强化和保护 Lync Server 2013 数据库
上次修改的主题: 2013-12-05
Microsoft Lync Server 2013 还依赖于SQL Server数据库来存储用户信息、会议状态、存档数据和呼叫详细信息记录 (CDR) 。 通过对应用程序数据进行分区,可以最大程度地提高 Lync Server 后端数据库上 Lync Server 2013 数据的可用性,从而提高容错性并简化故障排除。 若要实现这些目标,请按以下方式对应用程序数据进行分区:
使用服务器分区最佳做法 将操作系统、应用程序和程序文件与数据文件分开。
存储事务日志文件和数据库文件 单独存储这些文件以提高容错性并优化恢复,并将其存储在加密磁盘或卷上。
使用服务器群集 群集后端服务器以优化 Lync Server 2013 系统可用性。
确保对所有数据备份进行加密并正确处理 丢失、丢弃或错放备份介质可能会对 Lync Server 2013 部署的数据安全构成重大威胁
在除 Standard Edition 服务器以外的任何 Lync Server 2013 服务器上,SQL Server Express实例 (RTCLOCAL 实例) 无法远程访问,并且除了在 Standard Edition 服务器上SQL Server Express之外,不会创建本地防火墙异常。 在 Standard Edition 服务器上,后端数据库和中央管理存储 (CMS) 都设置为可远程访问。 若要强化SQL Server数据库,可以执行以下操作:
在 Standard Edition 服务器上自定义SQL Server Express防火墙,限制可以远程访问数据库的服务器范围。 默认情况下,任何 IP 地址都可以远程访问数据库。
使用SQL Server 配置管理器指定用于SQL Server远程访问的协议、IP 地址和端口:
Lync Server 2013 使用 TCP/IP 协议。 它支持 IP 版本 4 (IPv4) ,但不支持 IP 版本 6 (IPv6) 。
注意
Lync Server 2013 可以在启用了双 IP 堆栈的网络中运行。
Lync Server 2013 支持多个 IP 地址 (多主网地址卡) 。 可以指定SQL Server只侦听特定 IP 地址 (单个地址或子网) ,并且仅使用特定协议。
Lync Server 2013 支持静态和动态SQL Server端口。
在静态 (非默认) 端口上运行SQL Server,并且不SQL Server浏览器 (运行,因此无法向客户端) 报告侦听端口。 这需要在每个SQL Server客户端上进行自定义配置,包括前端服务器、监视服务器、存档服务器和管理控制台 (运行 Lync Server Management Shell、Lync Server 控制面板 或拓扑生成器) ,以及运行 Lync Server 数据库的所有其他服务器) 。
注意
对数据库的访问必须仅限于受信任的数据库管理员。 恶意数据库管理员可以将数据插入或修改到数据库中,以获取对 Lync Server 2013 服务器的权限或从服务获取敏感信息,即使尚未授予数据库管理员对 Lync Server 2013 服务器的直接访问或控制权限。
有关自定义配置和强化SQL Server数据库的详细信息,请参阅 NextHop 博客文章“将 Lync Server 2010 与自定义SQL Server网络配置配合使用”,https://go.microsoft.com/fwlink/p/?LinkId=214008
注意
还可以强化操作系统和应用程序服务器,并且可以使用组策略在 Lync Server 部署中实现安全锁定。 有关详细信息,请参阅 强化和保护 Lync Server 2013 的服务器和应用程序。