Усиление защиты и защита баз данных Lync Server 2013

 

Последнее изменение раздела: 2013-12-05

Microsoft Lync Server 2013 также зависит от баз данных SQL Server для хранения сведений о пользователе, состояния конференции, архивации данных и записей сведений о звонках (CDR). Вы можете максимально повысить доступность данных Lync Server 2013 в серверных базах данных Lync Server, разделив данные приложения таким образом, чтобы повысить отказоустойчивость и упростить устранение неполадок. Чтобы достичь этих целей, разделите данные приложения на:

• Рекомендации по секционированию серверов Отделите файлы операционной системы, приложений и программ от файлов данных.

• Хранение файлов журнала транзакций и файлов базы данных Храните эти файлы отдельно, чтобы повысить отказоустойчивость и оптимизировать восстановление, а также хранить их на зашифрованном диске или томе.

• Использование кластеризации серверов Кластеризация внутренних серверов для оптимизации доступности системы Lync Server 2013.

• Убедитесь, что все резервные копии данных зашифрованы и правильно обработаны Потерянный, удаленный или перемещенный носитель резервных копий может представлять значительную угрозу безопасности данных для развертываний Lync Server 2013.

На любом сервере Lync Server 2013, кроме сервера Standard Edition, экземпляр SQL Server Express (экземпляр RTCLOCAL) недоступен удаленно, и исключения локального брандмауэра не создаются, за исключением SQL Server Express на сервере Standard Edition. На сервере Standard Edition серверная база данных и центральное хранилище управления (CMS) настроены для удаленного доступа. Для усиления защиты SQL Server баз данных можно выполнить следующие действия:

• Настройте брандмауэр SQL Server Express на серверах Standard Edition, ограничив область серверов, которые могут удаленно получать доступ к базе данных. По умолчанию любой IP-адрес может удаленно получить доступ к базе данных.

• Используйте диспетчер конфигурации SQL Server, чтобы указать протоколы, IP-адреса и порты для SQL Server удаленного доступа:

  • Lync Server 2013 использует протокол TCP/IP. Он поддерживает IP-адрес версии 4 (IPv4), но не IP-адрес версии 6 (IPv6).

    Примечание.

    Lync Server 2013 может работать в сети с включенным двойным стеком IP-адресов.

  • Lync Server 2013 поддерживает несколько IP-адресов (сетевые адресные карты с несколькими домами). Можно указать, SQL Server прослушивать только определенные IP-адреса (отдельный адрес или подсеть) и использовать только определенные протоколы.

  • Lync Server 2013 поддерживает статические и динамические SQL Server порты.

• Запустите SQL Server на статическом порте (не по умолчанию) и не запускайте SQL Server Browser (поэтому он не может сообщить клиенту порт прослушивания). Для этого требуется настраиваемая конфигурация на каждом клиенте SQL Server, включая серверы переднего плана, сервер мониторинга, сервер архивации и административные консоли (под управлением Lync Server Management Shell, Lync Server панель управления или построитель топологий) и все остальные серверы, на которых работают базы данных Lync Server).

Примечание.

Доступ к базам данных должен быть ограничен доверенными администраторами баз данных. Администратор вредоносной базы данных может вставлять или изменять данные в базы данных, чтобы получить привилегии на серверах Lync Server 2013 или получить конфиденциальную информацию от служб, даже если администратор базы данных не имеет прямого доступа к серверам Lync Server 2013 или управления им.

Дополнительные сведения о пользовательских конфигурациях и усилении защиты SQL Server баз данных см. в статье блога NextHop "Использование Lync Server 2010 https://go.microsoft.com/fwlink/p/?LinkId=214008с настраиваемой конфигурацией сети SQL Server".

Примечание.

Вы также можете настроить защиту операционных систем и серверов приложений, а также использовать групповая политика для реализации блокировок безопасности в развертывании Lync Server. Дополнительные сведения см. в статье "Усиление защиты серверов и приложений для Lync Server 2013".