Requisitos del entorno para Skype Empresarial Server 2015

Skype for Business Server 2015
 

Última modificación del tema:2017-07-06

Resumen: configure los requisitos que no sean de servidor para Skype Empresarial Server 2015. Hay varias cosas que deseará configurar antes de realizar la implementación, incluyendo Active Directory, DNS, certificados recursos compartidos de archivos.

¿Qué es un requisito del entorno de Skype Empresarial Server 2015? En este tema se incluye todo lo que no está directamente relacionado con los servidores, de modo que no haya que hacer demasiados clics para encontrar información. Si quiere ver los requisitos previos de los servidores, consulte el documento Requisitos del servidor para Skype Empresarial Server 2015. Networking Planning también se documenta aparte. Por lo demás, este artículo contiene lo siguiente:

Active Directory

Sistema de nombre de dominio (DNS)

Certificados

Recurso compartido de archivos

Aunque muchos de los datos de configuración de servidores y servicios se almacenan en Skype Empresarial Server 2015Almacén de administración central, algunas cosas siguen almacenadas en Active Directory:

 

Objetos de Active Directory Tipos de objeto

Extensiones de esquema

Extensiones de objetos de usuario

 

Extensiones de Lync Server 2013 y de Lync Server 2010 con el fin de mantener la compatibilidad con versiones anteriores.

Datos

URI de SIP del usuario y otros parámetros de usuario

 

Objetos de contacto de aplicaciones (como la Aplicación de grupo de respuesta y la Aplicación Operador de conferencia).

 

Datos publicados para lograr compatibilidad con versiones anteriores

 

Un punto de conexión de servicio (SCP) para el Almacén de administración central.

 

Cuenta de autenticación Kerberos (un objeto de equipo opcional)

¿Qué SO de controladores de dominio se pueden usar? Tenemos la siguiente lista:

  • Windows Server 2016

  • Windows Server 2012 R2

  • Windows Server 2012

  • Windows Server 2008 R2

  • Windows Server 2008

No obstante, el nivel funcional de dominio de cualquier dominio donde implemente Skype Empresarial Server 2015 y el nivel funcional de bosque de cualquier bosque donde implemente Skype Empresarial Server 2015 debe ser uno de los siguientes:

  • Windows Server 2016

  • Windows Server 2012 R2

  • Windows Server 2012

  • Windows Server 2008 R2

  • Windows Server 2008

  • Windows Server 2003

¿Puede haber controladores de dominio de solo lectura en estos entornos? Sí, mientras haya también disponible un controlador de dominio de escritura.

Es importante saber que Skype Empresarial Server 2015 no admite dominios con una sola etiqueta. ¿Qué son? Si tiene un dominio raíz con la etiqueta contoso.local, sirve. Si el dominio raíz se llama simplemente "local" no funcionará, y por eso no se admite. Puede encontrar más información al respecto en este artículo de la Knowledge Base.

Skype Empresarial Server 2015 tampoco admite el cambio de nombre de dominios. Si no le queda otro remedio que hacerlo, necesitará desinstalar Skype Empresarial Server 2015, cambiar el nombre del dominio y después reinstalar Skype Empresarial Server 2015.

Por último, podría encontrarse con un dominio con un entorno AD DS bloqueado, lo que no supone un problema. Puede encontrar más información sobre la implementación de Skype Empresarial Server 2015 en esa clase de entornos en los documentos de implementación.

Las topologías compatibles con Skype Empresarial Server 2015 son las siguientes:

  • Un solo bosque con un solo dominio

  • Un solo bosque con un solo árbol y varios dominios

  • Un solo bosque con varios árboles y espacios de nombres separados

  • Varios bosques en una topología de bosque central

  • Varios bosques en una topología de bosque de recursos

  • Varios bosques en una topología de bosque de recursos de Skype Empresarial con Exchange Online

  • Varios bosques en una topología de bosque de recursos con Skype Empresarial Online y Azure Active Directory Connect

Existen diagramas y descripciones para ayudarle a determinar la topología de su entorno, o para saber qué debe configurar antes de la instalación de Skype Empresarial Server 2015. Para simplificar, también se ha incluido una leyenda:

Leyenda de los iconos usados en los diagramas de topología de Skype Empresarial

Diagrama de un solo bosque de Active Directory con un único dominio

Nada más sencillo: se trata de un bosque con un solo dominio, una topología habitual.

Diagrama de un solo bosque con un único árbol y varios dominios

Este diagrama incluye también un único bosque, pero tiene también uno o más dominios secundarios (tres, en este ejemplo concreto). Por tanto, el dominio donde se crean los usuarios podría ser distinto de aquel en el que se implementa Skype Empresarial Server 2015. ¿Por qué esto es importante? Hay que recordar que, cuando implementa en Skype Empresarial Server un Grupo de servidores front-end, todos los servidores del grupo deben estar en un mismo dominio. Puede realizar administración entre dominios gracias a la compatibilidad de Skype Empresarial Server con los grupos de administradores universales de Windows.

En el diagrama de arriba se ve que los usuarios de un dominio pueden acceder a grupos de Skype Empresarial Server desde el mismo o desde distintos dominios, aunque los usuarios estén en un dominio secundario.

Diagrama de un solo bosque con varios árboles y espacios de nombres separados

Su topología podría ser similar a este diagrama, donde hay un solo bosque, dentro del cual hay varios dominios con espacios de nombres de AD separados. El diagrama es un buen ejemplo, ya que hay usuarios en tres dominios distintos accediendo a Skype Empresarial Server 2015. Las líneas continuas indican que acceden a un grupo de Skype Empresarial Server en su propio dominio, mientras que una línea de rayas indica que lo hacen desde un grupo en un árbol distinto.

Como puede verse, todos los usuarios pueden acceder a los grupos, ya estén en el mismo dominio, en el mismo árbol o en un árbol diferente.

Diagrama de varios bosques en una topología de bosque central

Skype Empresarial Server 2015 admite varios árboles configurados en una topología de bosque central. Si no está seguro de si esta es su configuración, el bosque central de la topología usa sus objetos para representar a los usuarios de los demás bosques y aloja las cuentas de cualquier usuario en el bosque.

¿Cómo funciona? Así: una aplicación de sincronización de directorio (como Forefront Identity Manager, o FIM) administra las cuentas de usuario de su organización a lo largo de la existencia de estas. Cuando una cuenta se crea o elimina en un bosque, este cambio se sincroniza con el contacto correspondiente en el bosque central.

Si su infraestructura de AD ya está establecida, entrar en esta topología podría no ser sencillo. Sin embargo, si ya está allí, o si todavía está planificando la infraestructura de su bosque, es una buena opción. Puede centralizar la implementación de Skype Empresarial Server 2015 en un solo bosque y, por su parte, los usuarios pueden buscar y contactar con otros usuarios de cualquier bosque, así como ver su presencia. Todas las actualizaciones de contactos se gestionan automáticamente mediante software de sincronización.

Diagrama de varios bosques en una topología de bosque de recursos

También se admite la topología del bosque de recursos, en la que hay un bosque dedicado a ejecutar sus aplicaciones de servidor, como Microsoft Exchange Server y Skype Empresarial Server 2015. Este bosque también aloja una representación sincronizada de los objetos de usuarios activos, pero no así las cuentas de usuario con el inicio de sesión habilitado. Por tanto, el bosque de recursos es un entorno de servicios compartidos para otros bosques en los que residen los objetos de usuario. Entre estos bosques y el bosque de recursos existe una relación de confianza.

Tenga en cuenta que Exchange Server se puede implementar en el mismo bosque de recursos que Skype Empresarial Server o en uno diferente.

Para implementar Skype Empresarial Server 2015 en este tipo de topología, se crea un objeto de usuario inhabilitado en el bosque de recursos por cada cuenta de usuario en los bosques de usuarios (si Microsoft Exchange Server ya está presente en el entorno, es posible que este trabajo ya esté hecho). Después necesita una herramienta de sincronización de directorio (como Forefront Identity Manager, o FIM) que administre las cuentas de usuario a lo largo de su ciclo vital.

Esta topología es similar a la descrita en Varios bosques en una topología de bosque de recursos de Skype Empresarial.

En esta topología hay uno o varios bosques de usuarios, y Skype Empresarial Server se implementa en un bosque de recursos dedicado. Exchange Server se puede implementar localmente en el mismo bosque de recursos o en uno diferente, y configurarlo bien para la implementación híbrida con Exchange Online, o hacer que Exchange Online sirva en exclusiva los servicios de correo de las cuentas locales. No existe ningún diagrama disponible para esta topología.

Muestra dos bosques de AD, uno de usuario y uno de recurso. Ambos bosques tienen una relación de confianza y se sincronizan con Office 365 mediante Azure AD Connect. Todos los usuarios se habilitan para Skype Empresarial a través de Office 365.

Con este escenario, hay varios bosques locales, con una topología de bosque de recursos. Hay una relación de total confianza entre los bosques de Active Directory. La herramienta Azure Active Directory Connect se utiliza para sincronizar cuentas entre los bosques de usuarios locales y Office 365.

La organización también tiene Office 365 y usa Azure Active Directory Connect para sincronizar sus cuentas locales con Office 365. Los usuarios que estén habilitados para Skype Empresarial se habilitan mediante Office 365 y Skype Empresarial Online. Skype Empresarial Server no está implementado de forma local.

Se ofrece autenticación de inicio de sesión a través de una granja de Servicios de federación de Active Directory que se encuentra en el bosque de usuarios.

En este escenario, se puede implementar Exchange local, Exchange Online, una solución Exchange híbrida o no tener Exchange implementado. (El diagrama muestra solo Exchange local, pero las otras soluciones para Exchange también son totalmente compatibles).

En este escenario hay uno o varios bosques de usuarios locales, y Skype Empresarial se implementa en un bosque de recursos dedicado y se configura para el funcionamiento en modo híbrido con Skype Empresarial Online. Exchange Server se puede implementar localmente en el mismo bosque de recursos o en uno diferente, y configurarlo para la implementación híbrida con Exchange Online. También es posible hacer que Exchange Online sirva en exclusiva los servicios de correo de las cuentas locales.

Para obtener más información, consulte Configurar un entorno de varios bosque para híbrido Skype para empresas.

Skype Empresarial Server 2015 necesita DNS por los siguientes motivos:

  • DNS permite a Skype Empresarial Server 2015 detectar los servidores o grupos de servidores internos para las comunicaciones entre servidores.

  • DNS permite a los clientes detectar el Grupo de servidores front-end o el Servidor Standard Edition que se usa para diversas transacciones SIP.

  • Asocia las direcciones URL sencillas para conferencias con los servidores que hospedan dichas conferencias.

  • DNS permite a los clientes y servidores externos conectarse a los Servidores perimetrales o al proxy inverso HTTP para la mensajería instantánea o las conferencias.

  • Permite que los dispositivos de comunicaciones unificadas (UC) que no se hayan registrado detecten el Grupo de servidores front-end o el Servidor Standard Edition que ejecuta el servicio web de actualización de dispositivos, obtenga las actualizaciones y envíe los registros.

  • El uso de DNS permitir que los clientes móviles detecten automáticamente recursos de servicios web sin que los usuarios tengan que escribir manualmente las direcciones URL en la configuración del dispositivo.

  • También se usa para el equilibrado de carga DNS.

Es importante indicar que Skype Empresarial Server 2015 no es compatible con los nombres de dominio internacionalizados (IDN).

Y es vital recordar que cualquier nombre en DNS debe ser idéntico al nombre de equipo configurado en cualquier servidor que Skype Empresarial Server 2015 utilice. Concretamente, en el entorno no puede haber nombres cortos y debe haber FQDN para Generador de topologías.

Esto parece lógico para cualquier equipo unido a un dominio, pero un Servidor perimetral que no esté unido a su dominio podría tener un nombre corto o predeterminado, sin sufijo de dominio. Asegúrese de que no sea así, ni en DNS, ni en el Servidor perimetral ni en ningún servidor o grupo de Skype Empresarial Server 2015.

En ningún caso use caracteres Unicode o subrayados. Los caracteres estándar (que son A-Z, a-z, 0-9 y las rayas) son los únicos admitidos por los DNS externos y las entidades públicas de certificación (no olvide que debe asignar FQDN a los SN en el certificado), así que se ahorrará numerosos problemas si su nombre tiene esta norma en cuenta.

Si quiere más información sobre los requisitos de DNS para redes, consulte la sección Networking de la documentación de planificación.

Unas de las cosas más importantes que puede hacer antes de la implementación es asegurarse de que sus certificados están en orden. Skype Empresarial Server 2015 necesita una infraestructura de clave pública (PKI) para la seguridad de la capa de transporte (TLS) y la seguridad de la capa de transporte mutua (MTLS). Básicamente, para comunicarse de forma segura y de un modo estandarizado, Skype Empresarial Server usa certificados emitidos por entidades de certificación (CA).

Estos son algunos de los usos que Skype Empresarial Server 2015 da a los certificados:

  • Conexiones TLS entre clientes y servidores

  • Conexiones MTLS entre servidores

  • Federación mediante la detección automática de DNS de socios

  • Acceso de usuarios remotos a la mensajería instantánea (MI)

  • Acceso de usuarios externos a sesiones de audio/vídeo (A/V), a uso compartido de aplicaciones y a conferencias

  • Comunicación con aplicaciones web y Outlook Web Access (OWA)

Por tanto, la planificación de los certificados es imprescindible. Veamos una lista de asuntos a tener en cuenta al solicitar certificados:

  • Todos los certificados de servidor deben admitir la autorización de servidor (EKU de servidor).

  • Todos los certificados de servidor deben contener un punto de distribución CRL (CDP).

  • Todos los certificados deben estar firmados mediante un algoritmo de firma compatible con el sistema operativo. Skype Empresarial Server 2015 admite un conjunto de aplicaciones con SHA-1 y SHA-2 de tamaños implícitos (224, 256, 384 y 512 bits), y cumple o supera los requisitos del sistema operativo.

  • Se admite la inscripción automática para los servidores internos que ejecutan Skype Empresarial Server 2015.

  • En el caso de Skype Empresarial Server 2015, los Servidores perimetrales no admiten la inscripción automática.

  • Cuando envíe una solicitud de certificado web a una entidad de certificación de Windows Server 2003, deberá hacerlo desde un equipo que ejecute Windows Server 2003 con SP2 o Windows XP.

noteNota:
Aunque KB922706 ofrece soporte técnico para resolver problemas relacionados con los certificados web de inscripción de una inscripción web de los servicios de certificados de Windows Server 2003, no permite el uso de Windows Server 2008, Windows Vista o Windows 7 para solicitar un certificado desde una entidad de certificación de Windows Server 2003.
noteNota:
No está permitido usar el algoritmo de firma RSASSA-PSS, ya que podría dar lugar a errores en problemas relacionados con el inicio de sesión y el desvío de llamadas, entre otros.
  • Se admiten longitudes de clave de cifrado de 1024, 2048 y 4096. Se recomienda usar longitudes de clave de 2048 y superiores.

  • El algoritmo de firma hash o implícito predeterminado es RSA. También se admiten los algoritmos ECDH_P256, ECDH_P384 y ECDH_P521.

Son muchas cosas en las que pensar y, sin duda, hay muchas opciones a la hora de solicitar certificados a las entidades. A continuación se dan algunas indicaciones más para que la planificación sea lo más sencilla posible.

Necesitará certificados para la mayoría de los servidores internos y, probablemente, los obtendrá de una CA interna (localizada en su dominio). Si quiere, puede solicitar estos certificados a una CA externa (localizada en Internet). Si no sabe a qué CA pública debe acudir, consulte la lista Socios de certificados de comunicaciones unificados.

También necesitará certificados cuando Skype Empresarial Server 2015 se comunique con otras aplicaciones y servidores, como Microsoft Exchange Server. Obviamente, debe tratarse de certificados que estas otras aplicaciones y servidores admitan. Skype Empresarial Server 2015 y otros productos de Microsoft son compatibles con el protocolo Open Authorization (OAuth) para la autenticación y autorización servidor a servidor. Si le interesa, existe un artículo de planificación adicional sobre OAuth y Skype Empresarial Server 2015.

Skype Empresarial Server 2015 incluye compatibilidad (pero no la necesita) con certificados firmados mediante la función de hash de cifrado SHA-256. Para permitir el acceso externo mediante SHA-256, una entidad de certificación pública que usa SHA-256 emite el certificado externo.

Para intentar facilitar el proceso, se han resumido los requisitos de certificados de Servidores Standard Edition, Grupos de servidores front-end y otros roles en las siguientes tablas. La empresa ficticia contoso.com sirve como ejemplo (aunque seguramente su entorno sea distinto). Todos estos son certificados web estándar para servidores, con claves privadas no exportables. Hay que tener en cuenta algunas cosas más:

  • El uso mejorado de clave (EKU) del servidor se configura automáticamente al usar el asistente para certificados para solicitar certificados.

  • El nombre descriptivo de cada certificado debe ser único en el almacén del equipo.

  • En el caso de los nombres de ejemplo siguientes, si configura sipinternal.contoso.com o sipexternal.contoso.com en su DNS, estos nombres deben agregarse al nombre alternativo de sujeto (SAN) del certificado.

Certificados para Servidores Standard Edition:

 

Certificado Nombre de sujeto/Nombre común Nombre alternativo de sujeto Ejemplo Comentarios

Predeterminado

FQDN del grupo de servidores

FQDN del grupo y FQDN del servidor

Si hay varios dominios SIP y está habilitada la configuración automática de los clientes, el Asistente para certificados detectará y agregará los FQDN de todos los dominios SIP admitidos.

Si este grupo de servidores es el servidor de inicio automático de sesión de los clientes y se requiere una correspondencia exacta del sistema de nombres de dominio (DNS) en la directiva del grupo, necesitará también entradas para sip.sipdomain (para cada uno de los dominios SIP que tenga).

SN=se01.contoso.com; SAN=se01.contoso.com

Si este grupo de servidores es el servidor de inicio automático de sesión de los clientes y se requiere una correspondencia exacta de DNS en la directiva del grupo, necesitará también SAN=sip.contoso.com; SAN=sip.fabrikam.com

En los Servidores Standard Edition Standard Edition, el FQDN del servidor es el mismo que el FQDN del grupo.

El asistente detecta todos los dominios SIP especificados durante la instalación y los agrega automáticamente al nombre alternativo de sujeto.

También puede usar este certificado para la autenticación de servidor a servidor.

Web interno

FQDN del servidor

Cada uno de los siguientes elementos:

  • FQDN web interno (que es igual que el FQDN del servidor)

Y

  • URL sencilla de reunión

  • URL sencilla de marcado

  • URL sencilla de administración

O

  • Una entrada comodín para las URL sencillas

SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

Con un certificado de comodín:

SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com

El FQDN web interno del Generador de topologías no puede invalidarse.

Si dispone de varias URL sencillas de reunión, deberá incluirlas todas como nombres alternativos de sujeto.

Las entradas de comodín se admiten para las entradas de direcciones URL sencillas.

Web externo

FQDN del servidor

Cada uno de los siguientes elementos:

  • FQDN web externo

Y

  • URL sencilla de marcado

  • Direcciones URL sencillas de reunión por dominio SIP

O

  • Una entrada comodín para las URL sencillas

SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

Con un certificado de comodín:

SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com

Si dispone de varias URL sencillas de reunión, deberá incluirlas todas como nombres alternativos de sujeto.

Las entradas de comodín se admiten para las entradas de direcciones URL sencillas.

Certificados para Servidores front-end en un Grupo de servidores front-end:

 

Certificado Nombre de sujeto/Nombre común Nombre alternativo de sujeto Ejemplo Comentarios

Predeterminado

FQDN del grupo de servidores

FQDN del grupo y FQDN del servidor

Si hay varios dominios SIP y está habilitada la configuración automática de los clientes, el Asistente para certificados detectará y agregará los FQDN de todos los dominios SIP admitidos.

Si este grupo de servidores es el servidor de inicio automático de sesión de los clientes y se requiere una correspondencia exacta del sistema de nombres de dominio (DNS) en la directiva del grupo, necesitará también entradas para sip.sipdomain (para cada uno de los dominios SIP que tenga).

SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com

Si este grupo de servidores es el servidor de inicio automático de sesión de los clientes y se requiere una correspondencia exacta de DNS en la directiva del grupo, necesitará también SAN=sip.contoso.com; SAN=sip.fabrikam.com

El asistente detecta todos los dominios SIP especificados durante la instalación y los agrega automáticamente al nombre alternativo de sujeto.

También puede usar este certificado para la autenticación de servidor a servidor.

Web interno

FQDN del grupo de servidores

Cada uno de los siguientes elementos:

  • FQDN web interno (que NO es el mismo que el FQDN del servidor)

  • FQDN del servidor

  • FQDN del grupo de Skype Empresarial

Y

  • URL sencilla de reunión

  • URL sencilla de marcado

  • URL sencilla de administración

O

  • Una entrada comodín para las URL sencillas

SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

Con un certificado de comodín:

SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com

Si dispone de varias URL sencillas de reunión, deberá incluirlas todas como nombres alternativos de sujeto.

Las entradas de comodín se admiten para las entradas de direcciones URL sencillas.

Web externo

FQDN del grupo de servidores

Cada uno de los siguientes elementos:

  • FQDN web externo

Y

  • URL sencilla de marcado

  • URL sencilla de administración

O

  • Una entrada comodín para las URL sencillas

SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

Con un certificado de comodín:

SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com

Si dispone de varias URL sencillas de reunión, deberá incluirlas todas como nombres alternativos de sujeto.

Las entradas de comodín se admiten para las entradas de direcciones URL sencillas.

Certificados para el Director:

 

Certificado Nombre de sujeto/Nombre común Nombre alternativo de sujeto Ejemplo

Predeterminado

Grupo de directores

FQDN del director, FQDN del Grupo de directores.

Si este grupo de servidores es el servidor de inicio automático de sesión de los clientes y se requiere una correspondencia exacta de DNS en la directiva del grupo, necesitará también entradas para sip.sipdomain (para cada uno de los dominios SIP que tenga).

pool.contoso.com; SAN=dir01.contoso.com

Si este Grupo de directores es el servidor de inicio automático de sesión de los clientes y se requiere una correspondencia exacta de DNS en la directiva del grupo, necesitará también SAN=sip.contoso.com; SAN=sip.fabrikam.com

Web interno

FQDN del servidor

Cada uno de los siguientes elementos:

  • FQDN web interno (que es igual que el FQDN del servidor)

  • FQDN del servidor

  • FQDN del grupo de Skype Empresarial

Y

  • URL sencilla de reunión

  • URL sencilla de marcado

  • URL sencilla de administración

O

  • Una entrada comodín para las URL sencillas

SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

Con un certificado de comodín:

SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com

Web externo

FQDN del servidor

Cada uno de los siguientes elementos:

  • FQDN web externo

Y

  • Direcciones URL sencillas de reunión por dominio SIP

  • URL sencilla de marcado

O

  • Una entrada comodín para las URL sencillas

El FQDN web externo de Director debe ser diferente a Grupo de servidores front-end o Servidor front-end.

SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

Con un certificado de comodín:

SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com

Certificados para Servidor de mediación independiente:

 

Certificado Nombre de sujeto/Nombre común Nombre alternativo de sujeto Ejemplo

Predeterminado

FQDN del grupo de servidores

FQDN del grupo de servidores

FQDN del miembro del grupo de servidores

SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net

Certificados para Aplicación de sucursal con funciones de supervivencia:

 

Certificado Nombre de sujeto/Nombre común Nombre alternativo de sujeto Ejemplo

Predeterminado

FQDN de la aplicación

SIP.<sipdomain> (solo necesita una entrada por dominio SIP)

SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com

Al instalar su Servidor de chat persistente, necesitará un certificado emitido por la misma CA que el usado por los servidores internos de Skype Empresarial Server 2015. Debe hacerlo por cada servidor que ejecute en Chat persistente el Servicios web de carga/descarga de archivos. Recomendamos encarecidamente que tenga preparados los certificados necesarios antes de comenzar la instalación de Chat persistente, especialmente si las CA son externas (ya que tardan más en obtenerse).

Skype Empresarial Server 2015 admite el uso de un certificado público único para acceder a la red y conferenciar con interfaces Edge externas, así como para el servicio de autenticación A/V, que se proporciona mediante Servidor perimetral. Su interfaz Edge interna suele usar un certificado privado emitido por su CA interna, pero, si lo prefiere, puede emplear un certificado público, siempre que proceda de una CA de confianza.

Su proxy inverso (RP) también usa un certificado público y cifra sus propias comunicaciones con los clientes y los servidores internos mediante HTTP (o, para ser más precisos, TLS por HTTP).

Si está implementando la característica de movilidad y admite la detección automática para clientes móviles, debe incluir algunas entradas de nombre alternativo de sujeto en sus certificados para admitir conexiones seguras desde clientes móviles.

Estos son los certificados en los que necesitará nombres alternativos de sujeto para la detección automática:

  • Grupo de directores

  • Grupo de servidores front-end

  • Proxy inverso

En las siguientes tablas se ofrecen detalles.

Aunque la planificación es conveniente, imagine que ha implementado Skype Empresarial Server 2015 sin intención de usar la característica de movilidad, pero más adelante, cuando los certificados ya en el entorno, surge esta necesidad. Volver a emitir los certificados desde una CA interna suele ser sencillo, pero en el caso de una CA pública puede resultar un poco más caro.

Si eso es lo que quiere y dispone de muchos dominios SIP (lo que encarecería la agregación de SAN), puede configurar su proxy inverso para que use la detección automática para la primera solicitud del servicio de autodetección, en vez de HTTPS (que es la configuración predeterminada). Tiene más información en el tema Planificación para la movilidad.

Requisitos de certificados para Grupo de directores y Grupo de servidores front-end:

 

Descripción Entrada SAN

URL del servicio Detección automática interna

SAN=lyncdiscoverinternal.<sipdomain>

URL del servicio Detección automática externa

SAN=lyncdiscover.<sipdomain>

También puede utilizar SAN=*.<sipdomain>

Requisitos de certificado (CA pública) de proxy inverso

 

Descripción Entrada SAN

URL del servicio Detección automática externa

SAN=lyncdiscover.<sipdomain>

Este SAN debe asignarse al certificado asignado al agente de escucha SSL de su proxy inverso.

noteNota:
El agente de escucha de su proxy inverso tendrá SAN para las URL externas de su servicio Servicios web. Algunos ejemplos son SAN=skypewebextpool01.contoso.com y dirwebexternal.contoso.com, si ha implementado el Director (lo que es opcional).

Skype Empresarial Server 2015 es capaz de usar el mismo recurso compartido de archivos para todo el almacenamiento. Deberá tener en cuenta lo siguiente:

  • Un recurso compartido de archivos debe estar en un almacenamiento conectado directo (DAS) o en un almacenamiento en red (SAN), y esto incluye el sistema de archivos distribuidos (DFS) y las matrices redundantes de discos independientes (RAID). Para obtener más información sobre el uso de DFS con Windows Server 2012, consulte esta página.

  • Recomendamos un clúster compartido para el recurso compartido de archivos. Si lo hace así, debería emplear Windows Server 2012 o Windows Server 2012 R2 en clúster. Windows Server 2008 R2 también es aceptable. ¿Por qué la última versión de Windows? Las versiones anteriores podrían no tener los permisos apropiados para habilitar todas las funciones. Puede usar el Administrador de clústeres para crear el recurso compartido de archivos. El artículo Creación de un clúster de la Knowledge Base le ayudará en este proceso.

CautionPrecaución:
Es preciso que recuerde que no se admite el uso del almacenamiento conectado a la red (NAS) como recurso compartido de archivo, de modo que utilice una de las opciones que se han descrito anteriormente.
 
Mostrar: