Servicios de dominio de Active Directory
Última modificación del tema: 2012-10-15
Los Servicios de dominio de Active Directory funcionan como servicio de directorio para las redes de Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2. Los Servicios de dominio de Active Directory también constituyen la base sobre la que se ha creado la infraestructura de seguridad de Microsoft Lync Server 2010. El objetivo de esta sección es describir cómo Lync Server 2010 usa los Servicios de dominio de Active Directory para crear un entorno de confianza para las características de MI, conferencia web, medios y voz. Para más información sobre las extensiones de Lync Server a los Servicios de dominio de Active Directory y sobre cómo preparar un entorno para los Servicios de dominio de Active Directory, consulte Preparación de los servicios de dominio de Active Directory en Lync Server 2010 en la documentación sobre implementación. Para más información sobre el rol de los Servicios de dominio de Active Directory en redes de Windows Server, consulte la documentación de la versión del sistema operativo que está usando.
Lync Server 2010 usa los Servicios de dominio de Active Directory para almacenar:
La configuración global que requieren todos los servidores que usan Lync Server 2010 en un bosque.
La información de servicio que identifica los roles de todos los servidores que usan Lync Server 2010 en un bosque.
Algunos ajustes del usuario.
Infraestructura de Active Directory
Entre los requisitos de la infraestructura de Active Directory se incluyen los siguientes:
Los requisitos del sistema operativo de los controladores de dominio
Los requisitos del nivel funcional de dominio y bosque
Los requisitos del dominio del catálogo global
Para más información, consulte Requisitos de infraestructura de Active Directory en la documentación sobre implementación.
Preparación de los Servicios de dominio de Active Directory
Nota
Le recomendamos que implemente la configuración global en el contenedor de configuración en lugar del contenedor del sistema. Así no mejorará la seguridad, pero obtendrá una mejor escalabilidad para algunas topologías de los Servicios de dominio de Active Directory. Si va a migrar desde Microsoft Office Communications Server 2007 y ha usado el contenedor del sistema pero desea usar el contenedor de configuración, DEBE mover la configuración del contenedor del sistema ANTES de preparar la actualización. Para migrar la configuración del contenedor del sistema al contenedor de configuración, consulte la herramienta de migración de la configuración global de Office Communications Server 2007 en https://go.microsoft.com/fwlink/?linkid=145236&clcid=0xC0A.
Al implementar Lync Server 2010, el primer paso es preparar los Servicios de dominio de Active Directory. La preparación de los Servicios de dominio de Active Directory de Lync Server 2010 está formada por los tres pasos siguientes:
Preparar esquema. Esta tarea extiende el esquema de los Servicios de dominio de Active Directory para que incluya las clases y los atributos específicos de Lync Server 2010. Para más información sobre cómo preparar el esquema, consulte Ejecución de la preparación del esquema en la documentación sobre implementación. Para más información sobre el esquema, consulte Referencia de servicios de dominio de Active Directory en la documentación sobre implementación.
Preparar el bosque Esta tarea crea la configuración global y objetos en el dominio raíz del bosque, junto con los grupos universales de servicio y administración que controlan el acceso a dicha configuración y dichos objetos. Para más información sobre cómo preparar el bosque, consulte Ejecución de la preparación del bosque en la documentación sobre implementación.
Preparar el dominio. Esta tarea agrega las entradas de control de acceso (ACE) necesarias a los grupos universales que conceden permisos para hospedar y administrar a los usuarios del dominio. Esta tarea debe completarse en todos los dominios en los que desee implementar servidores que usen Lync Server 2010 y en los dominios en los que residan sus usuarios de Lync Server. Para más información sobre cómo preparar el dominio, consulte Ejecutar la preparación del dominio en la documentación sobre implementación.
Para obtener una descripción general del proceso completo para preparar Active Directory y los derechos y permisos necesarios para realizar cada paso, consulte Requisitos de infraestructura de Active Directory en la documentación sobre implementación.
Grupos universales
Durante la preparación del bosque, Lync Server 2010 crea varios grupos universales dentro de los Servicios de dominio de Active Directory con permiso para obtener acceso y administrar servicios y la configuración global. Entre estos grupos universales se incluyen:
Grupos administrativos. Estos grupos definen los roles de administrador fundamentales de una red de Lync Server. Durante la preparación del bosque, estos grupos de administradores se añaden a grupos de infraestructura de Lync Server.
Grupos de servicio. Estos grupos son cuentas de servicio necesarias para acceder a varios servicios que presta Lync Server.
Grupos de infraestructura. Estos grupos proporcionan permisos para acceder a áreas específicas de la infraestructura de Lync Server. Funcionan como componentes de los grupos administrativos y no deben modificarse ni se deben agregar directamente usuarios a esos grupos. Durante la preparación del bosque, se añaden grupos de servicio y administración específicos a los grupos de infraestructura correspondientes
Para más información sobre los grupos universales específicos creados durante la preparación de AD para Lync Server, así como sobre los grupos de servicio y administración que se añadieron a los grupos de infraestructura, consulte Cambios realizados por la preparación del bosque en la documentación sobre implementación.
Nota
Lync Server 2010 admite los grupos universales en Windows Server 2008 R2 y Windows Server 2008 para servidores que usan Lync Server 2010, así como los sistemas operativos Windows Server 2003 para los controladores de dominios. Los miembros de grupos universales pueden incluir otros grupos y cuentas de cualquier dominio en el árbol de dominio o bosque y se les pueden asignar permisos en cualquier dominio en el árbol de dominio o bosque. La compatibilidad de grupo universal, combinada con la delegación de administrador, simplifica la administración de una implementación de Lync Server. Por ejemplo, no es necesario agregar un dominio a otro para que un administrador pueda administrar ambos.
Control de acceso basado en roles
Además de crear grupos universales de servicio y administración y añadir grupos de servicio y administración a los grupos universales correspondientes, la preparación del bosque también crea grupos de control de acceso basado en roles (RBAC). Para más información sobre los grupos RBAC específicos creados durante la preparación del bosque, consulte Cambios realizados por la preparación del bosque en la documentación sobre implementación. Para más información sobre los grupos RBAC, consulte Control de acceso basado en roles (RBAC).
Entradas de control de acceso (ACE) y herencia
La preparación del bosque crea ACE privadas y públicas, y añade ACE en los grupos universales que crea. Crea ACE privadas específicas en el contenedor de la configuración global que usa Lync Server. Este contenedor solo lo usa Lync Server y está ubicado en el contenedor de la configuración o en el contenedor del sistema en el dominio raíz, en función de dónde almacene la configuración global.
El paso de preparación del dominio agrega las entradas de control de acceso (ACE) necesarias a los grupos universales que conceden permisos para hospedar y administrar los usuarios dentro del dominio. La preparación del dominio crea entradas ACE en la raíz del dominio y tres contenedores integrados: usuarios, equipos y controladores de dominio.
Para más información sobre las ACE públicas creadas y añadidas durante la preparación del bosque y la preparación del dominio, consulte Cambios realizados por la preparación del bosque y Cambios realizados por la preparación del dominio en la documentación sobre implementación.
Las organizaciones bloquean a menudo Servicios de dominio de Active Directory (AD DS) para ayudar a mitigar los riesgos para la seguridad. Sin embargo, un entorno de Active Directory bloqueado puede limitar los permisos que Lync Server 2010 requiere. Puede incluir la eliminación de ACE de contenedores y unidades organizativas y la deshabilitación de la herencia de permisos en los objetos User, Contact, InetOrgPerson o Computer. En un entorno de Active Directory bloqueado, los permisos deben establecerse manualmente en los contenedores y en las unidades organizativas que los requieren. Para más información, consulte Preparación de servicios de dominio de Active Directory bloqueados en la documentación sobre implementación.
Información de servidor
Durante la activación, Lync Server 2010 publica información de servidor en las tres ubicaciones siguientes de los Servicios de dominio de Active Directory:
Un punto de conexión de servicio (SCP) en cada objeto de equipo de Active Directory que corresponde a un equipo físico en el que está instalado Lync Server 2010.
Objetos de servidor creados en el contenedor de la clase msRTCSIP-Pools.
Servidores de confianza especificados en Topology Builder.
Puntos de conexión de servicio
Cada objeto de Lync Server 2010 en los Servicios de dominio de Active Directory tiene un SCP denominado Servicios RTC, que a su vez contiene varios atributos que identifican cada equipo y especifican los servicios que proporciona. Algunos de los atributos más importantes de los puntos de conexión de servicio SCP son serviceDNSName, serviceDNSNameType, serviceClassname y serviceBindingInformation. Las aplicaciones de administración de activos de otro fabricante pueden recuperar la información de servidor de una implementación consultando estos y otros atributos de los puntos de conexión de servicio.
Objetos de servidor de Active Directory
Cada rol del servidor de Lync Server 2010 tiene un objeto de Active Directory correspondiente cuyos atributos definen los servicios proporcionados por dicho rol. Asimismo, cuando se activa un servidor Standard Edition, o cuando se crea un grupo de servidores Enterprise Edition, Lync Server 2010 crea un nuevo objeto msRTCSIP-Pool en el contenedor msRTCSIP-Pools. La clase msRTCSIP-Pool especifica el nombre de dominio completo (FQDN) del grupo, junto con la asociación entre los componentes front-end y back-end del grupo de servidores. (Un servidor Standard Edition es un grupo de servidores lógico cuyos front-end y back-end se combinan en un único equipo.)
Servidores de confianza
En Lync Server 2010, los servidores de confianza son aquellos que se especifican al ejecutar el Generador de topologías y al publicar su topología. La topología publicada, incluida toda la información del servidor, se almacena en el almacén de administración central. Solo los servidores definidos en el almacén de administración central son de confianza. En Lync Server 2010, un servidor de confianza es el que cumple los siguientes criterios:
El FQDN del servidor se produce en la topología almacenada en el almacén de administración central.
El servidor presenta un certificado válido de una CA de confianza. Para más información, consulte Certificados de Lync Server 2010.
Si no se cumple alguno de estos criterios, el servidor no se considera de confianza y se rechaza la conexión con dicho servidor. Estos dos requisitos impiden que se produzca un posible ataque, aunque poco probable, en el que un servidor no autorizado intenta adoptar el FQDN de un servidor válido.
Además, para habilitar las implementaciones de Microsoft Office Communications Server 2007 R2 y Microsoft Office Communications Server 2007 para comunicarse con servidores de Lync Server 2010, Lync Server 2010 crea contenedores durante la preparación del bosque para las listas de servidores de confianza de versiones anteriores. La siguiente tabla describe los contenedores creados para habilitar la compatibilidad con implementaciones anteriores.
Listas de servidores de confianza y sus contenedores de Active Directory para la compatibilidad con versiones anteriores
| Lista de servidores de confianza | Contenedor de Active Directory |
|---|---|
Servidores Standard Edition y servidores front-end del grupo de servidores Enterprise |
Servicio RTC/Configuración global |
Servidores de conferencia |
Servicio RTC/MCU de confianza |
Servidores de componentes web |
Servicio RTC/Servidores de componentes web de confianza |
Servidores de mediación y servidores de Communicator Web Access, Servidor de aplicaciones, Registrador con QoE, Servicio de conferencia A/V (también servidores SIP de otros fabricantes) |
Servicio RTC/Servicios de confianza |
Servidores proxy |
Lync Server 2010 no admite la compatibilidad con versiones anteriores en servidores proxy |
Para más información sobre los servidores de confianza en versiones anteriores, consulte la documentación sobre seguridad de Office Communications Server 2007 R2 en https://go.microsoft.com/fwlink/?linkid=154162&clcid=0xC0A y la documentación sobre seguridad de Office Communications Server 2007 en https://go.microsoft.com/fwlink/?linkid=213307&clcid=0xC0A. Para admitir servidores de confianza de versiones anteriores, debe ejecutar la herramienta de compatibilidad con versiones anteriores. Para más información sobre cómo usar la herramienta de compatibilidad con versiones anteriores, consulte Migración desde Office Communications Server 2007 R2 hasta Lync Server 2010 en https://go.microsoft.com/fwlink/?linkid=205475&clcid=0xC0A y Migración desde Office Communications Server 2007 hasta Lync Server 2010 en https://go.microsoft.com/fwlink/?linkid=205476&clcid=0xC0A.