Active Directory Domain Services für Skype for Business Server
Active Directory Domain Services fungiert als Verzeichnisdienst für Windows Server 2003-, Windows Server 2008-, Windows Server 2012- und Windows Server 2012 R2-Netzwerke. Active Directory Domain Services dient auch als Grundlage für den Aufbau der Skype for Business Server Sicherheitsinfrastruktur. In diesem Abschnitt wird beschrieben, wie Skype for Business Server Active Directory Domain Services verwendet, um eine vertrauenswürdige Umgebung für Chatnachrichten, Webkonferenzen, Medien und Sprache zu erstellen. Ausführliche Informationen zum Vorbereiten Ihrer Umgebung für Active Directory Domain Services finden Sie unter Installieren von Skype for Business Server in der Bereitstellungsdokumentation. Ausführliche Informationen zur Rolle von Active Directory Domain Services in Windows Server-Netzwerken finden Sie in der Dokumentation für die Version des verwendeten Betriebssystems.
Skype for Business Server verwendet Active Directory Domain Services zum Speichern von:
Globale Einstellungen, die für alle Server, auf denen Skype for Business Server in einer Gesamtstruktur ausgeführt werden, erforderlich sind.
Dienstinformationen, die die Rollen aller Server identifizieren, die Skype for Business Server in einer Gesamtstruktur ausgeführt werden.
Einige Benutzereinstellungen
Active Directory-Infrastruktur
Die Infrastrukturanforderungen für Active Directory umfassen Folgendes:
Betriebssystemanforderungen für Domänencontroller
Anforderungen für die Domänen- und Gesamtstrukturfunktionsebene
Anforderungen für die globale Katalogdomäne
Weitere Informationen finden Sie unter Umgebungsanforderungen für Skype for Business Server 2015 oder Serveranforderungen für Skype for Business Server 2019.
Universelle Gruppen
Während der Vorbereitung der Gesamtstruktur erstellt Skype for Business Server verschiedene universelle Gruppen innerhalb Active Directory Domain Services, die über die Berechtigung zum Zugreifen auf und Verwalten globaler Einstellungen und Dienste verfügen. Zu diesen Gruppen zählen die folgenden:
Administrative Gruppen: Diese Gruppen definieren die grundlegenden Administratorrollen für ein Skype for Business Server-Netzwerk. Während der Gesamtstrukturvorbereitung werden diese Administratorgruppen Skype for Business Server Infrastrukturgruppen hinzugefügt.
Dienstgruppen: Bei diesen Gruppen handelt es sich um Dienstkonten, die für den Zugriff auf verschiedene Von Skype for Business Server bereitgestellte Dienste erforderlich sind.
Infrastrukturgruppen: Diese Gruppen bieten die Berechtigung für den Zugriff auf bestimmte Bereiche der Skype for Business Server-Infrastruktur. Sie dienen als Komponenten von administrativen Gruppen und Sie sollten sie weder ändern noch ihnen direkt Nutzer hinzufügen. Während der Gesamtstrukturvorbereitung werden den entsprechenden Infrastrukturgruppen bestimmte Dienst- und Administrationsgruppen hinzugefügt.
Ausführliche Informationen zu den spezifischen universellen Gruppen, die bei der Vorbereitung von AD für Skype for Business Server erstellt wurden, sowie zu den Dienst- und Verwaltungsgruppen, die den Infrastrukturgruppen hinzugefügt werden, finden Sie unter Änderungen durch die Gesamtstrukturvorbereitung in Skype for Business Server in der Bereitstellungsdokumentation.
Hinweis
Skype for Business Server unterstützt die universellen Gruppen in Windows Server 2012 sowie Windows Server 2003-Betriebssysteme für Domänencontroller. Mitglieder universeller Gruppen können andere Gruppen und Konten aus beliebigen Domänen in der Domänen- oder Gesamtstruktur umfassen und über Berechtigungen für beliebige Domänen in der Domänen- oder Gesamtstruktur verfügen. Universelle Gruppenunterstützung in Kombination mit Administratordelegierung vereinfacht die Verwaltung einer Skype for Business Server Bereitstellung. Beispielsweise ist es nicht erforderlich, eine Domäne einer anderen hinzuzufügen, um einem Administrator die Verwaltung beider Domänen zu ermöglichen.
Rollenbasierte Zugriffssteuerung
Neben dem Erstellen von Universaldienst- und Verwaltungsgruppen und dem Hinzufügen von Dienst- und Verwaltungsgruppen zu den entsprechenden universellen Gruppen werden bei der Gesamtstrukturvorbereitung auch Role-Based Access Control -Gruppen (RBAC) erstellt. Ausführliche Informationen zu den spezifischen RBAC-Gruppen, die bei der Gesamtstrukturvorbereitung erstellt wurden, finden Sie unter Änderungen durch die Gesamtstrukturvorbereitung in Skype for Business Server in der Bereitstellungsdokumentation. Weitere Informationen zu RBAC-Gruppen finden Sie unter Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für Skype for Business Server.
Zugriffssteuerungseinträge (Access Control Entries,ACEs) und Vererbung
Bei der Gesamtstrukturvorbereitung werden sowohl private als auch öffentliche ACEs erstellt und ACEs zu den erstellten universellen Gruppen hinzugefügt. Es erstellt bestimmte private ACEs für den globalen Einstellungscontainer, der von Skype for Business Server verwendet wird. Dieser Container wird nur von Skype for Business Server verwendet und befindet sich entweder im Konfigurationscontainer oder im Systemcontainer in der Stammdomäne, je nachdem, wo Sie die globalen Einstellungen speichern.
Beim Schritt zur Domänenvorbereitung werden universellen Gruppen die erforderlichen ACEs (Access Control Entries, Zugriffssteuerungseinträge) hinzugefügt, über die Berechtigungen zum Hosten und Verwalten von Benutzern in der Domäne gewährt werden. Bei der Domänenvorbereitung werden ACEs im Domänenstamm und in drei integrierten Containern erstellt: für Benutzer, Computer und Domänencontroller.
Ausführliche Informationen zu den öffentlichen ACEs, die bei der Gesamtstrukturvorbereitung und Domänenvorbereitung erstellt und hinzugefügt wurden, finden Sie unter Änderungen durch Gesamtstrukturvorbereitung in Skype for Business Server und Änderungen durch Domänenvorbereitung in Skype for Business Server in der Bereitstellungsdokumentation.
Organisationen sperren häufig Active Directory Domain Services (AD DS), um Sicherheitsrisiken zu minimieren. Eine gesperrte Active Directory-Umgebung kann jedoch die Berechtigungen einschränken, die Skype for Business Server benötigt. Dazu kann das Entfernen von ACEs aus Containern und Organisationseinheiten und das Deaktivieren der Vererbung von Berechtigungen für Nutzer-, Kontakt-, InetOrgPerson- oder Computerobjekten gehören. In einer gesperrten Active Directory-Umgebung müssen Berechtigungen für Container und Organisationseinheiten, die sie erfordern, manuell festgelegt werden.
Serverinformationen
Während der Aktivierung veröffentlicht Skype for Business Server Serverinformationen an den drei folgenden Speicherorten in Active Directory Domain Services:
Ein Dienstverbindungspunkt (Service Connection Point, SCP) auf jedem Active Directory-Computerobjekt, das einem physischen Computer entspricht, auf dem Skype for Business Server installiert ist.
Serverobjekte, die im Container der Klasse msRTCSIP-Pools erstellt wurden
Vertrauenswürdige Server, die im Topologie-Generator angegeben sind.
Dienstverbindungspunkte
Jedes Skype for Business Server-Objekt in Active Directory Domain Services verfügt über einen SCP namens RTC Services, der wiederum eine Reihe von Attributen enthält, die jeden Computer identifizieren und die dienste angeben, die er bereitstellt. Zu den wichtigeren SCP-Attributen gehören serviceDNSName , serviceDNSNameType , serviceClassname und serviceBindingInformation . Asset Management-Anwendungen von Drittanbietern können Serverinformationen bereitstellungsübergreifend abrufen, indem sie diese und andere Attribute von Dienstverbindungspunkten anfragen.
Active Directory-Serverobjekte
Jede Skype for Business Server Serverrolle verfügt über ein entsprechendes Active Directory-Objekt, dessen Attribute die von dieser Rolle bereitgestellten Dienste definieren. Wenn ein Standard Edition-Server aktiviert wird oder ein Enterprise Edition Pool erstellt wird, erstellt Skype for Business Server außerdem ein neues msRTCSIP-Pool-Objekt im Container msRTCSIP-Pools. Die msRTCSIP-Pool-Klasse gibt den vollständig qualifizierten Domänennamen (FQDN) des Pools sowie die Verbindung zwischen den Front-End- und Back-End-Komponenten des Pools an. (Ein Standard Edition-Server wird als logischer Pool betrachtet, dessen Front- und Back-Ends auf einem einzelnen Computer zusammengefasst sind.)
Vertrauenswürdige Server
In Skype for Business Server sind vertrauenswürdige Server diejenigen, die angegeben werden, wenn Sie den Topologie-Generator ausführen und Ihre Topologie veröffentlichen. Die veröffentlichte Topologie wird einschließlich aller Serverinformationen im zentralen Verwaltungsspeicher gespeichert. Nur die im zentralen Verwaltungsspeicher definierten Server sind vertrauenswürdig. In Skype for Business Server ist ein vertrauenswürdiger Server einer, der die folgenden Kriterien erfüllt:
Der FQDN des Servers ist in der im zentralen Verwaltungsspeicher gespeicherten Topologie enthalten.
Der Server verfügt über ein gültiges Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle. Weitere Informationen finden Sie unter Umgebungsanforderungen für Skype for Business Server 2015 oder Systemanforderungen für Skype for Business Server 2019.
Wird eins dieser Kriterien nicht erfüllt, ist der Server nicht vertrauenswürdig, und die Verbindung mit ihm wird abgelehnt. Diese doppelte Anforderung verhindert einen möglichen, wenn unwahrscheinlichen Angriff, bei dem ein nicht autorisierter Server versucht, den FQDN eines gültigen Servers zu übernehmen.
Damit Bereitstellungen von Microsoft Office Communications Server 2007 R2 und Microsoft Office Communications Server 2007 mit Skype for Business Server Servern kommunizieren können, erstellt Skype for Business Server während der Vorbereitung der Gesamtstruktur Container für das Speichern von Listen vertrauenswürdiger Server für frühere Versionen. In der folgenden Tabelle sind die für die Kompatibilität mit früheren Bereitstellungen erstellten Container beschrieben.
Listen für vertrauenswürdige Server und deren Active Directory-Container zur Kompatibilität mit früheren Versionen
| Liste vertrauenswürdiger Server | Active Directory-Container |
|---|---|
| Standard Edition-Server und Enterprise-Pool-Front-End-Server |
RTC Service/Global Settings |
| Konferenzserver |
RTC Service/Trusted MCUs |
| Webkomponentenserver |
RTC Service/TrustedWebComponentsServers |
| Vermittlungsservers und Communicator Web Access-Server, Anwendungsserver, Registrierung mit QoE, A/V-Konferenzdienst (auch SIP-Server von Drittanbietern) |
RTC Service/Trusted Services |
| Proxyserver |
Skype for Business Server unterstützt keine Abwärtskompatibilität für Proxyserver |
Siehe auch
Vorbereiten von Active Directory für Skype for Business Server