Поделиться через

Настройка пассивной проверки подлинности Lync Server 2013

  • Статья

 

Последнее изменение раздела: 2013-07-11

В следующем разделе описывается настройка Lync Server 2013 с накопительным пакетом Обновления: июль 2013 г. для поддержки пассивной проверки подлинности. После включения пользователям Lync, для которых включена двухфакторная проверка подлинности, потребуется использовать физическую или виртуальную смарт-карту и действительный ПИН-код для входа с помощью клиента Lync 2013 с накопительным пакетом Обновления: июль 2013 г.

Примечание.

Заказчикам настоятельно рекомендуется включить пассивную проверку подлинности для регистратора и веб-служб на уровне служб. Если для регистратора и веб-служб включена пассивная проверка подлинности на глобальном уровне, скорее всего, это приведет к сбоям проверки подлинности на уровне организации для пользователей, которые не выполняют вход с помощью Lync 2013 с накопительным пакетом Обновления: клиентский клиент клиента за июль 2013 г.

Конфигурация веб-служб

Ниже описана процедура создания настраиваемой конфигурации веб-служб для директоров, корпоративных пулов и серверов Standard Edition, для которых будет включена пассивная проверка подлинности.

Порядок создания настраиваемой конфигурации веб-служб

  1. Войдите на сервер Lync Server 2013 с накопительным пакетом Обновления: сервер переднего плана за июль 2013 г. с помощью учетной записи администратора Lync.

  2. Запустите командную консоль Lync Server 2013.

  3. В командной строке командной консоли Lync Server создайте новую конфигурацию веб-службы для каждого сервера director, Enterprise Pool и Standard Edition, которая будет включена для пассивной проверки подлинности, выполнив следующую команду:

    New-CsWebServiceConfiguration -Identity "Service:WebServer:LyncPool01.contoso.com" -UseWsFedPassiveAuth $true -WsFedPassiveMetadataUri https://dc.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    Предупреждение

    Значением полного доменного имени WsFedPassiveMetadataUri является имя службы федерации сервера AD FS 2.0. Значение имени службы федерации можно найти в консоли управления AD FS 2.0, щелкнув Служба в области навигации правой кнопкой мыши и затем выбрав Изменить свойства службы федерации.

  4. Проверьте правильность значений UseWsFedPassiveAuth и WsFedPassiveMetadataUri, выполнив следующую команду:

    Get-CsWebServiceConfiguration -identity "Service:WebServer:LyncPool01.contoso.com" | format-list UseWsFedPassiveAuth, WsFedPassiveMetadataUri

  5. Для клиентов пассивная проверка подлинности является наименее предпочтительным способом проверки подлинности WebTicket. Для всех директоров, корпоративных пулов и серверов Standard Edition, которые будут включены для пассивной проверки подлинности, все остальные типы проверки подлинности должны быть отключены в Lync Web Services, выполнив следующую команду:

    Set-CsWebServiceConfiguration -Identity "Service:WebServer:LyncPool01.contoso.com" -UseCertificateAuth $false -UsePinAuth $false -UseWindowsAuth NONE

  6. Убедитесь, что все остальные типы проверки подлинности были успешно отключены, выполнив следующую команду:

    Get-CsWebServiceConfiguration -Identity "Service:WebServer:LyncPool01.contoso.com" | format-list UseCertificateAuth, UsePinAuth, UseWindowsAuth

Конфигурация прокси-сервера

Если проверка подлинности сертификата отключена для веб-служб Lync, клиент Lync будет использовать менее предпочтительный тип проверки подлинности, например Kerberos или NTLM, для проверки подлинности в службе регистратора. Проверка подлинности на основе сертификата по-прежнему необходима, чтобы клиент Lync извлекал веб-таблицу, однако kerberos и NTLM должны быть отключены для службы регистратора.

Ниже описана процедура создания настраиваемой конфигурации прокси-сервера для пограничных пулов, корпоративных пулов и серверов Standard Edition, для которых будет включена пассивная проверка подлинности.

Порядок создания настраиваемой конфигурации прокси-сервера

  1. В командной строке командной консоли Lync Server создайте новую конфигурацию прокси-сервера для каждого Lync Server 2013 с накопительным пакетом Обновления: пограничный пул, корпоративный пул и сервер Standard Edition за июль 2013 г., который будет включен для пассивной проверки подлинности, выполнив следующие команды:

     New-CsProxyConfiguration -Identity "Service:EdgeServer:EdgePool01.contoso.com" 
 -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False

     New-CsProxyConfiguration -Identity "Service:Registrar:LyncPool01.contoso.com" 
 -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False

  2. Убедитесь, что все остальные типы проверки подлинности прокси-сервера успешно отключены, выполнив следующую команду:

    Get-CsProxyConfiguration -Identity "Service:Registrar:LyncPool01.contoso.com"
     | format-list UseKerberosForClientToProxyAuth, UseNtlmForClientToProxyAuth, UseCertifcateForClientToProxyAuth