规划 Lync Server 2013 中的双重身份验证

项目
04/06/2015

上次修改的主题： 2015-04-06

下面是配置 Microsoft Lync Server 2013 环境以支持双重身份验证时的部署注意事项列表。

客户端支持

Lync Server 2013 的 Lync 2013 累积汇报：2013 年 7 月桌面客户端和所有移动客户端当前都支持双重身份验证。

拓扑要求

强烈建议客户使用专用 Lync Server 2013 和 Lync Server 2013 累积汇报部署双重身份验证：2013 年 7 月 Edge、Director 和用户池。若要为 Lync 用户启用被动身份验证，必须为其他角色和服务禁用其他身份验证方法，包括：

配置类型	服务类型	服务器角色	要禁用的身份验证类型
Web 服务	Web 服务器	控制器	Kerberos、NTLM 和证书
Web 服务	Web 服务器	前端	Kerberos、NTLM 和证书
代理	EdgeServer	Edge	Kerberos 和 NTLM
代理	注册器	前端	Kerberos 和 NTLM

除非在服务级别禁用这些身份验证类型，否则在部署中启用双重身份验证后，Lync 客户端的所有其他版本将无法成功登录。

Lync 服务发现

内部和/或外部客户端用于发现 Lync 服务的 DNS 记录应配置为解析为未启用双重身份验证的 Lync 服务器。使用此配置时，不启用双因素身份验证的 Lync 池中的用户将不需要输入 PIN 进行身份验证，而启用双因素身份验证的 Lync 池中的用户将需要输入其 PIN 才能进行身份验证。

Exchange 身份验证

为 Microsoft Exchange 部署双重身份验证的客户可能会发现 Lync 客户端中的某些功能不可用。这是目前设计，因为 Lync 客户端不支持对依赖于 Exchange 集成的功能进行双重身份验证。

Lync 联系人

配置为利用统一联系人存储功能的 Lync 用户会发现，使用双重身份验证登录后，其联系人不再可用。

在启用双因素身份验证之前，应使用 Invoke-CsUcsRollback cmdlet 从统一联系人存储中删除现有用户联系人并将其存储在 Lync Server 2013 中。

技能搜索

在 Lync 环境中配置技能搜索功能的客户会发现，当 Lync 启用双重身份验证时，此功能不起作用。这是设计使然，因为 Microsoft SharePoint 当前不支持双重身份验证。

Lync 凭据

有许多部署注意事项涉及保存的 Lync 凭据，这可能会影响配置为使用双因素身份验证的用户。

删除保存的凭据

桌面客户端用户应在 Lync 客户端中使用 “删除我的登录信息 ”选项，然后从 %localappdata%\Microsoft\Office\15.0\Lync 中删除其 SIP 配置文件文件夹，然后再尝试使用双因素身份验证进行首次签名。

DisableNTCredentials

使用 Kerberos 或 NTLM 身份验证方法时，将自动使用用户的 Windows 凭据进行身份验证。在启用 Kerberos 和/或 NTLM 进行身份验证的典型 Lync Server 2013 部署中，用户不必在每次登录时输入凭据。

如果在提示用户输入其 PIN 之前无意中提示用户输入凭据，则可能通过组策略在客户端计算机上无意中配置了 DisableNTCredentials 注册表项。

若要防止其他凭据提示，请在本地工作站上创建以下注册表条目，或使用 Lync 管理模板使用组策略向给定池的所有用户应用：

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0\Lync

REG_DWORD：DisableNTCredentials

值：0x0

SavePassword

当用户首次登录 Lync 时，系统会提示用户保存其密码。如果选中，此选项允许用户的客户端证书存储在个人证书存储中，而用户的 Windows 凭据存储在本地计算机的凭据管理器中。

当 Lync 配置为支持双因素身份验证时，应禁用 SavePassword 注册表设置。若要防止用户保存其密码，请在本地工作站上更改以下注册表项，或使用 Lync 管理模板使用组策略向给定池的所有用户应用：

HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Lync

REG_DWORD：SavePassword