Active Directory 域服务
上一次修改主题: 2009-12-17
Active Directory 域服务(在 Windows Server 2003 中称作 Active Directory)将用作 Windows Server 2003 和 Windows Server 2008 网络的目录服务。Active Directory 域服务还可用作构建 Office Communications Server 2007 R2 安全基础结构的基础。本节旨在介绍 Office Communications Server 如何使用 Active Directory 域服务为 IM、Web 会议、媒体和语音创建可信的环境。有关 Active Directory 域服务的 Office Communications Server 扩展和为 Active Directory 域服务准备环境的详细信息,请参阅为 Office Communications Server 2007 R2 准备 Active Directory 域服务。有关 Active Directory 域服务在 Windows Server 2003 和 Windows Server 2008 网络中的角色的详细信息,请参阅 Windows Server 2003 或 Windows Server 2008 文档。
Office Communications Server 2007 R2 使用 Active Directory 域服务来存储:
- 林中的所有 Office Communications Server 2007 R2 服务器所需的全局设置。
- 标识林中的所有 Office Communications Server 2007 R2 服务器的角色的服务信息。
- 用户设置。
Active Directory 域服务准备
.gif "Dd572770.note(zh-cn,office.13).gif") 注意: |
|---|
| 建议您将全局设置部署到“系统”容器上方的“配置”容器。如果从早期版本进行迁移并且使用的是“系统”容器(而计划使用的是“配置”容器),则必须先移动“系统”容器中的设置,然后再进行任何升级准备。若要将“系统”容器设置迁移到“配置”容器中,请参阅 https://go.microsoft.com/fwlink/?LinkId=145236 上的“Microsoft Office Communications Server 2007 全局设置迁移工具”。 |
在部署 Office Communications Server 时,执行的第一个步骤是准备 Active Directory 域服务。为 Office Communications Server 准备 Active Directory 域服务需要执行以下三个步骤:
- 准备架构。此任务将扩展 Active Directory 域服务中的架构,以包括特定于 Office Communications Server 2007 R2 的类和属性。只有架构管理员或架构主机上的本地管理员才能执行“准备架构”这一步骤。
- 准备林。此任务将在林根域中创建全局设置和对象,并创建用于管理针对这些设置和对象的访问的通用服务和管理组。
- 准备域。此任务会将必需的访问控制项 (ACE) 添加到通用组中,这些组可授予在域中承载和管理用户的权限。在要部署 Office Communications Server 的所有域中以及在 Office Communications Server 用户将驻留的所有域中,都必须执行“准备域”这一步骤。
有关上述每个 Active Directory 准备步骤的详细信息,请参阅为 Office Communications Server 2007 R2 准备 Active Directory 域服务。
通用组
在“准备林”过程中,Office Communications Server 会在 Active Directory 域服务内创建各种通用组,这些通用组有权访问和管理全局设置和服务。这些通用组包括:
- 管理组。这些组将定义 Office Communications Server 网络的基本管理员角色。在“准备林”过程中,这些管理员组将被添加到 Office Communications Server 基础结构组中。
- 基础结构组。这些组将提供访问 Office Communications Server 基础结构的特定区域的权限。这些基础结构组将用作管理组的组件,不应修改这些基础结构组或直接向其中添加用户。
- 服务组。这些组是访问 Office Communications Server 提供的各种服务时必需的服务帐户。
下表介绍了 Office Communications Server 通用组及其权限。
表 1. Office Communications Server 2007 R2 创建的通用组
| 管理组 | 权限 |
|---|---|
RTCUniversalServerAdmins |
管理林中的所有 Office Communications Server 对象和设置,包括所有服务器角色、全局设置和用户。 |
RTCUniversalUserAdmins |
管理林中支持 Office Communications Server 的所有用户。 |
RTCUniversalReadOnlyAdmins |
针对所有服务器和用户的只读访问权限。 |
基础结构组 |
权限 |
RTCUniversalGlobalReadOnlyGroup |
针对全局设置的只读访问权限。 |
RTCUniversalGlobalWriteGroup |
针对全局设置的写入访问权限。 |
RTCUniversalUserReadOnlyGroup |
针对用户设置的只读访问权限。 |
RTCUniversalServerReadOnlyGroup |
针对服务器设置的只读访问权限。 |
服务组 |
权限 |
RTCHSUniversalServices |
用于运行 Office Communications Server 2007 R2 Standard Edition 服务器和 Enterprise Edition 前端服务器的服务帐户。此组将向这些服务器授予针对全局设置和用户对象的读取权限和写入权限。 |
RTCArchivingUniversalServices |
用于运行 Office Communications Server 2007 R2 存档服务器和访问服务数据库的服务帐户。 |
RTCProxyUniversalServices |
用于运行 Office Communications Server 2007 R2 代理服务器的服务帐户。 |
RTCComponentsUniversalServices |
用于运行 Office Communications Server 2007 R2 会议服务器、Web 组件服务器和中介服务器的服务帐户。 |
RTCUniversalGuestAccessGroup |
针对会议内容的只读访问权限。通过 Active Directory 凭据进行远程连接的内部用户以及没有 Active Directory 凭据的外部用户可以使用此组。 |
服务器信息
激活期间,Office Communications Server 会将服务器信息发布到 Active Directory 域服务中的以下三个位置:
- 与安装 Office Communications Server 的物理计算机对应的每个 Active Directory 计算机对象上的服务连接点 (SCP)。
- 在 msRTCSIP-Pools 类的容器中创建的服务器对象。
- 受信任的服务器列表。
服务连接点
Active Directory 域服务中的每个 Office Communications Server 对象都具有一个称作“RTC 服务”的服务连接点,服务连接点包含很多可用于标识每台计算机并指定其提供的服务的属性。在这些 SCP 属性中,比较重要的 SCP 属性为 serviceDNSName、serviceDNSNameType、serviceClassname 和 serviceBindingInformation。第三方资产管理应用程序可以通过查询上述 SCP 属性和其他 SCP 属性来检索部署中的服务器信息。
Active Directory 服务器对象
每个 Office Communications Server 角色都包含一个对应的 Active Directory 对象,该对象的属性将定义此角色所提供的服务。在激活 Standard Edition Server 或创建企业版池时,Office Communications Server 会在 msRTCSIP-Pools 容器中创建新的 msRTCSIP-Pool 对象。msRTCSIP-Pool 类将指定池的完全限定域名 (FQDN),以及池的前端组件和后端组件之间的关联。(Standard Edition Server 将被视为一个逻辑池,其前端组件和后端组件并置在同一台计算机上。)
受信任的服务器列表
在“准备林”过程中,Office Communications Server 将会创建多个容器以便保存受信任的服务器列表。在激活期间,Office Communications Server 会将每台服务器的 FQDN 发布到其相应的容器。受信任的服务器是指满足以下条件的服务器:
- 服务器的 FQDN 出现在 Active Directory 域服务中存储的一个受信任的服务器列表中,如前一节所述。
- 服务器提供了来自受信任的 CA 的有效证书。此证书上的 FQDN 与一个受信任的服务器列表中出现的服务器 FQDN 相匹配。有关 Office Communications Server 如何使用证书的详细信息,请参阅Office Communications Server 2007 R2 的公钥基础结构。
如果未满足上述任一条件,则该服务器将不会受到信任,并且与该服务器的连接将被拒绝。此双重要求可防止未授权服务器可能通过尝试接管有效服务器的 FQDN 来发起攻击(虽然出现此情况的可能性不大)。
使用多个受信任的服务器列表意味着放弃了早期版本的 Live Communications Server 中只维护一个受信任的服务器列表的做法。列表中的每台服务器在“全局设置”容器中用一个全局唯一的标识符 (GUID) 表示。由于在 Office Communications Server 2007 R2 中新增了服务器角色,因此也定义了新的容器来保存不同服务器角色的 GUID。下表显示了这些新容器及其各自的受信任的服务器列表。
表 2. 受信任的服务器列表及其 Active Directory 容器
| 受信任的服务器列表 | Active Directory 容器 |
|---|---|
Standard Edition Server 和企业版池前端服务器 |
RTC 服务/全局设置 |
会议服务器 |
RTC 服务/受信任的 MCU |
Web 组件服务器 |
RTC 服务/TrustedWebComponentsServers |
中介服务器和 Communicator Web Access 服务器(也称作第三方 SIP 服务器) |
RTC 服务/受信任的服务 |
代理服务器 |
RTC 服务/受信任的代理 |
受信任的服务器列表中会重复也可以在单个 Office Communications Server 对象上找到的条目。此冗余旨在防止可能出现的受信任服务器欺骗。由于 Active Directory 域服务允许单个用户修改与其个人计算机对应的计算机对象上的属性,因此很有可能出现此情况。虽然大多数组织都不允许用户在其工作计算机上进行此类修改,但受信任的服务器列表通过仅允许 RTCUniversalServerAdmins 的成员进行此类修改,可进一步提高安全性。