商務用 Skype Server 2019 的系統需求
總結:請在本文的協助下準備安裝 2019 商務用 Skype Server。 此處涵蓋硬體、操作系統、軟體、資料庫、憑證、Active Directory、DNS 和檔案共用。 所有系統需求和建議都在這裡,以協助確保伺服器數位順利安裝和部署。
如您所預期,在開始部署 商務用 Skype Server 2019 之前,您還有一些準備作業。 本文會逐步引導您針對下列專案進行規劃:
商務用 Skype Server 2019 的硬體
建立拓撲 (之後,如果不建立拓撲,您可以參閱 ) 商務用 Skype Server 2019 版拓撲基本概念一文,該考慮伺服器了。 商務用 Skype Server 2019 伺服器需要 64 位硬體。 我們針對硬體的建議列在下表中。 這些不是需求,但會反映優化效能所需的需求。 我們有容量規劃檔,可協助您判斷是否需要超過這些需求,視您的情況而定。
適用於 Standard Edition 伺服器的建議硬體
| 硬體元件 | 建議 |
|---|---|
| 中央處理器 | Intel Xeon E5-2673 v3 雙處理器,6 核心,2.4 gigahertz (GHz) 或更高。 Intel Itanium 處理器不支援 商務用 Skype Server 2019 角色。 |
| 記憶體 | 32 GB (GB) 。 |
| 磁碟 | 也: • 使用 RAID 10) ,8 個或 10,000 個以上的 RPM 硬碟至少有 72 GB 可用磁碟空間 (其中 2 個磁碟使用 RAID 1 和 6。 或 • 固態硬碟 (SSD) 能夠提供與八個 10,000 RPM 機械磁碟驅動器相同的可用空間和類似效能。 |
| 網路 | 您可以使用一個雙埠網路適配器、1 Gbps 或更大的 (兩個網路適配器,但是它們必須與單一 MAC 位址和單一 IP 位址) 搭配使用。 前端伺服器、後端伺服器和 Standard Edition 伺服器不支援雙家用或多重首頁設定。 您可以擁有頻外管理系統,例如DRAC或ILO,只要這些系統未公開於作業系統中,並用來監控和管理伺服器硬體。 此案例不會構成多重主控伺服器,而且受到支援。 |
前端和後端伺服器的建議硬體
| 硬體元件 | 建議 |
|---|---|
| 中央處理器 | Intel Xeon E5-2673 v3 雙處理器,6 核心,2.4 gigahertz (GHz) 或更高。 Intel Itanium 處理器不支援 商務用 Skype Server 2019 角色。 |
| 記憶體 | 64 GB (GB) 。 |
| 磁碟 | 也: • 使用 RAID 10) ,8 個或 10,000 個以上的 RPM 硬碟至少有 72 GB 可用磁碟空間 (其中 2 個磁碟使用 RAID 1 和 6。 或 • 固態硬碟 (SSD) 能夠提供與八個 10,000 RPM 機械磁碟驅動器相同的可用空間和類似效能。 |
| 網路 | 您可以使用一個雙埠網路適配器、1 Gbps 或更大的 (兩個網路適配器,但是它們必須與單一 MAC 位址和單一 IP 位址) 搭配使用。 前端伺服器、後端伺服器和 Standard Edition 伺服器不支援雙家用或多重首頁設定。 您可以擁有頻外管理系統,例如DRAC或ILO,只要這些系統未公開於作業系統中,並用來監控和管理伺服器硬體。 此案例不會構成多重主控伺服器,而且受到支援。 |
適用於 Edge Server、獨立中移伺服器和主機的建議硬體
| 硬體元件 | 建議 |
|---|---|
| 中央處理器 | Intel Xeon E5-2673 v3 雙處理器,6 核心,2.4 gigahertz (GHz) 或更高。 Intel Itanium 處理器不支援 商務用 Skype Server 2019 角色。 |
| 記憶體 | 32 GB。 |
| 磁碟 | 也: • 4 個或 10,000 個以上的 RPM 硬碟,至少有 72 GB 的可用磁碟空間 (磁碟應該在 2x RAID 1 設定) 。 或 • 固態硬碟 (SSD) 能夠提供與四個 10,000 RPM 機械磁碟驅動器相同的可用空間和類似效能。 |
| 網路 | 您可以使用一個雙埠網路適配器、1 Gbps 或更大的 (兩個網路適配器,但是它們必須與單一 MAC 位址和單一 IP 位址) 搭配使用。 視訊 Interop Server 和 Manager 不 支援雙家用或多重家用設定。 Edge 伺服器需要兩個網路介面,即雙埠網路適配器、1 Gbps 或更大的 (或兩個配對的網路適配器,總共四個,每組都搭配單一 MAC 位址和單一 IP 位址,共兩組) 。 在獨立協調伺服器上,支援在 NIC (安裝其他網路介面卡) 以允許設定特定的 PSTN IP 位址。 |
注意事項
無論伺服器角色為何,我們也建議 商務用 Skype Server 2019 使用下列硬體設定 (設定可能會根據您購買的硬體品牌而有所不同,因此請參閱製造商的特定檔) :
- BIOS 設定 - 應從 NUMA 設定為 FLAT。
- 啟用超閱讀功能。
- RSS 佇列設定應設為 8 個佇列。
商務用 Skype Server 2019 的作業系統
硬體組完成後,您必須安裝作業系統 (操作系統) ,以便安裝並成功使用 商務用 Skype Server 2019:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
此處所列的作業系統以外的任何專案都無法正常運作。 請勿嘗試使用任何其他項目來安裝 商務用 Skype Server 2019。 例如,未列出 [伺服器核心] 選項。 因此不支援此功能。
注意事項
Windows Server 2022 僅符合 商務用 Skype Server 2019 累積更新 7 及更新版本的資格, (最低組建編號 2046.524) 。
不支援操作系統就地升級。 您必須部署另一個執行不同作業系統之集區,然後將使用者移轉到新的集區。 集區中的所有伺服器都必須有相同的操作系統版本。
如果您是在 Windows Server 2019 計算機上安裝 Windows Admin Center 2019,程式會提示您開啟埠以聆聽。 您可能會選擇埠 443。 不過,如果該計算機已安裝 商務用 Skype Server 2019,或已安裝 商務用 Skype Server 2019,則必須選擇不同的埠號碼。
為什麼? 如果 Windows Admin Center 2019 是在埠 443 上執行,您將無法使用 商務用 Skype 控制台 聯機至伺服器,也無法連線到伺服器 (通訊簿 Web 服務、自動探索服務、WebTicket Service 等) 上執行的任何內部 Web 服務。 事實上,您將無法連線到任何內部 Web 服務 URL。 如果您可能需要或想要將 Windows Admin Center 2019 放在具有 商務用 Skype Server 2019 的伺服器上,請選擇不同的埠。
應該在 2019 年 商務用 Skype Server 部署之前安裝的軟體
注意事項
當您使用 Windows Server 2022 時,必須執行 Windows Server 2022 的相容性腳本,作為安裝 商務用 Skype Server 2019 的必要條件。
對於執行 商務用 Skype Server 2019 的任何伺服器,您必須安裝或設定某些專案。 這些專案會列在下表中,後面接著特定伺服器角色的其他需求。
重要
商務用 Skype 2019 支援 .Net Framework 4.8。 和 .Net Framework 4.8.1
所有伺服器
| 軟體/角色 | 詳細資料 |
|---|---|
| Windows PowerShell 3.0 | 所有 商務用 Skype Server 伺服器都必須安裝 Windows PowerShell 3.0。 • PowerShell 3.0 預設應該與 Windows Server 2016 一起安裝。 |
| Microsoft .NET Framework | WCF 服務是安裝為 Windows 功能的功能,伺服器管理員。 一開始不需要下載。 • 當您安裝此功能,或是已經安裝且您正在檢查它時,您必須確定同時選取並安裝 HTTP 啟用 選項,如下所示。 ![顯示 [.NET Framework 4.5 功能] 底下 [HTTP 啟用] 選項的螢幕快照。](../sfbserver/media/a4064fa0-fa49-4474-bd98-b9a79ff68f8b.png)
如果您看到另一個彈出視窗指出必須安裝一些其他專案,才能安裝 HTTP 啟用,請不用擔心。 這是正常現象。 選取 [確定] 並繼續。 如果您沒有取得這個彈出視窗,您可以假設已經安裝這些專案。 安裝 Windows Server 2016 時會安裝Microsoft .NET Framework。 商務用 Skype Server 需要 Microsoft .NET Framework 4.7、4.8 或 4.8.1,因此您可能需要進行更新。 您可以在這裡找到更新 |
| Media Foundation | 針對 Windows Server 2016,Windows Media Format Runtime 會與 Microsoft Media Foundation 一起安裝。 所有用於會議的前端伺服器和 Standard Edition 伺服器都需要 Windows Media 格式運行時間,才能執行「通話駐留」、「公告」和「回應群組」應用程式針對公告和音樂播放的 Windows Media 音訊 (.wma) 檔案。 |
| Windows Identity Foundation | 我們需要 Windows Identity Foundation 3.5 來支援 商務用 Skype Server 2019 的伺服器對伺服器驗證案例。 • 針對 Windows Server 2016,不需要下載任何專案。 開啟 伺服器管理員,然後移至新增角色和功能精靈。 Windows Identity Foundation 3.5 會列在 [功能] 區 段下。 如果已選取,則全部設定完成。 否則,請選取它,然後選取 [ 下一步 ] 以到達 [安裝] 按鈕。 |
| 遠端伺服器管理工具 | 角色管理工具:AD DS 和 AD LDS 工具 |
Front End Servers and Standard Edition 伺服器
| 軟體/角色 | 詳細資料 |
|---|---|
| INTERNET Information Services (IIS) | 所有前端伺服器和所有 Standard Edition 伺服器都需要 IIS,並已選取下列模組: • 常見的 HTTP 功能:預設檔、HTTP 錯誤、靜態內容 • 健康情況與診斷:HTTP 記錄、記錄工具、追蹤 • 效能:靜態內容壓縮、動態內容壓縮 • 安全性:要求篩選、用戶端憑證對應驗證、Windows 驗證 • 應用程式開發:.NET 擴充功能 3.5、.NET 擴充性 4.5、ASP.NET 3.5、ASP.NET 4.5、ISAPI 擴充功能、ISAPI 篩選 • 管理工具:IIS 管理主控台、IIS 管理文稿和工具 也需要匿名存取,但您在安裝 IIS 時會取得此資訊,因此您沒有位置可在清單中選取它。 |
| Windows Media 格式運行時間 | 針對 Windows Server 2016,您必須在 伺服器管理員 中安裝 Media Foundation 功能。 您實際上可以啟動 商務用 Skype Server 2019 安裝,而不需要這項功能。 不過,系統會提示您進行安裝,然後在 商務用 Skype Server 2019 安裝繼續之前重新啟動伺服器。 最好事先執行這項作業。 |
| Silverlight | 您可以在 這裏安裝最新版的 Silverlight。 |
| 針對中國地區的使用者 | 將伺服器更新為最低組建編號 商務用 Skype Server 2019 累積更新 7 Hotfix 1 (2046.524) 之後,執行 PowerShell 腳本。 |
為了協助您解決問題,以下是您可以執行以自動化此程式的範例 PowerShell 腳本:
Add-WindowsFeature RSAT-ADDS, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, Web-Dyn-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Mgmt-Tools, Web-Scripting-Tools, Web-Mgmt-Compat, Windows-Identity-Foundation, Server-Media-Foundation, Telnet-Client, BITS, ManagementOData, Web-Mgmt-Console, Web-Metabase, Web-Lgcy-Mgmt-Console, Web-Lgcy-Scripting, Web-WMI, Web-Scripting-Tools, Web-Mgmt-Service
主管也需要:
已選取下列模組的 IIS:
常見的 HTTP 功能
默認檔
HTTP 錯誤
靜態內容
健康情況與診斷
HTTP 記錄
記錄工具
描圖
性能
- 靜態內容壓縮
安全性
要求篩選
用戶端憑證對應驗證
Windows 驗證
應用程式開發
.NET 擴充性 3.5
.NET 擴充性 4.5
ASP.NET 3.5
ASP.NET 4.5
ISAPI 擴充功能
ISAPI 篩選
(萬一您想知道,這是與 Front End Servers 和 Standard Edition 伺服器相同的模組集,不包括動態內容壓縮與管理工具。)
我們也有一些此程式的PowerShell程式碼:
Add-WindowsFeature RSAT-ADDS, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Scripting-Tools, Web-Mgmt-Compat, Server-Media-Foundation, Telnet-Client
安裝 Windows Server 2022 的相容性腳本
當您為 Windows Server 2022 設定 商務用 Skype Server 時,必須執行下列腳本以確保與 Windows Server 2022 相容:
$providerName = "AesProvider"
$keyContainerName = "iisCustomConfigurationKey"
$exe = Get-ChildItem -Path "$env:SystemRoot\Microsoft.NET\Framework64" -Filter "aspnet_regiis.exe" -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1
if ($exe -eq $null) {
Write-Error "aspnet_regiis.exe not found. Exiting";
Exit
}
$existingProvider = Get-WebConfiguration -PSPath 'MACHINE/WEBROOT/APPHOST' -Filter "configProtectedData/providers/add[@name='$providerName']"
if ($null -ne $existingProvider) { # Provider already exists
Write-Host "Script has already run. $providerName already exists. Exiting"
Exit 0
}
& $exe.FullName -pc $keyContainerName -exp
& $exe.FullName -pa $keyContainerName "BUILTIN\IIS_IUSRS"
& $exe.FullName -pa $keyContainerName "NT SERVICE\WMSVC"
Add-WebConfigurationProperty -PSPath 'MACHINE/WEBROOT/APPHOST' -Filter "configProtectedData/providers" -Name "." -Value @{name="$providerName";type='System.Configuration.RsaProtectedConfigurationProvider,System.Configuration, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a'}
$applicationHostConfigPath = "$env:SystemRoot\System32\inetsrv\config\applicationHost.config"
[xml] $applicationHostConfigFile = Get-Content $applicationHostConfigPath
foreach ($ele in $applicationHostConfigFile.configuration.configProtectedData.providers.add) {
if ($ele.name -eq $providerName) {
$ele.SetAttribute("keyContainerName", $keyContainerName)
$ele.SetAttribute("useMachineContainer", "true")
$ele.SetAttribute("useOAEP", "false")
$ele.SetAttribute("useFIPS", "true")
}
}
$applicationHostConfigFile.Save($applicationHostConfigPath)
Write-Host "Script ran successfully. Key container $keyContainerName created. Provider $providerName added."
可與 商務用 Skype Server 2019 搭配使用的後端資料庫
當您安裝 商務用 Skype Server 2019 Standard Edition 時,也會安裝 SQL Server 2016 Express (64 位版本) 。 從 商務用 Skype 2019 CU8 開始,Standard Edition 也支援 SQL Server 2022 Express (64 位版本) 。 這是透過在現有安裝 商務用 Skype 2019 CU8 (或更新版本) Standard 版本上執行 SQL Express 就地升級來達成此目的。
從 商務用 Skype 2019 CU8 開始,商務用 Skype Server 2019 Enterprise Edition 也支援 SQL Server 2022 Express (64 位版本) 本機 SQL Express 實例。 SQL Express 就地升級也可以更新此功能。
商務用 Skype Server 2019 年 Enterprise Edition 需要完整版的 SQL Server,如這裡所示, (64 位版本;請勿使用 32 位版本) :
- Microsoft SQL Server 2022 (64 位版本) - 必須與最新更新一起執行,從 商務用 Skype Server 2019 CU8 開始
- Microsoft SQL Server 2019 (64 位版本) - 必須與最新的更新一起執行
- Microsoft SQL Server 2017 (64 位版本) - 必須與最新的更新一起執行
- Microsoft SQL Server 2016 (64 位版本) - 必須與最新的更新一起執行
如果此處未列出您要使用的 SQL Server 版本,就無法使用該版本。
注意事項
您也必須安裝監控伺服器角色的 SQL Server Reporting Services。
SQL 叢集和 SQL Always On
支援搭配 商務用 Skype Server 2019 的 SQL 叢集。 如果您想要設定 SQL 叢集,則會在 SQL Server 中完成。
請確定您有支援 SQL 叢集的主動/被動式設定。 不要將被動節點與任何其他 SQL 實例共用。
如果是故障轉移叢集,您可以擁有:
雙節點:
- Microsoft SQL Server 2022 Standard (64 位版本) ,建議您從 商務用 Skype Server 2019 CU8 開始執行最新的 Service Pack。
- Microsoft SQL Server 2019 Standard (64 位版本) ,建議您使用最新的 Service Pack 執行。
- Microsoft SQL Server 2017 Standard (64 位版本) ,建議您使用最新的 Service Pack 執行。
- Microsoft SQL Server 2016 Standard (64 位版本) ,建議您使用最新的 Service Pack 執行。
一個十六分節點:
- Microsoft SQL Server 2022 企業版 (64 位版本) ,建議您從 商務用 Skype Server 2019 CU8 開始執行最新的 Service Pack。
- Microsoft SQL Server 2019 企業版 (64 位版本) ,建議您使用最新的 Service Pack 執行。
- Microsoft SQL Server 2017 企業版 (64 位版本) ,建議您使用最新的 Service Pack 執行。
- Microsoft SQL Server 2016 企業版 (64 位版本) ,建議您使用最新的 Service Pack 執行。
支援 SQL Always On,您可以在 2019 年 商務用 Skype Server 的 Back End Server 高可用性中閱讀更多相關信息。
其他伺服器安裝建議
請勿安裝任何Microsoft因特網安全性和加速 (ISA) Server 用戶端軟體,或是 LSP (LSP) (任何其他 Winsock 圖層服務提供者軟體, (任何第三方防火牆或防病毒網路檢查軟體都會) 包含在您的任何前端伺服器或獨立中接伺服器上。 安裝該軟體時,媒體流量效能不佳。
Active Directory
雖然伺服器和服務的設定數據大部分都儲存在 商務用 Skype Server 2019 集中管理存放區,但某些專案仍會儲存在 Active Directory 中。
| Active Directory 物件 | 物件類型 |
|---|---|
| 架構擴充功能 | 用戶物件延伸模組 |
| 商務用 Skype Server 2015 和 Lync Server 2013 的擴充功能,以維持與先前支援版本的回溯相容性 | |
| 數據 | 使用者 SIP URI 和其他用戶設定 |
| 應用程式的聯繫人物件 (如回應群組應用程式和 會議語音應答應用程式) | |
| 為了回溯相容性而發佈的數據 | |
| 中央管理存放區 SCP) (服務控制點 | |
| Kerberos 驗證帳戶 (選用計算機物件) |
適用於域控制器的作業系統
可以使用下列 Domain Controller 作業系統:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
您部署 商務用 Skype Server 2019 之任何網域的網域功能層級,以及您在 2019 商務用 Skype Server 部署之任何森林的森林功能等級,都必須是下列其中一項:
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
您可以在這些環境中擁有唯讀域控制器嗎? 是的,只要也可以使用可寫入的域控制器,您就可以。
請務必注意,商務用 Skype Server 2019 不支援單一卷標網域。 這些是什麼? 如果您有標示為「contoso.local」的根域,該網域將會正常運作。 如果您有一個名為「本機」的根域,則無法運作,而且不支援。 如需詳細資訊,請參閱 使用單一卷標 DNS 名稱設定的 Active Directory 網域部署和運作。
商務用 Skype Server 2019 也不支援重新命名網域。 如果您必須重新命名網域,您必須卸載 商務用 Skype Server 2019、重新命名網域,然後重新安裝 商務用 Skype Server 2019。
最後,您可能會處理具有鎖定 AD DS 環境且可接受的網域。 在部署檔中,我們深入瞭解如何將 商務用 Skype Server 2019 部署到鎖定的 AD DS 環境。
AD Topologies
商務用 Skype Server 2019 中支援的對話方塊如下:
單一森林與單一網域
單一樹系和多個網域的單一森林
擁有多樹和不連貫命名空間的單一森林
中央森林拓撲中的多個森林
資源森林拓撲中的多個森林
商務用 Skype 資源森林拓撲中的多個森林與 Exchange Online
在資源森林拓撲中使用 商務用 Skype Online 和 Microsoft Entra Connect 的多種森林
我們有圖表和描述可協助您判斷環境中的拓撲,或您在安裝 2019 商務用 Skype Server 之前必須設定的拓撲。 若要保持簡單,我們也提供一些密鑰:
單一森林與單一網域
這並不比這容易。 它是單一網域森林,常用的拓撲。
單一樹系和多個網域的單一森林
此圖表再次顯示單一森林,但它也有一或多個子網域, (此特定範例) 中有三個。 因此,使用者建立的網域可能與部署至 2019 商務用 Skype Server 網域不同。 為什麼要擔心這種情況? 請務必記住,當您部署 商務用 Skype Server 前端集區時,該集區中的所有伺服器都必須位於單一網域中。 您可以透過 windows 通用系統管理員群組 商務用 Skype Server 支援來進行跨網域管理。
在上一個圖表中,您可以看到來自一個網域的使用者可以存取來自相同網域或不同網域的 商務用 Skype Server 集區,即使這些使用者是在子網域中也一樣。
擁有多樹和不連貫命名空間的單一森林
您可能有類似此圖表的拓撲,其中您有一個森林,但在該森林內則是多個網域,具有個別的 AD 命名空間。 在此情況下,此圖表是很好的圖例,因為它包含了存取 商務用 Skype Server 2019 的三個不同網域中的使用者。 實線表示他們存取的是自己網域中的 商務用 Skype Server 集區,而虛線則表示它們正進入另一個樹系中的集區。
如您所見,同一個網域、同一樹,甚至是其他樹的使用者都可以順利存取集區。
中央森林拓撲中的多個森林
商務用 Skype Server 2019 支援在中央森林拓撲中設定的多個森林。 如果您不確定它是什麼,拓撲中的中央森林會使用拓撲中的物件來代表其他森林中的使用者,並且主控森林中任何使用者的用戶帳戶。
運作方式 目錄同步處理產品 (例如 Forefront Identity Manager 或 FIM) 管理貴組織的用戶帳戶。 當帳戶從森林中建立或刪除時,該變更會與中央森林中的對應聯繫人同步處理。
很明確地,如果您的 AD 基礎結構已就位,移至此拓撲可能不容易,但如果您已經在那裡,或仍在規劃您的森林基礎結構,這可能是不錯的選擇。 您可以在單一森林中集中部署您的 商務用 Skype Server 2019,而使用者則可以在任何森林中搜尋、通訊及檢視其他使用者的目前狀態。 所有用戶連絡人更新都會使用同步處理軟體自動處理。
商務用 Skype 資源森林拓撲中的多個森林
也支持資源森林拓撲;這是森林專為執行您的伺服器應用程式所專屬的地方,例如 Microsoft Exchange Server 和 商務用 Skype Server 2019。 這個資源樹系也會託管使用中用戶物件的同步表示,但不包含啟用登入功能的用戶帳戶。 因此,資源林是用戶物件所在之其他森林的共用服務環境,而且它們與資源林有森林層級的信任關係。
Exchange Server 可以部署在同一個資源林 商務用 Skype Server 或不同的森林中。
若要在這種拓撲類型中部署 商務用 Skype Server 2019,如果 Microsoft Exchange Server 已在環境中,您會在使用者森林 (中每個用戶帳戶的資源林中建立一個已停用的用戶物件,) 。 然後您需要目錄同步處理工具 (例如 Forefront Identity Manager 或 FIM) ,以在使用者生命週期期間管理用戶帳戶。
商務用 Skype 資源森林拓撲中的多種森林與 Exchange Online
此拓撲類似 商務用 Skype 資源森林拓撲中多個森林中所描述的拓撲。
在此拓撲中,有一或多個使用者森林,商務用 Skype Server 部署在專用資源森林中。 Exchange Server 可以部署在相同資源林或不同森林的內部部署,並設定混合式與 Exchange Online,或電子郵件服務只能由內部部署帳戶的 Exchange Online 提供。 此拓撲沒有圖表可供使用。
在資源森林拓撲中使用 商務用 Skype Online 和 Microsoft Entra Connect 的多種森林
在此案例中,內部部署有多個森林,並具有資源森林拓撲。 Active Directory 樹系之間有完全的信任關係。 Microsoft Entra 連線工具是用來同步處理內部部署使用者森林與 Microsoft 365 或 Office 365 之間的帳戶。
組織也有 Microsoft 365 或 Office 365,並使用 Microsoft Entra Connect 來同步處理其內部部署帳戶與 Microsoft 365 或 Office 365。 啟用 商務用 Skype的使用者是透過 Microsoft 365 或 Office 365 啟用,並 商務用 Skype Online。 商務用 Skype Server 不會部署在內部部署。
單一登錄驗證是由位於使用者森林中的 Active Directory 同盟服務 陣列所提供。
在此案例中,系統支援部署 Exchange 內部部署、Exchange Online、混合式 Exchange 解決方案,或完全不部署 Exchange。 (圖表只會顯示 Exchange 內部部署,但其他 Exchange 解決方案也完全支援。)
在資源森林拓撲中使用混合式 商務用 Skype 的多種森林
在此案例中,有一或多個內部部署使用者森林,商務用 Skype 部署在專用資源林中,並已設定為混合式模式與 商務用 Skype Online。 Exchange Server 可以部署在同一個資源林或不同森林的內部部署,並且可以設定為混合 Exchange Online。 或者,Exchange Online 為內部部署帳戶提供電子郵件服務。
如需詳細資訊,請參閱設定混合式 商務用 Skype的多林環境。
功能變數名稱系統 (DNS)
商務用 Skype Server 2019 需要 DNS 的原因如下:
DNS 可讓 商務用 Skype Server 2019 探索內部伺服器或集區,允許伺服器對伺服器通訊。
DNS 可讓用戶端電腦探索 SIP 交易所用的前端集區或 Standard Edition 伺服器。
它會將會議的簡單 URL 與主持這些會議的伺服器建立關聯。
DNS 可讓外部使用者和用戶端電腦連線到您的 Edge Server 或 HTTP 反向 Proxy,以進行立即訊息 (IM) 或會議。
它可讓未登入的UC (整合通訊) 探索執行Device Update Web 服務的前端集區或 Standard Edition 伺服器,以取得更新並傳送記錄檔。
使用 DNS 可讓行動用戶端自動探索 Web 服務資源,而不需要使用者在其裝置設定中手動輸入 URL。
它用於 DNS 負載平衡。
請務必注意,商務用 Skype Server 2019 不支援 (IDN) 的國際化域名。
此外,請務必記住,DNS 中的任何名稱與在任何由 商務用 Skype Server 2019 使用的伺服器上所設定的計算機名稱相同。 具體來說,我們無法在環境中擁有任何簡短名稱,而且必須有拓撲建立器的 FQDN。
對於任何已加入網域的計算機來說,這看起來都像是合乎邏輯的。 但是,如果您的Edge Server未加入您的網域,根據預設,它可能具有沒有網域後綴的簡短名稱。 無論是在 DNS 或 Edge Server,或是任何 商務用 Skype Server 2019 伺服器或集區中,都不是這種情況。
絕對不要在功能變數名稱中使用 Unicode 字元或底線。 (A-Z、a-z、0-9 和連字元) 的字元 Standard 由外部 DNS 和公用證書頒發機構單位支援, (您必須在憑證中將 FQDN 指派給 SN,請務必記住) 。 因此,如果您從頭開始記住這個規則,您將可省去許多麻煩。
For more information about DNS requirements for Networking, check out the Networking section of our Planning documentation.
證書
部署前,您可以執行的其中一個最重要的動作是確認您的憑證是依序排列。 商務用 Skype Server 2019 需要公鑰基礎結構 (PKI) ,才能在 TLS) 和 MTLS) 連線 (傳輸層安全性 () 傳輸層安全性。 基本上,為了以標準化的方式安全地溝通,商務用 Skype Server 使用證書頒發機構單位 (CAs) 所發行的憑證。
以下是 商務用 Skype Server 2019 使用憑證的一些專案:
用戶端和伺服器之間的 TLS 連線
伺服器之間的 MTLS 連線
使用合作夥伴的自動 DNS 探索同盟
立即訊息 (IM) 的遠端使用者存取
外部使用者存取音訊/視訊 (AV) 工作階段、應用程式共用和會議
與 Web 應用程式和 Outlook Web Access (OWA) 交談
因此,憑證規劃是必須的。 現在,讓我們來看看要求憑證時,您需要注意的一些事項清單:
所有伺服器憑證都必須支援伺服器授權 (伺服器 EKU) 。
所有伺服器憑證都必須包含CRL發佈點 (CDP) 。
所有憑證都必須使用操作系統支援的簽署演算法來簽署。 商務用 Skype Server 2019 支援 224 位、256 位、384 位和 512 位 () 的 SHA-1 和 SHA-2 摘要大小套件,並且符合或超過操作系統需求。
執行 商務用 Skype Server 2019 的內部伺服器支援自動註冊。
商務用 Skype Server 2019 Edge Server 不支援自動註冊。
注意事項
不支援使用 RS SPILL-PSS 簽章演算法,並且可能會在登入和呼叫轉移問題方面造成錯誤,以及其他問題。
支援 1024、2048 和 4096 的加密密鑰長度。 建議按鍵長度為 2048 或更高。
默認摘要或哈希簽署演算法是 RSA。 也支援ECDH_P256、ECDH_P384和ECDH_P521演算法。
這是一個值得考慮的,而且向 CA 要求憑證有各種不同的舒適程度。 我們會在下列各節提供您一些進一步的指引,讓您盡可能無痛地進行規劃。
內部伺服器的憑證
您需要大部分內部伺服器的憑證,而且最有可能是從位於您網域) 的 CA 內部 (取得憑證。 如有需要,您可以向位於因特網) 的外部 CA (要求這些憑證。 如果您想知道應該前往哪個公用 CA,可以查看 整合通訊憑證合作夥伴 清單。
當 商務用 Skype Server 2019 與其他應用程式和伺服器通訊時,您也需要憑證,例如 Microsoft Exchange Server。 這會明顯地成為憑證,這些其他應用程式和伺服器才能以支援的方式使用。 商務用 Skype Server 2019 和其他Microsoft產品支援適用於伺服器對伺服器驗證與授權的 Open Authorization (OAuth) 通訊協定。 如果您有興趣,我們有 OAuth 和 商務用 Skype Server 2019 的其他規劃文章。
商務用 Skype Server 2019 也支援 (,而不需要使用SHA-256密碼編譯哈希函數簽署) 憑證。 若要支援使用SHA-256的外部存取,外部憑證必須由公用CA使用SHA-256發行。
為了讓事情簡單明瞭,我們已將 Standard Edition 伺服器、前端集區及其他角色的憑證需求放入下表中,並使用虛構的 contoso.com 做為範例, (您可能要為您的環境) 使用其他專案。 這些是標準網頁伺服器憑證,具有不可導出的私人密鑰。 需要注意的一些其他事項:
當您使用憑證精靈要求憑證時,系統會自動設定伺服器增強 (EKU) 密鑰使用量。
每個憑證易記名稱在計算機存放區中都必須是唯一的。
根據下列範例名稱,如果您已在 DNS 中設定 sipinternal.contoso.com 或 sipexternal.contoso.com,則必須將其新增至憑證的 [主旨替代名稱] (SAN) 。
Standard Edition 伺服器的憑證
| 證書 | 主旨名稱/通用名稱 | 主旨替代名稱 | 範例 | 註解 |
|---|---|---|---|---|
| 違約 | 集區 FQDN | 伺服器集區和 FQDN 的 FQDN 如果您有多個 SIP 網域且已啟用自動用戶端設定,憑證精靈會偵測並新增每個支援的 SIP 網域 FQDN。 如果此集區是用戶端的自動登入伺服器,而且組策略中必須有嚴格的域名系統 (DNS) 比對,您也需要針對您擁有) 的每個 SIP 網域輸入 sip.sipdomain (。 |
SN=se01.contoso.com;SAN=se01.contoso.com 如果此集區是客戶端的自動登入伺服器,而且組策略中必須有嚴格的 DNS 比對,您也需要SAN=sip.contoso.com;SAN=sip.fabrikam.com |
在 Standard Edition 伺服器上,伺服器 FQDN 與集區 FQDN 相同。 精靈會偵測您在設定期間指定的任何 SIP 網域,並自動將它們新增到主旨替代名稱。 您也可以使用此憑證進行伺服器對伺服器驗證。 |
| Web 內部 | 伺服器的 FQDN | 下列每一項: • 內部 Web FQDN (與伺服器) 的 FQDN 相同 和 • 認識簡單的URL • 撥入簡易 URL • 管理員 簡易 URL 或 • 簡單 URL 的通配符專案 |
SN=se01.contoso.com;SAN=se01.contoso.com;SAN=meet.contoso.com;SAN=meet.fabrikam.com;SAN=dialin.contoso.com;SAN=admin.contoso.com 使用通配符憑證: SN=se01.contoso.com;SAN=se01.contoso.com;SAN=*.contoso.com |
您無法在拓撲建立器中覆寫內部 Web FQDN。 如果您有多個 Meet 簡易 URL,您必須將所有 URL 都包含為 SAN。 簡易 URL 專案支援通配符專案。 |
| Web 外部 | 伺服器的 FQDN | 下列每一項: • 外部 Web FQDN 和 • 撥入簡易 URL • 符合每個 SIP 網域的簡單 URL 或 • 簡單 URL 的通配符專案 |
SN=se01.contoso.com;SAN=webcon01.contoso.com;SAN=meet.contoso.com;SAN=meet.fabrikam.com;SAN=dialin.contoso.com 使用通配符憑證: SN=se01.contoso.com;SAN=webcon01.contoso.com;SAN=*.contoso.com |
如果您有多個 Meet 簡易 URL,則必須將所有 URL 都包含為主詞替代名稱。 簡易 URL 專案支援通配符專案。 |
前端集區中前端伺服器的憑證
| 證書 | 主旨名稱/通用名稱 | 主旨替代名稱 | 範例 | 註解 |
|---|---|---|---|---|
| 違約 | 集區 FQDN | 伺服器集區和 FQDN 的 FQDN 如果您有多個 SIP 網域且已啟用自動用戶端設定,憑證精靈會偵測並新增每個支援的 SIP 網域 FQDN。 如果此集區是用戶端的自動登入伺服器,而且組策略中必須有嚴格的域名系統 (DNS) 比對,您也需要針對您擁有) 的每個 SIP 網域輸入 sip.sipdomain (。 |
SN=eepool.contoso.com;SAN=eepool.contoso.com;SAN=ee01.contoso.com 如果此集區是客戶端的自動登入伺服器,而且組策略中必須有嚴格的 DNS 比對,您也需要SAN=sip.contoso.com;SAN=sip.fabrikam.com |
精靈會偵測您在設定期間指定的任何 SIP 網域,並自動將它們新增到主旨替代名稱。 您也可以使用此憑證進行伺服器對伺服器驗證。 |
| Web 內部 | 集區 FQDN | 下列每一項: • 內部 Web FQDN (與伺服器的 FQDN 不同) • 伺服器 FQDN • 商務用 Skype 集區 FQDN 和 • 認識簡單的URL • 撥入簡易 URL • 管理員 簡易 URL 或 • 簡單 URL 的通配符專案 |
SN=ee01.contoso.com;SAN=ee01.contoso.com;SAN=meet.contoso.com;SAN=meet.fabrikam.com;SAN=dialin.contoso.com;SAN=admin.contoso.com 使用通配符憑證: SN=ee01.contoso.com;SAN=ee01.contoso.com;SAN=*.contoso.com |
如果您有多個 Meet 簡易 URL,則必須將所有 URL 都包含為主詞替代名稱。 簡易 URL 專案支援通配符專案。 |
| Web 外部 | 集區 FQDN | 下列每一項: • 外部 Web FQDN 和 • 撥入簡易 URL • 管理員 簡易 URL 或 • 簡單 URL 的通配符專案 |
SN=ee01.contoso.com;SAN=webcon01.contoso.com;SAN=meet.contoso.com;SAN=meet.fabrikam.com;SAN=dialin.contoso.com 使用通配符憑證: SN=ee01.contoso.com;SAN=webcon01.contoso.com;SAN=*.contoso.com |
如果您有多個 Meet 簡易 URL,則必須將所有 URL 都包含為主詞替代名稱。 簡易 URL 專案支援通配符專案。 |
目錄的憑證
| 證書 | 主旨名稱/通用名稱 | 主旨替代名稱 | 範例 |
|---|---|---|---|
| 違約 | 目錄集區 | 目錄的 FQDN,目錄集區 FQDN。 如果此集區是用戶端的自動登入伺服器,而且組策略中必須有嚴格的 DNS 比對,您也需要針對您擁有) 的每個 SIP 網域輸入 sip.sipdomain (。 |
pool.contoso.com;SAN=dir01.contoso.com 如果此目錄集區是用戶端的自動登入伺服器,而且組策略中必須有嚴格的 DNS 比對,您也需要SAN=sip.contoso.com;SAN=sip.fabrikam.com |
| Web 內部 | 伺服器的 FQDN | 下列每一項: • 內部 Web FQDN (與伺服器) 的 FQDN 相同 • 伺服器 FQDN • 商務用 Skype 集區 FQDN 和 • 認識簡單的URL • 撥入簡易 URL • 管理員 簡易 URL 或 • 簡單 URL 的通配符專案 |
SN=dir01.contoso.com;SAN=dir01.contoso.com;SAN=meet.contoso.com;SAN=meet.fabrikam.com;SAN=dialin.contoso.com;SAN=admin.contoso.com 使用通配符憑證: SN=dir01.contoso.com;SAN=dir01.contoso.com SAN=*.contoso.com |
| Web 外部 | 伺服器的 FQDN | 下列每一項: • 外部 Web FQDN 和 • 符合每個 SIP 網域的簡單 URL • 撥入簡易 URL 或 • 簡單 URL 的通配符專案 |
Director 外部 Web FQDN 必須與前端集區或前端伺服器不同。 SN=dir01.contoso.com;SAN=directorwebcon01.contoso.com SAN=meet.contoso.com;SAN=meet.fabrikam.com;SAN=dialin.contoso.com 使用通配符憑證: SN=dir01.contoso.com;SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
獨立中轉伺服器的憑證
| 證書 | 主旨名稱/通用名稱 | 主旨替代名稱 | 範例 |
|---|---|---|---|
| 違約 | 集區 FQDN | 集區 FQDN 集區成員伺服器的 FQDN |
SN=medsvr-pool.contoso.net;SAN=medsvr-pool.contoso.net;SAN=medsvr01.contoso.net |
2019年 商務用 Skype Server 版可更新分支設備 (專用樹枝設備的憑證)
| 證書 | 主旨名稱/通用名稱 | 主旨替代名稱 | 範例 |
|---|---|---|---|
| 違約 | 設備的 FQDN | 啜。<sipdomain> (每個 SIP 網域只需要一個專案) | SN=sba01.contoso.net;SAN=sip.contoso.com;SAN=sip.fabrikam.com |
外接式使用者存取 (Edge) 憑證
商務用 Skype Server 2019 支援使用單一公用憑證來存取和 Web 會議 Edge 外部介面,以及 A/V 驗證服務,這項服務全都是透過 Edge Server (的) 提供。 您的 Edge 內部介面使用由內部 CA 所簽發的私人憑證,但如果您想要的話,也可以使用公用憑證,因為公用憑證來自信任的 CA。
反向 Proxy (RP) 也會使用公用憑證,而且會使用 HTTP (或更精確的 TLS 在 HTTP) 上,將 RP 與內部伺服器之間的通訊加密。
行動不便的憑證
如果您正在部署行動,而且支援行動用戶端的自動探索,則必須在憑證上包含一些額外的主體替代名稱專案,以支援來自行動用戶端的安全連線。
您需要 SAN 名稱,以便在下列憑證上自動探索:
目錄集區
前端集區
反向 Proxy
特定專案會列在後續的數據表中。
這是預先規劃好的地方。 但有時候,您在 2019 年 商務用 Skype Server 部署時,並不打算部署行動,日後您在環境中已有憑證時就會出現。 透過內部 CA 重新顯示憑證通常相當簡單。 但對於公用 CA 的公用憑證,價格可能會比較貴一些。
如果這是您正在查看的情況,而且您有許多 SIP 網域 (會讓新增 SANS 的成本) ,您可以將反向 Proxy 設定為使用 HTTP 做為初始自動探索服務要求,而不是使用 HTTPS (預設設定) 。 如需詳細資訊,請參閱 行動規劃。
目錄集區和前端集區憑證需求
| 描述 | SAN 專案 |
|---|---|
| 內部自動探索服務 URL | SAN=lyncdiscoverinternal.<sipdomain> |
| 外部自動探索服務 URL | SAN=lyncdiscover.<sipdomain> |
或者,您可以使用 SAN=*。<sipdomain>
反向 Proxy (公用 CA) 憑證需求
| 描述 | SAN 專案 |
|---|---|
| 外部自動探索服務 URL | SAN=lyncdiscover.<sipdomain> |
此 SAN 必須指派給反向 Proxy 上指派給 SSL 聆聽者的憑證。
注意事項
反向 Proxy 聆聽者會有外部 Web 服務 URL 的 SAN () 。 如果您已部署目錄 (選用) ,有些範例會SAN=skypewebextpool01.contoso.com和 dirwebexternal.contoso.com。
檔案共用
商務用 Skype Server 2019 可以將相同的檔案共用用於所有檔案儲存空間。 您應該記住下列事項:
檔案共享必須位於直接附加儲存空間 (DAS) 或儲存區域網路 (SAN) 。 此需求包括分散式文件系統 (DFS) ,以及適用於檔案存放區之獨立磁碟 (RAID) 的備援數位。 如需 DFS for Windows Server 2012 的詳細資訊,請參閱 DFS 命名空間和 DFS 複寫概觀。
建議您將共用叢集用於檔案共用。 如果您已經在使用其中一個版本,您應該將叢集 Windows Server 2012 或更新版本。
注意事項
為什麼是最新的 Windows? 舊版可能沒有啟用所有功能的正確許可權。 您可以使用叢集系統管理員建立檔案共用。 如需詳細資訊,請 參閱如何在叢集上建立檔案共用。
謹慎
您應該知道不支援使用網路附加儲存空間 (NAS) 做為檔案共用。 因此,請使用此處所列的其中一個選項。 這項支援限制是由 NAS 裝置的變數設計所造成,該裝置必須針對存取裝置共用檔系統的 Windows Server 型電腦提供檔案系統適配性。