Anforderungen an die Umgebung für Skype for Business Server 2015
Zusammenfassung: Konfigurieren Sie Ihre Nicht-Serveranforderungen für Skype for Business Server 2015. Es gibt eine Vielzahl von Dingen, die Sie vor der Bereitstellung konfigurieren möchten, einschließlich Active Directory, DNS, Zertifikate und Dateifreigaben.
Was ist eine Umweltanforderung für Skype for Business Server 2015? Nun, wir haben alles, was sich nicht direkt auf den Server bezieht, in dieses Thema aufgenommen, sodass Sie nicht so viel klicken müssen. Wenn Sie nach Servervoraussetzungen suchen, können Sie sich die Dokumentation server requirements for Skype for Business Server 2015 (Serveranforderungen für Skype for Business Server 2015) ansehen. Die Netzwerkplanung ist auch separat dokumentiert. Andernfalls haben wir folgendes in diesem Artikel:
Active Directory
Während viele Konfigurationsdaten für Server und Dienste im zentralen Verwaltungsspeicher von Skype for Business Server 2015 gespeichert sind, sind einige Dinge weiterhin in Active Directory gespeichert:
| Active Directory-Objekte | Objekttypen |
|---|---|
| Schemaerweiterungen |
Benutzerobjekterweiterungen |
| Erweiterungen für Lync Server 2013 und Lync Server 2010, um die Abwärtskompatibilität mit den vorherigen unterstützten Versionen aufrechtzuerhalten. |
|
| Daten |
Der Benutzer-SIP-URI und andere Einstellungen |
| Kontaktobjekte für Anwendungen (z. B. die Reaktionsgruppenanwendung und die Konferenzzentralenanwendung). |
|
| Für die Abwärtskompatibilität veröffentlichte Daten. |
|
| Ein Dienststeuerungspunkt (Service Control Point, SCP) für den zentralen Verwaltungsspeicher. |
|
| Das Kerberos-Authentifizierungskonto (ein optionales Computerobjekt). |
Betriebssysteme für Domänencontroller
Welches Betriebssystem für Domänencontroller kann verwendet werden? Hier die Liste:
Windows Server 2019 (Sie müssen über Skype for Business Server kumulatives Update 5 oder höher verfügen)
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server 2008
Die Domänenfunktionsebene jeder Domäne, in der Sie Skype for Business Server 2015 bereitstellen, und die Gesamtstrukturfunktionsebene jeder Gesamtstruktur, in der Sie Skype for Business Server 2015 bereitstellen, müssen nun wie folgt lauten:
Windows Server 2019 (Sie müssen über Skype for Business Server kumulatives Update 5 oder höher verfügen)
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server 2008
Windows Server 2003
Dürfen in diesen Umgebungen schreibgeschützte Domänencontroller vorhanden sein? Sicher, solange auch beschreibbare Domänencontroller am selben Standort wie die Skype for Business Server verfügbar sind.
Nun ist es wichtig zu wissen, dass Skype for Business Server 2015 keine domänenspezifischen Bezeichnungen unterstützt. Was ist das? Wenn Sie über eine Stammdomäne mit der Bezeichnung contoso.local verfügen, ist dies in Ordnung. Wenn Sie über eine Stammdomäne verfügen, die nur lokal heißt, funktioniert dies nicht und wird daher nicht unterstützt. Ein wenig mehr dazu wurde in diesem Knowledge Base-Artikel geschrieben.
Skype for Business Server 2015 unterstützt auch das Umbenennen von Domänen nicht. Wenn Sie dies wirklich tun müssen, müssen Sie Skype for Business Server 2015 deinstallieren, die Domäne umbenennen und dann Skype for Business Server 2015 erneut installieren.
Schließlich haben Sie es möglicherweise mit einer Domäne mit einer gesperrten AD DS-Umgebung zu tun, und das ist in Ordnung. Weitere Informationen zum Bereitstellen von Skype for Business Server 2015 in dieser Art von Umgebung finden Sie in der Bereitstellungsdokumentation.
AD-Topologien
Skype for Business Server 2015 werden folgende Topologien unterstützt:
Einzelne Gesamtstruktur mit einzelner Domäne
Einzelne Gesamtstruktur mit einer Struktur und mehreren Domänen
Einzelne Gesamtstruktur mit mehreren Strukturen und nicht zusammenhängenden Namespaces
Mehrere Gesamtstrukturen in einer Topologie mit zentraler Gesamtstruktur
Mehrere Gesamtstrukturen in einer Topologie mit Ressourcengesamtstruktur
Mehrere Gesamtstrukturen in einer Skype for Business-Ressourcengesamtstruktur-Topologie mit Exchange Online
Mehrere Gesamtstrukturen in einer Ressourcengesamtstrukturtopologie mit Skype for Business Online und Microsoft Entra Connect
Wir verfügen über Diagramme und Beschreibungen, mit denen Sie ermitteln können, welche Topologie in Ihrer Umgebung vorhanden ist oder welche Sie vor der Installation von Skype for Business Server 2015 einrichten müssen. Um es einfach zu halten, fügen wir auch einen Schlüssel ein:
Einzelne Gesamtstruktur mit einzelner Domäne
Es wird nicht einfacher als dies, es handelt sich um eine einzelne Domänengesamtstruktur, dies ist eine gängige Topologie.
Einzelne Gesamtstruktur mit einer Struktur und mehreren Domänen
Dieses Diagramm zeigt erneut eine einzelne Gesamtstruktur, aber es enthält auch eine oder mehrere untergeordnete Domänen (in diesem speziellen Beispiel drei). Daher kann sich die Domäne, in der die Benutzer erstellt werden, von der Domäne unterscheiden, in der Skype for Business Server 2015 bereitgestellt wird. Warum sorgen Sie sich darüber? Beachten Sie, dass sich beim Bereitstellen eines Skype for Business Server Front-End-Pools alle Server in diesem Pool in einer einzigen Domäne befinden müssen. Sie können die domänenübergreifende Verwaltung über die Unterstützung universeller Windows-Administratorgruppen durch Skype for Business Server haben.
Zurück zum obigen Diagramm können Sie sehen, dass Benutzer aus einer Domäne auf Skype for Business Server Pools aus derselben Domäne oder aus verschiedenen Domänen zugreifen können, auch wenn sich diese Benutzer in einer untergeordneten Domäne befinden.
Einzelne Gesamtstruktur mit mehreren Strukturen und nicht zusammenhängenden Namespaces
Es kann sein, dass Sie über eine Topologie verfügen, die diesem Diagramm ähnelt, in der Sie über eine Gesamtstruktur verfügen, aber innerhalb dieser Gesamtstruktur mehrere Domänen mit separaten AD-Namespaces sind. Wenn dies der Fall ist, ist dieses Diagramm eine gute Veranschaulichung, da wir Benutzer in drei verschiedenen Domänen haben, die auf Skype for Business Server 2015 zugreifen. Durchgezogene Linien zeigen an, dass sie auf einen Skype for Business Server Pool in ihrer eigenen Domäne zugreifen, während eine gestrichelte Linie angibt, dass sie zu einem Pool in einer anderen Struktur wechseln.
Wie Sie sehen können, können Benutzer derselben Domäne, derselben Struktur, aber auch einer anderen Struktur erfolgreich auf Pools zugreifen.
Mehrere Gesamtstrukturen in einer Topologie mit zentraler Gesamtstruktur
Skype for Business Server 2015 unterstützt mehrere Gesamtstrukturen, die in einer zentralen Gesamtstrukturtopologie konfiguriert sind. Wenn Sie sich nicht sicher sind, ob dies Der Fall ist, verwendet die zentrale Gesamtstruktur in der Topologie Objekte darin, um Benutzer in den anderen Gesamtstrukturen darzustellen, und hostet Benutzerkonten für alle Benutzer in der Gesamtstruktur.
Wie funktioniert das? Nun, ein Verzeichnissynchronisierungsprodukt (z. B. Forefront Identity Manager oder FIM) verwaltet die Benutzerkonten Ihrer organization während ihrer gesamten Existenz. Wenn ein Konto erstellt oder in der Gesamtstruktur gelöscht wird, wird diese Änderung im entsprechenden Kontakt in der zentralen Gesamtstruktur synchronisiert.
Wenn Ihre AD-Infrastruktur vorhanden ist, ist die Umstellung auf diese Topologie möglicherweise nicht einfach, aber wenn Sie bereits dort sind oder Ihre Gesamtstrukturinfrastruktur planen, kann dies eine gute Wahl sein. Sie können Ihre Skype for Business Server 2015-Bereitstellung innerhalb einer einzelnen Gesamtstruktur zentralisieren, während Benutzer das Vorhandensein anderer Benutzer in jeder Gesamtstruktur suchen, kommunizieren und anzeigen können. Alle Aktualisierungen von Benutzerkontakten werden automatisch mit der Synchronisierungssoftware verarbeitet.
Mehrere Gesamtstrukturen in einer Skype for Business-Ressourcengesamtstruktur-Topologie
Eine Ressourcengesamtstrukturtopologie wird ebenfalls unterstützt. Dort ist eine Gesamtstruktur für die Ausführung Ihrer Serveranwendungen wie Microsoft Exchange Server und Skype for Business Server 2015 vorgesehen. Diese Ressourcengesamtstrukturen hosten auch eine synchronisierte Darstellung aktiver Benutzerobjekte, aber keine anmeldefähigen Benutzerkonten. Daher ist die Ressourcengesamtstruktur eine Umgebung für gemeinsame Dienste für andere Gesamtstrukturen, in denen sich Benutzerobjekte befinden, und diese verfügen über eine Vertrauensstellung auf Gesamtstrukturebene mit der Ressourcengesamtstruktur.
Beachten Sie, dass Exchange Server in derselben Ressourcengesamtstruktur wie Skype for Business Server oder in einer anderen Gesamtstruktur bereitgestellt werden können.
Um Skype for Business Server 2015 in diesem Topologietyp bereitzustellen, erstellen Sie ein deaktiviertes Benutzerobjekt in der Ressourcengesamtstruktur für jedes Benutzerkonto in den Benutzergesamtstrukturen (wenn sich Microsoft Exchange Server bereits in der Umgebung befindet, kann dies für Sie geschehen). Anschließend benötigen Sie ein Verzeichnissynchronisierungstool (z. B. Forefront Identity Manager oder FIM), um Benutzerkonten während des gesamten Lebenszyklus zu verwalten.
Mehrere Gesamtstrukturen in einer Skype for Business-Ressourcengesamtstruktur-Topologie mit Exchange Online
Diese Topologie ähnelt der Topologie, die unter Mehrere Gesamtstrukturen in einer Skype for Business-Ressourcengesamtstruktur-Topologie beschrieben wird.
In dieser Topologie gibt es mindestens eine Benutzergesamtstruktur, und Skype for Business Server wird in einer dedizierten Ressourcengesamtstruktur bereitgestellt. Exchange Server können lokal in derselben Ressourcengesamtstruktur oder in einer anderen Gesamtstruktur bereitgestellt und für die Hybridbereitstellung mit Exchange Online konfiguriert werden, oder E-Mail-Dienste können ausschließlich von Exchange Online für die lokalen Konten bereitgestellt werden. Für diese Topologie ist kein Diagramm verfügbar.
Mehrere Gesamtstrukturen in einer Ressourcengesamtstrukturtopologie mit Skype for Business Online und Microsoft Entra Connect
Bei diesem Szenario sind mehrere lokale Gesamtstrukturen mit einer Topologie mit Ressourcengesamtstruktur vorhanden. Zwischen den Active Directory-Gesamtstrukturen besteht eine vollständige Vertrauensstellung. Das Microsoft Entra Connect-Tool wird verwendet, um Konten zwischen den lokalen Benutzergesamtstrukturen und Microsoft 365 oder Office 365 zu synchronisieren.
Die organization verfügt auch über Microsoft 365 oder Office 365 und verwendet Microsoft Entra Connect, um ihre lokalen Konten mit Microsoft 365 oder Office 365 zu synchronisieren. Benutzer, die für Skype for Business aktiviert sind, werden über Microsoft 365 oder Office 365 und Skype for Business Online aktiviert. Skype for Business Server wird nicht lokal bereitgestellt.
Die SSO-Authentifizierung wird von einer Active Directory-Verbunddienste (AD FS) Farm in der Benutzergesamtstruktur bereitgestellt.
In diesem Szenario wird die Bereitstellung von Exchange lokal, Exchange Online, einer Exchange-Hybridlösung oder die Bereitstellung von Exchange überhaupt nicht unterstützt. (Das Diagramm zeigt nur exchange lokal, aber die anderen Exchange-Lösungen werden ebenfalls vollständig unterstützt.)
Mehrere Gesamtstrukturen in einer Topologie mit Ressourcengesamtstruktur mit Skype for Business-Hybridbereitstellung
In diesem Szenario gibt es mindestens eine lokale Benutzergesamtstruktur, und Skype for Business in einer dedizierten Ressourcengesamtstruktur bereitgestellt wird und für den Hybridmodus mit Skype for Business Online konfiguriert ist. Exchange Server können lokal in derselben Ressourcengesamtstruktur oder einer anderen Gesamtstruktur bereitgestellt werden und können für die Hybridbereitstellung mit Exchange Online konfiguriert werden. Alternativ können E-Mail-Dienste ausschließlich von Exchange Online für die lokalen Konten bereitgestellt werden.
Weitere Informationen finden Sie unter Konfigurieren einer Umgebung mit mehreren Gesamtstrukturen für hybride Skype for Business.
DNS (Domain Name System)
Skype for Business Server 2015 erfordert DNS aus folgenden Gründen:
DNS ermöglicht es Skype for Business Server 2015, interne Server oder Pools zu ermitteln, sodass server-zu-Server-Kommunikation möglich ist.
DNS ermöglicht Clientcomputern, den Front-End-Pool oder Standard Edition-Server zu ermitteln, der für SIP-Transaktionen verwendet wird.
Es ordnet einfache URLs für Konferenzen den Servern zu, auf denen diese Konferenzen gehostet werden.
DNS ermöglicht es externen Benutzern und Clientcomputern, für Chats oder Konferenzen eine Verbindung mit Ihren Edgeservern oder dem HTTP-Reverseproxy herzustellen.
Dadurch können UC-Geräte (Unified Communications), die nicht angemeldet sind, den Front-End-Pool oder Standard Edition-Server ermitteln, auf dem der Device Update-Webdienst ausgeführt wird, um Updates abzurufen und Protokolle zu senden.
Die Verwendung von DNS ermöglicht mobilen Clients die automatische Ermittlung von Webdienstressourcen, ohne dass Benutzer in den Geräteeinstellungen manuell URLs eingeben müssen.
Außerdem wird es im DNS-Lastenausgleich verwendet.
Beachten Sie, dass Skype for Business Server 2015 keine internationalisierten Domänennamen (IDNs) unterstützt.
Und es ist äußerst wichtig, daran zu denken, dass jeder Name in DNS mit dem Computernamen identisch ist, der auf einem beliebigen Server konfiguriert ist, der von Skype for Business Server 2015 verwendet wird. Insbesondere dürfen keine Kurznamen in der Umgebung vorhanden sein, und es müssen FQDNs für den Topologie-Generator vorhanden sein.
Dies scheint für jeden Computer, der bereits einer Domäne beigetreten ist, logisch zu sein. Wenn Sie jedoch über einen Edgeserver verfügen, der nicht mit Ihrer Domäne verknüpft ist, kann der Standardwert einen Kurznamen ohne Domänensuffix aufweisen. Stellen Sie sicher, dass dies nicht der Fall ist, weder im DNS noch auf dem Edgeserver oder auf einem Skype for Business Server 2015-Server oder -Pool.
Und verwenden Sie definitiv keine Unicode-Zeichen oder Unterstriche. Standardzeichen (A-Z, a-z, 0-9 und Bindestriche) werden von externen DNS- und öffentlichen Zertifizierungsstellen unterstützt (Sie müssen dem SN im Zertifikat FQDNs zuweisen, vergessen Sie nicht). Daher sparen Sie sich viel Trauer, wenn Sie dies berücksichtigen.
Weitere Informationen zu den DNS-Anforderungen für Networking entnehmen Sie dem Abschnitt Networking unserer Planungsdokumentation.
Zertifikate
Stellen Sie vor der Bereitstellung unbedingt sicher, dass Ihre Zertifikate in Ordnung sind. Skype for Business Server 2015 benötigt eine Public Key-Infrastruktur (PKI) für TLS-Verbindungen (Transport Layer Security) und MTLS-Verbindungen (Mutual Transport Layer Security). Um sicher auf standardisierte Weise zu kommunizieren, verwendet Skype for Business Server Zertifikate, die von Zertifizierungsstellen (Certificate Authorities, CAs) ausgestellt wurden.
Dies sind einige der Punkte, für die Skype for Business Server 2015 Zertifikate verwendet:
TLS-Verbindungen zwischen Client und Server
MTLS-Verbindungen zwischen Servern
Verbund mithilfe der automatischen DNS-Ermittlung von Partnern
Zugriff von Remotebenutzern auf Sofortnachrichten
Zugriff externer Benutzer auf AV-Sitzungen, Anwendungsfreigabe und Konferenzen
Kommunizieren mit Webanwendungen und Outlook Web Access (OWA)
Daher ist die Zertifikatplanung ein Muss. Sehen wir uns nun eine Liste der Punkte an, die Sie beim Anfordern von Zertifikaten beachten müssen:
Alle Serverzertifikate müssen die Serverautorisierung (Enhanced Key Usage [EKU], erweiterte Schlüsselverwendung für Server) unterstützen.
Alle Serverzertifikate müssen einen Zertifikatsperrlisten-Verteilungspunkt unterstützen.
Alle Zertifikate müssen mithilfe eines Signaturalgorithmus signiert werden, der vom Betriebssystem unterstützt wird. Skype for Business Server 2015 unterstützt die SHA-1- und SHA-2-Suite mit Digestgrößen (224, 256, 384 und 512 Bit) und erfüllt oder übertrifft die Betriebssystemanforderungen.
Die automatische Registrierung wird für interne Server unterstützt, auf denen Skype for Business Server 2015 ausgeführt wird.
Die automatische Registrierung wird für Skype for Business Server 2015-Edgeserver nicht unterstützt.
Wenn Sie eine webbasierte Zertifikatanforderung an eine Windows Server 2003-Zertifizierungsstelle übermitteln, müssen Sie sie von einem Computer übermitteln, auf dem Windows Server 2003 mit SP2 oder Windows XP ausgeführt wird.
Hinweis
Obwohl mit Update KB922706 Probleme beim Registrieren von Webzertifikaten für eine Windows Server 2003-Zertifikatdienste-Webregistrierung behoben werden können, ist es mit diesem Update nicht möglich, unter Windows Server 2008, Windows Vista oder Windows 7 ein Zertifikat bei einer Windows Server 2003-Zertifizierungsstelle anzufordern.
Hinweis
Die Verwendung des Signaturalgorithmus RSASSA-PSS wird nicht unterstützt und kann unter anderem zu Fehlern bei der Anmeldung und Problemen mit der Anrufweiterleitung führen.
Hinweis
Skype for Business Server 2015 unterstützt keine CNG-Zertifikate.
Es werden Verschlüsselungsschlüssellängen von 1.024, 2.048 und 4.096 Bit unterstützt. Empfohlen werden Schlüssellängen ab 2.048 Bit.
Der Standarddigestalgorithmus oder der Hashsignaturalgorithmus ist RSA. Die Algorithmen ECDH_P256, ECDH_P384 und ECDH_P521 werden ebenfalls unterstützt.
Das ist also viel zu beachten, und definitiv gibt es eine Vielzahl von Komfortstufen beim Anfordern von Zertifikaten von einer Zertifizierungsstelle. Wir geben Ihnen unten einige weitere Anleitungen, um Ihre Planung so schmerzlos wie möglich zu gestalten.
Zertifikate für Ihre internen Server
Sie benötigen Zertifikate für die meisten Ihrer internen Server und erhalten sie höchstwahrscheinlich von einer internen Zertifizierungsstelle (die sich in Ihrer Domäne befindet). Wahlweise können Sie diese Zertifikate von einer externen Zertifizierungsstelle (aus dem Internet) erhalten. Wenn Sie sich fragen, an welche öffentliche Zertifizierungsstelle Sie gehen sollten, können Sie sich die Liste der Unified Communications-Zertifikatpartner ansehen.
Sie benötigen auch Zertifikate, wenn Skype for Business Server 2015 mit anderen Anwendungen und Servern kommuniziert, z. B. Microsoft Exchange Server. Dies muss offensichtlich ein Zertifikat sein, das von den anderen Anwendungen und Servern unterstützt wird. Skype for Business Server 2015 und andere Microsoft-Produkte unterstützen das OAuth-Protokoll (Open Authorization) für die Server-zu-Server-Authentifizierung und -Autorisierung. Wenn Sie daran interessiert sind, haben wir einen zusätzlichen Planungsartikel für OAuth und Skype for Business Server 2015.
Skype for Business Server 2015 bietet auch Unterstützung für Zertifikate, die mit der kryptografischen Hashfunktion SHA-256 signiert wurden (ohne dass sie erforderlich sind). Um den externen Zugriff mithilfe von SHA-256 zu unterstützen, muss das externe Zertifikat von einer öffentlichen Zertifizierungsstelle unter Verwendung von SHA-256 ausgestellt werden.
Um die Dinge einfach zu halten, haben wir die Zertifikatanforderungen für Standard Edition-Server, Front-End-Pools und andere Rollen in die folgenden Tabellen eingefügt, wobei die fiktiven contoso.com als Beispiele verwendet werden (Sie verwenden wahrscheinlich etwas anderes für Ihre Umgebung). Dies sind alle Standard-Webserverzertifikate mit privaten Schlüsseln, die nicht exportierbar sind. Einige zusätzliche Punkte, die Sie beachten müssen:
Die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) für Server wird automatisch konfiguriert, wenn Sie den Zertifikat-Assistenten zum Anfordern von Zertifikaten verwenden.
Der Anzeigename jedes Zertifikats muss im Computerspeicher eindeutig sein.
Wenn Sie sipinternal.contoso.com oder sipexternal.contoso.com in Ihrem DNS konfiguriert haben, müssen sie gemäß den folgenden Beispielnamen dem Alternativen Antragstellernamen (Subject Alternative Name, SAN) des Zertifikats hinzugefügt werden.
Zertifikate für Standard Edition-Server:
| Zertifikat | Antragstellername/Allgemeiner Name | Alternativer Antragstellername | Beispiel | Anmerkungen |
|---|---|---|---|---|
| Standard |
FQDN des Pools |
FQDN des Pools und FQDN des Servers Wenn mehrere SIP-Domänen vorhanden sind und die automatische Clientkonfiguration aktiviert wurde, erkennt der Zertifikat-Assistent die unterstützten FQDNs für SIP-Domänen und fügt diese hinzu. Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich (Domain Name System) festgelegt ist, benötigen Sie auch Einträge für „sip.sipDomäne“ (für jede vorhandene SIP-Domäne). |
SN=se01.contoso.com; SAN=se01.contoso.com Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich festgelegt ist, benötigen Sie auch „SAN=sip.contoso.com; SAN=sip.fabrikam.com“. |
Auf dem Standard Edition-Server entspricht der Server-FQDN dem FQDN des Pools. Der Assistent erkennt alle SIP-Domänen, die Sie während des Setups angegeben haben, und fügt sie automatisch als alternative Antragstellernamen hinzu. Sie können dieses Zertifikat auch für die Server-zu-Server-Authentifizierung verwenden. |
| Web, intern |
FQDN des Servers |
Jeder der folgenden: • Interner Web-FQDN (identisch mit dem FQDN des Servers) UND • Einfache URLs treffen • Einfache EINWAHL-URL • Admin einfache URL ODER • Ein Wildcardeintrag für die einfachen URLs |
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Mit einem Platzhalterzertifikat: SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com |
Sie können den internen Web-FQDN im Topologie-Generator nicht überschreiben. Wenn Sie über mehrere einfache Besprechungs-URLs verfügen, müssen Sie alle als alternative Antragstellernamen einbeziehen. Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt. |
| Web, extern |
FQDN des Servers |
Jeder der folgenden: • Externer Web-FQDN UND • Einfache EINWAHL-URL • Erfüllen einfacher URLs pro SIP-Domäne ODER • Ein Wildcardeintrag für die einfachen URLs |
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Mit einem Platzhalterzertifikat: SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Wenn Sie über mehrere einfache Meet-URLs verfügen, müssen Sie alle als alternative Antragstellernamen einschließen. Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt. |
Zertifikate für Front-End-Server in einem Enterprise Edition Front-End-Pool:
| Zertifikat | Antragstellername/Allgemeiner Name | Alternativer Antragstellername | Beispiel | Anmerkungen |
|---|---|---|---|---|
| Standard |
FQDN des Pools |
FQDN des Pools und FQDN des Servers Wenn mehrere SIP-Domänen vorhanden sind und die automatische Clientkonfiguration aktiviert wurde, erkennt der Zertifikat-Assistent die unterstützten FQDNs für SIP-Domänen und fügt diese hinzu. Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich (Domain Name System) festgelegt ist, benötigen Sie auch Einträge für „sip.sipDomäne“ (für jede vorhandene SIP-Domäne). |
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich festgelegt ist, benötigen Sie auch „SAN=sip.contoso.com; SAN=sip.fabrikam.com“. |
Der Assistent erkennt alle SIP-Domänen, die Sie während der Installation angegeben haben, und fügt sie automatisch zum alternativen Antragstellernamen (SAN) hinzu. Sie können dieses Zertifikat auch für die Server-zu-Server-Authentifizierung verwenden. |
| Web, intern |
FQDN des Pools |
Jeder der folgenden: • Interner Web-FQDN (nicht identisch mit dem FQDN des Servers) • Server-FQDN • Skype for Business Pool-FQDN UND • Einfache URLs treffen • Einfache EINWAHL-URL • Admin einfache URL ODER • Ein Wildcardeintrag für die einfachen URLs |
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Mit einem Platzhalterzertifikat: SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com |
Wenn Sie über mehrere einfache Meet-URLs verfügen, müssen Sie alle als alternative Antragstellernamen einschließen. Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt. |
| Web, extern |
FQDN des Pools |
Jeder der folgenden: • Externer Web-FQDN UND • Einfache EINWAHL-URL • Admin einfache URL ODER • Ein Wildcardeintrag für die einfachen URLs |
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Mit einem Platzhalterzertifikat: SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Wenn Sie über mehrere einfache Meet-URLs verfügen, müssen Sie alle als alternative Antragstellernamen einschließen. Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt. |
Zertifikate für den Direktor:
| Zertifikat | Antragstellername/Allgemeiner Name | Alternativer Antragstellername | Beispiel |
|---|---|---|---|
| Standard |
Directorpool |
FQDN des Direktors, FQDN des Director-Pools. Wenn dieser Pool der Server für die automatische Anmeldung für Clients ist und ein strenger DNS-Abgleich in der Gruppenrichtlinie erforderlich ist, benötigen Sie auch Einträge für sip.sipdomain (für jede SIP-Domäne, die Sie haben). |
pool.contoso.com; SAN=dir01.contoso.com Wenn dieser Director-Pool der Server für die automatische Anmeldung für Clients ist und in der Gruppenrichtlinie ein strenger DNS-Abgleich erforderlich ist, benötigen Sie auch SAN=sip.contoso.com. SAN=sip.fabrikam.com |
| Web, intern |
FQDN des Servers |
Jeder der folgenden: • Interner Web-FQDN (identisch mit dem FQDN des Servers) • Server-FQDN • Skype for Business Pool-FQDN UND • Einfache URLs treffen • Einfache EINWAHL-URL • Admin einfache URL ODER • Ein Wildcardeintrag für die einfachen URLs |
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Mit einem Platzhalterzertifikat: SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com |
| Web, extern |
FQDN des Servers |
Jeder der folgenden: • Externer Web-FQDN UND • Erfüllen einfacher URLs pro SIP-Domäne • Einfache EINWAHL-URL ODER • Ein Wildcardeintrag für die einfachen URLs |
Der externe Web-FQDN für Director muss sich vom Front-End-Pool oder Front-End-Server unterscheiden. SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Mit einem Platzhalterzertifikat: SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
Zertifikate für den eigenständigen Vermittlungsserver:
| Zertifikat | Antragstellername/Allgemeiner Name | Alternativer Antragstellername | Beispiel |
|---|---|---|---|
| Standard |
FQDN des Pools |
FQDN des Pools FQDN des Poolmitgliedsservers |
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net |
Zertifikate für Survivable Branch Appliance:
| Zertifikat | Antragstellername/Allgemeiner Name | Alternativer Antragstellername | Beispiel |
|---|---|---|---|
| Standard |
FQDN der Anwendung |
SIP.<sipdomain> (Sie benötigen nur einen Eintrag pro SIP-Domäne) |
SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Zertifikate für Ihren Server für beständigen Chat
Wenn Sie Ihren Server für beständigen Chat installieren, benötigen Sie ein Zertifikat, das von derselben Zertifizierungsstelle ausgestellt wird, die von Ihren internen Skype for Business Server 2015-Servern verwendet wird. Dies muss für jeden Server erfolgen, auf dem Webdienste für beständigen Chat zum Hochladen/Herunterladen von Dateien ausgeführt werden. Es wird dringend empfohlen, dass Sie über die erforderlichen Zertifikate verfügen, bevor Sie die Installation des beständigen Chats starten, und wenn Ihre Zertifizierungsstelle extern ist, noch mehr (dies kann einige Zeit in Anspruch nehmen).
Zertifikate für den Zugriff externer Benutzer (Edge)
Skype for Business Server 2015 unterstützt die Verwendung eines einzelnen öffentlichen Zertifikats für den Zugriff und externe Edge-Schnittstellen für Webkonferenzen sowie den A/V-Authentifizierungsdienst, der alle über die Edgeserver bereitgestellt wird. Ihre interne Edge-Schnittstelle verwendet in der Regel ein privates Zertifikat, das von Ihrer internen Zertifizierungsstelle ausgestellt wurde. Wenn Sie es jedoch bevorzugen, können Sie auch dafür ein öffentliches Zertifikat verwenden, wenn es von einer vertrauenswürdigen Zertifizierungsstelle stammt.
Ihr Reverseproxy (RP) wird ebenfalls ein öffentliches Zertifikat verwenden und es verschlüsselt die Kommunikation zwischen Ihrem Reverseproxy und den Clients sowie zwischen dem Reverseproxy und den internen Servern mithilfe von HTTP (oder präziser: TLS über HTTP).
Zertifikate für Mobilität
Wenn Sie Mobilität bereitstellen und die automatische Ermittlung für mobile Clients unterstützen, müssen Sie einige zusätzliche Einträge für alternative Antragstellernamen in Ihre Zertifikate aufnehmen, um die sicheren Verbindungen von den mobilen Clients zu unterstützen.
Welche Zertifikate? Sie benötigen alternative Antragstellernamen für die automatische Erkennung auf Zertifikaten:
Directorpool
Front-End-Pool
Reverseproxy
Die Besonderheiten sind in allen Tabellen unten aufgelistet.
An dieser Stelle ist eine kleine Vorplanung gut, aber manchmal haben Sie Skype for Business Server 2015 bereitgestellt, ohne die Mobilität bereitzustellen, und das kommt nach unten, wenn Sie bereits über Zertifikate in Ihrer Umgebung verfügen. Das erneute Ausstellen über eine interne Zertifizierungsstelle ist in der Regel ziemlich einfach, aber mit öffentlichen Zertifikaten von einer öffentlichen Zertifizierungsstelle kann dies etwas teurer sein.
Wenn Sie sich dies ansehen und über viele SIP-Domänen verfügen (was das Hinzufügen von SANS teurer machen würde), können Sie Ihren Reverseproxy so konfigurieren, dass HTTP für die anfängliche AutoErmittlungsdienstanforderung verwendet wird, anstatt HTTPS (die Standardkonfiguration) zu verwenden. Im Abschnitt „Planen der Mobilität“ finden Sie ausführlichere Informationen dazu.
Zertifikatanforderungen für Directorpool und Front-End-Pool:
| Beschreibung | SAN-Eintrag |
|---|---|
| Interne URL des AutoErmittlungsdiensts |
SAN=lyncdiscoverinternal.<sipdomain> |
| URL des externen AutoErmittlungsdiensts |
SAN=lyncdiscover.<sipdomain> |
Alternativ können Sie SAN=*verwenden.<sipdomain>
Reverseproxy-Zertifikatsanforderungen (öffentliche ZS):
| Beschreibung | SAN-Eintrag |
|---|---|
| URL des externen AutoErmittlungsdiensts |
SAN=lyncdiscover.<sipdomain> |
Dieser SAN muss dem Zertifikat zugewiesen werden, das dem SSL-Listener (Secure Sockets Layer) auf dem Reverseproxy zugewiesen ist.
Hinweis
Ihr Reverseproxylistener verfügt über SANs für Ihre externen Webdienst-URLs. Einige Beispiele wären SAN=skypewebextpool01.contoso.com und dirwebexternal.contoso.com, wenn Sie den Director bereitgestellt haben (optional).
Dateifreigabe
Skype for Business Server 2015 kann dieselbe Dateifreigabe für den gesamten Dateispeicher verwenden. Beachten Sie bitte Folgendes:
Eine Dateifreigabe muss sich entweder auf DAS (Direct Attached Storage) oder auf einem SAN (Storage Area Network) befinden, einschließlich des DFS (Distributed File System) sowie von RAID-Komponenten (Redundant Array of Independent Disks) für Dateispeicher. Weitere Informationen zu DFS für Windows Server 2012 finden Sie auf dieser DFS-Seite.
Wir empfehlen einen freigegebenen Cluster für die Dateifreigabe. Wenn Sie eines verwenden, sollten Sie Windows Server 2012 oder Windows Server 2012 R2 clustern. Windows Server 2008 R2 ist ebenfalls akzeptabel. Warum das neueste Windows? Ältere Versionen verfügen möglicherweise nicht über die richtigen Berechtigungen, um alle Features zu aktivieren. Sie können den Clusteradministrator verwenden, um die Dateifreigaben zu erstellen. Dieser Artikel Erstellen von Dateifreigaben in einem Cluster hilft Ihnen bei diesen Details.
Vorsicht
Beachten Sie, dass Network Attached Storage (NAS) als Dateifreigabe nicht unterstützt wird. Verwenden Sie daher eine der oben genannten Optionen.