar e ativar o Office Communications Server 2007 R2 |
Grupo Administradores Grupo RTCUniversalServerAdmins Grupo Admins. do Domínio |
Ativar o aplicativo do Serviço de Grupo de Resposta |
Grupo RTCUniversalServerAdmins Grupo Admins. do Domínio |
Adicionar operadores, criar grupos de operadores e criar filas para o pool do servidor |
Grupo RTCUniversalServerAdmins |
Criar os fluxos de trabalho |
Grupo RTCUniversalServerAdmins |
Configurar a guia Grupo de Resposta |
Grupo Admins. do Domínio |
Servidor de Arquivamento |
|
Instalar o software de pré-requisito |
Grupo Administradores e Admins. do Domínio (para instalar o serviço de enfileiramento de mensagens com a integração com o Active Directory habilitada) |
Instalar e ativar o Servidor de Arquivamento |
Grupo Administradores Grupo Admins. do Domínio ou RTCUniversalServerAdmins |
Configurar associações do Servidor de Arquivamento |
Grupo Administradores |
Configurar usuários para arquivamento |
RTCUniversalUserAdmins grupo |
Iniciar os serviços de arquivamento |
Grupo RTCUniversalUserAdmins |
Monitoring Server |
|
Instalar o software de pré-requisito |
Grupo Administradores Grupo Admins. do Domínio (para instalar o serviço de enfileiramento de mensagens com a integração com o Active Directory habilitada) |
Instalar e ativar o Monitoring Server |
Grupo Administradores Grupo Admins. do Domínio ou RTCUniversalServerAdmins |
Iniciar os serviços |
Grupo Administradores |
Implantar relatórios do Monitoring Server |
Grupo Administradores |
Configurar associações do Monitoring Server |
Grupo Administradores |
Communicator Web Access |
|
Instalar e ativar |
Admins. do Domínio |
Criar servidor virtual |
Admins. do Domínio ou RTCUniversalServerAdmins e Administradores locais |
Publicar URLs do Communicator Web Access |
Admins. do Domínio ou RTCUniversalServerAdmins e administradores locais |
Gerenciar configurações do Communicator Web Access |
Admins. do Domínio ou RTCUniversalServerAdmins e administradores locais |
Chat de Grupo |
|
Criar banco de dados do SQL Server |
Administrador de banco de dados |
Configurar contas e permissões de Chat de Grupo |
Grupo Administradores |
Obter certificados para Chat de Grupo |
Grupo Administradores |
Instalar o Chat de Grupo |
Grupo Administradores |
Definir as configurações de site no IIS |
Grupo Administradores |
Conectar a Ferramenta de Administração de Chat de Grupo ao Chat de Grupo |
Grupo Administradores Administrador do serviço de canal |
Configurar o acesso de usuário do Chat de Grupo |
Grupo Administradores |
Implantar o suporte ao arquivamento e à conformidade |
Administrador de banco de dados Grupo Administradores |
Ferramentas Administrativas |
|
Instalar as Ferramentas Administrativas em um console administrativo centralizado que não esteja executando o Office Communications Server |
Grupo Administradores Grupo Admins. do Domínio |
Definir as configurações da conta do usuário |
RTCUniversalUserAdmins |
Definir todas as outras configurações (que não sejam as configurações da conta do usuário) |
RTCUniversalServerAdmins |
Servidor de Borda |
|
Configurar a infraestrutura dos Servidores de Borda |
Grupo Administradores |
Configurar os Servidores de Borda |
Grupo Administradores Grupo Admins. do Domínio ou RTCUniversalServerAdmins |
Configurar o ambiente |
Grupo Administradores Grupo Admins. do Domínio ou RTCUniversalServerAdmins |
Validar a configuração da borda |
Grupo Administradores Grupo Admins. do Domínio ou RTCUniversalServerAdmins |
Communicator Mobile para Windows Mobile |
|
Instalar os pré-requisitos |
Administrador |
Instalar o Communicator Mobile para Windows Mobile |
Administrador |
Instalar certificados autoassinados |
Administrador |
Configurar o cliente |
Administrador |
Testar mensagens instantâneas e presença |
Administrador |
Communicator Mobile para Java |
|
Verificar se os pré-requisitos e as dependências foram atendidos |
Administrador |
Implantar o componente do Communicator Mobile |
Administrador |
Instalar o software cliente Communicator Mobile para Java |
Administrador |
Configurar e usar o cliente |
Administrador |
Testar mensagens instantâneas e presença |
Administrador |
Controle de Voz Externo |
|
Instalar e ativar o Office Communications Server 2007 R2 |
Grupo Administradores Grupo RTCUniversalServerAdmins Grupo Admins. do Domínio |
Ativar o aplicativo de Controle de Voz Externo |
Grupo RTCUniversalServerAdmins Grupo Admins. do Domínio |
Iniciar o aplicativo |
Grupo RTCUniversalServerAdmins |
Testar a discagem do recurso de Voz Externo em um cliente móvel com suporte |
Usuário do Office Communications Server 2007 R2 |
Enterprise Voice com Coexistência de PBX |
|
Implantar o Office Communications Server, inclusive o Servidor de Mediação que estabelece a conexão com o PBX |
|
Implantar o Office Communicator 2007 |
Administrador no computador no qual o Office Communicator está sendo instalado |
Habilitar usuários para mensagens instantâneas e presença |
Grupo RTCUniversalUserAdmins |
Configurar o Communications Server para o Enterprise Voice |
Grupo RTCUniversalServerAdmins |
Configurar o PBX para bifurcar as chamadas para o Office Communications Server |
RTCUniversalServerAdmins (para obter informações do AD DS a fim de converter uma extensão no URI de telefone correto) |
Implantar gateways de mídia (se necessário) |
Os gateways de mídia são sistemas externos com seus próprios esquemas de autenticação e autorização. Se o gateway de mídia exigir a criação de entradas de serviço confiáveis, você precisará ser, pelo menos, um membro do grupo RTCUniversalServerAdmins. |
Implantar um gateway RCC (se necessário) |
Os gateways RCC são sistemas externos com seus próprios esquemas de autenticação e autorização. Você deverá ser, pelo menos, um membro do grupo RTCUniversalServerAdmins para criar as entradas de serviço confiáveis necessárias. |
Habilitar usuários para Enterprise Voice e integração de PBX |
Grupo RTCUniversalUserAdmins |
Enterprise Voice autônomo (sem coexistência de PBX) |
|
Implantar o Office Communications Server |
|
Implantar o Office Communicator 2007 |
Administrador no computador no qual o Office Communicator está sendo instalado |
Configurar o Office Communications Server para o Enterprise Voice |
Grupo RTCUniversalUserAdmins |
Implantar a Unificação de Mensagens do Exchange Server 2007 e configurá-la para integração com o Office Communications Server |
|
Implantar gateways de mídia |
Os gateways de mídia são sistemas externos com seus próprios esquemas de autenticação e autorização. Se o gateway de mídia exigir a criação de entradas de serviço confiáveis, você precisará ser, pelo menos, um membro do grupo RTCUniversalServerAdmins. |
Habilitar usuários para o Enterprise Voice |
Grupo RTCUniversalUserAdmins |
Serviço de Atualização de Dispositivo |
|
Implantação |
O Serviço de Atualização de Dispositivo é automaticamente instalado no Servidor de Web Components. Não há permissões de implantação específicas necessárias, fora as exigidas para implantar o Standard Edition ou o Enterprise Edition. |
Níveis de segurança
Os níveis de segurança necessários para implantar o Office Communications Server 2007 R2 dependem dos componentes que a sua organização planeja implantar.
Níveis de segurança do UM do Exchange
Um plano de discagem do UM (Unificação de Mensagens) do Exchange oferece suporte a três níveis de segurança diferentes: Unsecured, SIPSecured e Secured. Configure os níveis de segurança por meio do parâmetro VoipSecurity do plano de discagem do UM. A tabela a seguir mostra os níveis de segurança apropriados do plano de discagem, conforme o estado de habilitação dos protocolos MTLS (TLS mútuo) e/ou SRTP (Secure Real-Time Transport Protocol).
Tabela 2. Valores de VoipSecurity nas diversas combinações de TLS Mútuo e SRTP
| Nível de segurança | TLS mútuo | SRTP |
|---|---|---|
Unsecured |
Desabilitado |
Desabilitado |
SIPSecured |
Habilitado (necessário) |
Desabilitado |
Secured |
Habilitado (necessário) |
Habilitado (necessário) |
Ao integrar o UM do Exchange ao Communications Server 2007 R2, você precisa selecionar o nível de segurança mais apropriado ao plano de discagem de cada perfil de voz. Ao fazer essa seleção, você deve considerar o seguinte:
- O MTLS é necessário entre o UM do Exchange e o Office Communications Server. Portanto, o nível de segurança do plano de discagem não deve ser definido como Unsecured.
- Quando a segurança do plano de discagem é definida como SIPSecurity, o SRTP é desabilitado. Nesse caso, o nível de criptografia do cliente do Office Communicator 2007 R2 deve ser definido como rejeitado ou opcional.
- Quando a segurança do plano de discagem é definida como Secured, o SRTP é habilitado e exigido pelo UM do Exchange. Nesse caso, o nível de criptografia do cliente do Office Communicator 2007 R2 deve ser definido como opcional ou necessário.
Segurança do gateway de mídia
O fluxo de mídia bidirecional entre o Servidor de Mediação e a rede do Communications Server é criptografado com o uso de SRTP. Às organizações que contam com o protocolo IPsec para segurança de pacotes, recomenda-se criar uma exceção em um pequeno intervalo de portas de mídia, caso pretendam implantar o Enterprise Voice. As negociações de segurança necessárias ao protocolo IPsec funcionam para conexões UDP ou TCP normais, mas podem reduzir a velocidade de configuração das chamadas a níveis inaceitáveis.
Como um gateway de mídia recebe chamadas da PSTN, isso pode representar uma possível vulnerabilidade de segurança.
- Habilite o TLS no vínculo entre o gateway e o Servidor de Mediação. Isso garante que a sinalização seja criptografada de ponta a ponta entre o gateway e os usuários internos.
- Isole fisicamente o gateway de mídia da rede interna implantando o Servidor de Mediação em um computador com dois adaptadores de rede: o primeiro aceitando tráfego somente da rede interna e o segundo aceitando tráfego de um gateway de mídia. Cada placa é configurada com um endereço de escuta separado para que haja sempre uma separação clara entre o tráfego confiável originado na rede do Communications Server e o tráfego não confiável proveniente da PSTN.
A borda interna de um Servidor de Mediação deve ser configurada para corresponder a uma única rota estática descrita por um endereço IP e um número de porta. A porta padrão é 5061.
A borda externa de um Servidor de Mediação deve ser configurada como o proxy de próximo salto interno para o gateway de mídia. Ela deve ser identificada por uma combinação exclusiva de endereço IP e número de porta. O endereço IP não deve ser igual ao da borda interna, mas a porta padrão é 5060.