Развертывание топологии леса ресурсов

Важно!

Skype для бизнеса Online, управляемый компанией 21Vianet в Китае, будет прекращен 1 октября 2023 г. Если вы еще не обновили своих пользователей Skype для бизнеса Online, они будут автоматически запланированы для вспомогательного обновления. Если вы хотите обновить организацию до Teams самостоятельно, настоятельно рекомендуется начать планирование пути обновления уже сегодня. Помните, что успешное обновление соответствует технической готовности и готовности пользователей, поэтому обязательно используйте наше руководство по обновлению при переходе в Teams.

Skype для бизнеса Online, за исключением службы 21Vianet в Китае, была прекращена 31 июля 2021 г.

В следующих разделах описывается настройка среды с несколькими лесами в модели леса ресурсов или пользователей для предоставления функциональных возможностей в гибридном сценарии.

Среда с несколькими лесами для гибридной среды.

Требования к топологии

Поддерживаются многопользовательские леса. Учитывайте следующее.

  • Поддерживаемые версии Lync Server и Skype для бизнеса Server в гибридной конфигурации см. в разделе Планирование гибридного подключения.

  • Exchange Server можно развернуть в одном или нескольких лесах, которые могут включать или не включать лес, содержащий Skype для бизнеса Server. Убедитесь, что вы применили последнее накопительное обновление.

  • Дополнительные сведения о сосуществовании с Exchange Server, включая критерии поддержки и ограничения в различных сочетаниях локальных и сетевых компонентов, см. в разделе Поддержка компонентов в статье Планирование интеграции Skype для бизнеса и Exchange.

Рекомендации по размещению пользователей

Пользователи Skype для бизнеса, размещенные в локальной среде, могут использовать Exchange как локально, так и в сети. Пользователи Teams должны использовать Exchange Online для оптимального взаимодействия; однако это не обязательно. Локальная служба Exchange не требуется для реализации Skype для бизнеса в любом случае.

Настройка доверия леса

В топологии леса ресурсов леса ресурсов, на которых размещается Skype для бизнеса Server, должны доверять каждому лесу учетных записей, содержащему учетные записи пользователей, которые обращаются к нему.

При наличии нескольких лесов пользователей для включения проверки подлинности между лесами важно включить маршрутизацию суффиксов имен для каждого из этих лесов доверия. Инструкции см. в разделе Управление отношениями доверия леса.

Если exchange Server развернут в другом лесу и Exchange предоставляет функциональные возможности для пользователей Skype для бизнеса, лес, на котором размещается Exchange, должен доверять лесу, на котором размещается Skype для бизнеса Server. Например, если Exchange был развернут в лесу учетных записей, требуется двустороннее доверие между учетной записью и лесами Skype для бизнеса.

Синхронизация учетных записей в лес, в котором размещается Skype для бизнеса

Предположим, что Skype для бизнеса Server развернут в одном лесу (лес ресурсов), но предоставляет функциональные возможности пользователям в одном или нескольких других лесах (лесах учетных записей). В этом случае пользователи в других лесах должны быть представлены как отключенные объекты пользователей в лесу, где развернут Skype для бизнеса Server.

Необходимо использовать продукт управления удостоверениями, например Microsoft Identity Manager, для подготовки и синхронизации пользователей из лесов учетных записей в лес, где развернут Skype для бизнеса Server. Пользователи должны быть синхронизированы с лесом, на котором размещен Skype для бизнеса Server, как отключенные объекты пользователей. Пользователи не могут быть синхронизированы как объекты контактов Active Directory, так как Microsoft Entra Connect не будет правильно синхронизировать контакты с Идентификатором Microsoft Entra для использования со Skype.

Независимо от конфигурации с несколькими лесами, лес, на котором размещается Skype для бизнеса Server, также может предоставлять функциональные возможности для всех включенных пользователей, которые существуют в том же лесу.

Для надлежащей синхронизации удостоверений требуется синхронизация следующих атрибутов.

Пользовательские леса Леса ресурсов
выбранный атрибут ссылки на учетную запись
выбранный атрибут ссылки на учетную запись
mail
mail
ProxyAddresses
ProxyAddresses
ObjectSID
msRTCSIP-OriginatorSID

Выбранный атрибут ссылки учетной записи будет использоваться в качестве привязки к источнику. Если у вас есть другой и неизменяемый атрибут, который вы предпочитаете использовать, вы можете сделать это. Просто измените правило утверждений AD FS и выберите атрибут во время настройки Microsoft Entra Connect.

Не синхронизируйте имена участника-участника между лесами. Необходимо использовать уникальное имя участника-пользователя для каждого леса пользователей, так как одно и то же имя участника-пользователя нельзя использовать в нескольких лесах. В результате есть две возможности: синхронизировать имя участника-пользователя или не синхронизировать.

  • Если уникальное имя участника-пользователя из каждого леса пользователей не было синхронизировано со связанным отключенным объектом в лесу ресурсов, единый вход (SSO) будет нарушен по крайней мере при первой попытке входа (при условии, что пользователь выбрал параметр сохранения пароля). В клиенте Skype для бизнеса предполагается, что значения SIP/UPN совпадают. Так как в этом сценарии SIP-адресом является user@company.com, а имя участника-пользователя для включенного объекта в лесу пользователей фактически user@contoso.company.comявляется , начальная попытка входа завершится ошибкой, и пользователю будет предложено ввести учетные данные. После ввода правильного имени участника-пользователя запрос проверки подлинности будет выполнен для контроллеров домена в лесу пользователей, и вход будет выполнен успешно.

  • Если уникальное имя участника-пользователя из каждого леса пользователей было синхронизировано со связанным отключенным объектом в лесу ресурсов, проверка подлинности AD FS завершится ошибкой. Соответствующее правило будет находить имя участника-пользователя в объекте в лесу ресурсов, которое было отключено и не может использоваться для проверки подлинности.

Создание организации Microsoft 365

Вам потребуется подготовить организацию Microsoft 365 для использования с развертыванием. Дополнительные сведения см. в статье Подписки, лицензии, учетные записи и клиенты для облачных предложений Майкрософт.

Настройка служб федерации Active Directory

После создания клиента необходимо настроить службы федерации Active Directory (AD FS) в каждом из пользовательских лесов. При этом предполагается, что для каждого леса заданы уникальные адреса SIP и SMTP, а также имя субъекта-пользователя (UPN). AD FS является необязательным и используется здесь для получения единого входа. В качестве альтернативы AD FS поддерживается также DirSync с синхронизацией паролей.

Испытания проведены только для развертываний с совпадением SIP/SMTP и имен субъектов-пользователей. Отсутствие совпадающих sip,SMTP/UPN может привести к снижению функциональности, например к проблемам с интеграцией Exchange и единым входом.

Если вы не используете уникальный SIP,SMTP/UPN для пользователей из каждого леса, вы по-прежнему можете столкнуться с проблемами единого входа, независимо от того, где развернуты AD FS:

  • Односторонние или двусторонние отношения доверия между лесами ресурсов/пользователей при развертывании фермы AD FS в каждом лесу пользователей; всем пользователям назначен один и тот же домен SIP/SMTP, но неповторяющиеся имена субъектов-пользователей для каждого леса пользователей.

  • Двусторонние отношения доверия между лесами ресурсов/пользователей при развертывании фермы AD FS только в лесу ресурсов; всем пользователям назначен один и тот же домен SIP/SMTP, но неповторяющиеся имена субъектов-пользователей для каждого леса пользователей.

При размещении AD FS в каждом лесу пользователей и назначении уникальных адресов SIP/SMTP и имен субъектов пользователей для каждого леса обе неполадки устраняются. При попытке проверки подлинности поиск совпадений выполняется только в одном конкретном лесу пользователей. Это помогает обеспечить более простой процесс проверки подлинности.

Это стандартное развертывание Windows Server 2012 R2 AD FS, и оно должно работать, прежде чем продолжить. Инструкции см. в статье Установка AD FS 2012 R2 для Microsoft 365.

После развертывания необходимо изменить правило утверждений в соответствии с выбранной ранее привязкой к источнику. В КОНСОЛИ УПРАВЛЕНИЯ AD FS в разделе Отношения доверия с проверяющей стороной щелкните правой кнопкой мыши Платформу удостоверений Microsoft 365 или Платформу удостоверений Microsoft Office 365, а затем выберите Изменить правила утверждений. Измените первое правило и измените ObjectSID на employeeNumber.

Экран редактирования правил для нескольких лесов.

Настройка Microsoft Entra Connect

В топологиях леса ресурсов необходимо синхронизировать атрибуты пользователей как из леса ресурсов, так и из всех лесов учетных записей с идентификатором Microsoft Entra. Корпорация Майкрософт рекомендует Microsoft Entra Connect синхронизировать и объединять удостоверения пользователей из всех лесов, в которых включены учетные записи пользователей, и леса, содержащего Skype для бизнеса. Дополнительные сведения см. в статье Настройка Microsoft Entra Connect для Skype для бизнеса и Teams.

Обратите внимание, что Microsoft Entra Connect не обеспечивает локальную синхронизацию между учетными записями и лесами ресурсов. Это необходимо настроить с помощью Microsoft Identity Manager или аналогичного продукта, как описано ранее.

После завершения и слияния Microsoft Entra Connect, если вы посмотрите на объект в метавселенной, вы увидите примерно следующее:

Экран объекта метавселенной для нескольких лесов.

Зеленые выделенные атрибуты были объединены из Microsoft 365, желтый — из леса пользователя, а синий — из леса ресурсов.

В этом примере Microsoft Entra Connect идентифицировал sourceAnchor и cloudSourceAnchor у пользователя и объекты леса ресурсов из Microsoft 365, в данном случае 1101 — номер employeeNumber, выбранный ранее. Microsoft Entra Connect смог объединить этот объект с тем, что вы видите выше.

Дополнительные сведения см. в статье Интеграция локальных каталогов с Идентификатором Microsoft Entra.

Microsoft Entra Connect следует установить по умолчанию, за исключением следующих ситуаций:

  1. Единый вход с уже развернутыми и работающими AD FS: выберите Не настраивать.

  2. Подключение каталогов. Добавьте все домены.

  3. Определение пользователей в локальных каталогах. Выберите Удостоверения пользователей существуют в нескольких каталогах и выберите атрибуты ObjectSID и msExchangeMasterAccountSID .

  4. Определение пользователей в Microsoft Entra ID: Привязка к источнику. Выберите атрибут, выбранный после прочтения статьи Выбор хорошего атрибута sourceAnchor, User Principal Name - userPrincipalName.

  5. Необязательные функции. Выберите, развернута ли гибридная среда Exchange.

    Примечание.

    If you have only Exchange Online, there could be an issue with OAuth failures during autodiscover because of CNAME redirection. Чтобы исправить эту ошибку, необходимо задать URL-адрес автообнаружения Exchange, выполнив следующий командлет из командной консоли Skype для бизнеса Server:

    Set-CsOAuthConfiguration -ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc 
    
  6. Ферма AD FS: выберите Использовать существующую ферму Windows Server 2012 R2 AD FS и введите имя сервера AD FS.

  7. Завершите работу мастера и выполните необходимые проверки.

Настройка гибридного подключения для Skype для бизнеса Server

Следуйте рекомендациям по настройке гибридной среды Skype для бизнеса. Дополнительные сведения см. в разделах Планирование гибридного подключения и Настройка гибридного подключения.

Настройка гибридного подключения для Exchange Server

При необходимости настройте гибридный режим для Exchange с учетом практических рекомендаций. Дополнительные сведения см. в разделе Гибридные развертывания Exchange Server.