Proteger o IIS

 

Tópico modificado em: 2011-04-08

No Microsoft Office Communications Server 2007 e no Microsoft Office Communications Server 2007 R2, o IIS (Serviços de Informações da Internet) é executado sob uma conta de usuário padrão. Isso poderia causar problemas: se a senha tiver expirado, você poderia perder os Serviços Web, um problema que geralmente era difícil de diagnosticar. Para ajudar a evitar o problema de expiração de senhas, o Microsoft Lync Server 2010 permite criar uma conta de computador (em um computador inexistente) que pode servir como principal autenticação de todos os computadores no site que executa o IIS. Como essas contas utilizam o protocolo de autenticação Kerberos, elas são referidas como contas Kerberos e o novo processo de autenticação é conhecido como autenticação de Web Kerberos. Isso permite que você gerencie todos seus servidores IIS usando uma única conta.

Para executar os servidores sob essa entidade de autenticação, primeiro você deve criar uma conta de computador usando o cmdlet New-CsKerberosAccount; essa conta é então atribuída a um ou mais sites. Após a atribuição, a associação entre a conta e o site do Lync Server 2010 é habilitada executando o cmdlet Enable-CsTopology. Entre outras coisas, isso cria o SPN (nome da entidade de serviço) no AD DS (Serviços de Domínio Active Directory). Os SPNs fornecem uma maneira para os aplicativos cliente localizarem um determinado serviço. Para obter detalhes, consulte New-CsKerberosAccount na documentação de Operações.

Práticas recomendadas

Para ajudar a aumentar a segurança do IIS, recomendamos que você implemente uma conta Kerberos para o IIS. Se você não implementar uma conta Kerberos, o IIS será executado sob uma conta de usuário padrão.