Environmental requirements for Skype for Business Server 2015
Resumen: Configure los requisitos que no son de servidor para Skype Empresarial Server 2015. Hay una serie de cosas que querrá configurar antes de realizar la implementación, como Active Directory, DNS, Certificados y Fileshares.
¿Cuál es un requisito medioambiental para Skype Empresarial Server 2015? Bueno, hemos puesto todo lo que no es servidor directamente relacionado en este tema, por lo que no tiene que hacer tanto clic alrededor. Si busca Requisitos previos del servidor, puede consultar el documento Requisitos del servidor para Skype Empresarial Server 2015. La planificación de redes también se documenta por separado. De lo contrario, esto es lo que tenemos en este artículo:
Active Directory
Aunque muchos datos de configuración para servidores y servicios se almacenan en el almacén de administración central de Skype Empresarial Server 2015, hay algunas cosas todavía almacenadas en Active Directory:
| Objetos de Active Directory | Tipos de objeto |
|---|---|
| Extensiones de esquema |
Extensiones de objetos de usuario |
| Extensiones para Lync Server 2013 y Lync Server 2010, para mantener la compatibilidad con versiones anteriores admitidas. |
|
| Datos |
URI de SIP del usuario y otros parámetros de usuario |
| Objetos de contacto para aplicaciones (como la aplicación grupo de respuesta y el aplicación Operador de conferencia). |
|
| Datos publicados para lograr compatibilidad con versiones anteriores |
|
| Un punto de control de servicio (SCP) para el almacén de administración central. |
|
| Cuenta de autenticación Kerberos (un objeto de equipo opcional) |
SO para controladores de dominio
¿Qué SO de controladores de dominio se pueden usar? Tenemos la siguiente lista:
Windows Server 2019 (debes tener la actualización acumulativa 5 de Skype Empresarial Server 2015 o posterior)
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server 2008
Ahora, el nivel funcional de dominio de cualquier dominio en el que implemente Skype Empresarial Server 2015 y el nivel funcional del bosque en el que implemente Skype Empresarial Server 2015 deben ser uno de los siguientes:
Windows Server 2019 (debes tener la actualización acumulativa 5 de Skype Empresarial Server 2015 o posterior)
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server 2008
Windows Server 2003
¿Puede haber controladores de dominio de solo lectura en estos entornos? Por supuesto, siempre y cuando también haya controladores de dominio de escritura disponibles en el mismo sitio que la Skype Empresarial Server.
Ahora, es importante saber que Skype Empresarial Server 2015 no admite dominios de etiqueta única. ¿Qué son? Si tiene un dominio raíz etiquetado como contoso.local, no pasa nada. Si tiene un dominio raíz que acaba de llamarse local, eso no funcionará y no se admite como resultado. Un poco más sobre esto se ha escrito en este artículo de knowledge base.
Skype Empresarial Server 2015 tampoco admite el cambio de nombre de dominios. Si realmente tienes que hacerlo, tendrás que desinstalar Skype Empresarial Server 2015, cambiar el nombre del dominio y, a continuación, reinstalar Skype Empresarial Server 2015.
Por último, es posible que esté tratando con un dominio con un entorno de AD DS bloqueado, y no pasa nada. Tenemos más información sobre cómo implementar Skype Empresarial Server 2015 en ese tipo de entorno en los documentos de implementación.
Topologías de AD
Las topologías compatibles de Skype Empresarial Server 2015 son:
Un solo bosque con un solo dominio
Un solo bosque con un solo árbol y varios dominios
Un solo bosque con varios árboles y espacios de nombres separados
Varios bosques en una topología de bosque central
Varios bosques en una topología de bosque de recursos
Varios bosques en una topología de bosque de recursos de Skype Empresarial con Exchange Online
Varios bosques en una topología de bosques de recursos con Skype Empresarial Online y Microsoft Entra Connect
Disponemos de diagramas y descripciones para ayudarle a determinar qué topología tiene en su entorno o lo que puede necesitar configurar antes de instalar Skype Empresarial Server 2015. Para que sea más sencillo, también estamos incluyendo una clave:
Un solo bosque con un solo dominio
No es más fácil que esto, es un único bosque de dominio, esta es una topología común.
Un solo bosque con un solo árbol y varios dominios
Este diagrama incluye también un único bosque, pero tiene también uno o más dominios secundarios (tres, en este ejemplo concreto). Por lo tanto, el dominio en el que se crean los usuarios puede ser diferente del dominio en el que se implementa Skype Empresarial Server 2015. ¿Por qué esto es importante? Es importante recordar que al implementar un Skype Empresarial Server grupo de servidores front-end, todos los servidores de ese grupo deben estar en un único dominio. Puede tener administración entre dominios a través del soporte de Skype Empresarial Server de los grupos de administradores universales de Windows.
Vuelva al diagrama anterior, puede ver que los usuarios de un dominio pueden acceder a Skype Empresarial Server grupos desde el mismo dominio o desde dominios diferentes, incluso si esos usuarios están en un dominio secundario.
Un solo bosque con varios árboles y espacios de nombres separados
Puede que tenga una topología similar a este diagrama, donde tiene un bosque, pero dentro de ese bosque hay varios dominios, con espacios de nombres de AD independientes. En ese caso, este diagrama es una buena ilustración, ya que tenemos usuarios en tres dominios diferentes que obtienen acceso a Skype Empresarial Server 2015. Las líneas continuas indican que están accediendo a un grupo de Skype Empresarial Server en su propio dominio, mientras que una línea discontinua indica que van a un grupo en un árbol diferente por completo.
Como puede verse, todos los usuarios pueden acceder a los grupos, ya estén en el mismo dominio, en el mismo árbol o en un árbol diferente.
Varios bosques en una topología de bosque central
Skype Empresarial Server 2015 admite varios bosques configurados en una topología de bosque central. Si no está seguro de que sea lo que tiene, el bosque central de la topología usa objetos en él para representar a los usuarios de los otros bosques y hospeda las cuentas de usuario de cualquier usuario del bosque.
¿Cómo funciona? Un producto de sincronización de directorios (como Forefront Identity Manager o FIM) administra las cuentas de usuario de la organización a lo largo de su existencia. Cuando una cuenta se crea o elimina en un bosque, este cambio se sincroniza con el contacto correspondiente en el bosque central.
Claramente, si su infraestructura de AD está en su lugar pasando a esta topología puede no ser fácil, pero si ya está allí, o aún planeando su infraestructura forestal, esta puede ser una buena opción. Puede centralizar la implementación de Skype Empresarial Server 2015 en un único bosque, mientras que los usuarios pueden buscar, comunicarse y ver la presencia de otros usuarios en cualquier bosque. Todas las actualizaciones de contactos de usuario se gestionan automáticamente con software de sincronización.
Varios bosques en una topología de bosque de recursos de Skype Empresarial
También se admite una topología de bosque de recursos; es donde un bosque se dedica a ejecutar las aplicaciones de servidor, como Microsoft Exchange Server y Skype Empresarial Server 2015. Estos bosques de recursos también hospedan una representación sincronizada de objetos de usuario activos, pero no cuentas de usuario habilitadas para inicio de sesión. Por lo tanto, el bosque de recursos es un entorno de servicios compartidos para otros bosques en los que residen los objetos de usuario y tienen una relación de confianza a nivel de bosque con el bosque de recursos.
Tenga en cuenta que Exchange Server se pueden implementar en el mismo bosque de recursos que Skype Empresarial Server o en un bosque diferente.
Para implementar Skype Empresarial Server 2015 en este tipo de topología, deberá crear un objeto de usuario deshabilitado en el bosque de recursos para cada cuenta de usuario en los bosques de usuarios (si Microsoft Exchange Server ya está en el entorno, es posible que esto se haga por usted). A continuación, necesitará una herramienta de sincronización de directorios (como Forefront Identity Manager o FIM) para administrar las cuentas de usuario a lo largo de su ciclo de vida.
Varios bosques en una topología de bosque de recursos de Skype Empresarial con Exchange Online
Esta topología es similar a la descrita en Varios bosques en una topología de bosque de recursos de Skype Empresarial.
En esta topología, hay uno o más bosques de usuario y Skype Empresarial Server se implementa en un bosque de recursos dedicado. Exchange Server se pueden implementar de forma local en el mismo bosque de recursos o en un bosque diferente y configurarse para la implementación híbrida con Exchange Online, o los servicios de correo electrónico pueden proporcionarse exclusivamente por Exchange Online para las cuentas locales. No existe ningún diagrama disponible para esta topología.
Varios bosques en una topología de bosques de recursos con Skype Empresarial Online y Microsoft Entra Connect
Con este escenario, hay varios bosques locales, con una topología de bosque de recursos. Hay una relación de total confianza entre los bosques de Active Directory. La herramienta Microsoft Entra Conectar se usa para sincronizar cuentas entre los bosques de usuarios locales y Microsoft 365 o Office 365.
La organización también tiene Microsoft 365 o Office 365 y usa Microsoft Entra Conectar para sincronizar sus cuentas locales con Microsoft 365 o Office 365. Los usuarios habilitados para Skype Empresarial se habilitan a través de Microsoft 365 o Office 365 y Skype Empresarial Online. Skype Empresarial Server no se implementa de forma local.
Una granja de Servicios de federación de Active Directory (AD FS) ubicada en el bosque de usuarios proporciona la autenticación de inicio de sesión único.
En este escenario, se admite implementar Exchange local, Exchange Online, una solución híbrida de Exchange o no tener Exchange implementado en absoluto. (El diagrama muestra solo Exchange local, pero las otras soluciones para Exchange también son totalmente compatibles).
Varios bosques en una topología de bosque de recursos con una implementación híbrida de Skype Empresarial
En este escenario, hay uno o varios bosques de usuarios locales y Skype Empresarial se implementa en un bosque de recursos dedicado y está configurado para el modo híbrido con Skype Empresarial Online. Exchange Server se pueden implementar de forma local en el mismo bosque de recursos o en un bosque diferente y se pueden configurar para implementaciones híbridas con Exchange Online. Como alternativa, Exchange Online puede proporcionar servicios de correo electrónico exclusivamente para las cuentas locales.
Para obtener más información, vea Configurar un entorno de varios bosques para Skype Empresarial híbridas.
Sistema de nombre de dominio (DNS)
Skype Empresarial Server 2015 requiere DNS, por los siguientes motivos:
DNS permite a Skype Empresarial Server 2015 detectar servidores o grupos internos, lo que permite comunicaciones de servidor a servidor.
DNS permite a los equipos cliente detectar el grupo front-end o el servidor Standard Edition que se usa para transacciones SIP.
Asocia las direcciones URL sencillas para conferencias con los servidores que hospedan dichas conferencias.
El DNS permite a los usuarios externos y equipos cliente conectarse a sus servidores perimetrales, o al proxy inverso HTTP, para mensajería instantánea (MI) o conferencias.
Permite a los dispositivos de comunicaciones unificadas (UC) que no hayan iniciado sesión descubrir el grupo de servidores front-end o el servidor Standard Edition que ejecuta el servicio web Device Update para obtener actualizaciones y enviar registros.
El uso de DNS permitir que los clientes móviles detecten automáticamente recursos de servicios web sin que los usuarios tengan que escribir manualmente las direcciones URL en la configuración del dispositivo.
También se usa para el equilibrado de carga DNS.
Es importante tener en cuenta que Skype Empresarial Server 2015 no admite nombres de dominio internacionalizados (IDN).
Y es muy importante recordar que cualquier nombre en DNS es idéntico al nombre del equipo configurado en cualquier servidor que esté usando Skype Empresarial Server 2015. En concreto, no podemos tener nombres cortos en el entorno y debemos tener FQDN para el Generador de topologías.
Parece que sería lógico para cualquier equipo que ya esté unido a un dominio, pero si tiene un servidor perimetral que no está unido a su dominio, es posible que tenga un nombre corto predeterminado, sin sufijo de dominio. Asegúrese de que no es el caso, ya sea en DNS o en el servidor perimetral, o cualquier servidor o grupo de Skype Empresarial Server 2015, en ese caso.
Y, definitivamente, no use caracteres Unicode ni caracteres de subrayado. Los caracteres estándar (que son A-Z, a-z, 0-9 y guiones) son los que van a ser compatibles con DNS externo y entidades de certificación públicas (tendrá que asignar FQDN al SN en el certificado, no lo olvide), por lo que le ahorrará mucho dolor si lo hace teniendo esto en cuenta.
Si quiere más información sobre los requisitos de DNS para redes, consulte la sección Networking de la documentación de planificación.
Certificados
Unas de las cosas más importantes que puede hacer antes de la implementación es asegurarse de que sus certificados están en orden. Skype Empresarial Server 2015 necesita una infraestructura de clave pública (PKI) para la seguridad de la capa de transporte (TLS) y conexiones de seguridad mutua de las capas de transporte (MTLS). Básicamente, para comunicarse de forma segura de forma estandarizada, Skype Empresarial Server utiliza certificados emitidos por entidades emisoras de certificados (CA).
Estas son algunas de las cosas que Skype Empresarial Server 2015 usa certificados para:
Conexiones TLS entre clientes y servidores
Conexiones MTLS entre servidores
Federación que usa la detección automática de DNS de partners
Acceso de usuarios remotos a la mensajería instantánea (MI)
Acceso de usuarios externos a sesiones de audio/vídeo (A/V), a uso compartido de aplicaciones y a conferencias
Hablar con aplicaciones web y Outlook Web Access (OWA)
Así que el planeamiento de certificados es una necesidad. Ahora, veamos una lista de algunas de las cosas que debe tener en cuenta al solicitar certificados:
Todos los certificados de servidor deben admitir la autorización de servidor (EKU de servidor).
Todos los certificados de servidor deben contener un punto de distribución CRL (CDP).
Todos los certificados deben estar firmados mediante un algoritmo de firma compatible con el sistema operativo. Skype Empresarial Server 2015 admite el conjunto de tamaños de resumen SHA-1 y SHA-2 (224, 256, 384 y 512 bits) y cumple o supera los requisitos del sistema operativo.
La inscripción automática es compatible con servidores internos que ejecuten Skype Empresarial Server 2015.
La inscripción automática no es compatible con los servidores perimetrales de Skype Empresarial Server 2015.
Cuando envía una solicitud de certificado basado en web a una CA de Windows Server 2003, debe enviarla desde un equipo que ejecute Windows Server 2003 con SP2 o Windows XP.
Nota
Aunque KB922706 ofrece soporte técnico para resolver problemas relacionados con los certificados web de inscripción de una inscripción web de los servicios de certificados de Windows Server 2003, no permite el uso de Windows Server 2008, Windows Vista o Windows 7 para solicitar un certificado desde una entidad de certificación de Windows Server 2003.
Nota
No está permitido usar el algoritmo de firma RSASSA-PSS, ya que podría dar lugar a errores en problemas relacionados con el inicio de sesión y el desvío de llamadas, entre otros.
Nota
Skype Empresarial Server 2015 no admite certificados CNG.
Se admiten longitudes de clave de cifrado de 1024, 2048 y 4096. Se recomienda usar longitudes de clave de 2048 y superiores.
El algoritmo de firma hash o implícito predeterminado es RSA. También se admiten los algoritmos ECDH_P256, ECDH_P384 y ECDH_P521.
Por lo tanto, es mucho lo que debe pensar y, sin duda, hay una variedad de niveles de comodidad con la solicitud de certificados de una CA. Le proporcionaremos más orientación a continuación para que su planificación sea lo más indolo posible.
Certificados para los servidores internos
Necesitará certificados para la mayoría de los servidores internos y, lo más probable es que los obtenga de una CA interna (la que se encuentra en su dominio). Si quiere, puede solicitar estos certificados a una CA externa (localizada en Internet). Si se pregunta a qué ca pública debe ir, puede echar un vistazo a la lista de partners de certificados de comunicaciones unificadas .
También necesitará certificados cuando Skype Empresarial Server 2015 se comunique con otras aplicaciones y servidores, como Microsoft Exchange Server. Obviamente, debe tratarse de certificados que estas otras aplicaciones y servidores admitan. Skype Empresarial Server 2015 y otros productos de Microsoft admiten el protocolo Open Authorization (OAuth) para autenticación y autorización de servidor a servidor. Si está interesado en esto, tenemos un artículo de planeación adicional para OAuth y Skype Empresarial Server 2015.
Skype Empresarial Server 2015 también incluye compatibilidad con certificados firmados (sin requerirlo) mediante la función hash criptográfica SHA-256. Para permitir el acceso externo mediante SHA-256, una entidad de certificación pública que usa SHA-256 emite el certificado externo.
Para intentar hacer las cosas sencillas, hemos puesto los requisitos de certificado para servidores Standard Edition, grupos de servidores front-end y otros roles en las tablas siguientes, con la contoso.com ficticia que se usa por ejemplo (es probable que estés usando otra cosa para tu entorno). Estos son todos certificados de servidor web estándar, con claves privadas que no se pueden exportar. Tenga en cuenta algunas cosas adicionales:
El uso mejorado de clave (EKU) del servidor se configura automáticamente al usar el asistente para certificados para solicitar certificados.
El nombre descriptivo de cada certificado debe ser único en el almacén del equipo.
Como se indica en los nombres de ejemplo siguientes, si ha configurado sipinternal.contoso.com o sipexternal.contoso.com en su DNS, debe agregarse al nombre alternativo del asunto (SAN) del certificado.
Certificados para servidores Standard Edition:
| Certificado | Nombre de sujeto/Nombre común | Nombre alternativo de sujeto | Ejemplo | Comentarios |
|---|---|---|---|---|
| Valor predeterminado |
FQDN del grupo de servidores |
FQDN del grupo y FQDN del servidor Si hay varios dominios SIP y está habilitada la configuración automática de los clientes, el Asistente para certificados detectará y agregará los FQDN de todos los dominios SIP admitidos. Si este grupo de servidores es el servidor de inicio automático de sesión de los clientes y se requiere una correspondencia exacta del sistema de nombres de dominio (DNS) en la directiva del grupo, necesitará también entradas para sip.sipdomain (para cada uno de los dominios SIP que tenga). |
SN=se01.contoso.com; SAN=se01.contoso.com Si este grupo de servidores es el servidor de inicio automático de sesión de los clientes y se requiere una correspondencia exacta de DNS en la directiva del grupo, necesitará también SAN=sip.contoso.com; SAN=sip.fabrikam.com |
En el servidor Standard Edition, el FQDN del servidor es el mismo que el FQDN del grupo. El asistente detecta los dominios SIP que especificó durante la configuración y los agrega automáticamente como nombres alternativos de asunto. También puede usar este certificado para la autenticación de servidor a servidor. |
| Web interno |
FQDN del servidor |
Cada uno de los siguientes elementos: • FQDN web interno (que es lo mismo que el FQDN del servidor) Y • Conocer direcciones URL sencillas • Url simple de acceso telefónico local • Administración url simple O BIEN • Una entrada comodín para las direcciones URL sencillas |
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Con un certificado de comodín: SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com |
No puede invalidar el FQDN web interno en el Generador de topologías. Si dispone de varias URL sencillas de reunión, deberá incluirlas todas como nombres alternativos de sujeto. Las entradas de comodín se admiten para las entradas de direcciones URL sencillas. |
| Web externo |
FQDN del servidor |
Cada uno de los siguientes elementos: • FQDN web externo Y • Url simple de acceso telefónico local • Conocer direcciones URL sencillas por dominio SIP O BIEN • Una entrada comodín para las direcciones URL sencillas |
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Con un certificado de comodín: SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Si tiene varias direcciones URL sencillas de Meet, debe incluirlas todas como nombres alternativos de asunto. Las entradas de comodín se admiten para las entradas de direcciones URL sencillas. |
Certificados para servidores front-end en un grupo de servidores front-end de Enterprise Edition:
| Certificado | Nombre de sujeto/Nombre común | Nombre alternativo de sujeto | Ejemplo | Comentarios |
|---|---|---|---|---|
| Valor predeterminado |
FQDN del grupo de servidores |
FQDN del grupo y FQDN del servidor Si hay varios dominios SIP y está habilitada la configuración automática de los clientes, el Asistente para certificados detectará y agregará los FQDN de todos los dominios SIP admitidos. Si este grupo de servidores es el servidor de inicio automático de sesión de los clientes y se requiere una correspondencia exacta del sistema de nombres de dominio (DNS) en la directiva del grupo, necesitará también entradas para sip.sipdomain (para cada uno de los dominios SIP que tenga). |
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com Si este grupo de servidores es el servidor de inicio automático de sesión de los clientes y se requiere una correspondencia exacta de DNS en la directiva del grupo, necesitará también SAN=sip.contoso.com; SAN=sip.fabrikam.com |
El asistente detecta todos los dominios SIP especificados durante la instalación y los agrega automáticamente al nombre alternativo de sujeto. También puede usar este certificado para la autenticación de servidor a servidor. |
| Web interno |
FQDN del grupo de servidores |
Cada uno de los siguientes elementos: • FQDN web interno (que NO es lo mismo que el FQDN del servidor) • FQDN de servidor • FQDN del grupo de Skype Empresarial Y • Conocer direcciones URL sencillas • Url simple de acceso telefónico local • Administración url simple O BIEN • Una entrada comodín para las direcciones URL sencillas |
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Con un certificado de comodín: SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com |
Si tiene varias direcciones URL sencillas de Meet, debe incluirlas todas como nombres alternativos de asunto. Las entradas de comodín se admiten para las entradas de direcciones URL sencillas. |
| Web externo |
FQDN del grupo de servidores |
Cada uno de los siguientes elementos: • FQDN web externo Y • Url simple de acceso telefónico local • Administración url simple O BIEN • Una entrada comodín para las direcciones URL sencillas |
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Con un certificado de comodín: SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Si tiene varias direcciones URL sencillas de Meet, debe incluirlas todas como nombres alternativos de asunto. Las entradas de comodín se admiten para las entradas de direcciones URL sencillas. |
Certificados para el Director:
| Certificado | Nombre de sujeto/Nombre común | Nombre alternativo de sujeto | Ejemplo |
|---|---|---|---|
| Valor predeterminado |
Grupo de directores |
FQDN del director, FQDN del grupo de directores. Si este grupo es el servidor de inicio de sesión automático para clientes y se necesita una coincidencia DNS estricta en la directiva de grupo, también necesitará entradas para sip.sipdomain (para cada dominio SIP que tenga). |
pool.contoso.com; SAN=dir01.contoso.com Si este grupo de directores es el servidor de inicio de sesión automático para clientes y se requiere una coincidencia DNS estricta en la directiva de grupo, también necesita SAN=sip.contoso.com; SAN=sip.fabrikam.com |
| Web interno |
FQDN del servidor |
Cada uno de los siguientes elementos: • FQDN web interno (que es lo mismo que el FQDN del servidor) • FQDN de servidor • FQDN del grupo de Skype Empresarial Y • Conocer direcciones URL sencillas • Url simple de acceso telefónico local • Administración url simple O BIEN • Una entrada comodín para las direcciones URL sencillas |
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Con un certificado de comodín: SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com |
| Web externo |
FQDN del servidor |
Cada uno de los siguientes elementos: • FQDN web externo Y • Conocer direcciones URL sencillas por dominio SIP • Url simple de acceso telefónico local O BIEN • Una entrada comodín para las direcciones URL sencillas |
El FQDN web externo de Director debe ser diferente del grupo de servidores front-end o front-end server. SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Con un certificado de comodín: SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
Certificados para el servidor de mediación independiente:
| Certificado | Nombre de sujeto/Nombre común | Nombre alternativo de sujeto | Ejemplo |
|---|---|---|---|
| Valor predeterminado |
FQDN del grupo de servidores |
FQDN del grupo de servidores FQDN del miembro del grupo de servidores |
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net |
Certificados para el dispositivo de rama con funciones de supervivencia:
| Certificado | Nombre de sujeto/Nombre común | Nombre alternativo de sujeto | Ejemplo |
|---|---|---|---|
| Valor predeterminado |
FQDN de la aplicación |
SIP.<sipdomain> (solo necesita una entrada por dominio SIP) |
SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Certificados para el servidor de chat persistente
Al instalar el servidor de chat persistente, necesitará un certificado emitido por la misma CA que el usado por los servidores internos de Skype Empresarial Server 2015. Esto debe hacerse para cada servidor que ejecute servicios web de chat persistente para cargar o descargar archivos. Le recomendamos encarecidamente que tenga los certificados necesarios antes de iniciar la instalación de chat persistente, y si su CA es externa, aún más (estas cosas pueden tardar un poco en emitirse).
Certificados para el acceso de usuarios externos (Edge)
Skype Empresarial Server 2015 admite el uso de un único certificado público para las interfaces externas perimetrales de conferencia web y acceso, además del servicio de autenticación A/V, que se proporciona a través de los servidores perimetrales. Su interfaz interna de Edge normalmente usará un certificado privado emitido por su CA interna, pero si lo prefiere, también puede usar un certificado público para esto, si es de una CA de confianza.
Su proxy inverso (RP) también usa un certificado público y cifra sus propias comunicaciones con los clientes y los servidores internos mediante HTTP (o, para ser más precisos, TLS por HTTP).
Certificados para movilidad
Si está implementando movilidad y está admitiendo la detección automática para clientes móviles, tendrá que incluir algunas entradas adicionales de nombre alternativo del asunto en los certificados para admitir las conexiones seguras de los clientes móviles.
¿Qué certificados? Necesitará nombres de SAN para la detección automática en los certificados aquí:
Grupo de directores
Grupo de servidores front-end
Proxy inverso
En las siguientes tablas se ofrecen detalles.
Ahora, aquí es donde es bueno un poco de planificación previa, pero a veces se ha implementado Skype Empresarial Server 2015 sin la intención de implementar la movilidad, y eso aparece en la línea cuando ya tiene certificados en su entorno. Volver a emitirlos a través de una CA interna suele ser bastante fácil, pero con certificados públicos de una CA pública, esto puede resultar un poco más caro.
Si eso es lo que está mirando y si tiene una gran cantidad de dominios SIP (lo que podría hacer que agregar SANS sea más caro), puede configurar el proxy inverso para que use HTTP para la solicitud de servicio de detección automática inicial, en lugar de usar HTTPS (que es la configuración predeterminada). Tiene más información en el tema Planificación para la movilidad.
Requisitos de certificado del grupo de directores y de los servidores front-end:
| Descripción | Entrada SAN |
|---|---|
| URL del servicio Detección automática interna |
SAN=lyncdiscoverinternal.<sipdomain> |
| URL del servicio Detección automática externa |
SAN=lyncdiscover.<sipdomain> |
También puede usar SAN=*.<sipdomain>
Requisitos de certificado (CA pública) de proxy inverso
| Descripción | Entrada SAN |
|---|---|
| URL del servicio Detección automática externa |
SAN=lyncdiscover.<sipdomain> |
Este SAN debe asignarse al certificado asignado al agente de escucha SSL de su proxy inverso.
Nota
El agente de escucha de proxy inverso tendrá SANs para las direcciones URL externas de los servicios web. Algunos ejemplos serían SAN=skypewebextpool01.contoso.com y dirwebexternal.contoso.com, si ya ha implementado el Director(opcional).
Recurso compartido de archivos
Skype Empresarial Server 2015 puede usar el mismo recurso compartido de archivos para todo el almacenamiento de archivos. Deberá tener en cuenta lo siguiente:
Un recurso compartido de archivos debe estar en un almacenamiento conectado directo (DAS) o en un almacenamiento en red (SAN), y esto incluye el sistema de archivos distribuidos (DFS) y las matrices redundantes de discos independientes (RAID). Para obtener más información sobre DFS para Windows Server 2012, consulte esta página de DFS.
Se recomienda un clúster compartido para el recurso compartido de archivos. Si usa una, debe agrupar Windows Server 2012 o Windows Server 2012 R2. Windows Server 2008 R2 también es aceptable. ¿Por qué la versión más reciente de Windows? Es posible que las versiones anteriores no tengan los permisos adecuados para habilitar todas las características. Puede usar el Administrador de clústeres para crear los recursos compartidos de archivos y este artículo Cómo crear recursos compartidos de archivos en un clúster le ayudará con esos detalles.
Precaución
Es preciso que recuerde que no se admite el uso del almacenamiento conectado a la red (NAS) como recurso compartido de archivo, de modo que utilice una de las opciones que se han descrito anteriormente.