Anforderungen an die Umgebung für Skype for Business Server 2015

Zusammenfassung: Konfigurieren Sie Ihre Nichtserveranforderungen für Skype for Business Server 2015. Es gibt verschiedene Dinge, die Sie vor der Bereitstellung konfigurieren möchten, einschließlich Active Directory, DNS, Zertifikate und Dateifreigaben.

Was ist eine Umgebungsanforderung für Skype for Business Server 2015? Wir haben alles, was sich nicht direkt auf den Server bezieht, in diesen Artikel aufgenommen, sodass Sie nicht so viel klicken müssen. Wenn Sie nach Servervoraussetzungen suchen, können Sie sich die Dokumentation Serveranforderungen für Skype for Business Server 2015 ansehen. Die Netzwerkplanung ist auch separat dokumentiert. Andernfalls haben wir folgendes in diesem Artikel:

Active Directory

Während viele Konfigurationsdaten für Server und Dienste im zentralen Verwaltungsspeicher von Skype for Business Server 2015 gespeichert sind, sind noch einige Dinge in Active Directory gespeichert:

Active Directory-Objekte Objekttypen
Schemaerweiterungen
Benutzerobjekterweiterungen
Erweiterungen für Lync Server 2013 und Lync Server 2010, um die Abwärtskompatibilität mit den vorherigen unterstützten Versionen aufrechtzuerhalten.
Daten
Der Benutzer-SIP-URI und andere Einstellungen
Kontaktobjekte für Anwendungen (z. B. die Reaktionsgruppenanwendung und die Konferenzzentrale).
Für die Abwärtskompatibilität veröffentlichte Daten.
Ein Dienststeuerungspunkt (Service Control Point, SCP) für den zentralen Verwaltungsspeicher.
Das Kerberos-Authentifizierungskonto (ein optionales Computerobjekt).

Betriebssysteme für Domänencontroller

Welches Betriebssystem für Domänencontroller kann verwendet werden? Hier die Liste:

  • Windows Server 2019 (Sie müssen über das kumulative Update 5 von Skype for Business Server 2015 oder höher verfügen)

  • Windows Server 2016

  • Windows Server 2012 R2

  • Windows Server 2012

  • Windows Server 2008 R2

  • Windows Server 2008

Nun müssen die Domänenfunktionsebene jeder Domäne, in der Sie Skype for Business Server 2015 bereitstellen, und die Gesamtstrukturfunktionsebene jeder Gesamtstruktur, in der Sie Skype for Business Server 2015 bereitstellen, eine der folgenden sein:

  • Windows Server 2019 (Sie müssen über das kumulative Update 5 von Skype for Business Server 2015 oder höher verfügen)

  • Windows Server 2016

  • Windows Server 2012 R2

  • Windows Server 2012

  • Windows Server 2008 R2

  • Windows Server 2008

  • Windows Server 2003

Dürfen in diesen Umgebungen schreibgeschützte Domänencontroller vorhanden sein? Sicher, solange auch beschreibbare Domänencontroller am selben Standort wie skype for Business Server verfügbar sind.

Nun ist es wichtig zu wissen, dass Skype for Business Server 2015 keine domänenspezifischen Bezeichnungen unterstützt. Was ist das? Wenn Sie über eine Stammdomäne mit der Bezeichnung contoso.local verfügen, ist dies in Ordnung. Wenn Sie über eine Stammdomäne mit dem Namen local verfügen, funktioniert dies nicht und wird daher nicht unterstützt. Ein wenig mehr dazu wurde in diesem Knowledge Base-Artikel geschrieben.

Skype for Business Server 2015 unterstützt auch das Umbenennen von Domänen nicht. Wenn Sie dies tun müssen, müssen Sie Skype for Business Server 2015 deinstallieren, die Domäne umbenennen und dann Skype for Business Server 2015 neu installieren.

Schließlich handelt es sich möglicherweise um eine Domäne mit einer gesperrten AD DS-Umgebung, und das ist in Ordnung. Weitere Informationen zum Bereitstellen von Skype for Business Server 2015 in dieser Art von Umgebung finden Sie in der Bereitstellungsdokumentation.

AD-Topologien

Die von Skype for Business Server 2015 unterstützten Topologien sind:

  • Einzelne Gesamtstruktur mit einzelner Domäne

  • Einzelne Gesamtstruktur mit einer Struktur und mehreren Domänen

  • Einzelne Gesamtstruktur mit mehreren Strukturen und nicht zusammenhängenden Namespaces

  • Mehrere Gesamtstrukturen in einer Topologie mit zentraler Gesamtstruktur

  • Mehrere Gesamtstrukturen in einer Topologie mit Ressourcengesamtstruktur

  • Mehrere Gesamtstrukturen in einer Skype for Business-Ressourcengesamtstruktur-Topologie mit Exchange Online

  • Mehrere Gesamtstrukturen in einer Ressourcengesamtstrukturtopologie mit Skype for Business Online und Microsoft Entra Connect

Wir verfügen über Diagramme und Beschreibungen, mit denen Sie ermitteln können, welche Topologie in Ihrer Umgebung vorhanden ist oder was Sie möglicherweise vor der Installation von Skype for Business Server 2015 einrichten müssen. Um es einfach zu halten, fügen wir auch einen Schlüssel ein:

ist ein Schlüssel zu den Symbolen, die für Skype for Business-Topologiediagramme verwendet werden.

Einzelne Gesamtstruktur mit einzelner Domäne

Diagramm einer einzelnen Active Directory-Gesamtstruktur mit einer einzelnen Domäne.

Es wird nicht einfacher als dies, es handelt sich um eine einzelne Domänengesamtstruktur, dies ist eine gängige Topologie.

Einzelne Gesamtstruktur mit einer Struktur und mehreren Domänen

Diagramm einer einzelnen Gesamtstruktur, einzelner Struktur und Mutipledomänen.

Dieses Diagramm zeigt erneut eine einzelne Gesamtstruktur, aber es enthält auch eine oder mehrere untergeordnete Domänen (in diesem speziellen Beispiel drei). Daher kann sich die Domäne, in der die Benutzer erstellt werden, von der Domäne unterscheiden, in der Skype for Business Server 2015 bereitgestellt wird. Warum sorgen Sie sich darüber? Beachten Sie, dass sich bei der Bereitstellung eines Skype for Business Server-Front-End-Pools alle Server in diesem Pool in einer einzigen Domäne befinden müssen. Sie können die domänenübergreifende Verwaltung über die Unterstützung universeller Windows-Administratorgruppen durch Skype for Business Server nutzen.

Zurück zum obigen Diagramm können Sie sehen, dass Benutzer aus einer Domäne aus derselben Domäne oder aus verschiedenen Domänen auf Skype for Business Server-Pools zugreifen können, auch wenn sich diese Benutzer in einer untergeordneten Domäne befinden.

Einzelne Gesamtstruktur mit mehreren Strukturen und nicht zusammenhängenden Namespaces

Diagramm einer einzelnen Gesamtstruktur, mehrerer Strukturen und nicht zusammenhängender Namespaces.

Es kann sein, dass Sie über eine Topologie verfügen, die diesem Diagramm ähnelt, in der Sie über eine Gesamtstruktur verfügen, aber innerhalb dieser Gesamtstruktur mehrere Domänen mit separaten AD-Namespaces sind. Wenn dies der Fall ist, ist dieses Diagramm eine gute Veranschaulichung, da wir Benutzer in drei verschiedenen Domänen haben, die auf Skype for Business Server 2015 zugreifen. Durchgezogene Linien zeigen an, dass sie auf einen Skype for Business Server-Pool in ihrer eigenen Domäne zugreifen können, während eine gestrichelte Linie angibt, dass sie zu einem Pool in einer anderen Struktur wechseln.

Wie Sie sehen können, können Benutzer in derselben Domäne, derselben Struktur oder sogar einer anderen Struktur erfolgreich auf Pools zugreifen.

Mehrere Gesamtstrukturen in einer Topologie mit zentraler Gesamtstruktur

Diagramm mit mehreren Gesamtstrukturen in einer zentralen Gesamtstrukturtopologie.

Skype for Business Server 2015 unterstützt mehrere Gesamtstrukturen, die in einer zentralen Gesamtstrukturtopologie konfiguriert sind. Wenn Sie sich nicht sicher sind, ob dies Der Fall ist, verwendet die zentrale Gesamtstruktur in der Topologie Objekte darin, um Benutzer in den anderen Gesamtstrukturen darzustellen, und hostet Benutzerkonten für alle Benutzer in der Gesamtstruktur.

Wie funktioniert das? Nun, ein Verzeichnissynchronisierungsprodukt (z. B. Forefront Identity Manager oder FIM) verwaltet die Benutzerkonten Ihrer Organisation während ihrer gesamten Existenz. Wenn ein Konto erstellt oder in der Gesamtstruktur gelöscht wird, wird diese Änderung im entsprechenden Kontakt in der zentralen Gesamtstruktur synchronisiert.

Wenn Ihre AD-Infrastruktur vorhanden ist, ist die Umstellung auf diese Topologie möglicherweise nicht einfach, aber wenn Sie bereits dort sind oder Ihre Gesamtstrukturinfrastruktur planen, kann dies eine gute Wahl sein. Sie können Ihre Skype for Business Server 2015-Bereitstellung innerhalb einer einzelnen Gesamtstruktur zentralisieren, während Benutzer nach anderen Benutzern in jeder Gesamtstruktur suchen, kommunizieren und anzeigen können. Alle Aktualisierungen von Benutzerkontakten werden automatisch mit der Synchronisierungssoftware verarbeitet.

Mehrere Gesamtstrukturen in einer Skype for Business-Ressourcengesamtstruktur-Topologie

Diagramm mit mehreren Gesamtstrukturen in einer Ressourcengesamtstrukturtopologie.

Eine Ressourcengesamtstrukturtopologie wird ebenfalls unterstützt. Hier ist eine Gesamtstruktur für die Ausführung Ihrer Serveranwendungen wie Microsoft Exchange Server und Skype for Business Server 2015 vorgesehen. Diese Ressourcengesamtstrukturen hosten auch eine synchronisierte Darstellung aktiver Benutzerobjekte, aber keine anmeldefähigen Benutzerkonten. Daher ist die Ressourcengesamtstruktur eine Umgebung für gemeinsame Dienste für andere Gesamtstrukturen, in denen sich Benutzerobjekte befinden, und diese verfügen über eine Vertrauensstellung auf Gesamtstrukturebene mit der Ressourcengesamtstruktur.

Exchange Server kann in derselben Ressourcengesamtstruktur wie Skype for Business Server oder in einer anderen Gesamtstruktur bereitgestellt werden.

Um Skype for Business Server 2015 in diesem Topologietyp bereitzustellen, erstellen Sie ein deaktiviertes Benutzerobjekt in der Ressourcengesamtstruktur für jedes Benutzerkonto in den Benutzergesamtstrukturen (wenn sich Microsoft Exchange Server bereits in der Umgebung befindet, kann dies für Sie erledigt werden). Anschließend benötigen Sie ein Verzeichnissynchronisierungstool (z. B. Forefront Identity Manager oder FIM), um Benutzerkonten während des gesamten Lebenszyklus zu verwalten.

Mehrere Gesamtstrukturen in einer Skype for Business-Ressourcengesamtstruktur-Topologie mit Exchange Online

Diese Topologie ähnelt der Topologie, die unter Mehrere Gesamtstrukturen in einer Skype for Business-Ressourcengesamtstruktur-Topologie beschrieben wird.

In dieser Topologie gibt es mindestens eine Benutzergesamtstruktur, und Skype for Business Server wird in einer dedizierten Ressourcengesamtstruktur bereitgestellt. Exchange Server kann lokal in derselben Ressourcengesamtstruktur oder einer anderen Gesamtstruktur bereitgestellt und für die Hybridbereitstellung mit Exchange Online konfiguriert werden, oder E-Mail-Dienste werden möglicherweise ausschließlich von Exchange Online für die lokalen Konten bereitgestellt. Für diese Topologie ist kein Diagramm verfügbar.

Mehrere Gesamtstrukturen in einer Ressourcengesamtstrukturtopologie mit Skype for Business Online und Microsoft Entra Connect

Zeigt zwei AD-Gesamtstrukturen, eine Benutzergesamtstruktur und eine Ressourcengesamtstruktur an. Die beiden Gesamtstrukturen verfügen über eine Vertrauensstellung. Sie werden mit Microsoft 365 oder Office 365 mithilfe von Microsoft Entra Connect synchronisiert. Alle Benutzer sind für Skype for Business über Microsoft 365 oder Office 365 aktiviert.

Bei diesem Szenario sind mehrere lokale Gesamtstrukturen mit einer Topologie mit Ressourcengesamtstruktur vorhanden. Zwischen den Active Directory-Gesamtstrukturen besteht eine vollständige Vertrauensstellung. Das Microsoft Entra Connect-Tool wird verwendet, um Konten zwischen den lokalen Benutzergesamtstrukturen und Microsoft 365 oder Office 365 zu synchronisieren.

Die Organisation verfügt auch über Microsoft 365 oder Office 365 und verwendet Microsoft Entra Connect , um ihre lokalen Konten mit Microsoft 365 oder Office 365 zu synchronisieren. Benutzer, die für Skype for Business aktiviert sind, werden über Microsoft 365 oder Office 365 und Skype for Business Online aktiviert. Skype for Business Server wird nicht lokal bereitgestellt.

Die SSO-Authentifizierung wird von einer Active Directory-Verbunddienste-Farm in der Benutzergesamtstruktur bereitgestellt.

In diesem Szenario wird die Bereitstellung von Exchange lokal, Exchange Online, einer Exchange-Hybridlösung oder die Bereitstellung von Exchange überhaupt nicht unterstützt. (Das Diagramm zeigt nur exchange lokal, aber die anderen Exchange-Lösungen werden ebenfalls vollständig unterstützt.)

Mehrere Gesamtstrukturen in einer Topologie mit Ressourcengesamtstruktur mit Skype for Business-Hybridbereitstellung

In diesem Szenario gibt es mindestens eine lokale Benutzergesamtstruktur, und Skype for Business wird in einer dedizierten Ressourcengesamtstruktur bereitgestellt und für den Hybridmodus mit Skype for Business Online konfiguriert. Exchange Server kann lokal in derselben Ressourcengesamtstruktur oder einer anderen Gesamtstruktur bereitgestellt werden und kann für die Hybridbereitstellung mit Exchange Online konfiguriert werden. Alternativ können E-Mail-Dienste ausschließlich von Exchange Online für die lokalen Konten bereitgestellt werden.

Weitere Informationen finden Sie unter Konfigurieren einer Umgebung mit mehreren Gesamtstrukturen für Hybrid-Skype for Business.

DNS (Domain Name System)

Skype for Business Server 2015 erfordert DNS aus den folgenden Gründen:

  • DNS ermöglicht Skype for Business Server 2015 die Ermittlung interner Server oder Pools, sodass die Kommunikation zwischen Servern möglich ist.

  • DNS ermöglicht Clientcomputern, den Front-End-Pool oder Standard Edition-Server zu ermitteln, der für SIP-Transaktionen verwendet wird.

  • Es ordnet einfache URLs für Konferenzen den Servern zu, auf denen diese Konferenzen gehostet werden.

  • DNS ermöglicht es externen Benutzern und Clientcomputern, für Chats oder Konferenzen eine Verbindung mit Ihren Edgeservern oder dem HTTP-Reverseproxy herzustellen.

  • Dadurch können UC-Geräte (Unified Communications), die nicht angemeldet sind, den Front-End-Pool oder Standard Edition-Server ermitteln, auf dem der Device Update-Webdienst ausgeführt wird, um Updates abzurufen und Protokolle zu senden.

  • Die Verwendung von DNS ermöglicht mobilen Clients die automatische Ermittlung von Webdienstressourcen, ohne dass Benutzer in den Geräteeinstellungen manuell URLs eingeben müssen.

  • Außerdem wird es im DNS-Lastenausgleich verwendet.

Beachten Sie, dass Skype for Business Server 2015 keine internationalisierten Domänennamen (IDNs) unterstützt.

Beachten Sie außerdem, dass jeder Name im DNS mit dem Computernamen identisch ist, der auf einem beliebigen Server konfiguriert ist, der von Skype for Business Server 2015 verwendet wird. Insbesondere dürfen keine Kurznamen in der Umgebung vorhanden sein, und es müssen FQDNs für den Topologie-Generator vorhanden sein.

Dies scheint für jeden Computer, der bereits einer Domäne beigetreten ist, logisch zu sein. Wenn Sie jedoch über einen Edgeserver verfügen, der nicht mit Ihrer Domäne verknüpft ist, kann der Standardwert einen Kurznamen ohne Domänensuffix aufweisen. Stellen Sie sicher, dass dies nicht der Fall ist, weder im DNS noch auf dem Edgeserver oder auf einem Skype for Business Server 2015-Server oder -Pool.

Und verwenden Sie definitiv keine Unicode-Zeichen oder Unterstriche. Standardzeichen (A-Z, a-z, 0-9 und Bindestriche) werden von externen DNS- und öffentlichen Zertifizierungsstellen unterstützt (Sie müssen dem SN im Zertifikat FQDNs zuweisen, vergessen Sie nicht). Daher sparen Sie sich viel Trauer, wenn Sie dies berücksichtigen.

Weitere Informationen zu den DNS-Anforderungen für Networking entnehmen Sie dem Abschnitt Networking unserer Planungsdokumentation.

Zertifikate

Stellen Sie vor der Bereitstellung unbedingt sicher, dass Ihre Zertifikate in Ordnung sind. Skype for Business Server 2015 benötigt eine Public Key-Infrastruktur (PKI) für TLS-Verbindungen (Transport Layer Security) und MTLS-Verbindungen (Mutual Transport Layer Security). Um sicher auf standardisierte Weise zu kommunizieren, verwendet Skype for Business Server grundsätzlich Zertifikate, die von Zertifizierungsstellen (Certificate Authorities, CAs) ausgestellt wurden.

Dies sind einige der Punkte, für die Skype for Business Server 2015 Zertifikate verwendet:

  • TLS-Verbindungen zwischen Client und Server

  • MTLS-Verbindungen zwischen Servern

  • Verbund mithilfe der automatischen DNS-Ermittlung von Partnern

  • Zugriff von Remotebenutzern auf Sofortnachrichten

  • Zugriff externer Benutzer auf AV-Sitzungen, Anwendungsfreigabe und Konferenzen

  • Kommunizieren mit Webanwendungen und Outlook Web Access (OWA)

Daher ist die Zertifikatplanung ein Muss. Sehen wir uns nun eine Liste der Punkte an, die Sie beim Anfordern von Zertifikaten beachten müssen:

  • Alle Serverzertifikate müssen die Serverautorisierung (Enhanced Key Usage [EKU], erweiterte Schlüsselverwendung für Server) unterstützen.

  • Alle Serverzertifikate müssen einen Zertifikatsperrlisten-Verteilungspunkt unterstützen.

  • Alle Zertifikate müssen mithilfe eines Signaturalgorithmus signiert werden, der vom Betriebssystem unterstützt wird. Skype for Business Server 2015 unterstützt die SHA-1- und SHA-2-Suite mit Digestgrößen (224, 256, 384 Bit und 512 Bit) und erfüllt oder überschreitet die Betriebssystemanforderungen.

  • Die automatische Registrierung wird für interne Server mit Skype for Business Server 2015 unterstützt.

  • Die automatische Registrierung wird für Skype for Business Server 2015-Edgeserver nicht unterstützt.

  • Wenn Sie eine webbasierte Zertifikatanforderung an eine Windows Server 2003-Zertifizierungsstelle übermitteln, müssen Sie sie von einem Computer übermitteln, auf dem Windows Server 2003 mit SP2 oder Windows XP ausgeführt wird.

Hinweis

Obwohl mit Update KB922706 Probleme beim Registrieren von Webzertifikaten für eine Windows Server 2003-Zertifikatdienste-Webregistrierung behoben werden können, ist es mit diesem Update nicht möglich, unter Windows Server 2008, Windows Vista oder Windows 7 ein Zertifikat bei einer Windows Server 2003-Zertifizierungsstelle anzufordern.

Hinweis

Die Verwendung des Signaturalgorithmus RSASSA-PSS wird nicht unterstützt und kann unter anderem zu Fehlern bei der Anmeldung und Problemen mit der Anrufweiterleitung führen.

Hinweis

Skype for Business Server 2015 unterstützt keine CNG-Zertifikate.

  • Es werden Verschlüsselungsschlüssellängen von 1.024, 2.048 und 4.096 Bit unterstützt. Empfohlen werden Schlüssellängen ab 2.048 Bit.

  • Der Standarddigestalgorithmus oder der Hashsignaturalgorithmus ist RSA. Die Algorithmen ECDH_P256, ECDH_P384 und ECDH_P521 werden ebenfalls unterstützt.

Das ist also viel zu beachten, und definitiv gibt es verschiedene Komfortebenen beim Anfordern von Zertifikaten von einer Zertifizierungsstelle. Wir geben Ihnen unten einige weitere Anleitungen, um Ihre Planung so schmerzlos wie möglich zu gestalten.

Zertifikate für Ihre internen Server

Sie benötigen Zertifikate für die meisten Ihrer internen Server und erhalten sie höchstwahrscheinlich von einer internen Zertifizierungsstelle (die sich in Ihrer Domäne befindet). Wahlweise können Sie diese Zertifikate von einer externen Zertifizierungsstelle (aus dem Internet) erhalten. Wenn Sie sich fragen, an welche öffentliche Zertifizierungsstelle Sie gehen sollten, können Sie sich die Liste der Unified Communications-Zertifikatpartner ansehen.

Sie benötigen auch Zertifikate, wenn Skype for Business Server 2015 mit anderen Anwendungen und Servern kommuniziert, z. B. Microsoft Exchange Server. Dies muss offensichtlich ein Zertifikat sein, das von den anderen Anwendungen und Servern unterstützt wird. Skype for Business Server 2015 und andere Microsoft-Produkte unterstützen das OAuth-Protokoll (Open Authorization) für die Server-zu-Server-Authentifizierung und -Autorisierung. Wenn Sie daran interessiert sind, haben wir einen zusätzlichen Planungsartikel für OAuth und Skype for Business Server 2015.

Skype for Business Server 2015 bietet auch Unterstützung für Zertifikate, die mit der kryptografischen Hashfunktion SHA-256 signiert wurden (ohne dass sie erforderlich sind). Um den externen Zugriff mithilfe von SHA-256 zu unterstützen, muss das externe Zertifikat von einer öffentlichen Zertifizierungsstelle unter Verwendung von SHA-256 ausgestellt werden.

Um die Dinge einfach zu halten, haben wir die Zertifikatanforderungen für Standard Edition-Server, Front-End-Pools und andere Rollen in die folgenden Tabellen eingefügt, wobei die fiktiven contoso.com als Beispiele verwendet werden (Sie verwenden wahrscheinlich etwas anderes für Ihre Umgebung). Dabei handelt es sich um Standardmäßige Webserverzertifikate mit privaten Schlüsseln, die nicht exportiert werden können. Einige weitere Punkte, die Sie beachten müssen:

  • Die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) für Server wird automatisch konfiguriert, wenn Sie den Zertifikat-Assistenten zum Anfordern von Zertifikaten verwenden.

  • Der Anzeigename jedes Zertifikats muss im Computerspeicher eindeutig sein.

  • Wenn Sie sipinternal.contoso.com oder sipexternal.contoso.com in Ihrem DNS konfiguriert haben, müssen sie gemäß den folgenden Beispielnamen dem Alternativen Antragstellernamen (Subject Alternative Name, SAN) des Zertifikats hinzugefügt werden.

Zertifikate für Standard Edition-Server:

Zertifikat Antragstellername/Allgemeiner Name Alternativer Antragstellername Beispiel Anmerkungen
Standard
FQDN des Pools
FQDN des Pools und FQDN des Servers
Wenn mehrere SIP-Domänen vorhanden sind und die automatische Clientkonfiguration aktiviert wurde, erkennt der Zertifikat-Assistent die unterstützten FQDNs für SIP-Domänen und fügt diese hinzu.
Wenn dieser Pool der Server für die automatische Anmeldung für Clients ist und ein strenger DNS-Abgleich (Domain Name System) in der Gruppenrichtlinie erforderlich ist, benötigen Sie auch Einträge für sip.sipdomain (für jede SIP-Domäne, die Sie haben).
SN=se01.contoso.com; SAN=se01.contoso.com
Wenn dieser Pool der Server für die automatische Anmeldung für Clients ist und in der Gruppenrichtlinie ein strenger DNS-Abgleich erforderlich ist, benötigen Sie auch SAN=sip.contoso.com. SAN=sip.fabrikam.com
Auf dem Standard Edition-Server entspricht der Server-FQDN dem FQDN des Pools.
Der Assistent erkennt alle SIP-Domänen, die Sie während des Setups angegeben haben, und fügt sie automatisch als alternative Antragstellernamen hinzu.
Sie können dieses Zertifikat auch für die Server-zu-Server-Authentifizierung verwenden.
Web, intern
FQDN des Servers
Jeder der folgenden:
• Interner Web-FQDN (identisch mit dem FQDN des Servers)
UND
• Einfache URLs treffen
• Einfache EINWAHL-URL
• Einfache Administrator-URL
ODER
• Ein Wildcardeintrag für die einfachen URLs
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com
Mit einem Platzhalterzertifikat:
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com
Sie können den internen Web-FQDN im Topologie-Generator nicht überschreiben.
Wenn Sie über mehrere einfache Besprechungs-URLs verfügen, müssen Sie alle als alternative Antragstellernamen einbeziehen.
Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt.
Web, extern
FQDN des Servers
Jeder der folgenden:
• Externer Web-FQDN
UND
• Einfache EINWAHL-URL
• Erfüllen einfacher URLs pro SIP-Domäne
ODER
• Ein Wildcardeintrag für die einfachen URLs
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com
Mit einem Platzhalterzertifikat:
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com
Wenn Sie über mehrere einfache Meet-URLs verfügen, müssen Sie alle als alternative Antragstellernamen einschließen.
Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt.

Zertifikate für Front-End-Server in einem Front-End-Pool der Enterprise Edition:

Zertifikat Antragstellername/Allgemeiner Name Alternativer Antragstellername Beispiel Anmerkungen
Standard
FQDN des Pools
FQDN des Pools und FQDN des Servers
Wenn mehrere SIP-Domänen vorhanden sind und die automatische Clientkonfiguration aktiviert wurde, erkennt der Zertifikat-Assistent die unterstützten FQDNs für SIP-Domänen und fügt diese hinzu.
Wenn dieser Pool der Server für die automatische Anmeldung für Clients ist und ein strenger DNS-Abgleich (Domain Name System) in der Gruppenrichtlinie erforderlich ist, benötigen Sie auch Einträge für sip.sipdomain (für jede SIP-Domäne, die Sie haben).
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com
Wenn dieser Pool der Server für die automatische Anmeldung für Clients ist und in der Gruppenrichtlinie ein strenger DNS-Abgleich erforderlich ist, benötigen Sie auch SAN=sip.contoso.com. SAN=sip.fabrikam.com
Der Assistent erkennt alle SIP-Domänen, die Sie während der Installation angegeben haben, und fügt sie automatisch zum alternativen Antragstellernamen (SAN) hinzu.
Sie können dieses Zertifikat auch für die Server-zu-Server-Authentifizierung verwenden.
Web, intern
FQDN des Pools
Jeder der folgenden:
• Interner Web-FQDN (nicht identisch mit dem FQDN des Servers)
• Server-FQDN
• FQDN des Skype for Business-Pools
UND
• Einfache URLs treffen
• Einfache EINWAHL-URL
• Einfache Administrator-URL
ODER
• Ein Wildcardeintrag für die einfachen URLs
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com
Mit einem Platzhalterzertifikat:
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com
Wenn Sie über mehrere einfache Meet-URLs verfügen, müssen Sie alle als alternative Antragstellernamen einschließen.
Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt.
Web, extern
FQDN des Pools
Jeder der folgenden:
• Externer Web-FQDN
UND
• Einfache EINWAHL-URL
• Einfache Administrator-URL
ODER
• Ein Wildcardeintrag für die einfachen URLs
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com
Mit einem Platzhalterzertifikat:
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com
Wenn Sie über mehrere einfache Meet-URLs verfügen, müssen Sie alle als alternative Antragstellernamen einschließen.
Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt.

Zertifikate für den Direktor:

Zertifikat Antragstellername/Allgemeiner Name Alternativer Antragstellername Beispiel
Standard
Directorpool
FQDN des Direktors, FQDN des Director-Pools.
Wenn dieser Pool der Server für die automatische Anmeldung für Clients ist und ein strenger DNS-Abgleich in der Gruppenrichtlinie erforderlich ist, benötigen Sie auch Einträge für sip.sipdomain (für jede SIP-Domäne, die Sie haben).
pool.contoso.com; SAN=dir01.contoso.com
Wenn dieser Director-Pool der Server für die automatische Anmeldung für Clients ist und in der Gruppenrichtlinie ein strenger DNS-Abgleich erforderlich ist, benötigen Sie auch SAN=sip.contoso.com. SAN=sip.fabrikam.com
Web, intern
FQDN des Servers
Jeder der folgenden:
• Interner Web-FQDN (identisch mit dem FQDN des Servers)
• Server-FQDN
• FQDN des Skype for Business-Pools
UND
• Einfache URLs treffen
• Einfache EINWAHL-URL
• Einfache Administrator-URL
ODER
• Ein Wildcardeintrag für die einfachen URLs
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com
Mit einem Platzhalterzertifikat:
SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com
Web, extern
FQDN des Servers
Jeder der folgenden:
• Externer Web-FQDN
UND
• Erfüllen einfacher URLs pro SIP-Domäne
• Einfache EINWAHL-URL
ODER
• Ein Wildcardeintrag für die einfachen URLs
Der externe Web-FQDN für Director muss sich vom Front-End-Pool oder Front-End-Server unterscheiden.
SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com
Mit einem Platzhalterzertifikat:
SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com

Zertifikate für den eigenständigen Vermittlungsserver:

Zertifikat Antragstellername/Allgemeiner Name Alternativer Antragstellername Beispiel
Standard
FQDN des Pools
FQDN des Pools
FQDN des Poolmitgliedsservers
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net

Zertifikate für Survivable Branch Appliance:

Zertifikat Antragstellername/Allgemeiner Name Alternativer Antragstellername Beispiel
Standard
FQDN der Anwendung
SIP.<sipdomain> (Sie benötigen nur einen Eintrag pro SIP-Domäne)
SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com

Zertifikate für Ihren Server für beständigen Chat

Wenn Sie Ihren Server für beständigen Chat installieren, benötigen Sie ein Zertifikat, das von derselben Zertifizierungsstelle ausgestellt wird, die von Ihren internen Skype for Business Server 2015-Servern verwendet wird. Dies muss für jeden Server erfolgen, auf dem Webdienste für beständigen Chat zum Hochladen/Herunterladen von Dateien ausgeführt werden. Es wird dringend empfohlen, dass Sie über die erforderlichen Zertifikate verfügen, bevor Sie die Installation des beständigen Chats starten, und wenn Ihre Zertifizierungsstelle extern ist, noch mehr (dies kann einige Zeit in Anspruch nehmen).

Zertifikate für den Zugriff externer Benutzer (Edge)

Skype for Business Server 2015 unterstützt die Verwendung eines einzelnen öffentlichen Zertifikats für den Zugriff und externe Edge-Schnittstellen für Webkonferenzen sowie den A/V-Authentifizierungsdienst, der alle über die Edgeserver bereitgestellt wird. Ihre interne Edge-Schnittstelle verwendet in der Regel ein privates Zertifikat, das von Ihrer internen Zertifizierungsstelle ausgestellt wurde. Wenn Sie es jedoch bevorzugen, können Sie auch dafür ein öffentliches Zertifikat verwenden, wenn es von einer vertrauenswürdigen Zertifizierungsstelle stammt.

Ihr Reverseproxy (RP) wird ebenfalls ein öffentliches Zertifikat verwenden und es verschlüsselt die Kommunikation zwischen Ihrem Reverseproxy und den Clients sowie zwischen dem Reverseproxy und den internen Servern mithilfe von HTTP (oder präziser: TLS über HTTP).

Zertifikate für Mobilität

Wenn Sie Mobilität bereitstellen und die automatische Ermittlung für mobile Clients unterstützen, müssen Sie einige zusätzliche Einträge für alternative Antragstellernamen in Ihre Zertifikate aufnehmen, um die sicheren Verbindungen von den mobilen Clients zu unterstützen.

Welche Zertifikate? Sie benötigen alternative Antragstellernamen für die automatische Erkennung auf Zertifikaten:

  • Directorpool

  • Front-End-Pool

  • Reverseproxy

Die Besonderheiten sind in allen Tabellen unten aufgelistet.

An dieser Stelle ist eine kleine Vorplanung gut, aber manchmal haben Sie Skype for Business Server 2015 bereitgestellt, ohne die Mobilität bereitzustellen, und das kommt nach unten, wenn Sie bereits über Zertifikate in Ihrer Umgebung verfügen. Das Erneute Ausstellen über eine interne Zertifizierungsstelle ist in der Regel einfach, aber mit öffentlichen Zertifikaten von einer öffentlichen Zertifizierungsstelle, die etwas teurer sein kann.

Wenn Sie sich dies ansehen und über viele SIP-Domänen verfügen (was das Hinzufügen von SANS teurer machen würde), können Sie Ihren Reverseproxy so konfigurieren, dass HTTP für die anfängliche AutoErmittlungsdienstanforderung verwendet wird, anstatt HTTPS (die Standardkonfiguration) zu verwenden. Weitere Informationen hierzu finden Sie im Artikel Planen der Mobilität.

Zertifikatanforderungen für Directorpool und Front-End-Pool:

Beschreibung SAN-Eintrag
Interne URL des AutoErmittlungsdiensts
SAN=lyncdiscoverinternal.<sipdomain>
URL des externen AutoErmittlungsdiensts
SAN=lyncdiscover.<sipdomain>

Alternativ können Sie SAN=*verwenden.<sipdomain>

Reverseproxy-Zertifikatsanforderungen (öffentliche ZS):

Beschreibung SAN-Eintrag
URL des externen AutoErmittlungsdiensts
SAN=lyncdiscover.<sipdomain>

Dieser SAN muss dem Zertifikat zugewiesen werden, das dem SSL-Listener (Secure Sockets Layer) auf dem Reverseproxy zugewiesen ist.

Hinweis

Ihr Reverseproxylistener verfügt über SANs für Ihre externen Webdienst-URLs. Einige Beispiele wären SAN=skypewebextpool01.contoso.com und dirwebexternal.contoso.com, wenn Sie den Director bereitgestellt haben (optional).

Dateifreigabe

Skype for Business Server 2015 kann dieselbe Dateifreigabe für den gesamten Dateispeicher verwenden. Beachten Sie bitte Folgendes:

  • Eine Dateifreigabe muss sich entweder im direct attached Storage (DAS) oder in einem Storage Area Network (SAN) befinden, und dies umfasst das Distributed File System (DFS) und ein redundantes Array unabhängiger Datenträger (RAID) für Dateispeicher. Weitere Informationen zu DFS für Windows Server 2012 finden Sie auf dieser DFS-Seite.

  • Wir empfehlen einen freigegebenen Cluster für die Dateifreigabe. Wenn Sie eines verwenden, sollten Sie Windows Server 2012 oder Windows Server 2012 R2 clustern. Windows Server 2008 R2 ist ebenfalls akzeptabel. Warum das neueste Windows? Ältere Versionen verfügen möglicherweise nicht über die richtigen Berechtigungen, um alle Features zu aktivieren. Sie können den Clusteradministrator verwenden, um die Dateifreigaben zu erstellen. Dieser Artikel Erstellen von Dateifreigaben in einem Cluster hilft Ihnen bei diesen Details.

Vorsicht

Beachten Sie, dass Network Attached Storage (NAS) als Dateifreigabe nicht unterstützt wird. Verwenden Sie daher eine der oben genannten Optionen.