Proteção dos bancos de dados do Lync Server 2010

 

Tópico modificado em: 2012-10-18

O Microsoft Lync Server 2010 também depende de bancos de dados do SQL Server para armazenamento de informações do usuário, estado de conferência, dados de arquivamento e CDRs (Registros de detalhe da chamada). É possível maximizar a disponibilidade dos dados do Lync Server 2010 nos bancos de dados back-end do Lync Server, particionando os dados do aplicativo de uma forma que aprimore a tolerância a falhas e simplifique a solução de problemas. Para alcançar essas metas, siga estas diretrizes:

  • Usando as melhores práticas para particionamento do servidor   Separa seu sistema operacional, aplicativo e arquivos de programa de seus arquivos de dados.

  • Armazenando arquivos de log de transação e arquivos de banco de dados   Armazene esses arquivos separadamente para aumentar a tolerância a falhas e otimizar a recuperação, e armazene-os em um disco ou volume criptografado.

  • Usando cluster de servidor   Agrupe os servidores back-end para otimizar a disponibilidade do sistema do Lync Server 2010.

  • Certifique-se de que todos os backups de dados são criptografados e manipulados apropriadamente   Mídia de backup perdida, descartada ou posicionada incorretamente pode significar uma ameaça considerável à segurança dos dados para implantações do Lync Server 2010

Em qualquer servidor do Lync Server 2010, exceto o servidor Standard Edition, a instância do SQL Server Express (instância RTCLOCAL) não pode ser acessada remotamente e nenhuma exceção de firewall local é criada, exceto para o SQL Server Express em um servidor Standard Edition. Em um servidor Standard Edition, o banco de dados back-end e o CMS (Repositório de Gerenciamento Central) são configurados para serem acessados remotamente. Para proteger os bancos de dados SQL Server, é possível fazer o seguinte:

  • Personalizar o firewall do SQL Server Express nos servidores Standard Edition, limitando o escopo dos servidores que podem acessar remotamente o banco de dados. Por padrão, qualquer endereço IP pode acessar remotamente o banco de dados.

  • Usar o SQL Server Configuration Manager para especificar os protocolos, os endereços IP e as portas para acesso remoto do SQL Server:

    • O Lync Server 2010 usa o protocolo TCP/IP. Ele suporta IP versão 4 (IPv4), mas não IP versão 6 (IPv6).

      noteObservação:
      O Lync Server 2010 pode funcionar em uma rede com pilha IP dupla habilitada.
    • O Lync Server 2010 suporta múltiplos endereços IP (placas de endereço de rede com múltipla hospedagem). É possível especificar que o SQL Server escute somente endereços IP específicos (endereço individual ou por sub-rede) e use somente protocolos específicos.

    • O Lync Server 2010 suporta portas SQL Server estáticas e dinâmicas.

  • Executar o SQL Server em uma porta estática (não padrão) e não executar o SQL Server Browser (para que não informe a porta que está escutando ao cliente). Isso exige uma configuração personalizada em cada cliente SQL Server, incluindo Servidores Front-End, Monitoring Server, Servidor de Arquivamento e consoles administrativos (executando o Shell de Gerenciamento do Lync Server, o Painel de Controle do Lync Server ou o Construtor de Topologia) e em todos os outros servidores executando os bancos de dados do Lync Server).

noteObservação:
O acesso aos bancos de dados precisa ser limitado aos administradores de banco de dados confiáveis. Um administrador de banco de dados mal-intencionado pode inserir ou modificar os dados nesses bancos de dados a fim de adquirir privilégios sobre os servidores Lync Server 2010 ou obter informações confidenciais dos serviços, mesmo se o administrador de banco de dados não tiver recebido acesso ou controle direto sobre os servidores Lync Server 2010.

Para obter detalhes sobre as configurações personalizadas e proteção de bancos de dados SQL Server, consulte do blog NextHop "Usando o Lync Server 2010 com uma configuração de rede personalizada do SQL Server" em https://go.microsoft.com/fwlink/?linkid=214008&clcid=0x416

noteObservação:
Também é possível proteger sistemas operacionais e servidores de aplicativo e você pode usar a Política de Grupo para implementar bloqueios de segurança em sua implantação do Lync Server. Para obter detalhes, consulte Proteção de servidores e aplicativos para o Lync Server 2010.