Implementación del recurso de topología entre bosques

  • Artículo

Importante

Skype Empresarial Online operado por 21Vianet en China se retirará el 1 de octubre de 2023. Si aún no ha actualizado sus usuarios de Skype Empresarial Online, se programarán automáticamente para una actualización asistida. Si quiere actualizar su organización a Teams usted mismo, le recomendamos que empiece a planear la ruta de actualización hoy mismo. Recuerde que una actualización correcta alinea la preparación técnica y de usuario, por lo que debe asegurarse de aprovechar nuestras instrucciones de actualización mientras se desplaza a Teams.

Skype Empresarial Online, excluyendo el servicio operado por 21Vianet en China, se retiró el 31 de julio de 2021.

En las secciones siguientes se describe cómo configurar un entorno que tiene varios bosques en un modelo de bosque de recursos o usuarios para proporcionar funcionalidad en un escenario híbrido.

Entorno multi foresto para híbrido.

Requisitos de topología

Se admiten varios bosques de usuarios. Tenga en cuenta lo siguiente:

  • Para ver las versiones compatibles de Lync Server y Skype Empresarial Server en una configuración híbrida, vea Planear la conectividad híbrida.

  • Exchange Server se pueden implementar en uno o más bosques, que pueden incluir o no el bosque que contiene Skype Empresarial Server. Asegúrese de que ha aplicado la actualización acumulativa más reciente.

  • Para obtener más información sobre la coexistencia con Exchange Server, incluidos los criterios de soporte técnico y las limitaciones en varias combinaciones de local y en línea, vea Soporte técnico de características en Plan para integrar Skype Empresarial y Exchange.

Consideraciones sobre el hospedaje de usuarios

Skype Empresarial los usuarios locales pueden tener Exchange alojado en local o en línea. Los usuarios de Teams deben usar Exchange Online para obtener una experiencia óptima; sin embargo, esto no es necesario. Exchange local no es necesario para implementar Skype Empresarial en cualquier caso.

Configurar confianzas de bosques

En una topología de bosque de recursos, los bosques de recursos que hospedan Skype Empresarial Server deben confiar en cada bosque de cuentas que contenga las cuentas de los usuarios que tendrán acceso a él.

Si tiene varios bosques de usuarios, para habilitar la autenticación entre bosques, es importante que el enrutamiento de sufijos de nombres esté habilitado para cada una de estas confianzas del bosque. Para obtener instrucciones, vea Administrar confianzas de bosques.

Si ha implementado Exchange Server en otro bosque y Exchange proporciona funcionalidad para Skype Empresarial usuarios, el bosque en el que se hospeda Exchange debe confiar en el Skype Empresarial Server de hospedaje del bosque. Por ejemplo, si Exchange se implementó en el bosque de cuentas, se requiere una confianza bidireccional entre la cuenta y los bosques de Skype Empresarial.

Sincronizar cuentas en el bosque que hospeda Skype Empresarial

Suponga que Skype Empresarial Server se implementa en un bosque (un bosque de recursos), pero proporciona funcionalidad a los usuarios de uno o más bosques (bosques de cuentas). En este caso, los usuarios de los otros bosques deben estar representados como objetos de usuario deshabilitados en el bosque donde se implementa Skype Empresarial Server.

Debe usar un producto de administración de identidades, como Microsoft Identity Manager, para aprovisionar y sincronizar los usuarios de los bosques de cuentas en el bosque donde se implementa Skype Empresarial Server. Los usuarios deben sincronizarse en el bosque que hospeda Skype Empresarial Server como objetos de usuario deshabilitados. Los usuarios no se pueden sincronizar como objetos de contacto de Active Directory, porque Microsoft Entra Conectar no sincronizará correctamente los contactos en Microsoft Entra ID para su uso con Skype.

Independientemente de cualquier configuración de varios bosques, el bosque que hospeda Skype Empresarial Server también puede proporcionar funcionalidad para cualquier usuario habilitado que exista en el mismo bosque.

Para obtener una sincronización de identidades adecuada, deben sincronizarse los siguientes atributos:

Bosques de usuarios Bosques de recursos
atributo de vínculo de cuenta elegida
 atributo de vínculo de cuenta elegida
mail
mail
ProxyAddresses
 ProxyAddresses
ObjectSID
 msRTCSIP-OriginatorSID

El atributo de vínculo de cuenta elegido se usará como delimitador de origen. Si tiene un atributo diferente e inmutable que prefiere usar, puede hacerlo; asegúrese de editar la regla de notificaciones de AD FS y seleccione el atributo durante la configuración de Microsoft Entra Connect.

No sincronice los UPN entre los bosques. Debe usar un UPN único para cada bosque de usuarios, ya que no puede usar el mismo UPN en varios bosques. Como resultado, hay dos posibilidades: sincronizar el UPN o no sincronizar.

  • Si el UPN único de cada bosque de usuarios no se sincronizó con el objeto deshabilitado asociado en el bosque de recursos, se rompería el inicio de sesión único (SSO) al menos durante el intento de inicio de sesión inicial (suponiendo que el usuario hubiera seleccionado la opción de guardar la contraseña). En el cliente Skype Empresarial, suponemos que los valores SIP/UPN son los mismos. Dado que la dirección SIP en este escenario es user@company.com, pero el UPN del objeto habilitado en el bosque de usuarios es, de hecho user@contoso.company.com, el intento inicial de inicio de sesión produce un error y se le pedirá al usuario que escriba las credenciales. Al introducir el UPN correcto, la solicitud de autenticación se completaría con los controladores de dominio en el bosque del usuario y el inicio de sesión se realizaría correctamente.

  • Si el UPN único de cada bosque de usuarios se sincronizó con el objeto deshabilitado asociado en el bosque de recursos, se produciría un error en la autenticación de AD FS. La regla coincidente buscaría el UPN en el objeto en el bosque de recursos, que se deshabilitó y no se pudo usar para la autenticación.

Crear una organización de Microsoft 365

Tendrá que aprovisionar una organización de Microsoft 365 para usarla con la implementación. Para obtener más información, consulta Suscripciones, licencias, cuentas e inquilinos para las ofertas en la nube de Microsoft.

Configurar Servicios de federación de Active Directory (AD FS)

Una vez que tenga un inquilino, tendrá que configurar Servicios de federación de Active Directory (AD FS) (AD FS) en cada uno de los bosques de usuarios. Se presupone que tiene un SIP, una dirección SMTP y un nombre principal de usuario (UPN) únicos para cada bosque. AD FS es opcional y se usa aquí para obtener el inicio de sesión único (SSO). También se admite Dirsync con la sincronización de contraseñas, y también se puede usar en lugar de AD FS.

Solo se probaron implementaciones con SIP/SMTP y UPN coincidentes. Si no se tienen conexiones SIP/SMTP/UPN, es posible que se reduzca la funcionalidad, como problemas con la integración y el SSO de Exchange.

A menos que use un SIP/SMTP/UPN único para los usuarios de cada bosque, aún puede tener problemas de SSO, independientemente de dónde se implemente AD FS:

  • En confianzas unidireccionales o bidireccionales entre bosques de usuarios/recursos con una granja de AD FS implementada en cada bosque de usuarios, todos los usuarios comparten un mismo dominio SIP/SMTP, pero un único UPN para cada bosque de usuarios.

  • En confianzas bidireccionales entre bosques de usuarios con una granja de AD FS implementada únicamente en bosque de recursos, todos los usuarios comparten un mismo dominio SIP/SMTP, pero un único UPN para cada bosque de usuarios.

Al colocar una granja de AD FS en cada bosque de usuarios y un SIP/SMTP/UPN único para cada bosque, se solucionan dos problemas. Durante los intentos de autenticación, solo se buscarían e identificarían las cuentas del bosque de usuarios específico. Esto ayudará a proporcionar un proceso de autenticación sin errores.

Esta implementación será una implementación estándar de la Windows Server 2012 R2 AD FS y debería funcionar antes de continuar. Para obtener instrucciones, consulte Cómo instalar AD FS 2012 R2 para Microsoft 365.

Una vez implementado, debe editar la regla de notificaciones para que coincida con el delimitador de origen seleccionado anteriormente. En LA MMC de AD FS, en Confianzas de terceros de confianza, haga clic con el botón derecho en Plataforma de identidad de Microsoft 365 o plataforma de identidad de Microsoft Office 365 y, a continuación, seleccione Editar reglas de reclamación. Edite la primera regla y cambie ObjectSID a employeeNumber.

Pantalla Editar reglas de varios bosques.

Configurar Microsoft Entra Conectar

En las topologías de bosques de recursos, es necesario que los atributos de usuario del bosque de recursos y los bosques de cuentas se sincronicen en Microsoft Entra ID. Microsoft recomienda que Microsoft Entra Connect sincronice y combine identidades de usuario de todos los bosques que tengan cuentas de usuario habilitadas y el bosque que contiene Skype Empresarial. Para obtener más información, consulte Configurar Microsoft Entra Conectar para Skype Empresarial y Teams.

Tenga en cuenta que Microsoft Entra Connect no proporciona sincronización local entre la cuenta y los bosques de recursos. Debe configurarse con Microsoft Identity Manager o un producto similar, como se describió anteriormente.

Cuando haya terminado y Microsoft Entra Conectar se está combinando, si mira un objeto en el metaverso, debería ver algo similar a lo siguiente:

Pantalla de objetos Metaverso de varios bosques.

Los atributos resaltados en verde se combinaron de Microsoft 365, los amarillos son del bosque de usuarios y los azules, del bosque de recursos.

En este ejemplo, Microsoft Entra Connect ha identificado el sourceAnchor y el cloudSourceAnchor del usuario y los objetos del bosque de recursos de Microsoft 365, en este caso 1101: el employeeNumber seleccionado anteriormente. Microsoft Entra Connect fue capaz de combinar este objeto en lo que ves anteriormente.

Para obtener más información, vea Integrar directorios locales con Microsoft Entra ID.

Microsoft Entra Conectar debe instalarse con los valores predeterminados, excepto en las situaciones siguientes:

  1. Inicio de sesión único: con AD FS ya implementado y funcionando: seleccione No configurar.

  2. Conectar los directorios: Agregue todos los dominios.

  3. Identificar usuarios en directorios locales: Seleccione Existen identidades de usuario en varios directorios y seleccione los atributos ObjectSID y msExchangeMasterAccountSID .

  4. Identificar usuarios en Microsoft Entra ID: Delimitador de origen: seleccione el atributo que ha elegido después de leer Seleccionar un atributo sourceAnchor correcto, User Principal Name - userPrincipalName.

  5. Características opcionales: seleccione si tiene implementado un sistema híbrido de Exchange.

    Nota

    Si solo tiene Exchange Online, es posible que haya un problema con errores de OAuth durante la detección automática debido a la redirección de CNAME. Para corregir este error, deberá establecer la dirección URL de Detección automática de Exchange ejecutando el siguiente cmdlet desde el Shell de administración de Skype Empresarial Server:

    Set-CsOAuthConfiguration -ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc

  6. Granja de AD FS: seleccione Usar una granja de AD FS existente de Windows Server 2012 R2 y escriba el nombre del servidor de AD FS.

  7. Finalice el asistente y realice las validaciones necesarias.

Configurar la conectividad híbrida para Skype Empresarial Server

Siga los procedimientos recomendados para configurar Skype Empresarial híbrido. Para obtener más información, vea Planear la conectividad híbrida y Configurar la conectividad híbrida.

Configurar la conectividad híbrida para Exchange Server

Si es necesario, siga los procedimientos recomendados para realizar la configuración híbrida de Exchange. Para obtener más información, vea Exchange Server Implementaciones híbridas.