Trong Microsoft OCS 2007 và Microsoft OCS 2007 R2, IIS chạy dưới một tài khoản người dùng chuẩn. Điều này có tiềm năng gây ra các vấn đề: Nếu mật khẩu đã hết hạn thì bạn có thể mất Web Services của bạn, đó là một vấn đề thường rất khó chuẩn đoán. Để tránh được các vấn đề về hết hạn mật khẩu, Microsoft Lync Server 2010 cho phép bạn tạo một tài khoản máy tính (cho một máy tính mà không thực sự tồn tại) có thể phục vụ giống như chủ xác thực cho tất cả các máy tính trong một trang web đang chạy IIS. Bởi vì các tài khoản này sử dụng giao thức xác thực Kerberos, các tài khoản được gọi là tài khoản Kerberos, và quá trình xác thực mới được gọi là xác thực web Kerberos. Điều này cho phép bạn quản lý tất cả các máy chủ IIS của bạn bằng cách sử dụng một tài khoản duy nhất.
Để chạy server của bạn dưới chủ xác thực này, đầu tiên bạn phải tạo một tài khoản máy tính bằng việc sử dụng lệnh New-CskerberosAcount. Sau đó tài khoản này sẽ được giao đến một hoặc nhiều trang web. Sau khi chuyển nhượng xong, sự liên quan giữa tài khoản và trang web Lync Server 2010 được kích hoạt bằng việc chạy lệnh Enable-Cs Topology. Trong số những thứ khác, điều này tạo ra tên chủ dịch vụ được yêu cầu (Service Principal Name - SPN) trong Active Directory Domain Services (AD DS). SPNs cung cấp một cách cho các ứng dụng của client để định vị một dịch vụ chính.
Thực tiễn tốt nhất
Để giúp tăng cường bảo mật cho IIS, chúng tôi khuyên bạn nên thực hiện một tài khoản Kerberos cho IIS. Nếu bạn không thực hiện một tài khoản Kerberos thì IIS sẽ chạy dưới một tài khoản người dùng chuẩn.