Требования к среде Skype для бизнеса Server 2015

Skype for Business Server 2015
 

Дата изменения раздела:2017-07-06

Сводка. Конфигурация требований для Skype для бизнеса Server 2015, не связанных с серверами. Перед развертыванием вам потребуется настроить множество компонентов, включая Active Directory, DNS, сертификаты и файловые ресурсы.

Что понимается под обязательными требованием к среде для Skype для бизнеса Server 2015? Во избежание длительного поиска нужной информации в этом разделе собраны все сведения, не имеющие прямого отношения к серверам. Об обязательных серверных компонентах см. документ Требования к серверу для Skype для бизнеса Server 2015. Networking Planning также рассматривается в отдельном документе. В этой статье изложены следующие темы.

Active Directory

Служба доменных имен (DNS)

Сертификаты

Файловый ресурс

Данные конфигурации хранятся преимущественно в управленияSkype для бизнеса Server 2015, однако указанная ниже информация по-прежнему хранится в Active Directory.

 

Объекты Active Directory Типы объектов

Расширения схемы

Расширения объекта пользователя

 

Расширения для Lync Server 2013 и Lync Server 2010, обеспечивающие совместимость с предыдущими версиями

Данные

URI SIP пользователя и другие пользовательские параметры

 

Объекты контактов для приложений (таких как "Группа ответа" и помощника по конференц-связи).

 

Данные, опубликованные для совместимости с предыдущими версиями.

 

Точка управления службой для управления.

 

Учетная запись Kerberos для проверки подлинности (необязательный объект-компьютер).

Ниже приведен список допустимых ОС для контроллеров доменов:

  • Windows Server 2016

  • Windows Server 2012 R2

  • Windows Server 2012

  • Windows Server 2008 R2

  • Windows Server 2008

Функциональный уровень каждого домена, в котором развертывается Skype для бизнеса Server 2015, и каждого леса, в котором развертывается Skype для бизнеса Server 2015, должен соответствовать одной из следующих ОС:

  • Windows Server 2016

  • Windows Server 2012 R2

  • Windows Server 2012

  • Windows Server 2008 R2

  • Windows Server 2008

  • Windows Server 2003

Допускается наличие в этих средах контроллеров доменов, доступных только для чтения. Однако необходимым условием является наличие контроллеров доменов, доступных для записи.

Следует учитывать, что Skype для бизнеса Server 2015 не поддерживает домены с однокомпонентными именами. Например, допускается корневой домен с меткой contoso.local. Домен с именем local не может функционировать и не поддерживается. Дополнительные сведения приведены в этой статье базы знаний.

Skype для бизнеса Server 2015 не поддерживает также переименование доменов. Если требуется переименовать домен, следует предварительно удалить с компьютера Skype для бизнеса Server 2015, а после переименования установить Skype для бизнеса Server 2015 заново.

Наконец, возможна работа с доменом в заблокированной среде AD DS. Дополнительные сведения о развертывании Skype для бизнеса Server 2015 в таких средах см. в документации по развертыванию.

Skype для бизнеса Server 2015 поддерживает следующие топологии.

  • Один лес с одним доменом

  • Один лес с одним деревом и несколькими доменами

  • Один лес с несколькими деревьями и несвязанными пространствами имен

  • Несколько лесов в топологии с центральным лесом

  • Несколько лесов в топологии с лесом ресурсов

  • Несколько лесов в топологии Skype для бизнеса с лесом ресурсов, предусматривающей взаимодействие с Exchange Online

  • Несколько лесов в топологии с лесом ресурсов с Skype для бизнеса Online и Azure Active Directory Connect

Приведенные ниже схемы и описания позволяют определить топологию, развернутую в конкретной среде, а также запланировать настройку топологии перед установкой Skype для бизнеса Server 2015. Для упрощения предлагается также ключ:

Клавиша для значков, используемых в схемах топологии Skype для бизнеса

Схема одного леса Active Directory с одним доменом

Лес с одним доменом представляет собой наиболее простую и часто используемую топологию.

Схема одного леса, одного дерева и нескольких доменов

На схеме показан один лес с одним или несколькими дочерними доменами (в данном примере с тремя). Таким образом, домен, в котором создаются пользователи, может не совпадать с доменом, в котором развертывается Skype для бизнеса Server 2015. Это не препятствует нормальной работе. При развертывании пула переднего плана Skype для бизнеса Serverпереднего плана важно помнить о том, что все серверы этого пула должны находиться в одном домене. Поддержка универсальных групп администраторов Windows сервером Skype для бизнеса Server обеспечивает возможность междоменного администрирования.

Как показано на приведенной выше схеме, пулы Skype для бизнеса Server доступны пользователям из того же самого или другого домена, в том числе из дочернего домена.

Схема одного леса, нескольких деревьев и несвязанных пространств имен

Иногда встречается топология, аналогичная показанной на схеме: один лес содержит несколько доменов с отдельными пространствами имен AD. В примере на этой схеме три пользователя из разных доменов обращаются к Skype для бизнеса Server 2015. Сплошными линиями показано обращение к пулу серверов Skype для бизнеса Server в собственном домене, а штриховой линией — переход к пулу в другом дереве.

Как показано на схеме, пулы доступны пользователям из того же домена, из того же дерева и даже из других деревьев.

Схема нескольких лесов в центральной топологии леса

Skype для бизнеса Server 2015 поддерживает настройку нескольких лесов в топологии с центральным лесом. Наличие такой топологии проверяется по следующим критериям: в центральном лесу топологии содержатся объекты, предназначенные для представления пользователей в других лесах, и размещены учетные записи всех пользователей в лесу.

Эта топология функционирует следующим образом. Управление учетными записями пользователей в организации на всем протяжении их существования осуществляется с помощью программы синхронизации каталогов (например, Forefront Identity Manager, или FIM). При создании или удалении учетной записи в лесу это изменение синхронизируется с соответствующим контактом в центральном лесу.

Если инфраструктура AD уже развернута, переход к такой топологии затруднен, однако она обладает значительными преимуществами и может быть рекомендована в качестве новой инфраструктуры. Наличие единого центрального леса в топологии Skype для бизнеса Server 2015 позволяет пользователям выполнять поиск, обмениваться данными и просматривать сведения о присутствии других пользователей в любом лесу. Обновление всех контактов пользователей выполняются автоматически с помощью программного обеспечения синхронизации.

Схема нескольких лесов в топологии с лесом ресурсов

Поддерживается также топология с лесом ресурсов, то есть с лесом, выделенным для работы серверных приложений, таких как Microsoft Exchange Server и Skype для бизнеса Server 2015. В таких лесах ресурсов размещается также синхронизированное представление активных объектов-пользователей, но не могут размещаться учетные записи пользователей, по которым возможен вход в систему. Таким образом, лес ресурсов представляет собой среду общих служб для других лесов, в которых расположены объекты-пользователи; при этом на уровне лесов поддерживаются отношения доверия с лесом ресурсов.

Обратите внимание, что Exchange Server можно развернуть в том же лесу ресурсов, что и Skype для бизнеса Server, или в другом лесу.

Для развертывания топологии Skype для бизнеса Server 2015 такого типа следует создать в лесу ресурсов по одному отключенному объекту-пользователю для каждой учетной записи пользователя в лесах пользователей (при наличии в среде сервера Microsoft Exchange Server эта операция может выполняться автоматически). Для управления учетными записями пользователей на протяжении их жизненного цикла потребуется средство синхронизации каталогов (например, Forefront Identity Manager, или FIM).

Эта топология аналогична топологии, описанной в разделе Несколько лесов в топологии Skype для бизнеса с лесом ресурсов (Multiple forests in a Skype for Business resource forest topology).

В этой топологии может быть один или несколько лесов пользователей, а сервер Skype для бизнеса Server развернут в выделенном лесу ресурсов. Exchange Server можно развернуть локально в том же или другом лесу ресурсов и настроить для гибридного развертывания с помощью Exchange Online. Кроме того, службы электронной почты могут быть предоставлены исключительно посредством Exchange Online для локальных учетных записей. Для этой топологии недоступна схема.

Показывает два леса AD, один лес пользователей и один лес ресурсов. Два леса имеют доверительные отношения. Они синхронизируются с Office 365 посредством Azure AD Connect. Все пользователи смогут использовать Skype для бизнеса через Office 365.

При данном сценарии несколько лесов расположены локально с топологией с лесом ресурсов, что является отношением полного доверия между лесами Active Directory. Служба Azure Active Directory Connect используется для синхронизации учетных записей между локальными лесами пользователей и Office 365.

У организации также есть Office 365, и она использует Azure Active Directory Connect для синхронизации своих локальных учетных записей с Office 365. Пользователям, для которых включен Skype для бизнеса, также доступны Office 365 и Skype для бизнеса Online. Skype для бизнеса Server не развертывается локально.

Технология единого входа (SSO) предоставляется фермой служб федерации Active Directory, расположенной в пользовательском лесу.

В этом случае поддерживается развертывание локальных служб Exchange, Exchange Online, гибридного решения Exchange, или Exchange не развертывается совсем. (На схеме изображены только локальные службы Exchange, однако другие решения Exchange также полностью поддерживаются.)

При данном сценарии может быть один или несколько локальных лесов пользователей, а сервер Skype для бизнеса развернут в выделенном лесу ресурсов и настроен для гибридного режима с помощью Skype для бизнеса Online. Exchange Server можно развернуть локально в том же или другом лесу ресурсов и настроить для гибридной среды с помощью Exchange Online. Кроме того, службы электронной почты могут быть предоставлены исключительно посредством Exchange Online для локальных учетных записей.

Дополнительные сведения см. в разделе Настройка среды с несколькими лесами для гибридного развертывания Skype для бизнеса.

Служба доменных имен необходима для работы Skype для бизнеса Server 2015 по следующим причинам.

  • Служба доменных имен обеспечивает обнаружение внутренних серверов и пулов на сервере Skype для бизнеса Server 2015, что необходимо для обмена данными между серверами.

  • Служба доменных имен позволяет обнаруживать переднего плана или Standard Edition, используемый для транзакций по протоколу SIP, на клиентских компьютерах.

  • Она обеспечивает связывание простых URL‑адресов для конференций с серверами, на которых размещаются эти конференции.

  • Служба доменных имен обеспечивает подключение внешних пользователей и клиентских компьютеров к Пограничные серверы или обратному прокси-серверу HTTP для обмена мгновенными сообщениями (IM) или проведения конференций.

  • Она позволяет без входа в систему обнаруживать на устройствах системы объединенных коммуникаций (UC) пул переднего плана или Standard Edition, на котором работает веб-служба обновления устройств, для получения пакетов обновления и передачи журналов.

  • На мобильных клиентах служба доменных имен обеспечивает автоматическое обнаружение ресурсов веб-служб без ввода URL‑адресов вручную в разделе параметров устройства.

  • Балансировка нагрузки также может выполняться средствами службы доменных имен.

Следует учитывать, что Skype для бизнеса Server 2015 международные доменные имена (IDN).

Важно также помнить о том, что любое имя в службе доменных имен должно совпадать с именем компьютера, заданном на каждом сервере, к которому обращается Skype для бизнеса Server 2015. В частности, в данной среде не допускаются сокращенные имена, а для топологий должны быть заданы полные доменные имена.

Для каждого сервера, ранее присоединенного к домену, это требование, как правило, выполнено, но если у вас есть Пограничный сервер, не присоединенный к домену, он может иметь имя по умолчанию или короткое имя без суффикса, указывающего домен. Необходимо исключить такую возможность в службе доменных имен или на Пограничный сервер, а также на любом сервере Skype для бизнеса Server 2015 и в пуле таких серверов.

Категорически запрещается употребление символов Юникод и знаков подчеркивания. Внешними службами доменных имен и общедоступными центрами сертификации поддерживаются стандартные символы: A-Z, a-z, 0-9 и дефис (имени субъекта в сертификате необходимо назначить полное доменное имя); во избежание непредвиденных неполадок следует ограничиваться этими символами.

Дополнительные сведения о требованиях к службе доменных имен для сетей см. в разделе Networking документации по планированию.

Одним из важнейших этапов, предшествующих развертыванию, является подготовка сертификатов. Для Skype для бизнеса Server 2015 необходима инфраструктура открытых ключей (PKI), обеспечивающая подключение по протоколам TLS и MTLS. Для стандартизированного безопасного обмена данными на серверах Skype для бизнеса Server преимущественно применяются сертификаты, выпущенные центрами сертификации (CA).

Skype для бизнеса Server 2015 применяет сертификаты, в частности, в следующих целях:

  • для установления соединений между клиентами и серверами по протоколу TLS ;

  • для подключений MTLS между серверами;

  • для федерации с автоматическим распознаванием закономерностей с помощью службы доменных имен;

  • для доступа удаленных пользователей к обмену мгновенными сообщениями;

  • для доступа внешних пользователей к сеансам аудио- или видеосвязи, функциям обмена приложениями и конференц-связи;

  • для обмена данными с веб-приложениями и Outlook Web Access (OWA).

Поэтому обойтись без планирования сертификатов невозможно. При запросе сертификатов необходимо иметь в виду следующее.

  • Все сертификаты серверов должны поддерживать авторизацию сервера (EKU сервера).

  • Все сертификаты серверов должны содержать точку распространения списка отзыва сертификатов (CDP).

  • Все сертификаты должны быть подписаны с помощью алгоритма подписывания, поддерживаемого операционной системой. Skype для бизнеса Server 2015 поддерживает наборы размеров для хэша SHA-1 и SHA-2 (224, 256, 384 и 512 битов), что соответствует требованиям операционных систем или превосходит их.

  • Для внутренних серверов, на которых работает программное обеспечение Skype для бизнеса Server 2015, поддерживается автоматическая регистрация.

  • В Skype для бизнеса Server 2015Пограничные серверы не поддерживают автоматическую регистрацию.

  • Отправлять веб-запрос сертификата в центр сертификации Windows Server 2003 необходимо с компьютера под управлением Windows Server 2003 с пакетом обновления SP2 или Windows XP.

noteПримечание.
В статье базы знаний KB922706 приведены рекомендации по устранению неполадок, связанных с регистрацией веб-сертификатов с помощью служб сертификатов Windows Server 2003; но запросить сертификат из центра сертификации Windows Server 2003 посредством Windows Server 2008, Windows Vista или Windows 7 невозможно.
noteПримечание.
Использование алгоритма подписи RSASSA-PSS не поддерживается и может привести к ошибкам при входе в систему, проблемам с переадресацией звонков и другим неполадкам.
  • Поддерживается длина ключей шифрования в 1024, 2048 и 4096 бит. Рекомендуется использовать ключи не короче 2048 бит.

  • По умолчанию используется дайджест-алгоритм (алгоритм хэширования и подписывания) RSA. Также поддерживаются алгоритмы ECDH_P256, ECDH_P384 и ECDH_P521.

Таким образом, подготовка сертификатов требует тщательного планирования, от которого существенно зависит удобство запроса сертификатов из центра сертификации. Ниже приведены дополнительные рекомендации по упрощению планирования.

Сертификаты требуются для большинства внутренних серверов. Как правило, они поступают из центра сертификации (расположенного в том же домене). При необходимости можно запросить эти сертификаты из внешнего центра сертификации (в Интернете). В случае затруднений при выборе общедоступного центра сертификации просмотрите список партнеров по сертификации объединенных коммуникаций.

Сертификаты необходимы также при обмене данными между Skype для бизнеса Server 2015 и другими приложениями и службами, такими как Microsoft Exchange Server. В этом случае сертификаты должны поддерживаться другими приложениями и службами. Skype для бизнеса Server 2015 и другие программы Microsoft поддерживают проверку подлинности и авторизацию между серверами по протоколу OAuth. Дополнительные сведения см. в статье по планированию для протокола OAuth и сервера Skype для бизнеса Server 2015.

Skype для бизнеса Server 2015 поддерживает также сертификаты, подписанные с помощью функции криптографического хэширования SHA-256 (хотя применение этой функции не обязательно). Внешний доступ посредством SHA-256 поддерживается при условии, что внешний сертификат выпущен общедоступным центром сертификации с применением SHA-256.

Для удобства эти требования к сертификатам для Серверы выпуска Standard, переднего плана и других ролей размещены в следующих таблицах, которые в качестве примера содержат вымышленный домен contoso.com (для конкретной среды потребуется подставить другое имя). Все сертификаты являются стандартными сертификатами веб-сервера с закрытыми ключами, не подлежащими экспорту. Отметим еще некоторые особенности.

  • При запросе сертификатов с помощью мастера сертификатов автоматически настраивается расширенное использование ключа (EKU) сервера.

  • Понятные имена сертификатов не должны повторятся в пределах хранилища компьютера.

  • Если в службе доменных имен задано имя sipinternal.contoso.com или sipexternal.contoso.com (на основе используемых ниже образцов имен), его необходимо добавить к альтернативному имени субъекта (SAN) сертификата.

Сертификаты Серверы выпуска Standard:

 

Сертификат Имя субъекта / общее имя Альтернативное имя субъекта Пример Комментарии

"Default" (По умолчанию)

Полное доменное имя пула

Полные доменные имена пула и сервера

Если существует несколько доменов SIP и включена автоматическая настройка клиента, мастер сертификатов обнаруживает все поддерживаемые полные доменные имена SIP.

Если этот пул является сервером для автоматического входа клиентов и для групповой политики требуется строгое сопоставление DNS-имен, также необходимы записи для sip.sipdomain (для каждого домена SIP).

SN=se01.contoso.com; SAN=se01.contoso.com

Если этот пул предназначен для сервера автоматического входа для клиентов, а в групповой политике требуется строгое сопоставление DNS, необходимо также добавить строки SAN=sip.contoso.com; SAN=sip.fabrikam.com

На Серверы выпуска Standard сервере Standard Edition полное доменное имя сервера совпадает с полным доменным именем пула.

Мастер обнаруживает все домены SIP, указанные вами во время установки, и автоматически добавляет их в альтернативное имя субъекта.

Вы также можете использовать этот сертификат для проверки подлинности между серверами.

Внутренняя сеть

Полное доменное имя сервера

Каждое из следующих:

  • Полное доменное имя внутренней сети (которое совпадает с полным доменным именем сервера)

И

  • Простые URL-адреса собрания

  • Простой URL-адрес для телефонного подключения

  • Простой URL-адрес администратора

ИЛИ

  • Ввод подстановочного знака для простых URL-адресов

SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

Использование групповых сертификатов:

SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com

Заменить полное доменное имя внутреннего веб-сайта в топологий невозможно.

При наличии нескольких простых URL-адресов собраний необходимо задать все эти адреса в качестве альтернативных имен субъектов.

Для простых URL-адресов поддерживаются подстановочные записи.

Внешняя сеть

Полное доменное имя сервера

Каждое из следующих:

  • Полное доменное имя внешней сети

И

  • Простой URL-адрес для телефонного подключения

  • Простые URL-адреса собраний для каждого домена SIP

ИЛИ

  • Ввод подстановочного знака для простых URL-адресов

SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

Использование групповых сертификатов:

SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com

При наличии нескольких простых URL-адресов собраний необходимо задать все эти адреса в качестве альтернативных имен субъектов.

Для простых URL-адресов поддерживаются подстановочные записи.

Сертификаты для серверов Серверы переднего плана в пуле переднего плана

 

Сертификат Имя субъекта / общее имя Альтернативное имя субъекта Пример Комментарии

"Default" (По умолчанию)

Полное доменное имя пула

Полные доменные имена пула и сервера

Если существует несколько доменов SIP и включена автоматическая настройка клиента, мастер сертификатов обнаруживает все поддерживаемые полные доменные имена SIP.

Если этот пул является сервером для автоматического входа клиентов и для групповой политики требуется строгое сопоставление DNS-имен, также необходимы записи для sip.sipdomain (для каждого домена SIP).

SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com

Если этот пул предназначен для сервера автоматического входа для клиентов, а в групповой политике требуется строгое сопоставление DNS, необходимо также добавить строки SAN=sip.contoso.com; SAN=sip.fabrikam.com

Мастер обнаруживает все домены SIP, указанные вами во время установки, и автоматически добавляет их в альтернативное имя субъекта.

Вы также можете использовать этот сертификат для проверки подлинности между серверами.

Внутренняя сеть

Полное доменное имя пула

Каждое из следующих:

  • Полное доменное имя внутренней сети (которое НЕ совпадает с полным доменным именем сервера)

  • Полное доменное имя сервера

  • Полное доменное имя пула серверов Skype для бизнеса

И

  • Простые URL-адреса собрания

  • Простой URL-адрес для телефонного подключения

  • Простой URL-адрес администратора

ИЛИ

  • Ввод подстановочного знака для простых URL-адресов

SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

Использование групповых сертификатов:

SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com

При наличии нескольких простых URL-адресов собраний необходимо задать все эти адреса в качестве альтернативных имен субъектов.

Для простых URL-адресов поддерживаются подстановочные записи.

Внешняя сеть

Полное доменное имя пула

Каждое из следующих:

  • Полное доменное имя внешней сети

И

  • Простой URL-адрес для телефонного подключения

  • Простой URL-адрес администратора

ИЛИ

  • Ввод подстановочного знака для простых URL-адресов

SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

Использование групповых сертификатов:

SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com

При наличии нескольких простых URL-адресов собраний необходимо задать все эти адреса в качестве альтернативных имен субъектов.

Для простых URL-адресов поддерживаются подстановочные записи.

Сертификаты Директор:

 

Сертификат Имя субъекта / общее имя Альтернативное имя субъекта Пример

"Default" (По умолчанию)

директоров

Полное доменное имя директора, полное доменное имя директоров.

Если этот пул выполняет для клиентов функции сервера автоматического входа, а групповая политика требует строгого совпадения в службе доменных имен, необходимы также записи для sip.sipdomain (для каждого имеющегося домена SIP).

pool.contoso.com; SAN=dir01.contoso.com

Если этот директоров для клиентов функции сервера автоматического входа, а групповая политика требует строгого совпадения в службе доменных имен, необходимы также записи SAN=sip.contoso.com; SAN=sip.fabrikam.com

Внутренняя сеть

Полное доменное имя сервера

Каждое из следующих:

  • Полное доменное имя внутреннего веб-сайта (совпадает с полным доменным именем сервера)

  • Полное доменное имя сервера

  • Полное доменное имя пула серверов Skype для бизнеса

И

  • Простые URL-адреса собрания

  • Простой URL-адрес для телефонного подключения

  • Простой URL-адрес администратора

ИЛИ

  • Ввод подстановочного знака для простых URL-адресов

SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com

Использование групповых сертификатов:

SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com

Внешняя сеть

Полное доменное имя сервера

Каждое из следующих:

  • Полное доменное имя внешней сети

И

  • Простые URL-адреса собраний для каждого домена SIP

  • Простой URL-адрес для телефонного подключения

ИЛИ

  • Ввод подстановочного знака для простых URL-адресов

Полное доменное имя внешнего веб-сайта Директор должно отличаться от переднего плана и переднего плана.

SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com

Использование групповых сертификатов:

SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com

Автономный сервер-посредник требует следующие сертификаты:

 

Сертификат Имя субъекта / общее имя Альтернативное имя субъекта Пример

"Default" (По умолчанию)

Полное доменное имя пула

Полное доменное имя пула

Полное доменное имя сервера, входящего в пул

SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net

Сертификаты для для обеспечения связи в филиалах:

 

Сертификат Имя субъекта / общее имя Альтернативное имя субъекта Пример

"Default" (По умолчанию)

Полное доменное имя устройства

SIP.<домен SIP> (достаточно одной записи для каждого домена SIP)

SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com

При установке сервера Сервер сохраняемого чата потребуется сертификат, выпущенный тем же центром сертификации, что и для внутренних серверов Skype для бизнеса Server 2015. Такой сертификат необходим для каждого сервера, на котором может быть открыт сохраняемый сеанс беседыслужб, для загрузки файлов в сеть и из сети. Настоятельно рекомендуется получить необходимые сертификаты до начала установки службы, обеспечивающей сохраняемый сеанс беседы, особенно если центр сертификации является внешним (в этом случае выпуск сертификата может занять некоторое время).

Skype для бизнеса Server 2015 поддерживает применение единого общего сертификата для доступа и внешних пограничных интерфейсов веб-конференций, а также службу проверки подлинности по аудио- или видеосвязи, которые все подготавливаются через Пограничный сервер. Обычно для внешнего пограничного интерфейса применяется закрытый сертификат, выпущенный внутренним центром сертификации, но при необходимости можно применить общий сертификат, выпущенный доверенным центром сертификации.

Общий сертификат требуется также для обратного прокси-сервера (RP); данные, передаваемые между обратным прокси-сервером и клиентами и внутренними серверами, шифруются по протоколу HTTP (точнее, по протоколу TLS на базе HTTP).

Если развертывается мобильная связь с поддержкой автоматического обнаружения мобильных клиентов, для поддержки безопасных соединений с мобильными клиентами необходимо включить в сертификаты дополнительные записи для альтернативных имен субъектов.

Альтернативные имена субъектов для автоматического обнаружения потребуются на сертификатах для следующих пулов:

  • директоров

  • переднего плана

  • Обратный прокси-сервер

Конкретная информация приведена в соответствующих таблицах ниже.

Предварительное планирование упрощает эту задачу, однако возможна ситуация, когда на момент развертывания Skype для бизнеса Server 2015 не планировалось развертывать мобильную связь, а потребность в ней возникла уже при наличии сертификатов в данной среде. Запрос повторного выпуска сертификатов внутренним центром сертификации не представляет труда, но в случае общих сертификатов требуются дополнительные затраты.

Если в такой ситуации у вас есть большое количество доменов SIP (что увеличивает затраты на добавление альтернативных имен доменов), можно изменить конфигурацию обратного прокси-сервера, задав для начального запроса службы автоматического обнаружения протокол HTTP (вместо используемого по умолчанию протокола HTTPS). Дополнительные сведения см. в разделе "Планирование мобильной работы".

директоров и переднего плана — требования к сертификатам

 

Описание Запись SAN

URL-адрес внутренней службы автоматического обнаружения

SAN=lyncdiscoverinternal.<sipdomain>

URL-адрес внешней службы автоматического обнаружения

SAN=lyncdiscover.<sipdomain>

Можно также ввести SAN=*.<домен SIP>

Требования к сертификатам для обратного прокси-сервера (общедоступный центр сертификации)

 

Описание Запись SAN

URL-адрес внешней службы автоматического обнаружения

SAN=lyncdiscover.<sipdomain>

SAN необходимо связать с сертификатом, назначенным прослушивателю SSL на обратном прокси-сервере.

noteПримечание.
Прослушивателю SSL на обратном прокси-сервере требуются SAN для URL‑адресов внешней служб. Примеры для случая, когда вы развернули Директор: SAN=skypewebextpool01.contoso.com и dirwebexternal.contoso.com (необязательно).

Skype для бизнеса Server 2015 допускает применение одного и того же общего файлового ресурса для всех файловых хранилищ. Необходимо иметь в виду следующее.

  • Общий файловый ресурс должен находиться в непосредственно подключенном хранилище (DAS) или в сети хранения данных (SAN); для хранения файлов необходимы распределенная файловая система (DFS) и RAID. Дополнительные сведения о распределенной файловой системе для Windows Server 2012 приведены на этой странице DFS.

  • Для общего файлового ресурса рекомендуется общий кластер. В этом случае следует объединить в кластер Windows Server 2012 или Windows Server 2012 R2. Подходит также Windows Server 2008 R2. Необходима последняя версия Windows: в более ранних версиях могут отсутствовать разрешения, необходимые для запуска всех функций. Создать общие файловые ресурсы можно с помощью администратора кластера согласно инструкциям в статье базы знаний Создание кластера.

CautionВнимание!
Обратите внимание, что использование сетевого хранилища (NAS) не поддерживается в качестве общего файлового ресурса, поэтому следует использовать один из перечисленных ниже вариантов.
 
Показ: