Requisiti degli account e delle autorizzazioni
Ultima modifica dell'argomento: 2009-04-01
Tra i requisiti relativi alla protezione di Office Communications Server 2007 R2 sono inclusi i seguenti:
- Credenziali amministrative
- Livelli di protezione
- Protezione del gateway multimediale
Credenziali amministrative
Nella tabella seguente vengono descritte le autorizzazioni necessarie per distribuire i vari ruoli del server.
Nota
Per impostazione predefinita, l'appartenenza al gruppo Domain Admins è necessaria per distribuire o attivare un server che fa parte di un dominio Active Directory. Per non concedere questo livello di privilegio al gruppo o agli utenti che distribuiscono Office Communications Server, è possibile utilizzare Impostazione guidata delega per fornire a un gruppo specifico il sottoinsieme di autorizzazioni necessarie per l'attività.
Tabella 1. Credenziali amministrative necessarie per le attività di distribuzione
Procedura | Credenziali amministrative o ruoli necessari |
---|---|
Standard Edition |
|
Installare i prerequisiti software |
Gruppo RTCUniversalServerAdmins Gruppo Domain Admins |
Preparare Servizi di dominio Active Directory |
Membro del gruppo Schema Admins e diritti di amministratore per il master schema Membro del gruppo EnterpriseAdmins per il dominio radice della foresta Membro del gruppo EnterpriseAdmins o DomainAdmins |
Preparare Windows per l'installazione |
Gruppo Administrators |
Creare e verificare i record DNS |
Gruppo DNS Admins |
Distribuire e attivare il Server Standard e le applicazioni |
Gruppo RTCUniversalServerAdmins Gruppo Domain Admins |
Configurare il Server Standard |
Gruppo RTCUniversalServerAdmins |
Configurare i certificati per Office Communications Server |
Gruppo Administrators Gruppo RTCUniversalServerAdmins |
Avviare i servizi |
Gruppo RTCUniversalServerAdmins |
Convalidare la configurazione dei server |
Gruppo RTCUniversalServerAdmins |
Configurare le conferenze audio/video e Web (facoltativo) |
Gruppo RTCUniversalServerAdmins |
Enterprise Edition, topologia consolidata |
|
Installare i prerequisiti software |
Gruppo RTCUniversalServerAdmins Gruppo Domain Admins |
Preparare Servizi di dominio Active Directory |
Membro del gruppo Schema Admins e diritti di amministratore per il master schema Membro del gruppo EnterpriseAdmins per il dominio radice della foresta Membro del gruppo EnterpriseAdmins o DomainAdmins |
Preparare Windows per l'installazione |
Gruppo Administrators |
Installare SQL Server |
Amministratore locale |
Configurare SQL Server per Office Communications Server |
Amministratore di SQL Server Amministratore locale |
Configurare un servizio di bilanciamento del carico per il pool (facoltativo) |
Amministratore del servizio di bilanciamento del carico |
Creare e verificare i record DNS |
Gruppo DNS Admins |
Creare il pool |
Gruppo RTCUniversalServerAdmins Gruppo Domain Admins |
Configurare il pool e le applicazioni |
Gruppo RTCUniversalServerAdmins |
Aggiungere server al pool |
Gruppo Administrators Gruppo RTCUniversalServerAdmins Gruppo Domain Admins |
Configurare i certificati per Office Communications Server |
Gruppo Administrators Gruppo RTCUniversalServerAdmins |
Avviare i servizi |
RTCUniversalServerAdmins |
Convalidare la configurazione del server e del pool |
RTCUniversalServerAdmins |
Conferenza telefonica con accesso esterno |
|
Installare e attivare Office Communications Server 2007 R2 |
Gruppo Administrators Gruppo RTCUniversalServerAdmins Gruppo Domain Admins |
Attivare le applicazioni Operatore Conferenza e Servizio Annuncio conferenza |
Gruppo RTCUniversalServerAdmins Gruppo Domain Admins |
Installare, attivare e configurare la versione 2007 R2 del server Microsoft Office Communicator Web Access |
Gruppo Administrators Gruppo Domain Admins |
Abilitare l'accesso utente remoto a Communicator Web Access (facoltativo) |
Gruppo Administrators Gruppo Domain Admins |
Verificare la pagina Web per conferenze telefoniche con accesso esterno |
Utente di Office Communications Server 2007 R2 |
Creare uno o più profili località |
Gruppo RTCUniversalServerAdmins |
Configurare un criterio globale per il supporto delle conferenze telefoniche con accesso esterno |
Gruppo RTCUniversalServerAdmins |
Distribuire un Mediation Server |
Gruppo RTCUniversalServerAdmins |
Distribuire un gateway multimediale di base di terze parti oppure Configurare il Mediation Server per l'esecuzione del trunking SIP |
Gruppo RTCUniversalServerAdmins (per configurare Mediation Server) Amministratore del provider del trunking SIP |
Response Group Service |
|
Installare e attivare Office Communications Server 2007 R2 |
Gruppo Administrators Gruppo RTCUniversalServerAdmins Gruppo Domain Admins |
Attivare l'applicazione Response Group Service |
Gruppo RTCUniversalServerAdmins Gruppo Domain Admins |
Aggiungere agenti, creare gruppi di agenti e creare code per il pool di server |
Gruppo RTCUniversalServerAdmins |
Creare i flussi di lavoro |
Gruppo RTCUniversalServerAdmins |
Configurare la scheda Response Group |
Gruppo Domain Admins |
Server di archiviazione |
|
Installare i prerequisiti software |
Gruppo Administrators e Domain Admins (per installare Accodamento messaggi con l'integrazione di Active Directory abilitata) |
Installare e attivare il server di archiviazione |
Gruppo Administrators Gruppo Domain Admins o RTCUniversalServerAdmins |
Configurare le associazioni del server di archiviazione |
Gruppo Administrators |
Configurare gli utenti per l'archiviazione |
Gruppo RTCUniversalUserAdmins |
Avviare i servizi di archiviazione |
Gruppo RTCUniversalUserAdmins |
Monitoring Server |
|
Installare i prerequisiti software |
Gruppo Administrators Gruppo Domain Admins (per installare Accodamento messaggi con l'integrazione di Active Directory abilitata) |
Installare e attivare Monitoring Server |
Gruppo Administrators Gruppo Domain Admins o RTCUniversalServerAdmins |
Avviare i servizi |
Gruppo Administrators |
Distribuire i rapporti di Monitoring Server |
Gruppo Administrators |
Configurare le associazioni di Monitoring Server |
Gruppo Administrators |
Communicator Web Access |
|
Installare e attivare |
Domain Admins |
Creare il server virtuale |
Domain Admins o RTCUniversalServerAdmins e Administrators locale |
Pubblicare gli URL di Communicator Web Access |
Domain Admins o RTCUniversalServerAdmins e Administrators locale |
Gestire le impostazioni di Communicator Web Access |
Domain Admins o RTCUniversalServerAdmins e Administrators locale |
Group Chat |
|
Creare il database di SQL Server |
Amministratore di database |
Impostare account e autorizzazioni di Group Chat |
Gruppo Administrators |
Ottenere certificati per Group Chat |
Gruppo Administrators |
Installare Group Chat |
Gruppo Administrators |
Configurare le impostazioni del sito Web in IIS |
Gruppo Administrators |
Connettere lo strumento di amministrazione di Group Chat a Group Chat |
Gruppo Administrators Amministratore del servizio canale |
Configurare l'accesso degli utenti di Group Chat |
Gruppo Administrators |
Distribuire il supporto della conformità e dell'archiviazione |
Amministratore di database Gruppo Administrators |
Strumenti di amministrazione |
|
Installare Strumenti di amministrazione in una console di amministrazione centralizzata che non esegue Office Communications Server |
Gruppo Administrators Gruppo Domain Admins |
Configurare le impostazioni degli account utente |
RTCUniversalUserAdmins |
Configurare tutte le altre impostazioni (diverse dalle impostazioni degli account utente) |
RTCUniversalServerAdmins |
Edge Server |
|
Impostare l'infrastruttura per gli Edge Server |
Gruppo Administrators |
Impostare gli Edge Server |
Gruppo Administrators Gruppo Domain Admins o RTCUniversalServerAdmins |
Configurare l'ambiente |
Gruppo Administrators Gruppo Domain Admins o RTCUniversalServerAdmins |
Convalidare la configurazione dei server perimetrali |
Gruppo Administrators Gruppo Domain Admins o RTCUniversalServerAdmins |
Communicator Mobile per Windows Mobile |
|
Installare i prerequisiti |
Amministratore |
Installare Communicator Mobile per Windows Mobile |
Amministratore |
Installare i certificati autofirmati |
Amministratore |
Configurare il client |
Amministratore |
Eseguire il test delle funzionalità di messaggistica immediata e presenza |
Amministratore |
Communicator Mobile per Java |
|
Verificare che i prerequisiti e le dipendenze siano stati soddisfatti |
Amministratore |
Distribuire il componente Communicator Mobile |
Amministratore |
Installare il software client Communicator Mobile per Java |
Amministratore |
Configurare e utilizzare il client |
Amministratore |
Eseguire il test delle funzionalità di messaggistica immediata e presenza |
Amministratore |
Controllo vocale esterno |
|
Installare e attivare Office Communications Server 2007 R2 |
Gruppo Administrators Gruppo RTCUniversalServerAdmins Gruppo Domain Admins |
Attivare l'applicazione Controllo vocale esterno |
Gruppo RTCUniversalServerAdmins Gruppo Domain Admins |
Avviare l'applicazione |
Gruppo RTCUniversalServerAdmins |
Testare la funzionalità che consente di effettuare chiamate vocali esterne in un client mobile supportato |
Utente di Office Communications Server 2007 R2 |
Enterprise Voice con coesistenza del PBX |
|
Distribuire Office Communications Server, incluso il Mediation Server che si connette al PBX |
|
Distribuire Office Communicator 2007 |
Amministratore nel computer in cui è in corso l'installazione di Office Communicator |
Abilitare gli utenti per la messaggistica immediata e la funzionalità di presenza |
Gruppo RTCUniversalUserAdmins |
Configurare Communications Server per Enterprise Voice |
Gruppo RTCUniversalServerAdmins |
Configurare il PBX in modo che invii le chiamate anche a Office Communications Server |
RTCUniversalServerAdmins (per ottenere informazioni da Servizi di dominio Active Directory in modo da convertire un'estensione nell'URI telefono corretto) |
Distribuire i gateway multimediali (se necessario) |
I gateway multimediali sono sistemi esterni con schemi di autenticazione e di autorizzazione propri. Se il gateway multimediale richiede la creazione di voci dei servizi trusted, è necessario essere almeno un membro del gruppo RTCUniversalServerAdmins. |
Distribuire il gateway RCC (se necessario) |
I gateway RCC sono sistemi esterni con schemi di autenticazione e di autorizzazione propri. È necessario essere almeno un membro del gruppo RTCUniversalServerAdmins per creare le voci dei servizi trusted necessarie. |
Abilitare gli utenti per l'integrazione tra Enterprise Voice e il PBX |
Gruppo RTCUniversalUserAdmins |
Enterprise Voice autonomo (nessuna coesistenza con il PBX) |
|
Distribuire Office Communications Server |
|
Distribuire Office Communicator 2007 |
Amministratore nel computer in cui è in corso l'installazione di Office Communicator |
Configurare Office Communications Server per Enterprise Voice |
Gruppo RTCUniversalUserAdmins |
Distribuire la messaggistica unificata di Exchange Server 2007 e configurarla per l'integrazione con Office Communications Server |
|
Distribuire gateway multimediali |
I gateway multimediali sono sistemi esterni con schemi di autenticazione e di autorizzazione propri. Se il gateway multimediale richiede la creazione di voci dei servizi trusted, è necessario essere almeno un membro del gruppo RTCUniversalServerAdmins. |
Abilitare gli utenti per Enterprise Voice |
Gruppo RTCUniversalUserAdmins |
Servizio Aggiornamento dispositivi |
|
Distribuzione |
Servizio Aggiornamento dispositivi viene automaticamente installato nel Web Components Server. Non sono necessarie autorizzazioni specifiche per la distribuzione, se non quelle richieste per distribuire Standard Edition o Enterprise Edition. |
Livelli di protezione
I livelli di protezione necessari per la distribuzione di Office Communications Server 2007 R2 dipendono dai componenti che l'organizzazione prevede di distribuire.
Livelli di protezione della messaggistica unificata di Exchange
Un dial plan di messaggistica unificata di Exchange supporta tre livelli di protezione diversi: Unsecured, SIPSecured e Secured. I livelli di protezione vengono configurati tramite il parametro VoipSecurity del dial plan di messaggistica unificata. Nella tabella seguente sono illustrati i livelli di protezione appropriati del dial plan a seconda che MTLS (Mutual TLS) e/o SRTP (Secure Real-Time Transport Protocol) siano abilitati o disabilitati.
Tabella 2. Valori di VoipSecurity per diverse combinazioni di Mutual TLS e SRTP
Livello di protezione | Mutual TLS | SRTP |
---|---|---|
Unsecured |
Disabilitato |
Disabilitato |
SIPSecured |
Abilitato (obbligatorio) |
Disabilitato |
Secured |
Abilitato (obbligatorio) |
Abilitato (obbligatorio) |
Per integrare la messaggistica unificata di Exchange con Communications Server 2007 R2, è necessario selezionare il livello di protezione del dial plan appropriato per ogni profilo vocale. Nell'effettuare questa selezione, considerare gli aspetti seguenti:
- MTLS è obbligatorio tra la messaggistica unificata di Exchange e Office Communications Server. Pertanto, il livello di protezione del dial plan non deve essere impostato su Unsecured.
- Se la protezione del dial plan è impostata su SIPSecured, SRTP è disabilitato. In questo caso, il livello di crittografia dei client Office Communicator 2007 R2 deve essere impostato come rifiutato o facoltativo.
- Se la protezione del dial plan è impostata su Secured, SRTP è abilitato ed è obbligatorio per la messaggistica unificata di Exchange. In questo caso, il livello di crittografia dei client Office Communicator 2007 R2 deve essere impostato come facoltativo o obbligatorio.
Protezione del gateway multimediale
Il contenuto multimediale trasferito in entrambe le direzioni tra il Mediation Server e la rete di Communications Server viene crittografato tramite il protocollo SRTP. Per le organizzazioni che si affidano allo standard IPsec per la protezione dei pacchetti è consigliabile creare un'eccezione in un piccolo intervallo di porte multimediali se si prevede di distribuire Enterprise Voice. Le negoziazioni di protezione richieste da IPsec sono adeguate per le normali connessioni UDP o TCP, ma possono rallentare l'impostazione delle chiamate a livelli inaccettabili.
Poiché un gateway multimediale riceve chiamate da PSTN che possono presentare una potenziale vulnerabilità di protezione, è consigliabile eseguire le azioni di migrazione seguenti:
- Abilitare TLS nel collegamento tra il gateway e Mediation Server. In tal modo le segnalazioni vengono crittografate end-to-end tra il gateway e gli utenti interni.
- Isolare fisicamente il gateway multimediale dalla rete interna distribuendo il Mediation Server in un computer con due schede di rete, la prima che accetta solo il traffico proveniente dalla rete interna e la seconda che accetta il traffico proveniente da un gateway multimediale. Ogni scheda viene configurata con un indirizzo di attesa distinto, in modo che il traffico attendibile che ha origine nella rete di Communications Server sia sempre nettamente separato da quello non attendibile proveniente dalla rete PSTN.
Il confine interno di un Mediation Server deve essere configurato in modo da corrispondere a una route statica univoca identificata da un indirizzo IP e da un numero di porta. Per impostazione predefinita, viene utilizzata la porta 5061.
Il confine esterno di un Mediation Server deve essere configurato come proxy dell'hop successivo interno per il gateway multimediale e deve essere identificato da una combinazione univoca di indirizzo IP e numero di porta. L'indirizzo IP non deve essere uguale a quello del confine interno, ma la porta predefinita è 5060.