Configurar un entorno de varios bosque para híbrido Skype para empresas

Skype for Business Server 2015
 

Última modificación del tema:2017-03-17

En las siguientes secciones se proporcionan instrucciones sobre cómo configurar un entorno que tiene varios bosques en un recurso/usuario modelo de bosque para proporcionar funcionalidad Skype Empresarial en un escenario híbrido.

Entorno de varios bosques para Hybrid

Se admiten varios bosques de usuarios. Tenga en cuenta lo siguiente:

Para obtener más información, consulte Requisitos del entorno para Skype Empresarial Server 2015.

Los usuarios de Skype Empresarial hospedados de forma local pueden tener Exchange hospedado localmente o en línea. Los usuarios de Skype Empresarial Online tienen que usar Exchange en línea para lograr la mejor experiencia posible, aunque esto no es totalmente necesario. Exchange local no es necesario para implementar Skype Empresarial en ningún caso.

Las confianzas necesarias son confianzas transitivas bidireccionales entre el bosque de recursos y cada uno de los bosques de usuarios. Si tiene varios bosques de usuarios, para habilitar la autenticación entre bosques es importante que el enrutamiento de sufijo de nombre esté habilitado para cada una de estas confianzas de bosque. Para ver las instrucciones, consulte Administrar confianzas de bosque.

Cuando Skype Empresarial Server se implementa en un bosque (un bosque de recursos), pero proporciona funcionalidad a los usuarios en uno o más de los otros bosques (bosques de cuentas), los usuarios de los demás bosques debe estar representada como objetos de usuario deshabilitada en el bosque donde Skype Empresarial Server se implementa. Un producto de administración de identidad, como el Administrador de identidades de Microsoft, debe estar implementado y configurado para aprovisionar y sincronizar los usuarios de los bosques de la cuenta en el bosque donde Skype Empresarial Server se implementa. Los usuarios deben estar sincronizados en el bosque aloja Skype Empresarial Server como objetos de usuario deshabilitado. No se puede sincronizar usuarios como objetos de contacto de Active Directory, ya que Azure Active Directory Connect no correctamente sincronizará contactos en Azure AD para su uso con Skype.

Independientemente de cualquier configuración de varios bosques, el bosque aloja Skype Empresarial Server también pueden proporcionar funcionalidad para los usuarios habilitados que existen en el mismo bosque.

Para obtener una sincronización de identidades adecuada, deben sincronizarse los siguientes atributos:

 

Bosques de usuarios Bosques de recursos

atributo de vínculo de cuenta elegida

atributo de vínculo de cuenta elegida

mail

mail

ProxyAddresses

ProxyAddresses

ObjectSID

msRTCSIP-OriginatorSID

El atributo de vínculo de cuenta elegida se usará como el delimitador de origen. Si tiene un atributo distinto e inmutable que prefiere usar, puede hacerlo, pero asegúrese de editar la regla de notificaciones de AD FS y seleccionar el atributo durante la configuración de AAD Connect.

No sincronice el UPN entre los bosques. Durante las pruebas, detectamos que era necesario un UPN único para cada bosque de usuarios, ya que no se puede usar el mismo UPN en varios bosques. Como resultado, se nos presentaron dos posibilidades: sincronizar el UPN o no sincronizarlo.

  • Si el UPN único de cada bosque de usuarios no se sincroniza con el objeto deshabilitado asociado en el bosque de recursos, el inicio de sesión único no podría usarse, como mínimo, durante el intento de inicio de sesión inicial (siempre que el usuario seleccione la opción para guardar la contraseña). En el cliente de Skype Empresarial, se da por supuesto que los valores de SIP/UPN son los mismos. Como la dirección SIP en este escenario es usuario@empresa.com, pero el UPN del objeto habilitado en el bosque de usuarios es en realidad usuario@contoso.empresa.com, el intento de inicio de sesión inicial produciría errores y al usuario se le solicitarían las credenciales. Después de especificar el UPN correcto/real, la solicitud de autenticación se completaría en los controladores de dominio del bosque de usuarios y el inicio de sesión se realizaría correctamente.

  • Si el UPN único de cada bosque de usuarios se sincroniza con el objeto deshabilitado asociado en el bosque de recursos, la autenticación de AD FS produciría errores. La regla de coincidencia encontraría el UPN en el objeto del bosque de recursos, que estaba deshabilitado y no se pudo usar para la autenticación.

A continuación, deberá facilitar un inquilino de Office 365 que vaya a usar con la implementación. Para obtener más información, vea Pasos de aprovisionamiento para Office 365.

Una vez tenga un inquilino, deberá configurar los Servicios de federación de Active Directory (AD FS) en cada uno de los bosques de usuarios. Se presupone que tiene un SIP, una dirección SMTP y un nombre principal de usuario (UPN) únicos para cada bosque. AD FS es opcional y aquí se usa para obtener un inicio de sesión único. También se admite Dirsync con la sincronización de contraseñas, y también se puede usar en lugar de AD FS.

Solo se probaron implementaciones con SIP/SMTP y UPN coincidentes. No tener SIP/SMTP/UPN que coincidan puede tener como resultado una funcionalidad reducida, como por ejemplo, problemas con la integración de Exchange y el inicio de sesión único.

A menos que use un único SIP/SMTP/UPN para los usuarios de cada uno de los bosques, todavía puede experimentar problemas en el inicio de sesión único (SSO) problemas, independientemente de dónde AD FS esté implementado:

  • En confianzas unidireccionales o bidireccionales entre bosques de usuarios/recursos con una granja de AD FS implementada en cada bosque de usuarios, todos los usuarios comparten un mismo dominio SIP/SMTP, pero un único UPN para cada bosque de usuarios.

  • En confianzas bidireccionales entre bosques de usuarios con una granja de AD FS implementada únicamente en bosque de recursos, todos los usuarios comparten un mismo dominio SIP/SMTP, pero un único UPN para cada bosque de usuarios.

Al colocar una granja de AD FS en cada bosque de usuarios y un SIP/SMTP/UPN único para cada bosque, se solucionan dos problemas. Durante los intentos de autenticación, solo se buscarían e identificarían las cuentas del bosque de usuarios específico. Esto ayudará a proporcionar un proceso de autenticación sin errores.

Esta será una implementación estándar de AD FS de Windows Server 2012 R2 y debería estar funcionando antes de continuar. Para ver las instrucciones, consulte Cómo instalar AD FS 2012 R2 para Office 365.

Una vez que se haya implementado, se tiene que editar la regla de notificaciones para que coincida con la regla de delimitador de origen que haya escogido antes. En la MMC de AD FS, en Confianzas para Usuarios autenticados, haga clic con el botón secundario en Plataforma de identidad de Microsoft Office 365 y, a continuación, haga clic en Editar reglas de notificaciones. Edite la primera regla y cambie ObjectSID por employeeNumber.

Pantalla Editar reglas de varios bosques

AAD Connect se usará para combinar las cuentas entre los diferentes bosques y entre los bosques y Office 365. Debe implementar AAD Connect en el bosque de recursos. Es necesario para poder sincronizar varios bosques y Office 365, lo cual no es compatible con Dirsync.

AAD Connect no sincroniza las cuentas entre bosques locales. Usa conectores de AD para leer objetos que ya están sincronizados entre bosques locales (por FIM o productos similares). A continuación, aprovecha las reglas de filtrado para crear una representación única que coincida al mismo tiempo con el objeto habilitado y deshabilitado en su metaverso y, a continuación, replica ese único objeto combinado en Office 365.

Cuando haya terminado y AAD Connect se esté combinando, si observa un objeto en el metaverso, debería ver algo parecido a esto:

Pantalla del objeto en el metaverso de varios bosques

Los atributos resaltados en verde se han combinado de los atributos de Office 365, los amarillos son del bosque de usuarios y los azules son del bosque de recursos.

Este es un usuario de prueba, y puede ver que AAD Connect identificó los sourceAnchor y cloudSourceAnchor del usuario y los objetos del bosque de recursos, y de Office 365, en nuestro caso, 1101 que es el employeeNumber seleccionado antes. Después, fue capaz de combinar este objeto en lo que se ve arriba.

Para más información, vea Integración de las identidades locales con Azure Active Directory.

AAD Connect debe instalarse usando mayoritariamente los valores predeterminados. Excepto para los siguientes pasos:

  1. Inicio de sesión único: con AD FS ya ha implementado y funcionando, seleccione No configurar

  2. Conectar los directorios: agregue todos los dominios

  3. Identificar los usuarios en directorios locales: seleccione Existen identidades de usuario entre varios directorios y seleccione los atributos ObjectSID y msExchangeMasterAccountSID

  4. Identificar usuarios en Azure AD: delimitador de origen (seleccione el atributo que eligió después de leer Selección de un buen atributo sourceAnchor), nombre principal de usuario ( userPrincipalName )

  5. Características opcionales: seleccione si tiene Exchange Hybrid implementado o no.

    noteNota:
    Si solo tiene Exchange Online, es posible que haya un problema con errores de OAuth durante la detección automática debido a la redirección de CNAME. Para corregir esto, tendrá que definir la dirección URL de detección automática de Exchange ejecutando el siguiente cmdlet desde el Shell de administración de Skype Empresarial Server:

    Set-CsOAuthConfiguration –ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc

  6. Granja de AD FS: seleccione Usar una granja de AD FS existente de Windows Server 2012 R2 y escriba el nombre del servidor de AD FS.

  7. Finalice el asistente y realice las validaciones necesarias.

Siga los procedimientos recomendados para realizar la configuración híbrida de Skype Empresarial. Para obtener más información, vea Planear la implementación híbrida para Skype Empresarial Server 2015 y, para la información de configuración, vea Realizar una configuración híbrida para Skype Empresarial Online.

Si es necesario, siga los procedimientos recomendados para realizar la configuración híbrida de Exchange. Para obtener más información, vea Implementaciones híbridas de Exchange Server.

 
Mostrar: