Active Directory Domain Services Lync Server 2013
Tópico Última Modificação: 11-11-2013
Active Directory Domain Services funciona como o serviço de diretório para redes Do Windows Server 2003, Windows Server 2008, Windows Server 2012 e Windows Server 2012 R2. Active Directory Domain Services também serve como a base na qual a infraestrutura de segurança do Microsoft Lync Server 2013 é criada. A finalidade desta seção é descrever como o Lync Server 2013 usa o Active Directory Domain Services para criar um ambiente confiável para mensagens instantâneas, webconferências, mídia e voz. Para obter detalhes sobre as extensões do Lync Server para Active Directory Domain Services e sobre como preparar seu ambiente para o Active Directory Domain Services, consulte Preparando o Active Directory Domain Services para o Lync Server 2013 na documentação de implantação. Para obter detalhes sobre a função Active Directory Domain Services nas redes do Windows Server, consulte a documentação da versão do sistema operacional que você está usando.
O Lync Server 2013 usa Active Directory Domain Services para armazenar:
Configurações globais que todos os servidores que executam o Lync Server 2013 em uma floresta exigem.
Informações de serviço que identificam as funções de todos os servidores que executam o Lync Server 2013 em uma floresta.
Algumas configurações de usuário.
Infraestrutura do Active Directory
Os requisitos de infraestrutura para o Active Directory incluem o seguinte:
Requisitos do sistema operacional para controladores de domínio
Requisitos de níveis funcionais de domínio e de floresta
Requisitos de domínio do catálogo global
Para obter detalhes, consulte os requisitos de infraestrutura do Active Directory para o Lync Server 2013 na documentação de implantação.
Active Directory Domain Services preparação
Nota
Recomendamos que você implante configurações globais no contêiner de configuração em vez do contêiner do sistema. Isso não melhora a segurança, mas pode resultar em melhorias de escalabilidade para algumas Active Directory Domain Services topologias. Se você estiver migrando do Microsoft Office Communications Server 2007 e tiver usado o contêiner do sistema, mas planeja usar o contêiner de configuração, deverá mover as configurações no contêiner do sistema antes de realizar as preparações de atualização. Para migrar as configurações de contêiner do sistema para o contêiner de configuração, consulte a Ferramenta de Migração de Configurações Globais do Office Communications Server 2007 em https://go.microsoft.com/fwlink/p/?LinkId=145236.
Ao implantar o Lync Server 2013, a primeira etapa é preparar Active Directory Domain Services. A preparação Active Directory Domain Services para o Lync Server 2013 consiste nas três etapas a seguir:
Preparar esquema. Essa tarefa estende o esquema no Active Directory Domain Services para incluir classes e atributos específicos do Lync Server 2013. Para obter detalhes sobre como preparar o esquema, consulte Executando a preparação de esquema do Active Directory no Lync Server 2013 na documentação de implantação. Para obter mais informações, consulte Migração do Office Communications Server 2007 R2 para o Lync Server 2013.
Prepare a floresta. Essa tarefa cria configurações globais e objetos no domínio raiz da floresta, juntamente com o serviço universal e os grupos administrativos que regem o acesso a essas configurações e objetos. Para obter detalhes sobre como preparar a floresta, consulte a preparação da floresta em execução para o Lync Server 2013 na documentação de implantação.
Preparar Domínio. Essa tarefa adiciona as ACEs (entradas de controle de acesso) necessárias a grupos universais que concedem permissões para hospedar e gerenciar usuários dentro do domínio. Essa tarefa deve ser concluída em todos os domínios em que você deseja implantar servidores que executam o Lync Server 2013 e quaisquer domínios em que os usuários do Lync Server residem. Para obter detalhes sobre como preparar o domínio, consulte a preparação de domínio em execução para o Lync Server 2013 na documentação de implantação.
Para obter uma visão geral do processo completo para preparar o Active Directory e os direitos e permissões necessários para executar cada etapa, consulte os requisitos de infraestrutura do Active Directory para o Lync Server 2013 na documentação de implantação.
Grupos Universais
Durante a preparação da floresta, o Lync Server 2013 cria vários grupos universais dentro Active Directory Domain Services que têm permissão para acessar e gerenciar configurações e serviços globais. Esses grupos universais incluem:
Grupos Administrativos. Esses grupos definem as funções de administrador fundamentais para uma rede do Lync Server. Durante a preparação da floresta, esses grupos de administradores são adicionados aos grupos de infraestrutura do Lync Server.
Grupos de Serviços. Esses grupos são contas de serviço que são necessárias para acessar vários serviços fornecidos pelo Lync Server.
Grupos de infraestrutura. Esses grupos fornecem permissão para acessar áreas específicas da infraestrutura do Lync Server. Eles funcionam como componentes dos grupos administrativos e você não deve modificá-los nem adicionar usuários diretamente a eles. Durante a preparação da floresta, grupos de serviços e de administração específicos são adicionados aos grupos de infraestrutura adequados.
Para obter detalhes sobre os grupos universais específicos criados ao preparar o AD para o Lync Server, bem como os grupos de serviço e administração que são adicionados aos grupos de infraestrutura, consulte Alterações feitas pela preparação da floresta no Lync Server 2013 na documentação de implantação.
Nota
O Lync Server 2013 dá suporte aos grupos universais no Windows Server 2012 para servidores que executam o Lync Server 2013, bem como sistemas operacionais Windows Server 2003 para controladores de domínio. Os membros dos grupos universais podem incluir outros grupos e contas de qualquer domínio na árvore ou floresta de domínio e podem receber permissões em qualquer domínio na árvore ou floresta de domínio. O suporte a grupos universais, combinado com a delegação de administrador, simplifica o gerenciamento de uma implantação do Lync Server. Por exemplo, não é necessário adicionar um domínio a outro para permitir que um administrador os gerencie.
Controle de Acesso Baseado em Função
Além de criar grupos de serviços e administração universais e de adicionar grupos de serviços e de administração aos grupos universais adequados, a preparação da floresta também cria grupos de Controle de acesso baseado em função (RBAC). Para obter detalhes sobre os grupos RBAC específicos criados pela preparação da floresta, consulte Alterações feitas pela preparação da floresta no Lync Server 2013 na documentação de implantação. Para obter mais informações sobre grupos RBAC, consulte RBAC (controle de acesso baseado em função ) para Lync Server 2013.
Entradas de controle de acesso (ACEs) e Herança
A preparação da floresta cria ACEs privadas e públicas, adicionando ACEs nos grupos universais criados. Ele cria ACEs privadas específicas no contêiner de configurações globais usado pelo Lync Server. Esse contêiner é usado apenas pelo Lync Server e está localizado no contêiner de Configuração ou no contêiner do sistema no domínio raiz, dependendo de onde você armazena as configurações globais.
A etapa de preparação do domínio adiciona entradas de controle de acesso (ACEs) necessárias aos grupos universais que concedem permissões para hospedar e gerenciar usuários no domínio. A preparação do domínio cria ACEs no domínio raiz e três contêiners integrados: Usuário, Computadores e Controladores de Domínio.
Para obter detalhes sobre as ACEs públicas criadas e adicionadas pela preparação da floresta e pela preparação do domínio, consulte Alterações feitas pela preparação da floresta no Lync Server 2013 e Alterações feitas pela preparação do domínio no Lync Server 2013 na documentação de implantação.
As organizações geralmente bloqueiam Active Directory Domain Services (AD DS) para ajudar a reduzir os riscos de segurança. No entanto, um ambiente bloqueado do Active Directory pode limitar as permissões que o Lync Server 2013 requer. Isso inclui remover ACEs dos contêineres e OUs e desabilitar a herança de permissões nos objetos de Usuário, Contato, InetOrgPerson ou Computador. Em um ambiente bloqueado do Active Directory, as permissões devem ser definidas manualmente em contêineres e UOs que as exijam. Para obter detalhes, consulte Preparando um Active Directory Domain Services bloqueado no Lync Server 2013 na documentação de implantação.
Informações do servidor
Durante a ativação, o Lync Server 2013 publica informações do servidor nos três seguintes locais no Active Directory Domain Services:
Um SCP (ponto de conexão de serviço) em cada objeto de computador do Active Directory correspondente a um computador físico no qual o Lync Server 2013 está instalado.
Objetos de servidor criados no contêiner da classe msRTCSIP-Pools.
Servidores confiáveis especificados no Construtor de Topologias.
Pontos de conexão de serviço
Cada objeto do Lync Server 2013 no Active Directory Domain Services tem um SCP chamado RTC Services, que, por sua vez, contém vários atributos que identificam cada computador e especificam os serviços que ele fornece. Dentre os atributos SCP mais importantes estão serviceDNSName, serviceDNSNameType, serviceClassname e serviceBindingInformation. Os aplicativos de gerenciamento de ativos de terceiros podem recuperar informações do servidor em uma implantação consultando esses e outros atributos SCP.
Objetos de servidor do Active Directory
Cada função de servidor do Lync Server 2013 tem um objeto do Active Directory correspondente cujos atributos definem os serviços fornecidos por essa função. Além disso, quando um servidor Standard Edition é ativado ou quando um pool do Edição Enterprise é criado, o Lync Server 2013 cria um novo objeto msRTCSIP-Pool no contêiner msRTCSIP-Pools. A classe msRTCSIP-Pool especifica o nome de domínio totalmente qualificado (FQDN) do pool, juntamente com a associação entre os componentes de front-end e back-end do pool. (Um servidor Standard Edition é considerado um pool lógico cujos front-ends e back-ends são colocados em um único computador.)
Servidores confiáveis
No Lync Server 2013, os servidores confiáveis são os especificados quando você executa o Construtor de Topologias e publica sua topologia. A topologia publicada, incluindo todas informações de servidor, é armazenada no Repositório de Gerenciamento Central. Apenas servidores definidos no Repositório de Gerenciamento Central são confiáveis. No Lync Server 2013, um servidor confiável é aquele que atende aos seguintes critérios:
O FQDN do servidor é apresentado na topologia armazenada no Repositório de gerenciamento central.
O servidor apresenta um certificado válido de uma CA confiável. Para obter detalhes, consulte Requisitos de infraestrutura de certificado para o Lync Server 2013.
Se algum desses critérios não for cumprido, o servidor não é confiável e a conexão será recusada. Este requisito duplo impede um possível, mesmo se improvável, ataque em que um servidor não autorizado tenta assumir um FQDN de um servidor válido.
Além disso, para permitir que as implantações do Microsoft Office Communications Server 2007 R2 e do Microsoft Office Communications Server 2007 se comuniquem com servidores do Lync Server 2013, o Lync Server 2013 cria contêineres durante a preparação da floresta para manter listas de servidores confiáveis para versões anteriores. A tabela a seguir descreve os contêineres criados para permitir a compatibilidade com implantações anteriores.
Listas de servidores confiáveis e seus contêineres do Active Directory para compatibilidade com versões anteriores
Lista de servidor confiável | Contêiner do Active Directory |
---|---|
Servidor Standard Edition e Servidor Front-End do Pool Enterprise |
Configurações globais/Serviço RTC |
Servidores de Conferência |
Serviço RTC/MCUs Confiáveis |
Servidores de componentes da Web |
Serviço RTC/TrustedWebComponentsServers |
Servidor de Mediação e Servidores do Communicator Web Access, Servidor de Aplicativo, Registrador do QoE, Serviço de Conferência A/V (também servidores SIP de terceiros) |
Serviço RTC/Serviços confiáveis |
Servidores proxy |
O Lync Server 2013 não dá suporte à compatibilidade com versões anteriores para servidores proxy |
Para dar suporte a servidores confiáveis de versões anteriores, você deve executar a ferramenta analisador de práticas recomendadas. Para obter detalhes sobre como executar o analisador de práticas recomendadas, consulte https://go.microsoft.com/fwlink/p/?LinkId=330633.