Environmental requirements for Skype for Business Server 2015
Сводка: Настройте несерверные требования для Skype для бизнеса Server 2015. Перед развертыванием необходимо настроить различные компоненты, включая Active Directory, DNS, сертификаты и общие папки.
Каковы требования к среде для Skype для бизнеса Server 2015? Мы помещаем в эту статью все, что напрямую не связано с сервером, поэтому вам не придется делать столько, чтобы щелкать вокруг. Если вы ищете необходимые компоненты для сервера, ознакомьтесь с документацией По требованиям к серверу для Skype для бизнеса Server 2015 . Планирование сети также описано отдельно. В противном случае мы имеем в этой статье следующее:
Active Directory
Хотя многие данные конфигурации для серверов и служб хранятся в центральном хранилище управления Skype для бизнеса Server 2015, некоторые элементы по-прежнему хранятся в Active Directory:
| Объекты Active Directory | Типы объектов |
|---|---|
| Расширения схемы |
Расширения объекта пользователя |
| Расширения для Lync Server 2013 и Lync Server 2010 для обеспечения обратной совместимости с предыдущими поддерживаемыми версиями. |
|
| Данные |
URI SIP пользователя и другие пользовательские параметры |
| Контактные объекты для приложений (например, приложение группы ответа и приложение-участник конференц-связи). |
|
| Данные, опубликованные для совместимости с предыдущими версиями. |
|
| Точка управления службой (SCP) для центрального хранилища управления. |
|
| Учетная запись Kerberos для проверки подлинности (необязательный объект-компьютер). |
ОС для контроллеров доменов
Итак, какую ОС контроллера домена можно использовать? У нас есть следующий список:
Windows Server 2019 (у вас должен быть накопительный пакет обновления 5 для Skype для бизнеса Server 2015 или более поздней версии)
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server 2008
Теперь уровень работы домена любого домена, в который вы развертываете Skype для бизнеса Server 2015, и уровень функциональности леса любого леса, в который вы развертываете Skype для бизнеса Server 2015, должен быть одним из следующих:
Windows Server 2019 (у вас должен быть накопительный пакет обновления 5 для Skype для бизнеса Server 2015 или более поздней версии)
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server 2008
Windows Server 2003
Допускается наличие в этих средах контроллеров доменов, доступных только для чтения. Конечно, при условии, что есть также записываемые контроллеры домена, доступные на том же сайте, что и Skype для бизнеса Server.
Теперь важно знать, что Skype для бизнеса Server 2015 не поддерживает домены с одними метками. Например, допускается корневой домен с именем contoso.local. Если у вас есть корневой домен с именем local, он не будет работать и в результате не поддерживается. Дополнительные сведения приведены в этой статье базы знаний.
Skype для бизнеса Server 2015 также не поддерживает переименование доменов. Если это необходимо сделать, необходимо удалить Skype для бизнеса Server 2015, переименовать домен, а затем переустановить Skype для бизнеса Server 2015.
Наконец, вы можете иметь дело с доменом с заблокированной средой AD DS, и это нормально. Дополнительные сведения о развертывании Skype для бизнеса Server 2015 в такой среде см. в документации по развертыванию.
Топологии AD
Поддерживаемые топологии Skype для бизнеса Server 2015:
Один лес с одним доменом
Один лес с одним деревом и несколькими доменами
Один лес с несколькими деревьями и несвязанными пространствами имен
Несколько лесов в топологии с центральным лесом
Несколько лесов в топологии с лесом ресурсов
Несколько лесов в топологии с лесом ресурсов Skype для бизнеса с Exchange Online
Несколько лесов в топологии леса ресурсов с помощью Skype для бизнеса Online и Microsoft Entra Connect
У нас есть схемы и описания, которые помогут вам определить, какая топология у вас есть в вашей среде или что может потребоваться настроить перед установкой Skype для бизнеса Server 2015. Для упрощения предлагается также ключ:
Один лес с одним доменом
Это не проще, чем это, это один доменный лес, это общая топология.
Один лес с одним деревом и несколькими доменами
На схеме показан один лес с одним или несколькими дочерними доменами (в данном примере с тремя). Таким образом, домен, в который создаются пользователи, может отличаться от домена, в который развернут Skype для бизнеса Server 2015. Почему на это стоит обратить внимание? При развертывании пула переднего плана Skype для бизнеса Server важно помнить, что все серверы этого пула должны находиться в одном домене. Вы можете управлять между доменами с помощью поддержки универсальных групп администраторов Windows в Skype для бизнеса Server.
Вернемся к приведенной выше схеме, вы увидите, что пользователи из одного домена могут получать доступ к пулам Skype для бизнеса Server из одного домена или из разных доменов, даже если эти пользователи находятся в дочернем домене.
Один лес с несколькими деревьями и несвязанными пространствами имен
Возможно, у вас есть топология, аналогичная этой схеме, где у вас есть один лес, но внутри этого леса есть несколько доменов с отдельными пространствами имен AD. В этом случае эта схема является хорошей иллюстрацией, так как у нас есть пользователи из трех разных доменов, обращаюющихся к Skype для бизнеса Server 2015. Сплошные линии указывают, что они могут получить доступ к пулу Skype для бизнеса Server в собственном домене, а пунктирная линия указывает, что они собираются в пул в другом дереве.
Как видите, пользователи в одном домене, в том же дереве или даже в другом дереве могут успешно получить доступ к пулам.
Несколько лесов в топологии с центральным лесом
Skype для бизнеса Server 2015 поддерживает несколько лесов, настроенных в центральной топологии леса. Наличие такой топологии проверяется по следующим критериям: в центральном лесу топологии содержатся объекты, предназначенные для представления пользователей в других лесах, и размещены учетные записи всех пользователей в лесу.
Как это работает? Кроме того, продукт синхронизации каталогов (например, Forefront Identity Manager или FIM) управляет учетными записями пользователей вашей организации на протяжении всего их существования. При создании или удалении учетной записи в лесу это изменение синхронизируется с соответствующим контактом в центральном лесу.
Очевидно, что если ваша инфраструктура AD находится на месте, переход к этой топологии может быть непростой, но если вы уже там или все еще планируете свою лесную инфраструктуру, это может быть хорошим выбором. Вы можете централизовать развертывание Skype для бизнеса Server 2015 в одном лесу, а пользователи могут выполнять поиск, общаться и просматривать присутствие других пользователей в любом лесу. Обновление всех контактов пользователей выполняются автоматически с помощью программного обеспечения синхронизации.
Несколько лесов в топологии с лесом ресурсов Skype для бизнеса
Также поддерживается топология леса ресурсов; Здесь лес предназначен для выполнения серверных приложений, таких как Microsoft Exchange Server и Skype для бизнеса Server 2015. В таких лесах ресурсов размещается также синхронизированное представление активных объектов-пользователей, но не могут размещаться учетные записи пользователей, по которым возможен вход в систему. Таким образом, лес ресурсов представляет собой среду общих служб для других лесов, в которых расположены объекты-пользователи; при этом на уровне лесов поддерживаются отношения доверия с лесом ресурсов.
Exchange Server можно развернуть в том же лесу ресурсов, что и Skype для бизнеса Server, или в другом лесу.
Чтобы развернуть Skype для бизнеса Server 2015 в топологии этого типа, необходимо создать один отключенный объект пользователя в лесу ресурсов для каждой учетной записи пользователя в лесах пользователей (если Microsoft Exchange Server уже находится в среде, это может быть сделано за вас). Для управления учетными записями пользователей на протяжении их жизненного цикла потребуется средство синхронизации каталогов (например, Forefront Identity Manager, или FIM).
Несколько лесов в топологии с лесом ресурсов Skype для бизнеса с Exchange Online
Эта топология аналогична топологии, описанной в разделе Несколько лесов в топологии Skype для бизнеса с лесом ресурсов (Multiple forests in a Skype for Business resource forest topology).
В этой топологии может быть один или несколько лесов пользователей, а сервер Skype для бизнеса Server развернут в выделенном лесу ресурсов. Exchange Server можно развернуть локально в том же лесу ресурсов или в другом лесу и настроить для гибридной работы с Exchange Online, либо службы электронной почты могут предоставляться исключительно Exchange Online для локальных учетных записей. Для этой топологии нет доступной схемы.
Несколько лесов в топологии леса ресурсов с помощью Skype для бизнеса Online и Microsoft Entra Connect
В этом сценарии существует несколько локальных лесов с топологией леса ресурсов. Между лесами Active Directory существует отношение полного доверия. Средство Microsoft Entra Connect используется для синхронизации учетных записей между локальными лесами пользователей и Microsoft 365 или Office 365.
Организация также имеет Microsoft 365 или Office 365 и использует Microsoft Entra Connect для синхронизации своих локальных учетных записей с Microsoft 365 или Office 365. Пользователи, для которых включена поддержка Skype для бизнеса, включаются через Microsoft 365 или Office 365 и Skype для бизнеса Online. Skype для бизнеса Server не развертывается локально.
Служба единого входа предоставляется фермой служб федерации Active Directory, расположенной в пользовательском лесу.
В этом сценарии поддерживается развертывание локальной среды Exchange, Exchange Online, гибридного решения Exchange или отсутствие развертывания Exchange вообще. (На схеме изображены только локальные службы Exchange, однако другие решения Exchange также полностью поддерживаются.)
Несколько лесов в топологии с лесом ресурсов с гибридным развертыванием Skype для бизнеса и Azure Active Directory Connect
При данном сценарии может быть один или несколько локальных лесов пользователей, а Skype для бизнеса развернут в выделенном лесу ресурсов и настроен для гибридного режима с помощью Skype для бизнеса Online. Exchange Server можно развернуть локально в том же или другом лесу ресурсов и настроить для гибридной среды с помощью Exchange Online. Кроме того, службы электронной почты могут быть предоставлены исключительно посредством Exchange Online для локальных учетных записей.
Дополнительные сведения см. в разделе Настройка среды с несколькими лесами для гибридного решения Skype для бизнеса.
Служба доменных имен (DNS)
Skype для бизнеса Server 2015 требуется DNS по следующим причинам:
DNS позволяет Skype для бизнеса Server 2015 обнаруживать внутренние серверы или пулы, обеспечивая обмен данными между серверами.
Служба доменных имен позволяет обнаруживать пул переднего плана или сервер Standard Edition, используемый для транзакций по протоколу SIP, на клиентских компьютерах.
Она обеспечивает связывание простых URL‑адресов для конференций с серверами, на которых размещаются эти конференции.
Служба доменных имен обеспечивает подключение внешних пользователей и клиентских компьютеров к пограничным серверам или обратному прокси-серверу HTTP для обмена мгновенными сообщениями (IM) или проведения конференций.
Она позволяет без входа в систему обнаруживать на устройствах системы объединенных коммуникаций (UC) пул переднего плана или сервер Standard Edition, на котором работает веб-служба обновления устройств, для получения пакетов обновления и передачи журналов.
На мобильных клиентах служба доменных имен обеспечивает автоматическое обнаружение ресурсов веб-служб без ввода URL‑адресов вручную в разделе параметров устройства.
Балансировка нагрузки также может выполняться средствами службы доменных имен.
Важно отметить, что Skype для бизнеса Server 2015 не поддерживает международные доменные имена (IDN).
И важно помнить, что любое имя в DNS идентично имени компьютера, настроенного на любом сервере, используемом Skype для бизнеса Server 2015. В частности, в данной среде не допускаются сокращенные имена, а для построителя топологий должны быть заданы полные доменные имена.
Для каждого сервера, ранее присоединенного к домену, это требование, как правило, выполнено, но если у вас есть пограничный сервер, не присоединенный к домену, он может иметь имя по умолчанию или короткое имя без суффикса, указывающего домен. Убедитесь, что это не так, ни в DNS, ни на пограничном сервере, либо на любом сервере Или пуле Skype для бизнеса Server 2015.
И определенно не используйте символы Юникода или символы подчеркивания. Стандартные символы (A-Z, a-z, 0-9 и дефисы) будут поддерживаться внешними центрами DNS и общедоступными центрами сертификации (вам потребуется назначить полные доменные имена sn в сертификате, не забывайте), поэтому вы избавитесь от многих горя, если вы назовете это с учетом этого.
Дополнительные сведения о требованиях к службе доменных имен для сетей см. в разделе Networking документации по планированию.
Сертификаты
Одним из важнейших этапов, предшествующих развертыванию, является подготовка сертификатов. Skype для бизнеса Server 2015 требуется инфраструктура открытых ключей (PKI) для подключений tls и mtls. Для стандартизированного безопасного обмена данными на серверах Skype для бизнеса Server преимущественно применяются сертификаты, выпущенные центрами сертификации (CA).
Вот некоторые из компонентов, для которых Skype для бизнеса Server 2015 использует сертификаты:
для установления соединений между клиентами и серверами по протоколу TLS ;
для подключений MTLS между серверами;
для федерации с использованием автоматического обнаружения DNS партнеров;
для доступа удаленных пользователей к обмену мгновенными сообщениями;
для доступа внешних пользователей к сеансам аудио- или видеосвязи, функциям обмена приложениями и конференц-связи;
для обмена данными с веб-приложениями и Outlook Web Access (OWA).
Поэтому планирование сертификатов является обязательным. При запросе сертификатов необходимо иметь в виду следующее.
Все сертификаты серверов должны поддерживать авторизацию сервера (EKU сервера).
Все сертификаты серверов должны содержать точку распространения списка отзыва сертификатов (CDP).
Все сертификаты должны быть подписаны с помощью алгоритма подписывания, поддерживаемого операционной системой. Skype для бизнеса Server 2015 поддерживает набор размеров дайджестов SHA-1 и SHA-2 (224, 256, 384 и 512 бит), а также соответствует требованиям операционной системы или превышает их.
Автоматическая регистрация поддерживается для внутренних серверов под управлением Skype для бизнеса Server 2015.
Автоматическая регистрация не поддерживается для пограничных серверов Skype для бизнеса Server 2015.
При отправке веб-запроса на сертификат в ЦС Windows Server 2003 его необходимо отправить с компьютера под управлением Windows Server 2003 с пакетом обновления 2 (SP2) или Windows XP.
Примечание.
В статье базы знаний KB922706 приведены рекомендации по устранению неполадок, связанных с регистрацией веб-сертификатов с помощью служб сертификатов Windows Server 2003; но запросить сертификат из центра сертификации Windows Server 2003 посредством Windows Server 2008, Windows Vista или Windows 7 невозможно.
Примечание.
Использование алгоритма подписи RSASSA-PSS не поддерживается и может привести к ошибкам при входе в систему, проблемам с переадресацией звонков и другим неполадкам.
Примечание.
Skype для бизнеса Server 2015 не поддерживает сертификаты CNG.
Поддерживается длина ключей шифрования в 1024, 2048 и 4096 бит. Рекомендуется использовать ключи не короче 2048 бит.
По умолчанию используется дайджест-алгоритм (алгоритм хэширования и подписывания) RSA. Также поддерживаются алгоритмы ECDH_P256, ECDH_P384 и ECDH_P521.
Так что это многое, чтобы подумать, и, безусловно, есть различные уровни комфорта с запросом сертификатов из ЦС. Ниже приведены дополнительные рекомендации по упрощению планирования.
Сертификаты для внутренних серверов
Вам потребуются сертификаты для большинства внутренних серверов, и, скорее всего, вы получите их из внутреннего ЦС (который находится в вашем домене). При необходимости эти сертификаты можно запросить из внешнего ЦС (расположенного в Интернете). В случае затруднений при выборе общедоступного центра сертификации просмотрите список партнеров по сертификации объединенных коммуникаций.
Вам также потребуются сертификаты, когда Skype для бизнеса Server 2015 взаимодействует с другими приложениями и серверами, такими как Microsoft Exchange Server. В этом случае сертификаты должны поддерживаться другими приложениями и службами. Skype для бизнеса Server 2015 и другие продукты Майкрософт поддерживают протокол Open Authorization (OAuth) для проверки подлинности и авторизации между серверами. Если вы заинтересованы в этом, у нас есть дополнительная статья о планировании OAuth и Skype для бизнеса Server 2015.
Skype для бизнеса Server 2015 также включает поддержку (без необходимости) сертификатов, подписанных с помощью криптографической хэш-функции SHA-256. Для поддержки внешнего доступа с использованием SHA-256 внешний сертификат выдается общедоступным центром сертификации с использованием SHA-256.
Чтобы сделать все проще, мы поместили требования к сертификатам для серверов Standard Edition, интерфейсных пулов и других ролей в следующих таблицах, используя вымышленные contoso.com в качестве примеров (вы, вероятно, будете использовать что-то другое для своей среды). Это все стандартные сертификаты веб-сервера с закрытыми ключами, которые не являются неисключимыми. Обратите внимание на некоторые другие моменты:
При запросе сертификатов с помощью мастера сертификатов автоматически настраивается расширенное использование ключа (EKU) сервера.
Понятные имена сертификатов не должны повторятся в пределах хранилища компьютера.
Если в службе доменных имен задано имя sipinternal.contoso.com или sipexternal.contoso.com (на основе примеров имен ниже), его необходимо добавить к альтернативному имени субъекта (SAN) сертификата.
Сертификаты для серверов Standard Edition:
| Сертификат | Имя субъекта или общее имя | Альтернативное имя субъекта | Пример | Примечания |
|---|---|---|---|---|
| По умолчанию |
Полное доменное имя пула |
Полные доменные имена пула и сервера Если существует несколько доменов SIP и включена автоматическая настройка клиента, мастер сертификатов обнаруживает все поддерживаемые полные доменные имена SIP. Если этот пул является сервером автоматического входа для клиентов и в групповой политике требуется строгое сопоставление системы доменных имен (DNS), вам также потребуются записи для sip.sipdomain (для каждого домена SIP). |
SN=se01.contoso.com; SAN=se01.contoso.com Если этот пул является сервером автоматического входа для клиентов и в групповой политике требуется строгое сопоставление DNS, вам также потребуется SAN=sip.contoso.com; SAN=sip.fabrikam.com |
На сервере Standard Edition полное доменное имя сервера совпадает с полным доменным именем пула. Мастер обнаруживает все домены SIP, указанные во время установки, и автоматически добавляет их в качестве альтернативных имен субъектов. Вы также можете использовать этот сертификат для проверки подлинности между серверами. |
| Внутренняя сеть |
Полное доменное имя сервера |
Каждое из следующих: • Полное доменное имя внутреннего веб-сайта (совпадает с полным доменным именем сервера) И • Простые URL-адреса собрания • Простой URL-адрес для телефонного подключения • Простой URL-адрес администратора ИЛИ • Ввод подстановочного знака для простых URL-адресов |
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Использование групповых сертификатов: SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com |
Заменить полное доменное имя внутреннего веб-сайта в построителе топологии невозможно. При наличии нескольких простых URL-адресов собраний необходимо задать все эти адреса в качестве альтернативных имен субъектов. Для простых URL-адресов поддерживаются подстановочные записи. |
| Внешняя сеть |
Полное доменное имя сервера |
Каждое из следующих: • Полное доменное имя внешней сети И • Простой URL-адрес для телефонного подключения • Простые URL-адреса собраний для каждого домена SIP ИЛИ • Ввод подстановочного знака для простых URL-адресов |
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Использование групповых сертификатов: SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Если у вас есть несколько простых URL-адресов Meet, необходимо включить их все в качестве альтернативных имен субъектов. Для простых URL-адресов поддерживаются подстановочные записи. |
Сертификаты для серверов переднего плана в пуле переднего плана Enterprise Edition:
| Сертификат | Имя субъекта или общее имя | Альтернативное имя субъекта | Пример | Примечания |
|---|---|---|---|---|
| По умолчанию |
Полное доменное имя пула |
Полные доменные имена пула и сервера Если существует несколько доменов SIP и включена автоматическая настройка клиента, мастер сертификатов обнаруживает все поддерживаемые полные доменные имена SIP. Если этот пул является сервером автоматического входа для клиентов и в групповой политике требуется строгое сопоставление системы доменных имен (DNS), вам также потребуются записи для sip.sipdomain (для каждого домена SIP). |
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com Если этот пул является сервером автоматического входа для клиентов и в групповой политике требуется строгое сопоставление DNS, вам также потребуется SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Мастер обнаруживает все домены SIP, указанные вами во время установки, и автоматически добавляет их в альтернативное имя субъекта. Вы также можете использовать этот сертификат для проверки подлинности между серверами. |
| Внутренняя сеть |
Полное доменное имя пула |
Каждое из следующих: • Полное доменное имя внутренней сети (которое НЕ совпадает с полным доменным именем сервера) • Полное доменное имя сервера • Полное доменное имя пула Skype для бизнеса И • Простые URL-адреса собрания • Простой URL-адрес для телефонного подключения • Простой URL-адрес администратора ИЛИ • Ввод подстановочного знака для простых URL-адресов |
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Использование групповых сертификатов: SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com |
Если у вас есть несколько простых URL-адресов Meet, необходимо включить их все в качестве альтернативных имен субъектов. Для простых URL-адресов поддерживаются подстановочные записи. |
| Внешняя сеть |
Полное доменное имя пула |
Каждое из следующих: • Полное доменное имя внешней сети И • Простой URL-адрес для телефонного подключения • Простой URL-адрес администратора ИЛИ • Ввод подстановочного знака для простых URL-адресов |
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Использование групповых сертификатов: SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Если у вас есть несколько простых URL-адресов Meet, необходимо включить их все в качестве альтернативных имен субъектов. Для простых URL-адресов поддерживаются подстановочные записи. |
Сертификаты для директора:
| Сертификат | Имя субъекта или общее имя | Альтернативное имя субъекта | Пример |
|---|---|---|---|
| По умолчанию |
Пул директоров |
Полное доменное имя директора и пула директоров. Если этот пул является сервером автоматического входа для клиентов и требуется строгое соответствие DNS в групповой политике, вам также потребуются записи для sip.sipdomain (для каждого домена SIP). |
pool.contoso.com; SAN=dir01.contoso.com Если этот пул директоров является сервером автоматического входа для клиентов и в групповой политике требуется строгое сопоставление DNS, вам также потребуется SAN=sip.contoso.com; SAN=sip.fabrikam.com |
| Внутренняя сеть |
Полное доменное имя сервера |
Каждое из следующих: • Полное доменное имя внутреннего веб-сайта (совпадает с полным доменным именем сервера) • Полное доменное имя сервера • Полное доменное имя пула Skype для бизнеса И • Простые URL-адреса собрания • Простой URL-адрес для телефонного подключения • Простой URL-адрес администратора ИЛИ • Ввод подстановочного знака для простых URL-адресов |
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Использование групповых сертификатов: SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com |
| Внешняя сеть |
Полное доменное имя сервера |
Каждое из следующих: • Полное доменное имя внешней сети И • Простые URL-адреса собраний для каждого домена SIP • Простой URL-адрес для телефонного подключения ИЛИ • Ввод подстановочного знака для простых URL-адресов |
Полное доменное имя внешней сети директора должно отличаться от пула переднего плана и сервера переднего плана. SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Использование групповых сертификатов: SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
Сертификаты для автономного сервера-посредника:
| Сертификат | Имя субъекта или общее имя | Альтернативное имя субъекта | Пример |
|---|---|---|---|
| По умолчанию |
Полное доменное имя пула |
Полное доменное имя пула Полное доменное имя сервера, входящего в пул |
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net |
Сертификаты для устройства живучего филиала:
| Сертификат | Имя субъекта или общее имя | Альтернативное имя субъекта | Пример |
|---|---|---|---|
| По умолчанию |
Полное доменное имя устройства |
SIP.<домен_SIP> (достаточно одной записи для каждого домена SIP) |
SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Сертификаты для сервера сохраняемого чата
При установке сервера сохраняемого чата вам потребуется сертификат, выданный тем же ЦС, что и на внутренних серверах Skype для бизнеса Server 2015. Это необходимо сделать для каждого сервера, на котором запущены веб-службы сохраняемого чата для отправки и скачивания файлов. Мы настоятельно рекомендуем вам иметь необходимые сертификаты перед началом установки сохраняемого чата, а если ваш ЦС является внешним, тем более (это может занять немного времени).
Сертификаты для доступа внешних пользователей (пограничные)
Skype для бизнеса Server 2015 поддерживает использование одного общедоступного сертификата для доступа и внешних интерфейсов веб-конференций, а также службы проверки подлинности A/V, которая предоставляется через пограничные серверы. Обычно для внешнего пограничного интерфейса применяется закрытый сертификат, выпущенный внутренним центром сертификации, но при необходимости можно применить общий сертификат, выпущенный доверенным центром сертификации.
Общий сертификат требуется также для обратного прокси-сервера (RP); данные, передаваемые между обратным прокси-сервером и клиентами и внутренними серверами, шифруются по протоколу HTTP (точнее, по протоколу TLS на базе HTTP).
Сертификаты для мобильной работы
Если развертывается мобильная связь с поддержкой автоматического обнаружения мобильных клиентов, для поддержки безопасных соединений с мобильными клиентами необходимо включить в сертификаты дополнительные записи для альтернативных имен субъектов.
Какие сертификаты? Имена SAN потребуются для автоматического обнаружения сертификатов:
Пул директоров
Пул переднего плана
Обратный прокси-сервер
Конкретная информация приведена в соответствующих таблицах ниже.
В этом случае рекомендуется немного подготовиться к планированию, но иногда вы развертываете Skype для бизнеса Server 2015, не планируя развертывание мобильности, и это происходит после того, как у вас уже есть сертификаты в вашей среде. Переиздания через внутренний ЦС обычно несложно, но с общедоступными сертификатами из общедоступного ЦС, что может быть немного дороже.
Если это то, что вы ищете и если у вас много доменов SIP (что сделает добавление SANS более дорогим), вы можете настроить обратный прокси-сервер для использования HTTP для первоначального запроса службы автообнаружения, а не HTTPS (конфигурация по умолчанию). Дополнительные сведения об этом см. в статье Планирование мобильности.
Требования к сертификатам пула директоров и пула переднего плана:
| Описание | Запись SAN |
|---|---|
| URL-адрес внутренней службы автоматического обнаружения |
SAN=lyncdiscoverinternal.<домен_SIP> |
| URL-адрес внешней службы автоматического обнаружения |
SAN=lyncdiscover.<домен_SIP> |
Кроме того, можно использовать SAN=*.<sipdomain>
Требования к сертификатам для обратного прокси-сервера (общедоступный центр сертификации):
| Описание | Запись SAN |
|---|---|
| URL-адрес внешней службы автоматического обнаружения |
SAN=lyncdiscover.<домен_SIP> |
SAN необходимо связать с сертификатом, назначенным прослушивателю SSL на обратном прокси-сервере.
Примечание.
Прослушиватель обратного прокси-сервера будет иметь сети SAN для внешних URL-адресов веб-служб. Примеры для случая, когда вы развернули сервер-директор (необязательно): SAN=skypewebextpool01.contoso.com и dirwebexternal.contoso.com.
Файловый ресурс
Skype для бизнеса Server 2015 может использовать один и тот же общий файловый ресурс для всего хранилища файлов. Необходимо иметь в виду следующее.
Общая папка должна находиться в хранилище с прямым подключением (DAS) или в сети хранилища (SAN), включая распределенную файловую систему (DFS) и избыточный массив независимых дисков (RAID) для хранилищ файлов. Дополнительные сведения о DFS для Windows Server 2012 см. на этой странице о DFS.
Для общего файлового ресурса рекомендуется общий кластер. Если вы используете его, следует кластерировать Windows Server 2012 или Windows Server 2012 R2. Windows Server 2008 R2 также является приемлемым. Необходима последняя версия Windows: в более ранних версиях могут отсутствовать разрешения, необходимые для запуска всех функций. Вы можете использовать администратор кластера для создания общих папок, и эта статья поможет вам в этой статье.
Осторожностью
Обратите внимание, что использование запоминающего устройства, подключаемого к сети (NAS), не поддерживается в качестве общего файлового ресурса, поэтому следует использовать один из приведенных выше вариантов.