在 Lync Server 2013 中保护 IIS
上次修改的主题: 2013-12-05
在 Microsoft Office Communications Server 2007 和 Microsoft Office Communications Server 2007 R2 中,Internet Information Services (IIS) 在标准用户帐户下运行。 这可能会导致问题:如果密码过期,可能会丢失 Web 服务,这一问题通常难以诊断。 为了帮助避免密码过期的问题,Microsoft Lync Server 2013 使你能够为实际不存在的计算机创建计算机帐户 () ,该计算机可以充当运行 IIS 的站点中所有计算机的身份验证主体。 由于这些帐户使用 Kerberos 身份验证协议,因此称为 Kerberos 帐户,并且新的身份验证过程称为 Kerberos Web 身份验证。 使您可以使用单个帐户管理所有 IIS 服务器。
若要在此身份验证主体下运行服务器,必须首先使用New-CsKerberosAccount cmdlet 创建计算机帐户;然后将此帐户分配给一个或多个站点。 完成分配后,通过运行Enable-CsTopology cmdlet 启用帐户与 Lync Server 2013 站点之间的关联。 除其他事项外,这会在 ACTIVE DIRECTORY 域服务 (AD DS) 中创建所需的服务主体名称 (SPN) 。 SPN 为客户端应用程序提供了一种查找特定服务的方法。 有关详细信息,请参阅 Operations 文档中的 New-CsKerberosAccount 。
最佳做法
为了帮助提高 IIS 的安全性,我们建议为 IIS 实现 Kerberos 帐户。 如果不实现 Kerberos 帐户,IIS 将在标准用户帐户下运行。