Partilhar via


Requisitos de ambiente para o Skype for Business Server 2015

Resumo: Configure os seus requisitos nãoservidores para o Skype para Empresas Server 2015. Existem várias coisas que pretende configurar antes de efetuar a implementação, incluindo Active Directory, DNS, Certs e Fileshares.

O que é um requisito ambiental para o Skype para Empresas Server 2015? Colocamos tudo o que não está diretamente relacionado com o servidor neste artigo, pelo que não tem de fazer tanto clique. Se estiver à procura de Pré-requisitos do Servidor, pode consultar o documento Requisitos de servidor do Skype para Empresas Server 2015 . O Planeamento de Rede também está documentado separadamente. Caso contrário, isto é o que temos neste artigo:

Active Directory

Embora muitos dados de configuração para servidores e serviços estejam armazenados no arquivo de Gestão Central do Skype para Empresas Server 2015, ainda existem alguns itens armazenados no Active Directory:

Objetos do Active Directory Tipos de objeto
Extensões de esquema
Extensões de objetos de usuário
Extensões para o Lync Server 2013 e Lync Server 2010, para manter a retrocompatibilidade com as versões suportadas anteriores.
Dados
URI do SIP do usuário e outras configurações de usuário
Contacte objetos para aplicações (como a aplicação Grupo de Resposta e a aplicação Atendedor de Conferências).
Dados publicados para compatibilidade com versões anteriores.
Um ponto de controlo de serviço (SCP) para o arquivo de Gestão Central.
Conta de autenticação Kerberos (um objeto de computador opcional).

OS para controladores de domínio

Portanto, qual OS para controladores de domínio pode ser usada? Temos a seguinte lista:

  • Windows Server 2019 (Tem de ter a Atualização Cumulativa 5 ou posterior do Skype para Empresas Server 2015)

  • Windows Server 2016

  • Windows Server 2012 R2

  • Windows Server 2012

  • Windows Server 2008 R2

  • Windows Server 2008

Agora, o nível funcional de domínio de qualquer domínio no qual implemente o Skype para Empresas Server 2015 e o nível funcional da floresta de qualquer floresta em que implemente o Skype para Empresas Server 2015 têm de ser um dos seguintes:

  • Windows Server 2019 (Tem de ter a Atualização Cumulativa 5 ou posterior do Skype para Empresas Server 2015)

  • Windows Server 2016

  • Windows Server 2012 R2

  • Windows Server 2012

  • Windows Server 2008 R2

  • Windows Server 2008

  • Windows Server 2003

É possível ter controladores de domínio somente leitura nesses ambientes? Claro, desde que também existam controladores de domínio graváveis disponíveis no mesmo site que o Skype para Empresas Server.

Agora, é importante saber que o Skype para Empresas Server 2015 não suporta domínios de etiqueta única. O que são esses domínios? Se tiver um domínio de raiz identificado como contoso.local, tudo bem. Se tiver um domínio de raiz com o nome local, isso não irá funcionar e, consequentemente, não é suportado. Um pouco mais sobre isto foi escrito neste artigo da Base de Dados de Conhecimento.

O Skype para Empresas Server 2015 também não suporta a mudança de nome de domínios. Se tiver de o fazer, tem de desinstalar o Skype para Empresas Server 2015, mudar o nome do domínio e, em seguida, reinstalar o Skype para Empresas Server 2015.

Por fim, pode estar a lidar com um domínio com um ambiente do AD DS bloqueado e não há problema. Temos mais informações sobre como implementar o Skype para Empresas Server 2015 nesse tipo de ambiente nos Documentos de implementação.

Topologias do AD

As topologias suportadas do Skype para Empresas Server 2015 são:

  • Floresta única com domínio único

  • Floresta única com uma única árvore e vários domínios

  • Floresta única com várias árvores e namespaces não contíguos

  • Várias florestas em uma topologia de floresta central

  • Várias florestas em uma topologia de floresta de recursos

  • Várias florestas em uma topologia de floresta de recursos do Skype for Business com o Exchange Online

  • Várias florestas numa topologia de floresta de recursos com o Skype para Empresas Online e o Microsoft Entra Connect

Temos diagramas e descrições para o ajudar a determinar que topologia tem no seu ambiente ou o que poderá ter de configurar antes de instalar o Skype para Empresas Server 2015. Para o manter simples, também incluímos uma chave:

O é uma chave para os ícones utilizados para diagramas de topologia do Skype para Empresas.

Floresta única com domínio único

Diagrama de floresta única do Active Directory com um único domínio.

Não é mais fácil do que isto, é uma única floresta de domínio, esta é uma topologia comum.

Floresta única com uma única árvore e vários domínios

Diagrama de uma única floresta, árvore única e domínios de desativação.

Esse diagrama mostra uma floresta única, mas ela também tem um ou mais domínios filho (há três deles neste exemplo específico). Assim, o domínio no qual os utilizadores são criados pode ser diferente do domínio no qual o Skype para Empresas Server 2015 está implementado. Por que isso é relevante? É importante lembrar que, quando implementa um conjunto de Front-end do Skype para Empresas Server, todos os servidores nesse conjunto têm de estar num único domínio. Pode ter administração entre domínios através do suporte do Skype para Empresas Server para grupos de administradores universais do Windows.

De volta ao diagrama acima, pode ver que os utilizadores de um domínio conseguem aceder aos conjuntos do Skype para Empresas Server a partir do mesmo domínio ou de domínios diferentes, mesmo que esses utilizadores estejam num domínio subordinado.

Floresta única com várias árvores e namespaces não contíguos

Um único diagrama de floresta, múltiplas árvores e espaços de nomes não contíguos.

Pode ser que tenha uma topologia semelhante a este diagrama, onde tem uma floresta, mas dentro dessa floresta existem vários domínios, com espaços de nomes do AD separados. Se for esse o caso, este diagrama é uma boa ilustração, uma vez que temos utilizadores em três domínios diferentes a aceder ao Skype para Empresas Server 2015. As linhas sólidas indicam que podem aceder a um conjunto do Skype para Empresas Server no seu próprio domínio, enquanto uma linha tracejada indica que vão para um conjunto numa árvore diferente.

Como pode ver, os utilizadores no mesmo domínio, na mesma árvore ou até mesmo numa árvore diferente conseguem aceder aos conjuntos com êxito.

Várias florestas em uma topologia de floresta central

Várias florestas num diagrama de topologia de floresta central.

O Skype para Empresas Server 2015 suporta várias florestas configuradas numa topologia de floresta central. Se não tiver a certeza de que é isso que tem, a floresta central na topologia utiliza objetos na mesma para representar utilizadores nas outras florestas e aloja contas de utilizador para todos os utilizadores na floresta.

Como isso funciona? Bem, um produto de sincronização de diretórios (como o Forefront Identity Manager ou FIM) gere as contas de utilizador da sua organização ao longo da sua existência. Quando uma conta é criada ou excluída de uma floresta, essa mudança é sincronizada até o contato correspondente na floresta central.

Claramente, se a sua infraestrutura do AD estiver no local a mudar para esta topologia pode não ser fácil, mas se já estiver lá ou ainda planear a sua infraestrutura de floresta, esta pode ser uma boa opção. Pode centralizar a sua implementação do Skype para Empresas Server 2015 numa única floresta, enquanto os utilizadores podem procurar, comunicar e ver a presença de outros utilizadores em qualquer floresta. Todas as atualizações de contato são feitas automaticamente com o software de sincronização.

Várias florestas em uma topologia de floresta de recursos do Skype for Business

Várias florestas num diagrama de topologia de floresta de recursos.

Também é suportada uma topologia de floresta de recursos; É onde uma floresta se dedica a executar as suas aplicações de servidor, como o Microsoft Exchange Server e o Skype para Empresas Server 2015. Essas florestas de recursos também hospedam uma representação sincronizada de objetos de usuário ativo, mas não contas de usuário habilitadas para logon. Portanto, a floresta de recursos é um ambiente de serviços compartilhados para outras florestas nas quais os objetos de usuários residem, e que têm uma relação de confiança no nível de floresta com a floresta de recursos.

O Exchange Server pode ser implementado na mesma floresta de recursos que o Skype para Empresas Server ou numa floresta diferente.

Para implementar o Skype para Empresas Server 2015 neste tipo de topologia, teria de criar um objeto de utilizador desativado na floresta de recursos para cada conta de utilizador nas florestas de utilizadores (se o Microsoft Exchange Server já estiver no ambiente, tal poderá ser feito por si). Em seguida, precisa de uma ferramenta de sincronização de diretórios (como o Forefront Identity Manager ou o FIM) para gerir contas de utilizador ao longo do ciclo de vida.

Várias florestas em uma topologia de floresta de recursos do Skype for Business com o Exchange Online

Esta topologia é similar à topologia descrita em Várias florestas em uma topologia de floresta de recursos do Skype for Business.

Nesta topologia, existem uma ou mais florestas de utilizador e o Skype para Empresas Server é implementado numa floresta de recursos dedicada. O Exchange Server pode ser implementado no local na mesma floresta de recursos ou numa floresta diferente e configurado para híbrido com o Exchange Online ou os serviços de e-mail podem ser fornecidos exclusivamente pelo Exchange Online para as contas no local. Não existe nenhum diagrama disponível para esta topologia.

Várias florestas numa topologia de floresta de recursos com o Skype para Empresas Online e o Microsoft Entra Connect

Mostra duas florestas do AD, uma floresta de utilizador e uma floresta de recursos. As duas florestas têm uma relação de confiança. São sincronizados com o Microsoft 365 ou o Office 365 com o Microsoft Entra Connect. Todos os utilizadores estão ativados para o Skype para Empresas através do Microsoft 365 ou do Office 365.

Neste cenário há várias florestas locais, com uma topologia de floresta de recursos. Existe uma relação de confiança total entre as florestas do Active Directory. A ferramenta Microsoft Entra Connect é utilizada para sincronizar contas entre as florestas de utilizadores no local e o Microsoft 365 ou o Office 365.

A organização também tem o Microsoft 365 ou o Office 365 e utiliza o Microsoft Entra Connect para sincronizar as respetivas contas no local com o Microsoft 365 ou o Office 365. Os utilizadores ativados para o Skype para Empresas estão ativados através do Microsoft 365 ou do Office 365 e do Skype para Empresas Online. O Skype para Empresas Server não está implementado no local.

A autenticação de início de sessão único é fornecida por um farm dos Serviços de Federação do Active Directory localizado na floresta de utilizadores.

Neste cenário, é suportado implementar o Exchange no local, o Exchange Online, uma solução híbrida do Exchange ou não ter o Exchange implementado. O diagrama mostra somente o Exchange no Local, mas as outras soluções do Exchange são totalmente aceitas.

Várias florestas em uma topologia de floresta de recursos com o Skype for Business híbrido

Neste cenário, existe uma ou mais florestas de utilizador no local e o Skype para Empresas é implementado numa floresta de recursos dedicada e está configurado para o modo híbrido com o Skype para Empresas Online. O Exchange Server pode ser implementado no local na mesma floresta de recursos ou numa floresta diferente e pode ser configurado para híbrido com o Exchange Online. Em alternativa, os serviços de e-mail podem ser fornecidos exclusivamente pelo Exchange Online para as contas no local.

Para obter mais informações, consulte Configurar um ambiente de várias florestas para o Skype para Empresas híbrido.

Sistema de Nomes de Domínio (DNS)

O Skype para Empresas Server 2015 necessita de DNS pelos seguintes motivos:

  • O DNS permite que o Skype para Empresas Server 2015 detete servidores ou conjuntos internos, permitindo comunicações servidor a servidor.

  • O DNS permite que os computadores cliente descubram o conjunto de Front-End ou o servidor Standard Edition que está a ser utilizado para transações SIP.

  • Ele associa URLs simples para conferências aos servidores que as hospedam.

  • O DNS permite que os utilizadores externos e os computadores cliente se liguem aos seus Servidores Edge ou ao proxy inverso de HTTP, para mensagens instantâneas (MI) ou conferências.

  • Permite que os dispositivos de comunicações unificadas (UC) que não têm sessão iniciada descubram o conjunto de Front-End ou o servidor Standard Edition que está a executar o serviço Web Atualização de Dispositivos para obter atualizações e enviar registos.

  • O uso do DNS permite que clientes móveis descubram automaticamente os recursos dos serviços Web sem que os usuários tenham que inserir URLs manualmente em suas configurações do dispositivo.

  • E também é usado no balanceamento de carga do DNS.

É importante ter em atenção que o Skype para Empresas Server 2015 não suporta nomes de domínio internacionalizados (IDNs).

Além disso, é importante lembrar que qualquer nome no DNS é idêntico ao nome do computador configurado em qualquer servidor que esteja a ser utilizado pelo Skype para Empresas Server 2015. Especificamente, não podemos ter nomes curtos no ambiente e temos de ter FQDNs para o Topology Builder.

Parece que seria lógico para qualquer computador já associado a um domínio, mas se tiver um Servidor Edge que não esteja associado ao seu domínio, poderá ter um nome abreviado predefinido, sem sufixo de domínio. Certifique-se de que não é esse o caso, seja no DNS ou no Edge Server, ou em qualquer servidor ou conjunto do Skype para Empresas Server 2015, aliás.

E definitivamente não utilize carateres Unicode ou carateres de sublinhado. Os carateres padrão (que são A-Z, a-z, 0-9 e hífenes) são os que serão suportados por DNS externos e Autoridades de Certificação públicas (terá de atribuir FQDNs ao SN no certificado, não se esqueça), pelo que poupará muitas dores se o nome estiver em mente.

Para saber mais sobre os requisitos do DNS para redes, consulte a seção Networking da sua documentação de planejamento.

Certificados

Uma das coisas mais importantes a fazer antes da implantação é verificar se os seus certificados estão corretos. O Skype para Empresas Server 2015 precisa de uma infraestrutura de chaves públicas (PKI) para ligações TLS (transport layer security) e de segurança de camadas de transporte mútuo (MTLS). Basicamente, para comunicar de forma segura de forma padronizada, o Skype para Empresas Server utiliza certificados emitidos pelas Autoridades de Certificação (ACs).

Estas são algumas das coisas para as quais o Skype para Empresas Server 2015 utiliza certificados:

  • Conexões TLS entre clientes e servidores

  • Conexões MTLS entre servidores

  • Federação com deteção DNS automática de parceiros

  • Acesso de usuários remotos a IM (mensagens instantâneas)

  • Acesso de usuário externo a sessões de A/V (áudio/vídeo), compartilhamento de aplicativos e conferência

  • Falar com aplicações Web e o Outlook Web Access (OWA)

Portanto, o planeamento do certificado é obrigatório. Agora, vamos ver uma lista de alguns dos aspetos que precisa de ter em conta ao pedir certificados:

  • Todos os certificados de servidor devem oferecer suporte à autorização de servidor (EKU de servidor).

  • Todos os certificados de servidor devem conter um CDP (Ponto de Distribuição de CRL).

  • Todos os certificados devem ser assinados usando um algoritmo de assinatura que seja compatível com o sistema operacional. O Skype para Empresas Server 2015 suporta o conjunto sha-1 e SHA-2 de tamanhos de resumo (224, 256, 384 bits e 512 bits) e cumpre ou excede os requisitos do sistema operativo.

  • A inscrição automática é suportada para servidores internos com o Skype para Empresas Server 2015.

  • A inscrição automática não é suportada para servidores do Skype para Empresas Server 2015 Edge.

  • Quando submete um pedido de certificado baseado na Web a uma AC do Windows Server 2003, tem de submetê-lo a partir de um computador com o Windows Server 2003 com SP2 ou Windows XP.

Nota

Embora o KB922706 dê suporte à resolução de problemas com o registro de certificados via Web em relação a um registro de Serviços de Certificados do Windows Server 2003 via Web, ele não permite o uso do Windows Server 2008, do Windows Vista nem do Windows 7 para solicitar um certificado de uma AC do Windows Server 2003.

Nota

O uso do algoritmo de assinatura RSASSA-PSS não é permitido e pode levar a erros no login e a problemas de encaminhamento de chamadas, entre outros.

Nota

O Skype para Empresas Server 2015 não suporta certificados CNG.

  • Os comprimentos de chave de criptografia de 1024, 2048 e 4096 são suportados. Comprimentos de pelo menos 2048 são recomendados.

  • O algoritmo de hash de assinatura ou sumário padrão é RSA. Os algoritmos ECDH_P256, ECDH_P384 e ECDH_P521 também têm suporte.

Portanto, é muito em que pensar e, definitivamente, há vários níveis de conforto com o pedido de certificados de uma AC. Iremos fornecer-lhe mais orientações abaixo para tornar o seu planeamento o mais indolor possível.

Certificados para seus servidores internos

Precisará de certificados para a maioria dos servidores internos e, muito provavelmente, irá obtê-los a partir de uma AC interna (que está localizada no seu domínio). Se quiser, você pode solicitar esses certificados de uma AC externa (localizada na internet). Se estiver a perguntar-se a que AC pública deve aceder, pode consultar a lista de parceiros de certificados de Comunicações Unificadas .

Também irá precisar de certificados quando o Skype para Empresas Server 2015 comunicar com outras aplicações e servidores, como o Microsoft Exchange Server. Esse, obviamente, deve ser um certificado que possa ser usado por outros aplicativos e servidores de maneira suportada. O Skype para Empresas Server 2015 e outros produtos Microsoft suportam o protocolo Open Authorization (OAuth) para autenticação e autorização servidor a servidor. Se estiver interessado nisto, temos um artigo de planeamento adicional para o OAuth e o Skype para Empresas Server 2015.

O Skype para Empresas Server 2015 também inclui suporte para (sem necessidade) certificados assinados com a função hash criptográfica SHA-256. Para oferecer suporte ao acesso externo usando SHA-256, o certificado externo é emitido por uma AC pública usando SHA-256.

Para tentar manter as coisas simples, colocámos os requisitos de certificado para servidores da Edição Standard, conjuntos front-end e outras funções, nas tabelas seguintes, com os contoso.com fictícios a serem utilizados por exemplos (provavelmente estará a utilizar outra coisa para o seu ambiente). Estes são todos certificados de servidor Web padrão, com chaves privadas que não sãoportáveis. Mais alguns aspetos a ter em atenção:

  • O Uso Avançado de Chave (EKU) no servidor é automaticamente configurado quando o assistente de certificado é usado para solicitar certificados.

  • Cada nome amigável do certificado deve ser exclusivo no repositório do computador.

  • De acordo com os nomes de exemplo abaixo, se tiver configurado sipinternal.contoso.com ou sipexternal.contoso.com no seu DNS, estes têm de ser adicionados ao Nome Alternativo do Requerente (SAN) do certificado.

Certificados para servidores standard edition:

Certificado Nome de entidade/nome comum Nome alternativo de entidade Exemplo Comentários
Padrão
FQDN do pool
FQDN do pool e FQDN do servidor
Se você tiver vários domínios SIP e tiver habilitado a configuração automática do cliente, o assistente de certificados detectará e adicionará os FQDNs de cada domínio SIP aceito.
Se este conjunto for o servidor de registo automático para clientes e for necessária uma correspondência estrita do Sistema de Nomes de Domínio (DNS) na política de grupo, também precisa de entradas para sip.sipdomain (para cada domínio SIP que tiver).
SN=se01.contoso.com; SAN=se01.contoso.com
Se este conjunto for o servidor de registo automático para clientes e for necessária uma correspondência DNS rigorosa na política de grupo, também precisa de SAN=sip.contoso.com; SAN=sip.fabrikam.com
No servidor Standard Edition, o FQDN do servidor é o mesmo que o FQDN do conjunto.
O assistente deteta quaisquer domínios SIP que especificou durante a configuração e adiciona-os automaticamente como nomes alternativos do requerente.
Você também utiliza este certificado para Autenticação de Servidor para Servidor.
Web interna
FQDN do servidor
Cada um dos seguintes:
• FQDN Web interno (que é o mesmo que o FQDN do servidor)
AND
• Conheça URLs simples
• URL simples de acesso telefónico
• URL simples do administrador
OR
• Uma entrada de caráter universal para os URLs simples
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com
Como usar um certificado curinga:
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com
Não pode substituir o FQDN Web Interno no Topology Builder.
Se você possui vários Atender a URLs simples, deve incluir todos eles como nomes alternativos de entidade.
As entradas curinga são suportadas pelas entradas de URL simples.
Web externa
FQDN do servidor
Cada um dos seguintes:
• FQDN Web externo
AND
• URL simples de acesso telefónico
• Conheça URLs simples por domínio SIP
OR
• Uma entrada de caráter universal para os URLs simples
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com
Como usar um certificado curinga:
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com
Se tiver vários URLs simples meet, tem de incluí-los todos como nomes alternativos do requerente.
As entradas curinga são suportadas pelas entradas de URL simples.

Certificados para Servidores front-end num conjunto de Front-end do Enterprise Edition:

Certificado Nome de entidade/nome comum Nome alternativo de entidade Exemplo Comentários
Padrão
FQDN do pool
FQDN do pool e FQDN do servidor
Se você tiver vários domínios SIP e tiver habilitado a configuração automática do cliente, o assistente de certificados detectará e adicionará os FQDNs de cada domínio SIP aceito.
Se este conjunto for o servidor de registo automático para clientes e for necessária uma correspondência estrita do Sistema de Nomes de Domínio (DNS) na política de grupo, também precisa de entradas para sip.sipdomain (para cada domínio SIP que tiver).
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com
Se este conjunto for o servidor de registo automático para clientes e for necessária uma correspondência DNS rigorosa na política de grupo, também precisa de SAN=sip.contoso.com; SAN=sip.fabrikam.com
O assistente detecta quaisquer domínios SIP especificados durante a instalação e os adiciona automaticamente ao nome alternativo para a entidade.
Você também utiliza este certificado para Autenticação de Servidor para Servidor.
Web interna
FQDN do pool
Cada um dos seguintes:
• FQDN Web interno (que NÃO é igual ao FQDN do servidor)
• FQDN do Servidor
• FQDN do conjunto do Skype para Empresas
AND
• Conheça URLs simples
• URL simples de acesso telefónico
• URL simples do administrador
OR
• Uma entrada de caráter universal para os URLs simples
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com
Como usar um certificado curinga:
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com
Se tiver vários URLs simples meet, tem de incluí-los todos como nomes alternativos do requerente.
As entradas curinga são suportadas pelas entradas de URL simples.
Web externa
FQDN do pool
Cada um dos seguintes:
• FQDN Web externo
AND
• URL simples de acesso telefónico
• URL simples do administrador
OR
• Uma entrada de caráter universal para os URLs simples
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com
Como usar um certificado curinga:
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com
Se tiver vários URLs simples meet, tem de incluí-los todos como nomes alternativos do requerente.
As entradas curinga são suportadas pelas entradas de URL simples.

Certificados para o Diretor:

Certificado Nome de entidade/nome comum Nome alternativo de entidade Exemplo
Padrão
Pool de diretores
FQDN do Director, FQDN do conjunto de Diretórios.
Se este conjunto for o servidor de registo automático para clientes e forem necessárias correspondências DNS estritas na política de grupo, também precisará de entradas para sip.sipdomain (para cada domínio SIP que tiver).
pool.contoso.com; SAN=dir01.contoso.com
Se este conjunto de Diretórios for o servidor de registo automático para clientes e for necessária uma correspondência DNS rigorosa na política de grupo, também precisa de SAN=sip.contoso.com; SAN=sip.fabrikam.com
Web interna
FQDN do servidor
Cada um dos seguintes:
• FQDN Web interno (que é o mesmo que o FQDN do servidor)
• FQDN do Servidor
• FQDN do conjunto do Skype para Empresas
AND
• Conheça URLs simples
• URL simples de acesso telefónico
• URL simples do administrador
OR
• Uma entrada de caráter universal para os URLs simples
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com
Como usar um certificado curinga:
SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com
Web externa
FQDN do servidor
Cada um dos seguintes:
• FQDN Web externo
AND
• Conheça URLs simples por domínio SIP
• URL simples de acesso telefónico
OR
• Uma entrada de caráter universal para os URLs simples
O FQDN Web externo do Director tem de ser diferente do conjunto de Front-End ou do Servidor front-end.
SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com
Como usar um certificado curinga:
SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com

Certificados para o Servidor de Mediação Autónomo:

Certificado Nome de entidade/nome comum Nome alternativo de entidade Exemplo
Padrão
FQDN do pool
FQDN do pool
FQDN do servidor membro do pool
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net

Certificados para a Aplicação de Ramo Sobrevivente:

Certificado Nome de entidade/nome comum Nome alternativo de entidade Exemplo
Padrão
FQDN do aplicativo
SIP.<sipdomain> (só precisa de uma entrada por domínio SIP)
SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com

Certificados para seu Servidor de Chat Persistente

Ao instalar o seu Servidor de Chat Persistente, precisará de um certificado emitido pela mesma AC que a utilizada pelos servidores internos do Skype para Empresas Server 2015. Isto tem de ser feito para cada servidor que execute Serviços Web de Chat Persistentes para Carregamento/Transferência de Ficheiros. Recomendamos vivamente que tenha os certificados necessários antes de iniciar a instalação do Chat Persistente e, se a AC for externa, ainda mais (estes itens podem demorar algum tempo a ser emitidos).

Certificados para acesso de usuário externo (Borda)

O Skype para Empresas Server 2015 suporta a utilização de um único certificado público para interfaces externas edge de acesso e conferências Web, além do serviço de Autenticação A/V, que é fornecido através do(s) Servidor(s) Edge(s). Normalmente, a interface interna do Edge utilizará um certificado privado emitido pela AC interna, mas se preferir, também pode utilizar um certificado público para tal, se for proveniente de uma AC fidedigna.

Seu proxy reverso (RP) também usará um certificado público que criptografa a comunicação entre o RP e os clientes e entre o RP e os servidores internos usando HTTP (ou, mais precisamente, TLS sobre HTTP).

Certificados para mobilidade

Se estiver a implementar a mobilidade e estiver a suportar a deteção automática para clientes móveis, terá de incluir algumas entradas adicionais de nome alternativo do requerente nos certificados para suportar as ligações seguras dos clientes móveis.

Quais certificados? Você precisará de nomes SAN para descoberta automática nos certificados em:

  • Pool de diretores

  • Pool de Front-Ends

  • Proxy reverso

As especificações serão listadas em cada tabela abaixo.

Agora, é aqui que um pouco de pré-planeamento é bom, mas por vezes já implementou o Skype para Empresas Server 2015 sem ter a intenção de implementar a mobilidade e isso surge quando já tem certificados no seu ambiente. Reeditá-los através de uma AC interna é normalmente fácil, mas com certificados públicos de uma AC pública que podem ser um pouco mais caros.

Se é isso que está a ver e se tiver muitos domínios SIP (o que tornaria a adição de SANS mais cara), pode configurar o proxy inverso para utilizar HTTP para o pedido inicial do Serviço de Deteção Automática, em vez de utilizar HTTPS (que é a configuração predefinida). O artigo Planning for Mobility (Planeamento da Mobilidade) tem mais informações sobre este artigo.

Requisitos do conjunto de diretórios e do certificado do conjunto de Front-End:

Descrição Entrada do SAN
URL interna do serviço de Descoberta Automática
SAN=lyncdiscoverinternal.<sipdomain>
URL externa do serviço de Descoberta Automática
SAN=lyncdiscover.<sipdomain>

Em alternativa, pode utilizar SAN=*.<sipdomain>

Requisitos de certificado de proxy reverso (AC pública):

Descrição Entrada do SAN
URL externa do serviço de Descoberta Automática
SAN=lyncdiscover.<sipdomain>

Este SAN precisa ser atribuído ao certificado que, por sua vez, é atribuído ao Ouvinte do SSL em seu proxy reverso.

Nota

O serviço de escuta de proxy inverso terá SANs para os URLs de Serviços Web externos. Alguns exemplos seriam SAN=skypewebextpool01.contoso.com e dirwebexternal.contoso.com, se tiver implementado o Director (o que é opcional).

Compartilhamento de arquivo

O Skype para Empresas Server 2015 consegue utilizar a mesma partilha de ficheiros para todo o armazenamento de ficheiros. Deve-se ter em mente:

  • Uma partilha de ficheiros tem de estar no armazenamento ligado direto (DAS) ou numa rede de armazenamento (SAN), o que inclui o Sistema de Ficheiros Distribuído (DFS) e uma matriz redundante de discos independentes (RAID) para arquivos de ficheiros. Para ler mais sobre o DFS para Windows Server 2012, consulte esta página DFS.

  • Recomendamos um cluster compartilhado para o compartilhamento de arquivo. Se estiver a utilizar um, deve criar um cluster do Windows Server 2012 ou Windows Server 2012 R2. O Windows Server 2008 R2 também é aceitável. Porquê o Windows mais recente? Versões antigas podem não ter as permissões adequadas para habilitar todos os recursos. Pode utilizar o Administrador de Clusters para criar as partilhas de ficheiros e este artigo Como criar partilhas de ficheiros num cluster irá ajudá-lo com esses detalhes.

Atenção

Você deve saber que o uso de NAS como compartilhamento de arquivo não é compatível; portanto, use uma das opções listadas acima.