Compartilhar via


Serviços de Domínio do Active Directory

 

Tópico modificado em: 2012-10-15

Os Serviços de Domínio Active Directory funcionam como o serviço de diretório do Windows Server 2003, do Windows Server 2008 e das redes do Windows Server 2008 R2. Os Serviços de Domínio Active Directory também servem como a base na qual a infraestrutura de segurança do Microsoft Lync Server 2010 é criada. O objetivo desta seção é descrever como o Lync Server 2010 usa os Serviços de Domínio Active Directory para criar um ambiente confiável para mensagens instantâneas, Webconferência, mídia e voz. Para obter detalhes sobre as extensões do Lync Server para os Serviços de Domínio Active Directory e sobre como preparar o ambiente para os Serviços de Domínio Active Directory, consulte Preparando os Serviços de Domínio do Active Directory para o Lync Server 2010 na documentação de Implantação. Para obter detalhes sobre a função dos Serviços de Domínio Active Directory em redes do Windows Server, consulte a documentação da versão do sistema operacional que você está usando.

O Lync Server 2010 usa os Serviços de Domínio Active Directory para armazenar:

  • As configurações globais exigidas para todos os servidores que executam o Lync Server 2010 em uma floresta.

  • As informações do serviço que identificam as funções de todos os servidores que executam o Lync Server 2010 em uma floresta.

  • Algumas configurações de usuário.

Infraestrutura do Active Directory

Os requisitos de infraestrutura do Active Directory incluem o seguinte:

  • Requisitos do sistema operacional para controladores de domínio

  • Requisitos de nível funcional de floresta e domínio

  • Requisitos de domínio do catálogo global

Para obter detalhes, consulte Requisitos de infraestrutura do Active Directory na documentação de Implantação.

Preparação dos Serviços de Domínio Active Directory

noteObservação:
Recomendamos que você implante as configurações globais no contêiner de Configuração em vez do contêiner do Sistema. Isso não melhora a segurança, mas pode resultar em melhorias de escalabilidade para algumas topologias dos Serviços de Domínio Active Directory. Se você estiver migrando do Microsoft Office Communications Server 2007 e tiver usado o contêiner do Sistema, mas planeja usar o contêiner de Configuração, DEVERÁ mover as configurações no contêiner do Sistema ANTES de fazer qualquer preparação de atualização. Para migrar as configurações do contêiner do Sistema para o contêiner de Configuração, consulte a Ferramenta de Migração de Configurações Globais do Office Communications Server 2007 em https://go.microsoft.com/fwlink/?linkid=145236&clcid=0x416.

Ao implantar o Lync Server 2010, a primeira etapa é preparar os Serviços de Domínio Active Directory. Preparar os Serviços de Domínio Active Directory para o Lync Server 2010 consiste nas três seguintes etapas:

  • Preparar Esquema. Esta tarefa estende o esquema dos Serviços de Domínio Active Directory para incluir classes e atributos específicos ao Lync Server 2010. Para obter detalhes sobre como preparar o esquema, consulte Executando a preparação do esquema na documentação de Implantação. Para obter detalhes sobre o esquema, consulte Referência dos serviços de domínio do Active Directory na documentação de Implantação

  • Preparar Floresta. Esta tarefa cria objetos e configurações globais no domínio raiz da floresta, juntamente com os grupos universais administrativos e de serviços que regulam o acesso a esses objetos e configurações. Para obter detalhes sobre como preparar a floresta, consulte Executando a preparação da floresta na documentação de Implantação.

  • Preparar Domínio. Esta tarefa adiciona as ACEs (entradas de controle de acesso) a grupos universais que concedem permissões para hospedar e gerenciar usuários dentro do domínio. Esta tarefa deve ser concluída em todos os domínios onde você deseja implantar servidores que executam o Lync Server 2010 e todos os domínios onde residem seus usuários do Lync Server. Para obter detalhes sobre como preparar o domínio, consulte Executando a preparação do domínio na documentação de Implantação.

Para uma visão geral sobre o processo completo de preparação do Active Directory e os direitos e permissões necessárias para executar cada etapa, consulte Requisitos de infraestrutura do Active Directory na documentação de Implantação.

Grupos universais

Durante a preparação da floresta, o Lync Server 2010 cria vários grupos universais dentro dos Serviços de Domínio Active Directory que têm permissão para acessar e gerenciar as configurações e os serviços globais. Esses grupos universais incluem:

  • Grupos administrativos. Esses grupos definem as funções de administrador fundamentais para uma rede do Lync Server. Durante a preparação da floresta, esses grupos de administrador são adicionados aos grupos de infraestrutura do Lync Server.

  • Grupos de serviço. Esses grupos são contas de serviço necessárias para acessar vários serviços fornecidos pelo Lync Server.

  • Grupos de infraestrutura. Esses grupos fornecem permissão para acessar áreas específicas da infraestrutura do Lync Server. Eles funcionam como componentes de grupos administrativos e você não deve modificá-los ou adicionar usuários diretamente a eles. Durante a preparação da floresta, os grupos específicos de serviço e administração são adicionados aos grupos apropriados de infraestrutura.

Para obter detalhes sobre os grupos universais específicos criados ao preparar o AD para o Lync Server, bem como os grupos de serviço e administração que são adicionados aos grupos de infraestrutura, consulte Alterações feitas pela preparação da floresta na documentação de Implantação.

noteObservação:
O Lync Server 2010 oferece suporte a grupos universais no Windows Server 2008 R2 e no Windows Server 2008 para servidores que executam o Lync Server 2010, assim como os sistemas operacionais Windows Server 2003 para controladores de domínio. Os membros de grupos universais podem incluir outros grupos e contas de qualquer domínio na árvore ou floresta de domínios e podem receber permissões em qualquer domínio na árvore ou floresta de domínios. O suporte a grupos universais, combinado com a delegação de administrador, simplifica o gerenciamento de uma implantação do Lync Server. Por exemplo, não é necessário adicionar um domínio para outro para permitir que um administrador gerencie os dois.

Controle de Acesso Baseado em Função

Além de criar grupos universais de serviço e administração e adicionar os grupos de serviço e administração as grupos universais apropriados, a preparação de floresta também cria os grupos RBAC (controle de acesso baseado em função). Para obter detalhes sobre os grupos RBAC específicos criados pela preparação da floresta, consulte Alterações feitas pela preparação da floresta na documentação de Implantação. Para obter mais informações sobre os grupos RBAC, consulte Controle de acesso baseado em função (RBAC).

Entradas de Controle de Acesso (ACEs) e herança

A preparação de floresta cria ACEs particulares e públicas e adiciona as ACEs aos grupos universais criados. Ele cria ACEs particulares específicas no contêiner de configurações globais usado pelo Lync Server. Esse contêiner é usado somente pelo Lync Server e está localizado no contêiner de Configuração ou no contêiner do Sistema do domínio raiz, dependendo de onde você armazenou as configurações globais.

A etapa de preparação do domínio adiciona ACEs (entradas de controle de acesso) a grupos universais que concedem permissões para hospedar e gerenciar usuários dentro do domínio. A preparação de domínio cria ACEs na raiz do domínio e três contêineres internos: Usuários, Computadores e Controladores de Domínio.

Para obter detalhes sobre as ACEs públicas criadas e adicionadas pela preparação da floresta e preparação do domínio, consulte Alterações feitas pela preparação da floresta e Alterações feitas pela preparação de domínio na documentação de Implantação.

As organizações geralmente bloqueiam o AD DS (Serviços de Domínio Active Directory) para ajudar a atenuar os riscos de segurança. No entanto, um ambiente bloqueado do Active Directory pode limitar as permissões exigidas pelo Lync Server 2010. Isso pode incluir a remoção das ACEs de contêineres e OUs e a desabilitação da herança de permissões nos objetos User, Contact, InetOrgPerson ou Computer. Em um ambiente bloqueado do Active Directory, as permissões devem ser definidas manualmente em contêineres e UOs que necessitam deles. Para obter detalhes, consulte Preparando Serviços de Domínio do Active Directory bloqueados na documentação de Implantação.

Informações do servidor

Durante a ativação, o Lync Server 2010 publica as informações do servidor nos seguintes três locais nos Serviços de Domínio Active Directory:

  • Um SCP (ponto de conexão de serviço) em cada objeto de computador do Active Directory correspondente a um computador físico no qual o Lync Server 2010 está instalado.

  • Objetos de servidor criados no contêiner da classe msRTCSIP-Pools.

  • Servidores confiáveis especificados na Construtor de Topologias.

Pontos de conexão de serviço

Cada objeto do Lync Server 2010 nos Serviços de Domínio Active Directory tem um SCP chamado Serviços RTC, que contém um número de atributos que identificam cada computador e especificam os serviços que ele fornece. Entre os atributos do SCP mais importantes estão serviceDNSName, serviceDNSNameType, serviceClassname e serviceBindingInformation. Os aplicativos de gerenciamento de ativos de terceiros podem recuperar informações do servidor em uma implantação consultando nesses e em outros atributos do SCP.

Objetos de servidor do Active Directory

Cada função de servidor do Lync Server 2010 tem um objeto do Active Directory correspondente, cujos atributos definem os serviços fornecidos por essa função. Além disso, quando um servidor Standard Edition é ativado ou quando um pool do Enterprise Edition é criado, o Lync Server 2010 cria um novo objeto msRTCSIPPool no contêiner msRTCSIP-Pools. A classe msRTCSIP-Pool especifica o FQDN (nome de domínio totalmente qualificado) do pool, juntamente com a associação entre os componentes de front-end e back-end do pool. (Um servidor Standard Edition é considerado um pool lógico cujos front-end e back-end são colocados em um único computador.)

Servidores confiáveis

No Lync Server 2010, os servidores confiáveis são aqueles especificados quando você executa o Construtor de Topologias e publica sua topologia. A topologia publicada, incluindo todas as informações do servidor, é armazenada no repositório de Gerenciamento Central. Somente os servidores definidos no repositório de Gerenciamento Central são confiáveis. No Lync Server 2010, um servidor confiável é aquele que atende aos seguintes critérios:

  • O FQDN do servidor ocorre na topologia armazenada no repositório de Gerenciamento Central.

  • O servidor apresenta um certificado válido de uma CA confiável. Para obter detalhes, consulte Certificados para Lync Server 2010.

Quando um dos seguintes critérios está ausente, o servidor não é confiável e a conexão com ele é recusada. Esse requisito duplo impede um possível ataque, embora improvável, em que um servidor não autorizado tenta assumir o FQDN do servidor válido.

Além disso, para permitir que as implantações do Microsoft Office Communications Server 2007 R2 e do Microsoft Office Communications Server 2007 se comuniquem com os servidores do Lync Server 2010, o Lync Server 2010 cria contêineres durante a preparação da floresta para manter listas de servidores confiáveis para versões anteriores. A tabela a seguir descreve os contêineres criados para permitir a compatibilidade com implementações anteriores.

Listas de servidores confiáveis e seus contêineres do Active Directory para compatibilidade com versões anteriores

Lista de servidores confiáveis Contêiner do Active Directory

Servidores Standard Edition e Servidores Fron-End do pool Enterprise

Serviço RTC/Configurações Globais

Servidores de Conferência

Serviço RTC/MCUs confiáveis

Servidores de Web Components

Serviço RTC/TrustedWebComponentsServers

Servidores de Mediação e Servidores do Communicator Web Access, Servidor de Aplicativos, Registrador com QoE, Serviço de Conferência A/V (além de servidores SIP de terceiros)

Serviço RTC/serviços confiáveis

Servidores Proxy

O Lync Server 2010 não oferece suporte a compatibilidade com versões anteriores para servidores proxy

Para obter detalhes sobre os servidores confiáveis em versões anteriores, consulte a documentação de Segurança do Office Communications Server 2007 R2 em https://go.microsoft.com/fwlink/?linkid=154162&clcid=0x416 e a documentação de Segurança do Office Communications Server 2007 em https://go.microsoft.com/fwlink/?linkid=213307&clcid=0x416. Para oferecer suporte aos servidores confiáveis de versões anteriores, você deve executar a ferramenta de compatibilidade com versões anteriores. Para obter detalhes sobre como executar a ferramenta de compatibilidade com versões anteriores, consulte a migração do Office Communications Server 2007 R2 para o Lync Server 2010 em https://go.microsoft.com/fwlink/?linkid=205475&clcid=0x416 e a migração do Office Communications Server 2007 para o Lync Server 2010 em https://go.microsoft.com/fwlink/?linkid=205476&clcid=0x416.