Environmental requirements for Skype for Business Server 2015
Résumé: Configurez vos exigences non serveur pour Skype Entreprise Server 2015. Vous devez configurer plusieurs éléments avant d’effectuer votre déploiement, notamment Active Directory, DNS, certificats et partages de fichiers.
Quelle est une exigence environnementale pour Skype Entreprise Server 2015 ? Nous avons mis tout ce qui n’est pas directement lié au serveur dans cet article, de sorte que vous n’avez pas à faire autant de clics. Si vous recherchez les prérequis du serveur, vous pouvez consulter la documentation Configuration requise pour skype Entreprise Server 2015 . La planification de la mise en réseau est également documentée séparément. Sinon, voici ce que nous avons dans cet article :
Active Directory
Bien que de nombreuses données de configuration pour les serveurs et les services soient stockées dans le magasin central de gestion de Skype Entreprise Server 2015, certains éléments sont toujours stockés dans Active Directory :
Objets Active Directory | Types d’objets |
---|---|
Extensions de schéma |
Extensions de l’objet utilisateur |
Extensions pour Lync Server 2013 et Lync Server 2010, pour maintenir la compatibilité descendante avec les versions précédentes prises en charge. |
|
Données |
URI SIP de l’utilisateur et autres paramètres utilisateur |
Objets contact pour les applications (comme l’application Response Group et l’application Service de conférence). |
|
Données publiées pour la compatibilité descendante |
|
Un point de contrôle de service (SCP) pour le magasin central de gestion. |
|
Compte d’authentification Kerberos (un objet ordinateur facultatif) |
Système d’exploitation pour les contrôleurs de domaine
Quel système d’exploitation de contrôleur de domaine faut-il alors utiliser ? Nous avons la liste suivante :
Windows Server 2019 (Vous devez disposer de la mise à jour cumulative 5 de Skype Entreprise Server 2015 ou ultérieure)
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server 2008
À présent, le niveau fonctionnel de domaine de tout domaine dans lequel vous déployez Skype Entreprise Server 2015 et le niveau fonctionnel de forêt de toute forêt dans laquelle vous déployez Skype Entreprise Server 2015 doivent être l’un des suivants :
Windows Server 2019 (Vous devez disposer de la mise à jour cumulative 5 de Skype Entreprise Server 2015 ou ultérieure)
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server 2008
Windows Server 2003
Pouvez-vous avoir des contrôleurs de domaine en lecture seule dans ces environnements ? Bien sûr, tant qu’il existe également des contrôleurs de domaine accessibles en écriture disponibles sur le même site que Skype Entreprise Server.
À présent, il est important de savoir que Skype Entreprise Server 2015 ne prend pas en charge les domaines à étiquette unique. Que sont-ils ? Si vous avez un domaine racine nommé contoso.local, tout va bien se passer. Si vous avez un domaine racine nommé local, cela ne fonctionnera pas et n’est donc pas pris en charge. Un peu plus à ce sujet a été écrit dans cet article de la Base de connaissances.
Skype Entreprise Server 2015 ne prend pas non plus en charge le changement de nom des domaines. Si vous devez le faire, vous devez désinstaller Skype Entreprise Server 2015, renommer le domaine, puis réinstaller Skype Entreprise Server 2015.
Enfin, vous avez peut-être affaire à un domaine avec un environnement AD DS verrouillé, et c’est très bien. Nous avons plus d’informations sur le déploiement de Skype Entreprise Server 2015 dans ce type d’environnement dans la documentation déploiement.
Topologies AD
Les topologies prises en charge par Skype Entreprise Server 2015 sont les suivantes :
Forêt unique avec domaine unique
Forêt unique avec un arbre unique et plusieurs domaines
Forêt unique avec plusieurs arbres et des espaces de noms disjoints
Plusieurs forêts dans une topologie de forêt centrale
Plusieurs forêts dans une topologie de forêt de ressources
Plusieurs forêts d’une topologie de forêts de ressources Skype Entreprise avec Exchange Online
Plusieurs forêts dans une topologie de forêt de ressources avec Skype Entreprise Online et Microsoft Entra Connect
Nous avons des diagrammes et des descriptions pour vous aider à déterminer la topologie que vous avez dans votre environnement, ou ce que vous devrez peut-être configurer avant d’installer Skype Entreprise Server 2015. Pour simplifier les choses, nous incluons également une clé :
Forêt unique avec domaine unique
Ce n’est pas plus facile que cela, il s’agit d’une forêt de domaine unique, il s’agit d’une topologie commune.
Forêt unique avec un arbre unique et plusieurs domaines
Ce diagramme illustre de nouveau une forêt unique, mais elle a un ou plusieurs domaines enfants aussi (il en existe trois dans cet exemple spécifique). Par conséquent, le domaine dans lequel les utilisateurs sont créés peut être différent du domaine dans lequel Skype Entreprise Server 2015 est déployé. Est-ce problématique ? Il est important de se rappeler que lorsque vous déployez un pool frontal Skype Entreprise Server, tous les serveurs de ce pool doivent se trouver dans un seul domaine. Vous pouvez avoir une administration inter-domaines via la prise en charge par Skype Entreprise Server des groupes d’administrateurs universels Windows.
Pour revenir au diagramme ci-dessus, vous pouvez voir que les utilisateurs d’un domaine peuvent accéder à des pools Skype Entreprise Server à partir du même domaine ou de domaines différents, même si ces utilisateurs se trouvent dans un domaine enfant.
Forêt unique avec plusieurs arbres et des espaces de noms disjoints
Il se peut que vous ayez une topologie similaire à ce diagramme, où vous avez une forêt, mais dans cette forêt se trouve plusieurs domaines, avec des espaces de noms AD distincts. Si c’est le cas, ce diagramme est une bonne illustration, car nous avons des utilisateurs dans trois domaines différents qui accèdent à Skype Entreprise Server 2015. Les lignes pleines indiquent qu’ils peuvent accéder à un pool Skype Entreprise Server dans leur propre domaine, tandis qu’une ligne en pointillés indique qu’ils vont dans un pool dans une autre arborescence.
Comme vous pouvez le voir, les utilisateurs du même domaine, de la même arborescence ou même d’une autre arborescence peuvent accéder correctement aux pools.
Plusieurs forêts dans une topologie de forêt centrale
Skype Entreprise Server 2015 prend en charge plusieurs forêts configurées dans une topologie de forêt centrale. Si vous n’êtes pas sûr que c’est ce que vous avez, la forêt centrale dans la topologie utilise des objets qu’elle contient pour représenter les utilisateurs dans les autres forêts et héberge des comptes d’utilisateur pour tous les utilisateurs de la forêt.
Comment cela fonctionne-t-il ? Eh bien, un produit de synchronisation d’annuaires (tel que Forefront Identity Manager ou FIM) gère les comptes d’utilisateur de votre organisation tout au long de leur existence. Lorsqu’un compte est créé ou supprimé d’une forêt, ce changement est synchronisé avec le contact correspondant dans la forêt centrale.
De toute évidence, si votre infrastructure AD est en place, le passage à cette topologie peut ne pas être facile, mais si vous y êtes déjà ou que vous planifiez encore votre infrastructure forestière, cela peut être un bon choix. Vous pouvez centraliser votre déploiement de Skype Entreprise Server 2015 au sein d’une même forêt, tandis que les utilisateurs peuvent rechercher, communiquer et afficher la présence d’autres utilisateurs dans n’importe quelle forêt. Toutes les mises à jour des contacts utilisateur sont gérées automatiquement à l’aide du logiciel de synchronisation.
Plusieurs forêts dans une topologie de forêt de ressources Skype Entreprise
Une topologie de forêt de ressources est également prise en charge ; c’est là qu’une forêt est dédiée à l’exécution de vos applications serveur, telles que Microsoft Exchange Server et Skype Entreprise Server 2015. Cette forêt de ressources héberge également une représentation synchronisée des objets d’utilisateurs actifs, mais aucun compte utilisateur à connexion activée. La forêt de ressources est donc un environnement de services partagés pour les autres forêts dans lesquelles les objets utilisateur résident et ceux-ci ont une relation de confiance au niveau de la forêt avec la forêt de ressources.
Exchange Server peut être déployé dans la même forêt de ressources que Skype Entreprise Server ou dans une autre forêt.
Pour déployer Skype Entreprise Server 2015 dans ce type de topologie, vous devez créer un objet utilisateur désactivé dans la forêt de ressources pour chaque compte d’utilisateur dans les forêts d’utilisateurs (si Microsoft Exchange Server est déjà dans l’environnement, cela peut être fait pour vous). Ensuite, vous avez besoin d’un outil de synchronisation d’annuaires (comme Forefront Identity Manager ou FIM) pour gérer les comptes d’utilisateur tout au long de leur cycle de vie.
Plusieurs forêts d’une topologie de forêts de ressources Skype Entreprise avec Exchange Online
Cette topologie est similaire à celle décrite dans la rubrique Plusieurs forêts d’une topologie de forêts de ressources Skype Entreprise avec Exchange Online.
Dans cette topologie, il existe une ou plusieurs forêts d’utilisateurs, et Skype Entreprise Server est déployé dans une forêt de ressources dédiée. Exchange Server peut être déployé localement dans la même forêt de ressources ou une forêt différente et configuré pour un environnement hybride avec Exchange Online, ou les services de messagerie peuvent être fournis exclusivement par Exchange Online pour les comptes locaux. Aucun diagramme n’est disponible pour cette topologie.
Plusieurs forêts dans une topologie de forêt de ressources avec Skype Entreprise Online et Microsoft Entra Connect
Dans ce scénario, il existe plusieurs forêts sur site avec une topologie de forêt de ressources. Il existe une relation de confiance totale entre les forêts Active Directory. L’outil Microsoft Entra Connect est utilisé pour synchroniser les comptes entre les forêts d’utilisateurs locales et Microsoft 365 ou Office 365.
L’organisation dispose également de Microsoft 365 ou Office 365 et utilise Microsoft Entra Connect pour synchroniser ses comptes locaux avec Microsoft 365 ou Office 365. Les utilisateurs qui sont activés pour Skype Entreprise sont activés via Microsoft 365 ou Office 365 et Skype Entreprise Online. Skype Entreprise Server n’est pas déployé localement.
L’authentification unique est fournie par une batterie de services de fédération Active Directory située dans la forêt d’utilisateurs.
Dans ce scénario, il est pris en charge pour déployer Exchange en local, Exchange Online, une solution Exchange hybride, ou pour ne pas déployer Exchange du tout. (Le schéma présente uniquement Exchange en local, mais les autres solutions Exchange sont entièrement prises en charge.)
Plusieurs forêts dans une topologie de forêt de ressources et un déploiement hybride de Skype Entreprise
Dans ce scénario, il existe une ou plusieurs forêts d’utilisateurs locales, et Skype Entreprise est déployé dans une forêt de ressources dédiée et est configuré pour le mode hybride avec Skype Entreprise Online. Exchange Server peut être déployé localement dans la même forêt de ressources ou une forêt différente et peut être configuré pour un environnement hybride avec Exchange Online. Les services de messagerie peuvent également être fournis exclusivement par Exchange Online pour les comptes locaux.
Pour plus d’informations, consultez Configurer un environnement à forêts multiples pour Skype Entreprise hybride.
Domain Name System (DNS)
Skype Entreprise Server 2015 nécessite DNS, pour les raisons suivantes :
DNS permet à Skype Entreprise Server 2015 de découvrir les serveurs internes ou les pools, ce qui permet des communications de serveur à serveur.
DNS permet aux machines clientes de découvrir le pool frontal ou le serveur Standard Edition utilisé pour les transactions SIP.
Il associe des URL simples pour des conférences avec les serveurs hébergeant ces conférences.
DNS permet aux utilisateurs externes et aux ordinateurs clients de se connecter à vos serveurs Edge, ou au proxy inverse HTTP, pour la messagerie instantanée ou les conférences.
Il permet aux appareils de communications unifiées (UC) qui ne sont pas connectés de découvrir le pool frontal ou le serveur Standard Edition qui exécute le service web Device Update pour obtenir des mises à jour et envoyer des journaux.
L’utilisation de DNS permet aux clients mobiles de découvrir automatiquement les ressources de services web sans que les utilisateurs aient besoin d’entrer manuellement les URL dans les paramètres des appareils.
De plus, DNS utilise l’équilibrage de charges.
Il est important de noter que Skype Entreprise Server 2015 ne prend pas en charge les noms de domaine (IDN) internationalisés.
Et il est important de se rappeler que tout nom dans DNS est identique au nom de l’ordinateur configuré sur n’importe quel serveur utilisé par Skype Entreprise Server 2015. Plus précisément, nous ne pouvons pas avoir de noms courts dans l’environnement, et nous devons avoir des noms de domaine complets pour le Générateur de topologie.
Cela semble logique pour tout ordinateur déjà joint à un domaine, mais si vous avez un serveur Edge qui n’est pas joint à votre domaine, il peut avoir par défaut un nom court, sans suffixe de domaine. Assurez-vous que ce n’est pas le cas, que ce soit dans DNS ou sur le serveur Edge, ou tout serveur ou pool Skype Entreprise Server 2015, d’ailleurs.
Et n’utilisez certainement pas de caractères Unicode ou de traits de soulignement. Les caractères standard (qui sont A-Z, a-z, 0-9 et traits d’union) sont ceux qui seront pris en charge par le DNS externe et les autorités de certification publiques (vous devrez attribuer des noms de domaine complets au nom de domaine complet dans le certificat, n’oubliez pas), donc vous éviterez beaucoup de peine si vous nommez avec cela à l’esprit.
Pour en savoir plus sur les exigences du DNS pour le réseau, consultez la section Networking de notre documentation consacrée à la planification.
Certificats
L’une des tâches les plus importantes à effectuer avant le déploiement est de vérifier que les certificats sont en ordre. Skype Entreprise Server 2015 a besoin d’une infrastructure à clé publique (PKI) pour les connexions TLS (Transport Layer Security) et MTLS (Mutual Transport Layer Security). Fondamentalement, pour communiquer de manière sécurisée de manière standardisée, Skype Entreprise Server utilise des certificats émis par des autorités de certification.
Voici quelques-unes des fonctionnalités pour lesquelles Skype Entreprise Server 2015 utilise des certificats :
Connexions TLS entre clients et serveurs
Connexions MTLS entre serveurs
Fédération à l’aide de la découverte DNS automatique des partenaires
Accès des utilisateurs distants à la messagerie instantanée
Accès des utilisateurs externes aux sessions audio/vidéo (AV), au partage d’application et aux conférences
Parler aux applications web et à Outlook Web Access (OWA)
La planification des certificats est donc un must. À présent, examinons une liste de certains éléments que vous devez garder à l’esprit lors de la demande de certificats :
Tous les certificats de serveur doivent prendre en charge l’autorisation serveur (utilisation améliorée de la clé du serveur).
Tous les certificats de serveur doivent contenir un point de distribution de liste de révocation de certificats (CDP).
Tous les certificats doivent être signés à l’aide de l’algorithme de signature pris en charge par le système d’exploitation. Skype Entreprise Server 2015 prend en charge les suites SHA-1 et SHA-2 de tailles de synthèse (224, 256, 384 bits et 512 bits) et répond ou dépasse la configuration requise pour le système d’exploitation.
L’inscription automatique est prise en charge pour les serveurs internes exécutant Skype Entreprise Server 2015.
L’inscription automatique n’est pas prise en charge pour les serveurs Edge Skype Entreprise Server 2015.
Lorsque vous envoyez une demande de certificat web à une autorité de certification Windows Server 2003, vous devez l’envoyer à partir d’un ordinateur exécutant Windows Server 2003 avec SP2 ou Windows XP.
Remarque
Bien que l’article de la Base de connaissances Microsoft KB922706 indique comment résoudre les problèmes relatifs à l’inscription de certificats web lors d’une inscription auprès des services de certificat Windows Server 2003, il n’est pas possible d’utiliser Windows Server 2008, Windows Vista ou Windows 7 pour demander un certificat auprès d’une autorité de certification Windows Server 2003.
Remarque
L’algorithme de signature RSASSA-PSS n’est pas pris en charge et peut entraîner entre autres des erreurs de connexion et de transfert d’appels.
Remarque
Skype Entreprise Server 2015 ne prend pas en charge les certificats CNG.
Les longueurs de clé de chiffrement 1024, 2048 et 4096 sont prises en charge. Les longueurs de clé supérieures ou égales à 2048 sont recommandées.
L’algorithme digest, ou de signature de hachage, par défaut est RSA. Les algorithmes ECDH_P256, ECDH_P384 et ECDH_P521 sont également pris en charge.
C’est donc beaucoup à penser, et certainement, il existe différents niveaux de confort avec la demande de certificats à partir d’une autorité de certification. Nous vous donnerons des conseils supplémentaires ci-dessous pour rendre votre planification aussi indolore que possible.
Certificats pour vos serveurs internes
Vous aurez besoin de certificats pour la plupart de vos serveurs internes, et vous les obtiendrez probablement à partir d’une autorité de certification interne (qui se trouve dans votre domaine). Le cas échéant, vous pouvez demander ces certificats à une autorité de certification externe (située sur Internet). Si vous vous demandez quelle autorité de certification publique vous devez accéder, vous pouvez consulter la liste des partenaires de certificats de communications unifiées .
Vous aurez également besoin de certificats lorsque Skype Entreprise Server 2015 communique avec d’autres applications et serveurs, tels que Microsoft Exchange Server. Ce certificat doit bien entendu être un certificat que ces autres applications et serveurs peuvent utiliser en mode de prise en charge. Skype Entreprise Server 2015 et d’autres produits Microsoft prennent en charge le protocole OAuth (Open Authorization) pour l’authentification et l’autorisation de serveur à serveur. Si cela vous intéresse, nous avons un article de planification supplémentaire pour OAuth et Skype Entreprise Server 2015.
Skype Entreprise Server 2015 prend également en charge (sans nécessiter) les certificats signés à l’aide de la fonction de hachage de chiffrement SHA-256. Pour favoriser l’accès externe à l’aide de SHA-256, le certificat externe doit être émis par une autorité de certification publique utilisant SHA-256.
Pour essayer de simplifier les choses, nous avons placé les exigences de certificat pour les serveurs Standard Edition, les pools frontaux et d’autres rôles dans les tableaux suivants, avec les contoso.com fictifs utilisés pour des exemples (vous utiliserez probablement autre chose pour votre environnement). Il s’agit de tous les certificats de serveur web standard, avec des clés privées qui ne sont pas exportables. Voici quelques points à noter :
L’utilisation améliorée de la clé (EKU) pour l’authentification des serveurs est automatiquement configurée lorsque vous utilisez l’Assistant Certificat pour demander des certificats.
Le nom convivial de chaque certificat doit être unique dans le magasin de l’ordinateur.
Conformément aux exemples de noms ci-dessous, si vous avez configuré sipinternal.contoso.com ou sipexternal.contoso.com dans votre DNS, ils doivent être ajoutés à l’autre nom de l’objet (SAN) du certificat.
Certificats pour les serveurs Standard Edition :
Certificat | Nom du sujet/Nom courant | Autre nom du sujet | Exemple | Commentaires |
---|---|---|---|---|
Par défaut |
Nom de domaine complet du pool |
Nom de domaine complet du pool et nom de domaine complet du serveur. Si vous disposez de plusieurs domaines SIP et avez activé la configuration automatique des clients, l’Assistant Certificat détecte et ajoute le nom complet de chaque domaine SIP pris en charge. Si ce pool est le serveur de session automatique pour les clients et que la correspondance DNS (Domain Name System) stricte est requise dans la stratégie de groupe, vous avez également besoin d’entrées pour sip.sipdomain (pour chaque domaine SIP dont vous disposez). |
SN=se01.contoso.com; SAN=se01.contoso.com Si ce pool est le serveur de connexion automatique pour les clients et que la correspondance DNS stricte est requise dans la stratégie de groupe, vous avez également besoin de SAN=sip.contoso.com ; SAN=sip.fabrikam.com |
Sur le serveur Standard Edition, le nom de domaine complet du serveur est identique au nom de domaine complet du pool. L’Assistant détecte tous les domaines SIP que vous avez spécifiés lors de l’installation et les ajoute automatiquement comme autres noms d’objet. Vous pouvez aussi utiliser ce certificat pour l’authentification de serveur à serveur. |
Web interne |
Nom de domaine complet du serveur |
Pour chaque élément suivant : • Nom de domaine complet web interne (qui est le même que le nom de domaine complet du serveur) ET • Rencontrer des URL simples • URL simple rendez-vous • URL simple de l’administrateur OU • Entrée générique pour les URL simples |
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Utilisation d’un certificat de caractère générique : SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com |
Vous ne pouvez pas remplacer le nom de domaine complet web interne dans le Générateur de topologie. Si vous disposez de plusieurs URL simples de réunion, vous devez les inclure toutes en tant qu’autres noms du sujet (SAN). Les entrées de caractères génériques sont prises en charge pour les entrées d’URL simples. |
Web externe |
Nom de domaine complet du serveur |
Pour chaque élément suivant : • Nom de domaine complet du web externe ET • URL simple rendez-vous • Rencontrer des URL simples par domaine SIP OU • Entrée générique pour les URL simples |
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Utilisation d’un certificat de caractère générique : SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Si vous avez plusieurs URL simples Meet, vous devez les inclure toutes comme autres noms d’objet. Les entrées de caractères génériques sont prises en charge pour les entrées d’URL simples. |
Certificats pour les serveurs frontaux dans un pool frontal Enterprise Edition :
Certificat | Nom du sujet/Nom courant | Autre nom du sujet | Exemple | Commentaires |
---|---|---|---|---|
Par défaut |
Nom de domaine complet du pool |
Nom de domaine complet du pool et nom de domaine complet du serveur. Si vous disposez de plusieurs domaines SIP et avez activé la configuration automatique des clients, l’Assistant Certificat détecte et ajoute le nom complet de chaque domaine SIP pris en charge. Si ce pool est le serveur de session automatique pour les clients et que la correspondance DNS (Domain Name System) stricte est requise dans la stratégie de groupe, vous avez également besoin d’entrées pour sip.sipdomain (pour chaque domaine SIP dont vous disposez). |
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com Si ce pool est le serveur de connexion automatique pour les clients et que la correspondance DNS stricte est requise dans la stratégie de groupe, vous avez également besoin de SAN=sip.contoso.com ; SAN=sip.fabrikam.com |
L’Assistant détecte les domaines SIP indiqués lors de l’installation et les ajoute automatiquement à l’autre nom du sujet. Vous pouvez aussi utiliser ce certificat pour l’authentification de serveur à serveur. |
Web interne |
Nom de domaine complet du pool |
Pour chaque élément suivant : • Nom de domaine complet web interne (qui n’est PAS le même que le nom de domaine complet du serveur) • Nom de domaine complet du serveur • Nom de domaine complet du pool Skype Entreprise ET • Rencontrer des URL simples • URL simple rendez-vous • URL simple de l’administrateur OU • Entrée générique pour les URL simples |
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Utilisation d’un certificat de caractère générique : SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com |
Si vous avez plusieurs URL simples Meet, vous devez les inclure toutes comme autres noms d’objet. Les entrées de caractères génériques sont prises en charge pour les entrées d’URL simples. |
Web externe |
Nom de domaine complet du pool |
Pour chaque élément suivant : • Nom de domaine complet du web externe ET • URL simple rendez-vous • URL simple de l’administrateur OU • Entrée générique pour les URL simples |
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Utilisation d’un certificat de caractère générique : SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Si vous avez plusieurs URL simples Meet, vous devez les inclure toutes comme autres noms d’objet. Les entrées de caractères génériques sont prises en charge pour les entrées d’URL simples. |
Certificats pour le directeur :
Certificat | Nom du sujet/Nom courant | Autre nom du sujet | Exemple |
---|---|---|---|
Par défaut |
pool de directeurs |
Nom de domaine complet du directeur, nom de domaine complet du pool de directeurs. Si ce pool est le serveur de connexion automatique pour les clients et que la correspondance DNS stricte est requise dans la stratégie de groupe, vous aurez également besoin d’entrées pour sip.sipdomain (pour chaque domaine SIP dont vous disposez). |
pool.contoso.com; SAN=dir01.contoso.com Si ce pool directeur est le serveur de connexion automatique pour les clients et qu’une correspondance DNS stricte est requise dans la stratégie de groupe, vous avez également besoin de SAN=sip.contoso.com ; SAN=sip.fabrikam.com |
Web interne |
Nom de domaine complet du serveur |
Pour chaque élément suivant : • Nom de domaine complet web interne (qui est le même que le nom de domaine complet du serveur) • Nom de domaine complet du serveur • Nom de domaine complet du pool Skype Entreprise ET • Rencontrer des URL simples • URL simple rendez-vous • URL simple de l’administrateur OU • Entrée générique pour les URL simples |
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Utilisation d’un certificat de caractère générique : SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com |
Web externe |
Nom de domaine complet du serveur |
Pour chaque élément suivant : • Nom de domaine complet du web externe ET • Rencontrer des URL simples par domaine SIP • URL simple rendez-vous OU • Entrée générique pour les URL simples |
Le nom de domaine complet du web externe du directeur doit être différent du pool frontal ou du serveur frontal. SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Utilisation d’un certificat de caractère générique : SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
Certificats pour le serveur de médiation autonome :
Certificat | Nom du sujet/Nom courant | Autre nom du sujet | Exemple |
---|---|---|---|
Par défaut |
Nom de domaine complet du pool |
Nom de domaine complet du pool Nom de domaine complet du serveur membre du pool |
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net |
Certificats pour Survivable Branch Appliance :
Certificat | Nom du sujet/Nom courant | Autre nom du sujet | Exemple |
---|---|---|---|
Par défaut |
Nom de domaine complet de l’appareil |
SIP.<sipdomain> (vous avez besoin d’une seule entrée par domaine SIP) |
SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Certificats pour votre serveur de conversation permanente
Lors de l’installation de votre serveur de conversation permanente, vous aurez besoin d’un certificat émis par la même autorité de certification que celle utilisée par vos serveurs internes Skype Entreprise Server 2015. Cette opération doit être effectuée pour chaque serveur exécutant les services web de conversation permanente pour le chargement/téléchargement de fichiers. Nous vous recommandons vivement d’avoir le ou les certificats requis avant de commencer l’installation de votre conversation permanente, et si votre autorité de certification est externe, encore plus (l’émission de ces éléments peut prendre un peu de temps).
Certificats pour l’accès des utilisateurs externes (Edge)
Skype Entreprise Server 2015 prend en charge l’utilisation d’un certificat public unique pour les interfaces externes Edge d’accès et de conférence web, ainsi que le service d’authentification A/V, qui est fourni via le ou les serveurs Edge. Votre interface interne Edge utilise généralement un certificat privé émis par votre autorité de certification interne, mais si vous préférez, vous pouvez également utiliser un certificat public pour cela, s’il provient d’une autorité de certification approuvée.
Votre proxy inverse (RP) utilise également un certificat public et chiffre la communication de votre RP aux clients et du RP aux serveurs internes via HTTP (ou plus précisément, TLS sur HTTP).
Certificats pour la mobilité
Si vous déployez la mobilité et que vous prenez en charge la découverte automatique pour les clients mobiles, vous devez inclure des entrées de nom de sujet supplémentaires sur vos certificats pour prendre en charge les connexions sécurisées à partir des clients mobiles.
Quels certificats ? Vous aurez besoin de noms SAN pour la découverte automatique sur les certificats ici :
pool de directeurs
pool de serveurs frontaux
Proxy inverse
Les spécificités sont répertoriées dans chaque tableau ci-dessous.
Maintenant, c’est là qu’un peu de préplanification est bon, mais parfois vous avez déployé Skype Entreprise Server 2015 sans avoir l’intention de déployer la mobilité, et cela se produit lorsque vous avez déjà des certificats dans votre environnement. Leur réédition via une autorité de certification interne est généralement facile, mais avec des certificats publics d’une autorité de certification publique qui peuvent être un peu plus coûteux.
Si c’est ce que vous recherchez et si vous avez de nombreux domaines SIP (ce qui rend l’ajout de SANS plus coûteux), vous pouvez configurer votre proxy inverse pour utiliser HTTP pour la requête de service de découverte automatique initiale, au lieu d’utiliser HTTPS (qui est la configuration par défaut). L’article Planification de la mobilité contient plus d’informations à ce sujet.
Exigences relatives aux certificats du pool de directeurs et du pool frontal :
Description | Entrée SAN |
---|---|
URL du service de découverte automatique interne |
SAN=lyncdiscoverinternal.<sipdomain> |
URL du service de découverte automatique externe |
SAN=lyncdiscover.<sipdomain> |
Vous pouvez également utiliser SAN=*.<sipdomain>
Exigences relatives au certificat de proxy inverse (autorité de certification publique)
Description | Entrée SAN |
---|---|
URL du service de découverte automatique externe |
SAN=lyncdiscover.<sipdomain> |
Ce SAN doit être attribué au certificat qui est affecté à l’écouteur SSL sur votre proxy inverse.
Remarque
Votre écouteur de proxy inverse aura des SAN pour vos URL de services web externes. Voici quelques exemples SAN=skypewebextpool01.contoso.com et dirwebexternal.contoso.com, si vous avez déployé le directeur (ce qui est facultatif).
Partage de fichiers
Skype Entreprise Server 2015 peut utiliser le même partage de fichiers pour tout le stockage de fichiers. Gardez à l’esprit ce qui suit :
Un partage de fichiers doit se trouver sur un stockage attaché direct (DAS) ou sur un réseau de zone de stockage (SAN), ce qui inclut le système de fichiers DFS (Distributed File System) et un tableau redondant de disques indépendants (RAID) pour les magasins de fichiers. Pour plus d’informations sur DFS pour Windows Server 2012, consultez cette page DFS.
Nous vous recommandons d’utiliser un cluster partagé pour le partage de fichiers. Si vous en utilisez un, vous devez mettre en cluster Windows Server 2012 ou Windows Server 2012 R2. Windows Server 2008 R2 est également acceptable. Pourquoi la dernière version de Windows ? Les versions antérieures peuvent ne pas avoir les autorisations appropriées pour activer toutes les fonctionnalités. Vous pouvez utiliser l’administrateur de cluster pour créer les partages de fichiers. Cet article explique comment créer des partages de fichiers sur un cluster .
Attention
Vous devez savoir que le dispositif de stockage réseau (NAS) ne prend pas en charge le partage de fichiers. Vous devez donc utiliser l’une des options proposées ci-après.