Partager via


Protection d’IIS

 

Dernière rubrique modifiée : 2011-04-08

Dans Microsoft Office Communications Server 2007 et Microsoft Office Communications Server 2007 R2, les services IIS (Internet Information Services) étaient exécutés sous un compte d’utilisateur standard, ce qui pouvait poser plusieurs problèmes potentiels : en cas d’expiration du mot de passe, vous pouviez perdre vos services Web, problème généralement difficile à identifier. Afin d’éviter la question des mots de passe arrivant à expiration, Microsoft Lync Server 2010 permet à présent de créer un compte d’ordinateur (pour un ordinateur qui n’existe pas réellement) pouvant servir de nom principal d’authentification pour tous les ordinateurs d’un site qui exécutent IIS. Parce que ces comptes utilisent le protocole d’authentification Kerberos, les comptes sont désignés en qualité de comptes Kerberos et le nouveau processus d’authentification est désigné sous le nom d’authentification Web Kerberos. Vous pouvez ainsi gérer tous vos serveurs IIS à l’aide d’un seul et même compte.

Pour exécuter vos serveurs sous ce nom principal d’authentification, vous devez d’abord créer un compte d’ordinateur à l’aide de l’applet de commande New-CsKerberosAccount. Ce compte est ensuite affecté à un ou plusieurs sites. Une fois l’affectation terminée, l’association entre le compte et le site Lync Server 2010 est activée en exécutant l’applet de commande Enable-CsTopology. Cela permet de créer, entre autres, le nom principal de service (SPN) requis dans les services de domaine Active Directory (AD DS). Les SPN permettent aux applications clientes de rechercher un service particulier. Pour des détails, voir New-CsKerberosAccount dans la documentation des opérations.

Meilleures pratiques

Pour aider à améliorer la sécurité d’IIS, nous vous recommandons d’implémenter un compte Kerberos pour IIS. Si vous ne le faites pas, IIS est exécuté sous un compte utilisateur standard.