保护 IIS

 

上一次修改主题： 2011-04-08

在 Microsoft Office Communications Server 2007 和 Microsoft Office Communications Server 2007 R2 中，Internet Information Services (IIS) 使用标准用户帐户运行。这有可能会导致问题：如果该密码过期，您可能会丢失 Web 服务，此问题通常难于诊断。为了帮助避免出现密码过期的问题，您可以通过 Microsoft Lync Server 2010 创建一个计算机帐户（用于实际上不存在的计算机），该帐户可充当站点中正运行 IIS 的所有计算机的身份验证主体。由于这些帐户使用 Kerberos 身份验证协议，因此称为 Kerberos 帐户，并且新的身份验证过程称为 Kerberos Web 身份验证。这样，您可以使用单个帐户管理所有 IIS 服务器。

要使用此身份验证主体运行服务器，必须首先使用 New-CsKerberosAccount cmdlet 创建一个计算机帐户；然后，将该帐户分配给一个或多个站点。进行分配之后，通过运行 Enable-CsTopology cmdlet 启用该帐户与 Lync Server 2010 站点之间的关联。除其他结果之外，这样将在 Active Directory 域服务 (AD DS) 中创建所需的服务主体名称 (SPN)。SPN 为客户端应用程序提供了一种查找特定服务的方式。有关详细信息，请参阅操作文档中的 New-CsKerberosAccount。

最佳做法

为了帮助增强 IIS 的安全性，建议为 IIS 实现 Kerberos 帐户。如果不实现 Kerberos 帐户，IIS 将使用标准用户帐户运行。