MicrosoftOfficeCommunicatorWebAccess技术参考指南.docx
- 文档编号:16021812
- 上传时间:2023-07-10
- 格式:DOCX
- 页数:41
- 大小:83.33KB
MicrosoftOfficeCommunicatorWebAccess技术参考指南.docx
《MicrosoftOfficeCommunicatorWebAccess技术参考指南.docx》由会员分享,可在线阅读,更多相关《MicrosoftOfficeCommunicatorWebAccess技术参考指南.docx(41页珍藏版)》请在冰点文库上搜索。
MicrosoftOfficeCommunicatorWebAccess技术参考指南
MicrosoftOfficeCommunicatorWebAccess技术参考指南
发布日期:
2006年3月
本文档中包含的信息代表MicrosoftCorporation到发布日期为止对于所讨论问题的最新观点。
由于Microsoft必须适应不断变化的市场情况,所以不应将这些信息视为Microsoft的承诺,同时,Microsoft也不能保证在发布日期之后提供的任何信息的准确性。
本白皮书仅作提供信息之用。
对于本文档中的信息,MICROSOFT不提供任何明示、暗示或法定的担保。
遵守所有适用的版权法律是用户的责任。
在不限制版权许可的权利的情况下,未经MicrosoftCorporation的明确书面许可,不得出于任何目的,以任何形式或通过任何手段(电子、机械、复印、录制或其他方式)复制本文档的任何部分或将其存储或引入到检索系统中或进行传播。
对于本文档所涉及的主要内容,Microsoft可能拥有专利、专利申请、商标、版权或其他知识产权。
除非Microsoft在任何书面许可协议中作了明确规定,否则,提供本文档并不意味着向您授予对这些专利、商标、版权或其他知识产权的任何许可。
除非另外说明,否则本文档所提及的示例公司、组织、产品、域名、电子邮件地址、徽标、人物、地点和事件均属虚构,我们无意暗示任何真实的公司、组织、产品、域名、电子邮件地址、徽标、人物、地点或事件,读者也不应进行这方面的臆猜。
©2006MicrosoftCorporation。
保留所有权利。
Microsoft、ActiveDirectory、InternetExplorer、Windows、WindowsNT和WindowsServer是MicrosoftCorporation在美国和/或其他国家/地区的注册商标或商标。
本文档所提及的真实公司和产品的名称可能是它们各自所有者的商标。
介绍
《Microsoft®OfficeCommunicatorWebAccess技术参考指南》为正在部署或已经部署MicrosoftOfficeCommunicatorWebAccess的管理员提供了背景知识和参考资料。
本指南中的信息是对《MicrosoftOfficeCommunicatorWebAccess规划和部署指南》所含信息的补充,规划和部署指南的网址为
本指南包含有关以下内容的信息:
CommunicatorWebAccess使用的Microsoft®ActiveDirectory目录服务中的对象和属性
安装和激活CommunicatorWebAccess所需的权限以及安装过程中创建的帐户
如何在没有DomainAdmins组成员身份的情况下激活CommunicatorWebAccess
CommunicatorWebAccess需要的证书
CommunicatorWebAccess服务器使用的传入和传出端口
所需的WindowsManagementInstrumentation(WMI)设置
如何从服务器中手动删除CommunicatorWebAccess
错误消息以及故障排除工具和方案
ActiveDirectory对象和属性
CommunicatorWebAccess与ActiveDirectory进行交互来执行以下任务:
身份验证期间,CommunicatorWebAccess使用ActiveDirectory验证用户的凭据。
授权期间,CommunicatorWebAccess将经过身份验证的用户提供的SIPURI与ActiveDirectory中相应用户对象中存储的SIPURI进行比较。
授权期间,CommunicatorWebAccess从ActiveDirectory中的相应用户对象检索用户的电话号码。
只检索复制到全局编录服务器的电话号码。
CommunicatorWebAccess确定用户的LiveCommunicationsServer主服务器或池(它作为用户对象的属性存储在ActiveDirectory中)。
当某个用户搜索其他用户(例如,按SIPURI或用户名)时,CommunicatorWebAccess向ActiveDirectory查询搜索条件。
激活期间,CommunicatorWebAccess服务器将其FQDN(完全限定域名)写入到ActiveDirectory中的受信任LiveCommunicationsServer列表中,以使CommunicatorWebAccess能够与其他受信任LiveCommunicationsServer建立MTLS连接。
激活期间,CommunicatorWebAccess为RTCHSDomainServices和RTCDomainServerAdmins组成员授予适当权限。
有关详细信息,请参阅本文后面的权限。
身份验证
CommunicatorWebAccess服务器与ActiveDirectory联系以验证用户的身份。
在用户会话期间,将定期进行额外的ActiveDirectory身份验证。
这些额外的身份验证不需要任何用户输入。
在初始登录后,如果在某一时刻身份验证失败,则会关闭用户的会话。
授权
用户的身份经过验证后,CommunicatorWebAccess将使用用户提供的SIPURI向ActiveDirectory执行LDAP查询。
该查询确定用户是否得到授权,可以访问LiveCommunicationsServer。
SIPURI唯一地标识用户,并且在ActiveDirectory中编制了索引。
如果在ActiveDirectory中找到了正确的用户帐户,并且为LiveCommunicationsServer启用了该用户帐户,则会为客户端颁发会话票证以访问CommunicatorWebAccess。
表1列出了CommunicatorWebAccess在授权期间使用的用户、联系人和inetOrgPerson对象的属性。
表1.授权期间使用的ActiveDirectory属性
用户、联系人或inetOrgPerson的属性
用途
msRTCSIP-UserEnabled
指示是否为LiveCommunicationsServer方案启用了用户、联系人或inetOrgPerson。
msRTCSIP-PrimaryUserAddress
存储SIPURI(统一资源标识符)。
msRTCSIP-PrimaryHomeServer
存储主服务器地址,CommunicatorWebAccess使用该地址确定登录使用的MTLS连接。
InternetAccessEnabled
指示是否允许用户从组织外部通过Internet进行访问。
仅当将CommunicatorWebAccess虚拟服务器配置为外部虚拟服务器时,才会在授权过程中使用此属性。
查找主服务器
授权期间,当ISAPI扩展查询ActiveDirectory用户属性时,它还会检索msRTCSIP-PrimaryHomeServer属性。
CommunicatorWebAccess使用此属性来选择相应的MTLS连接并注册用户。
用户搜索
在客户端浏览器中提交搜索请求时,CommunicatorWebAccess服务器将构造LDAP查询以搜索ActiveDirectory。
在搜索结果中,只向用户显示全局编录服务器中的属性。
仅当将某个属性标记为复制到全局编录服务器时,全局编录服务器中才会包含该属性。
默认情况下,将以下ActiveDirectory属性标记为进行全局编录服务器复制:
名称
电子邮件地址
SIPURI
默认情况下,不会将以下属性标记为进行全局编录服务器复制:
公司
职务
可以按下述过程所述更改默认复制行为。
手动配置全局编录服务器属性复制
在CommunicatorWebAccess域控制器上的Windows\system32根文件夹中,双击WindowsServer2003SP1管理工具包安装程序(Adminpak.msi)。
按照安装向导中的说明安装WindowsServer™2003操作系统ServicePack1管理工具包。
注册schmmgmt.dll:
单击“开始”,然后单击“运行”。
在“打开”框中,键入“cmd”,然后单击“确定”。
在命令提示符下,键入“regsvr32schmmgmt.dll”,然后按Enter。
在命令提示符下,键入“MMC/a”,然后按Enter。
在控制台窗口的“文件”菜单上,单击“添加/删除管理单元”,然后单击“添加”。
在“添加独立管理单元”对话框中,单击“ActiveDirectory架构”,然后单击“添加”。
单击“关闭”,然后单击“确定”。
在控制台树中,展开“ActiveDirectory架构[<服务器FQDN>]”节点,然后单击“属性”节点。
在详细信息窗格中,右键单击要更改其复制行为的属性,然后单击“属性”。
在“属性”页的“常规”选项卡上,根据需要选中或清除“将此属性复制到全局编录”复选框,然后单击“确定”。
下次将属性复制到全局编录服务器中时,新标记的属性将会复制到全局编录服务器中。
权限
CommunicatorWebAccess的安装过程包括安装软件、激活CommunicatorWebAccess以及创建虚拟服务器。
要安装CommunicatorWebAccess,您必须以本地Administrators组成员身份登录。
要激活CommunicatorWebAccess,您必须以DomainAdmins组和RTCDomainServerAdmins组成员身份登录,RTCDomainServerAdmins组是由LiveCommunicationsServer2005SP1创建的。
CommunicatorWebAccess安装将RTCDomainServerAdmins组添加到本地Administrators组中。
安装期间,您可以创建新的服务帐户,或选择运行CommunicatorWebAccess时使用的现有服务帐户。
如果选择新的帐户,则默认帐户名为CWAService。
安装程序会将该服务帐户添加到LiveCommunicationsServer2005SP1创建的RTCHSDomainServices组中,以允许访问域对象。
表2简要列出了安装CommunicatorWebAccess所需的帐户和组成员身份。
表2.CommunicatorWebAccess帐户和组
帐户
所需的组成员身份
用于安装CommunicatorWebAccess的用户帐户
Administrators
用于激活CommunicatorWebAccess的用户帐户
DomainAdmins1
RTCDomainServerAdmins
运行CommunicatorWebAccess时使用的服务帐户(默认名称为CWAService)
RTCHSDomainServices
1如果不需要DomainAdmins权限,请参考下一节“非域管理员激活”。
非域管理员激活
要激活CommunicatorWebAccess服务器,您必须以DomainAdmins组成员或具有同等用户权限的组成员身份登录。
如果不想将某个管理员添加到DomainAdmins组中,您仍然可以允许该管理员激活服务器;方法是:
创建一个新的安全组,仅为该安全组授予运行CommunicatorWebAccess激活向导所需的权限,然后将该管理员添加到新的安全组中。
要运行CommunicatorWebAccess激活向导,您必须具有以下权限:
等同于本地计算机上Administrators组成员身份的权限。
在LiveCommunicationsServer全局容器RTC服务上具有创建和删除全局设置的权限。
在包含RTCDomainServerAdmins组和RTCHSDomainServices组的容器上具有创建和删除帐户的权限。
具有在激活过程中指定的服务帐户的读写权限。
仅为用户授予激活权限
在包含RTCDomainServerAdmins组和RTCHSDomainServices组的同一容器中创建CommunicatorWebAccess服务帐户。
将在激活期间指定此服务帐户。
创建一个全局安全组并为其命名,例如CWAServerAdmins。
为新的安全组授予创建和删除全局设置所需的权限。
该组必须具有RTC服务对象的以下权限:
读取、创建所有子对象和删除所有子对象。
为新的安全组授予创建和删除帐户所需的权限。
该帐户必须具有“Users”容器或包含RTCDomainServerAdmins组和RTCHSDomainServices组的容器的以下权限:
读取、创建所有子对象和删除所有子对象。
为新的安全组授予将在激活过程中指定的服务帐户的读取和写入权限。
将管理员的用户帐户添加到新的安全组中,以便管理员能够在没有DomainAdmins组成员身份的情况下运行CommunicatorWebAccess激活向导。
以下过程详细介绍了这些步骤。
创建将在激活过程中指定的服务帐户
以将部署CommunicatorWebAccess的域的DomainAdmins组成员身份登录到计算机上。
打开“ActiveDirectory用户和计算机”:
依次单击“开始”、“所有程序”、“管理工具”和“ActiveDirectory用户和计算机”。
在控制台树中,展开域节点,右键单击“Users”或包含RTCDomainServerAdmins组和RTCHSDomainServices组的容器,单击“新建”,然后单击“用户”。
在“名字”框中键入帐户名(例如CWAServiceAccount)。
在“用户登录名”框中键入相同的帐户名。
单击“下一步”。
在“密码”框中键入密码。
在“确认密码”框中键入相同的密码。
清除“用户下次登录时须更改密码”复选框。
单击“下一步”,然后单击“完成”。
在详细信息窗格中,右键单击“RTCHSDomainServices”,然后单击“属性”。
单击“安全”选项卡。
单击“添加”。
在“输入对象名称来选择”下键入服务帐户名,然后单击“确定”。
创建安全组
以将部署CommunicatorWebAccess的域的DomainAdmins组成员身份登录到计算机上。
打开“ActiveDirectory用户和计算机”:
依次单击“开始”、“所有程序”、“管理工具”和“ActiveDirectory用户和计算机”。
在“ActiveDirectory用户和计算机”控制台树中,右键单击“用户”,单击“新建”,然后单击“组”。
在“组名”框中键入组名称(例如CWAServerAdmins)。
在“组作用域”下,接受默认选项“全局”。
在“组类型”下接受默认选项“安全组”。
单击“确定”。
为安全组授予所需的全局权限
以将部署CommunicatorWebAccess的域的DomainAdmins组成员身份登录到计算机上。
打开“ActiveDirectory用户和计算机”:
依次单击“开始”、“所有程序”、“管理工具”和“ActiveDirectory用户和计算机”。
在“查看”菜单上单击“高级功能”。
在控制台树中,依次展开根域节点、“System”、“Microsoft”和“RTCService”。
右键单击“全局设置”,然后单击“属性”。
单击“安全”选项卡,然后单击“添加”。
在“输入对象名称来选择”框中键入全局安全组的名称(例如CWAServerAdmins),然后单击“确定”。
在以下权限旁边单击“允许”:
读取
创建所有子对象
删除所有子对象
单击“确定”。
为安全组授予创建和删除帐户所需的权限
以将部署CommunicatorWebAccess的域的DomainAdmins组成员身份登录到计算机上。
打开“ActiveDirectory用户和计算机”:
依次单击“开始”、“所有程序”、“管理工具”和“ActiveDirectory用户和计算机”。
在“ActiveDirectory用户和计算机”控制台树中,展开将安装CommunicatorWebAccess的域的节点。
右键单击“用户”或包含RTCDomainServerAdmins组和RTCHSDomainServices组的容器,然后单击“属性”。
单击“安全”选项卡,然后单击“添加”。
在“输入对象名称来选择”框中键入全局安全组的名称(例如CWAServerAdmins),然后单击“确定”。
在以下权限旁边单击“允许”:
读取
创建所有子对象
删除所有子对象
单击“确定”。
为安全组授予服务帐户的权限
以将部署CommunicatorWebAccess的域的DomainAdmins组成员身份登录到计算机上。
打开“ActiveDirectory用户和计算机”:
依次单击“开始”、“所有程序”、“管理工具”和“ActiveDirectory用户和计算机”。
在“ActiveDirectory用户和计算机”控制台树中,单击“Users”。
在详细信息窗格中,右键单击创建的服务帐户(例如CWAServiceAccount),然后单击“属性”。
单击“安全”选项卡,然后单击“添加”。
在“输入对象名称来选择”下键入全局安全组的名称(例如CWAServerAdmins),然后单击“确定”。
在以下权限旁边单击“允许”:
读取
写入
单击“确定”。
将用户添加到安全组中
在“ActiveDirectory用户和计算机”详细信息窗格中,右键单击全局安全组的名称(例如CWAServerAdmins),然后单击“属性”。
单击“成员”选项卡。
单击“添加”。
在“输入对象名称来选择”下键入用户帐户名,然后单击两次“确定”。
现在,用户便具有了运行CommunicatorWebAccess激活向导所需的权限。
证书
CommunicatorWebAccess使用数字证书来验证服务器和用户的身份。
在进行CommunicatorWebAccess服务器安装准备期间,必须使用受信任的MTLS和HTTPS(SSL)证书配置计算机:
MTLS证书。
MTLS证书对LiveCommunicationsServer连接进行身份验证。
CommunicatorWebAccess和LiveCommunicationsServer使用的MTLS证书必须由同一个受信任的CA(证书颁发机构)颁发。
重要说明
仅当MTLS证书的使用者名称是CommunicatorWebAccess服务器FQDN(完全限定域名)时,MTLS连接才会成功。
HTTPS(SSL)证书。
要连接到CommunicatorWebAccess服务器的客户端将使用SSL证书。
每个用HTTPS配置的虚拟服务器都必须有一个SSL证书。
运行CommunicatorWebAccess安装程序之前,必须已经在服务器上安装了这些证书。
必须由您的CA颁发这些证书,并且该CA必须在身份验证事务中确认每个计算机或用户的身份。
所需的证书取决于您运行的是LiveCommunicationsServerStandardEdition还是EnterpriseEdition。
在这两种情况下,HTTPS(SSL)证书的使用者名称都必须与客户端连接CommunicatorWebAccess服务器时使用的主机名相匹配(服务器的主机名,或者代表服务器发布的虚拟IP地址的主机名)。
表3简要列出了证书要求。
以下几节介绍了各种方案的证书要求。
表3.证书要求
方案
MTLS证书要求
HTTPS(SSL)证书要求
单独的服务器
CommunicatorWebAccess与LiveCommunicationsServer分别在不同的服务器上运行1
使用者名称必须与CommunicatorWebAccess服务器FQDN相匹配。
使用者名称可能是CommunicatorWebAccess服务器FQDN,也可能不是。
但是,它必须与客户端访问该服务器时使用的主机名相匹配。
与StandardEdition位于相同的位置
CommunicatorWebAccess和LiveCommunicationsServerStandardEdition在同一台服务器上运行
使用者名称必须与CommunicatorWebAccess服务器FQDN相匹配。
使用者名称可能是CommunicatorWebAccess服务器FQDN,也可能不是。
但是,它必须与客户端访问该服务器时使用的主机名相匹配。
与EnterpriseEdition位于相同的位置
CommunicatorWebAccess在CommunicationsServerEnterpriseEdition池中的服务器上运行
使用者名称必须与LiveCommunicationsServer池FQDN相匹配2
使用者名称可能是CommunicatorWebAccess服务器FQDN,也可能不是。
但是,它必须与客户端访问该服务器时使用的主机名相匹配。
1例如,如果CommunicatorWebAccess服务器FQDN为LCS-,并且客户端使用连接到CommunicatorWebAccess,则MTLS证书使用者名称为LCS-,HTTPS(SSL)使用者名称为。
2例如,如果LiveCommunicationsServer池FQDN为LCS_P,则MTLS证书使用者名
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- MicrosoftOfficeCommunicatorWebAccess 技术 参考 指南