Skype for Business Server Active Directory 域服务
Active Directory 域服务充当 Windows Server 2003、Windows Server 2008、Windows Server 2012 和 Windows Server 2012 R2 网络的目录服务。 Active Directory 域服务还充当构建Skype for Business Server安全基础结构的基础。 本部分的目的是介绍Skype for Business Server如何使用Active Directory 域服务为即时消息、Web 会议、媒体和语音创建可信的环境。 有关为Active Directory 域服务准备环境的详细信息,请参阅部署文档中的安装Skype for Business Server。 有关Active Directory 域服务在 Windows Server 网络中的角色的详细信息,请参阅你正在使用的操作系统版本的文档。
Skype for Business Server使用Active Directory 域服务来存储:
林中运行Skype for Business Server的所有服务器都需要的全局设置。
标识林中运行Skype for Business Server的所有服务器的角色的服务信息。
一些用户设置。
Active Directory 基础结构
Active Directory 的基础结构要求包括:
域控制器的操作系统要求
域和林的功能级别要求
全局编录域要求
有关详细信息,请参阅 Skype for Business Server 2015 的环境要求或 Skype for Business Server 2019 的服务器要求。
通用组
在准备林期间,Skype for Business Server在Active Directory 域服务中创建具有访问和管理全局设置和服务权限的各种通用组。 这些通用组包括:
管理组。 这些组定义Skype for Business Server网络的基本管理员角色。 在林准备期间,这些管理员组将添加到Skype for Business Server基础结构组。
服务组。 这些组是访问Skype for Business Server提供的各种服务所需的服务帐户。
基础结构组。 这些组提供访问Skype for Business Server基础结构的特定区域的权限。 这些基础结构组将用作管理组的组件,不应修改这些基础结构组或直接向其中添加用户。 在林的准备过程中,会将特定的服务组和管理组添加到适当的基础结构组。
有关为Skype for Business Server准备 AD 时创建的特定通用组以及添加到基础结构组的服务和管理组的详细信息,请参阅部署文档中Skype for Business Server林准备所做的更改。
注意
Skype for Business Server支持 Windows Server 2012 中的通用组,以及域控制器的 Windows Server 2003 操作系统。 通用组的成员可包括域树或林中的任何域中的其他组和帐户,并且可将域树或林中的任何域中的权限分配给这些成员。 通用组支持与管理员委派相结合,简化了Skype for Business Server部署的管理。 例如,不必将一个域添加到另一个域,管理员即可同时管理这两个域。
基于角色的访问控制
除创建通用服务组和管理组以及将服务组和管理组添加到适当的通用组之外,林准备还创建基于角色的访问控制 (RBAC) 组。 有关林准备所创建的特定 RBAC 组的详细信息,请参阅部署文档中的Changes made by forest preparation in Skype for Business Server。 有关 RBAC 组的详细信息,请参阅用于Skype for Business Server的基于角色的访问控制 (RBAC) 。
访问控制项 (ACE) 与继承
林准备同时创建专用和公共 ACE,并为其创建的通用组添加 ACE。 它在Skype for Business Server使用的全局设置容器上创建特定的专用 ACE。 此容器仅由 Skype for Business Server 使用,并且位于配置容器或根域中的系统容器中,具体取决于全局设置的存储位置。
域准备步骤将向通用组添加必要的访问控制项 (ACE),这些访问控制项将授予承载和管理域中用户的权限。 域准备过程将在域根和以下三个内置容器中创建 ACE:“用户”、“计算机”和“域控制器”。
有关由林准备和域准备创建和添加的公共 ACE 的详细信息,请参阅部署文档中Skype for Business Server中的林准备所做的更改和Skype for Business Server中的域准备所做的更改。
组织通常会锁定Active Directory 域服务 (AD DS) 以帮助缓解安全风险。 但是,锁定的 Active Directory 环境可能会限制Skype for Business Server所需的权限。 这可以包括从容器和 OU 中删除 ACE 以及在“用户”、“联系人”、“InetOrgPerson”或“计算机”对象上禁用权限继承。 在锁定的 Active Directory 环境中,必须在需要权限的容器和 OU 上手动设置权限。
服务器信息
激活期间,Skype for Business Server将服务器信息发布到Active Directory 域服务中的以下三个位置:
服务连接点 (每个 Active Directory 计算机对象上的 SCP) ,该对象对应于安装了 Skype for Business Server 的物理计算机。
在 msRTCSIP-Pools 类的容器中创建的服务器对象。
拓扑生成器中指定的受信任服务器。
服务连接点
Active Directory 域服务中的每个Skype for Business Server对象都有一个名为 RTC Services 的 SCP,该 SCP 反过来又包含标识每台计算机并指定其提供的服务的多个属性。 更重要的 SCP 属性包括 serviceDNSName 、 serviceDNSNameType 、 serviceClassname 和 serviceBindingInformation 。 第三方资产管理应用程序可以通过针对上述 SCP 属性和其他 SCP 属性进行查询来检索部署中的服务器信息。
Active Directory 服务器对象
每个Skype for Business Server服务器角色都有一个对应的 Active Directory 对象,其属性定义该角色提供的服务。 此外,在激活 Standard Edition 服务器或创建Enterprise Edition池时,Skype for Business Server在 msRTCSIP-Pools 容器中创建新的 msRTCSIP-Pool 对象。 msRTCSIP-Pool 类指定池的 FQDN) (完全限定的域名,以及池前端和后端组件之间的关联。 (Standard Edition 服务器被视为逻辑池,其前端和后端并置在一台计算机上。)
受信任的服务器
在 Skype for Business Server 中,受信任的服务器是运行拓扑生成器并发布拓扑时指定的服务器。 发布的拓扑(包括所有服务器信息)存储在中央管理存储中。 只有中央管理存储中定义的服务器是受信任的。 在Skype for Business Server中,受信任的服务器是满足以下条件的服务器:
服务器的 FQDN 出现在存储在中央管理存储中的拓扑中。
服务器提供了来自受信任的 CA 的有效证书。 有关详细信息,请参阅 Skype for Business Server 2015 的环境要求或 Skype for Business Server 2019 的系统要求。
如果未满足上述任一条件,则该服务器将不会受到信任,并且与该服务器的连接将被拒绝。 此双重要求可防止恶意服务器尝试接管有效服务器的 FQDN(如果不太可能)的攻击。
此外,若要使 Microsoft Office Communications Server 2007 R2 和 Microsoft Office Communications Server 2007 部署能够与Skype for Business Server服务器通信,Skype for Business Server在林准备期间创建容器,以保留以前版本的受信任服务器列表。 下表介绍为了与早期部署兼容而创建的容器。
受信任的服务器列表及其 Active Directory 容器,以便与以前版本兼容
| 受信任的服务器列表 | Active Directory 容器 |
|---|---|
| Standard Edition Server 和企业版池前端服务器 |
RTC 服务/全局设置 |
| 会议服务器 |
RTC 服务/受信任的 MCU |
| Web 组件服务器 |
RTC 服务/TrustedWebComponentsServers |
| 中介服务器和 Communicator Web Access 服务器、应用程序服务器、QoE 注册器、A/V 会议服务(也称作第三方 SIP 服务器) |
RTC 服务/受信任的服务 |
| 代理服务器 |
Skype for Business Server不支持代理服务器的向后兼容性 |