Environmental requirements for Skype for Business Server 2015
Сводка: Настройте требования, отличные от сервера, для Skype для бизнеса Server 2015 г. Перед развертыванием вам потребуется настроить множество компонентов, включая Active Directory, DNS, сертификаты и файловые ресурсы.
Каковы требования к окружающей среде для Skype для бизнеса Server 2015 г.? Ну, мы добавили в эту тему все, что напрямую не связано с сервером, поэтому вам не нужно делать так много, щелкая вокруг. Если вы ищете необходимые компоненты для сервера, вы можете проверка требования к серверу для Skype для бизнеса Server 2015 документации. Планирование сети также описано отдельно. В противном случае мы имеем в этой статье следующее:
Active Directory
Хотя большое количество данных конфигурации для серверов и служб хранится в центральном хранилище управления Skype для бизнеса Server 2015 года, в Active Directory по-прежнему хранятся некоторые данные:
| Объекты Active Directory | Типы объектов |
|---|---|
| Расширения схемы |
Расширения объекта пользователя |
| Расширения для Lync Server 2013 и Lync Server 2010 для обеспечения обратной совместимости с предыдущими поддерживаемыми версиями. |
|
| Данные |
URI SIP пользователя и другие пользовательские параметры |
| Контактные объекты для приложений (например, приложение группы ответа и приложение ). |
|
| Данные, опубликованные для совместимости с предыдущими версиями. |
|
| Точка управления службой (SCP) для центрального хранилища управления. |
|
| Учетная запись Kerberos для проверки подлинности (необязательный объект-компьютер). |
ОС для контроллеров доменов
Итак, какую ОС контроллера домена можно использовать? У нас есть следующий список:
Windows Server 2019 (необходимо установить накопительный пакет обновления 5 Skype для бизнеса Server 2015 или более поздней версии)
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server 2008
Теперь уровень функциональности домена любого домена, в который вы развертываете Skype для бизнеса Server 2015 г., и уровень функциональности леса, в который вы развертываете Skype для бизнеса Server 2015 г., должен быть одним из следующих:
Windows Server 2019 (необходимо установить накопительный пакет обновления 5 Skype для бизнеса Server 2015 или более поздней версии)
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server 2008
Windows Server 2003
Допускается наличие в этих средах контроллеров доменов, доступных только для чтения. Конечно, если на том же сайте, что и Skype для бизнеса Server, доступны контроллеры домена, доступные для записи.
Теперь важно знать, что Skype для бизнеса Server 2015 году не поддерживает домены с одними метками. Например, допускается корневой домен с именем contoso.local. Напротив, домен с именем local не может функционировать и не поддерживается. Дополнительные сведения приведены в этой статье базы знаний.
Skype для бизнеса Server 2015 году также не поддерживает переименование доменов. Если вы действительно должны сделать это, вам нужно удалить Skype для бизнеса Server 2015, переименовать домен, а затем переустановить Skype для бизнеса Server 2015.
Наконец, вы можете иметь дело с доменом с заблокированной средой AD DS, и это в порядке. Дополнительные сведения о развертывании Skype для бизнеса Server 2015 г. в такой среде см. в документации по развертыванию.
Топологии AD
Skype для бизнеса Server поддерживаемые топологии 2015 года:
Один лес с одним доменом
Один лес с одним деревом и несколькими доменами
Один лес с несколькими деревьями и несвязанными пространствами имен
Несколько лесов в топологии с центральным лесом
Несколько лесов в топологии с лесом ресурсов
Несколько лесов в топологии с лесом ресурсов Skype для бизнеса с Exchange Online
Несколько лесов в топологии леса ресурсов с Skype для бизнеса Online и Microsoft Entra Connect
У нас есть схемы и описания, которые помогут вам определить, какая топология у вас есть в вашей среде или что вам может потребоваться настроить перед установкой Skype для бизнеса Server 2015. Для упрощения предлагается также ключ:
Один лес с одним доменом
Это не проще, чем это, это один доменный лес, это общая топология.
Один лес с одним деревом и несколькими доменами
На схеме показан один лес с одним или несколькими дочерними доменами (в данном примере с тремя). Таким образом, домен, в который создаются пользователи, может отличаться от домена, в Skype для бизнеса Server 2015 развернут. Почему на это стоит обратить внимание? При развертывании пула переднего плана Skype для бизнеса Server важно помнить, что все серверы этого пула должны находиться в одном домене. Вы можете управлять между доменами с помощью поддержки Skype для бизнеса Server групп универсальных администраторов Windows.
Вернемся к приведенной выше схеме, вы увидите, что пользователи из одного домена могут получать доступ к Skype для бизнеса Server пулам из того же домена или из разных доменов, даже если эти пользователи находятся в дочернем домене.
Один лес с несколькими деревьями и несвязанными пространствами имен
Возможно, у вас есть топология, аналогичная этой схеме, где у вас есть один лес, но внутри этого леса есть несколько доменов с отдельными пространствами имен AD. Если это так, эта схема является хорошей иллюстрацией, так как у нас есть пользователи в трех разных доменах, обращаюющихся Skype для бизнеса Server 2015 году. Сплошные линии указывают, что они обращаются к пулу Skype для бизнеса Server в собственном домене, а пунктирная линия указывает, что они собираются в пул в другом дереве.
Как показано на схеме, пулы доступны пользователям из того же домена, из того же дерева и даже из других деревьев.
Несколько лесов в топологии с центральным лесом
Skype для бизнеса Server 2015 поддерживает несколько лесов, настроенных в центральной топологии леса. Наличие такой топологии проверяется по следующим критериям: в центральном лесу топологии содержатся объекты, предназначенные для представления пользователей в других лесах, и размещены учетные записи всех пользователей в лесу.
Как это работает? Кроме того, продукт синхронизации каталогов (например, Forefront Identity Manager или FIM) управляет учетными записями пользователей вашей организации на протяжении всего их существования. При создании или удалении учетной записи в лесу это изменение синхронизируется с соответствующим контактом в центральном лесу.
Очевидно, что если ваша инфраструктура AD находится на месте, переход к этой топологии может быть непростой, но если вы уже там или все еще планируете свою лесную инфраструктуру, это может быть хорошим выбором. Вы можете централизовать развертывание Skype для бизнеса Server 2015 в одном лесу, а пользователи могут выполнять поиск, общаться и просматривать присутствие других пользователей в любом лесу. Обновление всех контактов пользователей выполняются автоматически с помощью программного обеспечения синхронизации.
Несколько лесов в топологии с лесом ресурсов Skype для бизнеса
Также поддерживается топология леса ресурсов; Здесь лес предназначен для выполнения серверных приложений, таких как Microsoft Exchange Server и Skype для бизнеса Server 2015. В таких лесах ресурсов размещается также синхронизированное представление активных объектов-пользователей, но не могут размещаться учетные записи пользователей, по которым возможен вход в систему. Таким образом, лес ресурсов представляет собой среду общих служб для других лесов, в которых расположены объекты-пользователи; при этом на уровне лесов поддерживаются отношения доверия с лесом ресурсов.
Обратите внимание, что Exchange Server можно развернуть в том же лесу ресурсов, что и Skype для бизнеса Server или в другом лесу.
Чтобы развернуть Skype для бизнеса Server 2015 в топологии этого типа, необходимо создать один отключенный объект пользователя в лесу ресурсов для каждой учетной записи пользователя в лесах пользователей (если Microsoft Exchange Server уже находится в среде, это может быть сделано за вас). Затем вам потребуется средство синхронизации каталогов (например, Forefront Identity Manager или FIM) для управления учетными записями пользователей в течение их жизненного цикла.
Несколько лесов в топологии с лесом ресурсов Skype для бизнеса с Exchange Online
Эта топология аналогична топологии, описанной в разделе Несколько лесов в топологии Skype для бизнеса с лесом ресурсов (Multiple forests in a Skype for Business resource forest topology).
В этой топологии может быть один или несколько лесов пользователей, а сервер Skype для бизнеса Server развернут в выделенном лесу ресурсов. Exchange Server можно развернуть локально в том же или другом лесу ресурсов и настроить для гибридного развертывания с помощью Exchange Online. Кроме того, службы электронной почты могут быть предоставлены исключительно посредством Exchange Online для локальных учетных записей. Для этой топологии отсутствует схема.
Несколько лесов в топологии леса ресурсов с Skype для бизнеса Online и Microsoft Entra Connect
В этом сценарии существует несколько локальных лесов с топологией леса ресурсов. Между лесами Active Directory существует отношение полного доверия. Средство Microsoft Entra Connect используется для синхронизации учетных записей между локальными лесами пользователей и Microsoft 365 или Office 365.
Организация также имеет Microsoft 365 или Office 365 и использует Microsoft Entra Connect для синхронизации своих локальных учетных записей с Microsoft 365 или Office 365. Пользователи, для которых включена Skype для бизнеса, включаются через Microsoft 365 или Office 365 и Skype для бизнеса Online. Skype для бизнеса Server не развертывается локально.
Служба единого входа предоставляется фермой служб федерации Active Directory, расположенной в пользовательском лесу.
В этом случае поддерживается развертывание локальных служб Exchange, Exchange Online, гибридного решения Exchange или Exchange не развертывается совсем. (На схеме изображены только локальные службы Exchange, однако другие решения Exchange также полностью поддерживаются.)
Несколько лесов в топологии с лесом ресурсов с гибридным развертыванием Skype для бизнеса и Azure Active Directory Connect
При данном сценарии может быть один или несколько локальных лесов пользователей, а Skype для бизнеса развернут в выделенном лесу ресурсов и настроен для гибридного режима с помощью Skype для бизнеса Online. Exchange Server можно развернуть локально в том же или другом лесу ресурсов и настроить для гибридной среды с помощью Exchange Online. Кроме того, службы электронной почты могут быть предоставлены исключительно посредством Exchange Online для локальных учетных записей.
Дополнительные сведения см. в разделе Настройка среды с несколькими лесами для гибридного решения Skype для бизнеса.
Служба доменных имен (DNS)
Skype для бизнеса Server 2015 требуется СЛУЖБА DNS по следующим причинам:
DNS позволяет Skype для бизнеса Server 2015 обнаруживать внутренние серверы или пулы, обеспечивая обмен данными между серверами.
Служба доменных имен позволяет обнаруживать пул переднего плана или сервер Standard Edition, используемый для транзакций по протоколу SIP, на клиентских компьютерах.
Она обеспечивает связывание простых URL‑адресов для конференций с серверами, на которых размещаются эти конференции.
Служба доменных имен обеспечивает подключение внешних пользователей и клиентских компьютеров к пограничным серверам или обратному прокси-серверу HTTP для обмена мгновенными сообщениями (IM) или проведения конференций.
Она позволяет без входа в систему обнаруживать на устройствах системы объединенных коммуникаций (UC) пул переднего плана или сервер Standard Edition, на котором работает веб-служба обновления устройств, для получения пакетов обновления и передачи журналов.
На мобильных клиентах служба доменных имен обеспечивает автоматическое обнаружение ресурсов веб-служб без ввода URL‑адресов вручную в разделе параметров устройства.
Балансировка нагрузки также может выполняться средствами службы доменных имен.
Важно отметить, что Skype для бизнеса Server 2015 году не поддерживает международные доменные имена (IDN).
И очень важно помнить, что любое имя в DNS будет идентично имени компьютера, настроенного на любом сервере, используемом Skype для бизнеса Server 2015 году. В частности, в данной среде не допускаются сокращенные имена, а для построителя топологий должны быть заданы полные доменные имена.
Для каждого сервера, ранее присоединенного к домену, это требование, как правило, выполнено, но если у вас есть пограничный сервер, не присоединенный к домену, он может иметь имя по умолчанию или короткое имя без суффикса, указывающего домен. Убедитесь, что это не так, ни в DNS, ни на пограничном сервере, либо в любом Skype для бизнеса Server сервере или пуле 2015 года.
И определенно не используйте символы Юникода или символы подчеркивания. Стандартные символы (a-Z, a-z, 0-9 и дефисы) будут поддерживаться внешними DNS и общедоступными центрами сертификации (вам потребуется назначить полные доменные имена sn в сертификате, не забывайте), поэтому вы избавитесь от большого горя, если вы назовете это с учетом этого.
Дополнительные сведения о требованиях к службе доменных имен для сетей см. в разделе Networking документации по планированию.
Сертификаты
Одним из важнейших этапов, предшествующих развертыванию, является подготовка сертификатов. Skype для бизнеса Server 2015 требуется инфраструктура открытых ключей (PKI) для подключений tls и mtls. Для стандартизированного безопасного обмена данными на серверах Skype для бизнеса Server преимущественно применяются сертификаты, выпущенные центрами сертификации (CA).
Вот некоторые из вещей, для которых Skype для бизнеса Server 2015 года используются сертификаты:
для установления соединений между клиентами и серверами по протоколу TLS ;
для подключений MTLS между серверами;
для федерации с использованием автоматического обнаружения DNS партнеров;
для доступа удаленных пользователей к обмену мгновенными сообщениями;
для доступа внешних пользователей к сеансам аудио- или видеосвязи, функциям обмена приложениями и конференц-связи;
для обмена данными с веб-приложениями и Outlook Web Access (OWA).
Поэтому планирование сертификатов является обязательным. При запросе сертификатов необходимо иметь в виду следующее.
Все сертификаты серверов должны поддерживать авторизацию сервера (EKU сервера).
Все сертификаты серверов должны содержать точку распространения списка отзыва сертификатов (CDP).
Все сертификаты должны быть подписаны с помощью алгоритма подписывания, поддерживаемого операционной системой. Skype для бизнеса Server 2015 поддерживает набор размеров дайджестов SHA-1 и SHA-2 (224, 256, 384 и 512 бит), а также соответствует требованиям операционной системы или превышает их.
Автоматическая регистрация поддерживается для внутренних серверов, работающих Skype для бизнеса Server 2015.
Автоматическая регистрация не поддерживается для пограничных серверов Skype для бизнеса Server 2015 года.
При отправке веб-запроса на сертификат в ЦС Windows Server 2003 его необходимо отправить с компьютера под управлением Windows Server 2003 с пакетом обновления 2 (SP2) или Windows XP.
Примечание.
В статье базы знаний KB922706 приведены рекомендации по устранению неполадок, связанных с регистрацией веб-сертификатов с помощью служб сертификатов Windows Server 2003; но запросить сертификат из центра сертификации Windows Server 2003 посредством Windows Server 2008, Windows Vista или Windows 7 невозможно.
Примечание.
Использование алгоритма подписи RSASSA-PSS не поддерживается и может привести к ошибкам при входе в систему, проблемам с переадресацией звонков и другим неполадкам.
Примечание.
Skype для бизнеса Server 2015 не поддерживает сертификаты CNG.
Поддерживается длина ключей шифрования в 1024, 2048 и 4096 бит. Рекомендуется использовать ключи не короче 2048 бит.
По умолчанию используется дайджест-алгоритм (алгоритм хэширования и подписывания) RSA. Также поддерживаются алгоритмы ECDH_P256, ECDH_P384 и ECDH_P521.
Так что это многое, чтобы подумать, и, безусловно, есть различные уровни комфорта с запросом сертификатов из ЦС. Ниже приведены дополнительные рекомендации по упрощению планирования.
Сертификаты для внутренних серверов
Вам потребуются сертификаты для большинства внутренних серверов, и, скорее всего, вы получите их из внутреннего ЦС (который находится в вашем домене). При необходимости эти сертификаты можно запросить из внешнего ЦС (расположенного в Интернете). В случае затруднений при выборе общедоступного центра сертификации просмотрите список партнеров по сертификации объединенных коммуникаций.
Вам также потребуются сертификаты, когда Skype для бизнеса Server 2015 взаимодействует с другими приложениями и серверами, такими как Microsoft Exchange Server. В этом случае сертификаты должны поддерживаться другими приложениями и службами. Skype для бизнеса Server 2015 г. и другие продукты Майкрософт поддерживают протокол Open Authorization (OAuth) для проверки подлинности и авторизации между серверами. Если вы заинтересованы в этом, у нас есть дополнительная статья о планировании OAuth и Skype для бизнеса Server 2015.
Skype для бизнеса Server 2015 г. также включает поддержку (без необходимости) сертификатов, подписанных с помощью криптографической хэш-функции SHA-256. Для поддержки внешнего доступа с использованием SHA-256 внешний сертификат выдается общедоступным центром сертификации с использованием SHA-256.
Чтобы сделать все проще, мы поместили требования к сертификатам для серверов Standard Edition, пулов переднего плана и других ролей в следующие таблицы с вымышленными contoso.com используются в качестве примеров (вы, вероятно, будете использовать что-то другое для своей среды). Все сертификаты являются стандартными сертификатами веб-сервера с закрытыми ключами, не подлежащими экспорту. Отметим еще некоторые особенности.
При запросе сертификатов с помощью мастера сертификатов автоматически настраивается расширенное использование ключа (EKU) сервера.
Понятные имена сертификатов не должны повторятся в пределах хранилища компьютера.
Если в службе доменных имен задано имя sipinternal.contoso.com или sipexternal.contoso.com (на основе примеров имен ниже), его необходимо добавить к альтернативному имени субъекта (SAN) сертификата.
Сертификаты для серверов Standard Edition:
| Сертификат | Имя субъекта или общее имя | Альтернативное имя субъекта | Пример | Примечания |
|---|---|---|---|---|
| По умолчанию |
Полное доменное имя пула |
Полные доменные имена пула и сервера Если существует несколько доменов SIP и включена автоматическая настройка клиента, мастер сертификатов обнаруживает все поддерживаемые полные доменные имена SIP. Если этот пул является сервером для автоматического входа клиентов и для групповой политики требуется строгое сопоставление DNS-имен, также необходимы записи для sip.sipdomain (для каждого домена SIP). |
SN=se01.contoso.com; SAN=se01.contoso.com Если этот пул предназначен для сервера автоматического входа для клиентов, а в групповой политике требуется строгое сопоставление DNS, необходимо также добавить строки SAN=sip.contoso.com; SAN=sip.fabrikam.com |
На сервере Standard Edition полное доменное имя сервера совпадает с полным доменным именем пула. Мастер обнаруживает все домены SIP, указанные во время установки, и автоматически добавляет их в качестве альтернативных имен субъектов. Вы также можете использовать этот сертификат для проверки подлинности между серверами. |
| Внутренняя сеть |
Полное доменное имя сервера |
Каждое из следующих: • Полное доменное имя внутреннего веб-сайта (совпадает с полным доменным именем сервера) И • Простые URL-адреса собрания • Простой URL-адрес для телефонного подключения • Простой URL-адрес администратора ИЛИ • Ввод подстановочного знака для простых URL-адресов |
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Использование групповых сертификатов: SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com |
Заменить полное доменное имя внутреннего веб-сайта в построителе топологии невозможно. При наличии нескольких простых URL-адресов собраний необходимо задать все эти адреса в качестве альтернативных имен субъектов. Для простых URL-адресов поддерживаются подстановочные записи. |
| Внешняя сеть |
Полное доменное имя сервера |
Каждое из следующих: • Полное доменное имя внешней сети И • Простой URL-адрес для телефонного подключения • Простые URL-адреса собраний для каждого домена SIP ИЛИ • Ввод подстановочного знака для простых URL-адресов |
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Использование групповых сертификатов: SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Если у вас есть несколько простых URL-адресов Meet, необходимо включить их все в качестве альтернативных имен субъектов. Для простых URL-адресов поддерживаются подстановочные записи. |
Сертификаты для серверов переднего плана в выпуск Enterprise пуле переднего плана:
| Сертификат | Имя субъекта или общее имя | Альтернативное имя субъекта | Пример | Примечания |
|---|---|---|---|---|
| По умолчанию |
Полное доменное имя пула |
Полные доменные имена пула и сервера Если существует несколько доменов SIP и включена автоматическая настройка клиента, мастер сертификатов обнаруживает все поддерживаемые полные доменные имена SIP. Если этот пул является сервером для автоматического входа клиентов и для групповой политики требуется строгое сопоставление DNS-имен, также необходимы записи для sip.sipdomain (для каждого домена SIP). |
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com Если этот пул предназначен для сервера автоматического входа для клиентов, а в групповой политике требуется строгое сопоставление DNS, необходимо также добавить строки SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Мастер обнаруживает все домены SIP, указанные вами во время установки, и автоматически добавляет их в альтернативное имя субъекта. Вы также можете использовать этот сертификат для проверки подлинности между серверами. |
| Внутренняя сеть |
Полное доменное имя пула |
Каждое из следующих: • Полное доменное имя внутренней сети (которое НЕ совпадает с полным доменным именем сервера) • Полное доменное имя сервера • Полное доменное имя пула Skype для бизнеса И • Простые URL-адреса собрания • Простой URL-адрес для телефонного подключения • Простой URL-адрес администратора ИЛИ • Ввод подстановочного знака для простых URL-адресов |
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Использование групповых сертификатов: SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com |
Если у вас есть несколько простых URL-адресов Meet, необходимо включить их все в качестве альтернативных имен субъектов. Для простых URL-адресов поддерживаются подстановочные записи. |
| Внешняя сеть |
Полное доменное имя пула |
Каждое из следующих: • Полное доменное имя внешней сети И • Простой URL-адрес для телефонного подключения • Простой URL-адрес администратора ИЛИ • Ввод подстановочного знака для простых URL-адресов |
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Использование групповых сертификатов: SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Если у вас есть несколько простых URL-адресов Meet, необходимо включить их все в качестве альтернативных имен субъектов. Для простых URL-адресов поддерживаются подстановочные записи. |
Сертификаты для директора:
| Сертификат | Имя субъекта или общее имя | Альтернативное имя субъекта | Пример |
|---|---|---|---|
| По умолчанию |
Пул директоров |
Полное доменное имя директора и пула директоров. Если этот пул является сервером автоматического входа для клиентов и требуется строгое соответствие DNS в групповой политике, вам также потребуются записи для sip.sipdomain (для каждого домена SIP). |
pool.contoso.com; SAN=dir01.contoso.com Если этот пул директоров предназначен для сервера автоматического входа для клиентов, а в групповой политике требуется строгое сопоставление DNS, необходимо также добавить строки SAN=contoso.com SIP; SAN=fabrikam.com SIP. |
| Внутренняя сеть |
Полное доменное имя сервера |
Каждое из следующих: • Полное доменное имя внутреннего веб-сайта (совпадает с полным доменным именем сервера) • Полное доменное имя сервера • Полное доменное имя пула Skype для бизнеса И • Простые URL-адреса собрания • Простой URL-адрес для телефонного подключения • Простой URL-адрес администратора ИЛИ • Ввод подстановочного знака для простых URL-адресов |
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Использование групповых сертификатов: SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com |
| Внешняя сеть |
Полное доменное имя сервера |
Каждое из следующих: • Полное доменное имя внешней сети И • Простые URL-адреса собраний для каждого домена SIP • Простой URL-адрес для телефонного подключения ИЛИ • Ввод подстановочного знака для простых URL-адресов |
Полное доменное имя внешней сети директора должно отличаться от пула переднего плана и сервера переднего плана. SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Использование групповых сертификатов: SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
Сертификаты для автономного сервера-посредника:
| Сертификат | Имя субъекта или общее имя | Альтернативное имя субъекта | Пример |
|---|---|---|---|
| По умолчанию |
Полное доменное имя пула |
Полное доменное имя пула Полное доменное имя сервера, входящего в пул |
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net |
Сертификаты для устройства живучего филиала:
| Сертификат | Имя субъекта или общее имя | Альтернативное имя субъекта | Пример |
|---|---|---|---|
| По умолчанию |
Полное доменное имя устройства |
SIP.<домен_SIP> (достаточно одной записи для каждого домена SIP) |
SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Сертификаты для сервера сохраняемого чата
При установке сервера сохраняемого чата вам потребуется сертификат, выданный тем же ЦС, что и сервер, используемый внутренними серверами Skype для бизнеса Server 2015. Это необходимо сделать для каждого сервера, на котором запущены веб-службы сохраняемого чата для отправки и скачивания файлов. Мы настоятельно рекомендуем вам иметь необходимые сертификаты перед началом установки сохраняемого чата, а если ваш ЦС является внешним, тем более (это может занять немного времени).
Сертификаты для доступа внешних пользователей (пограничные)
Skype для бизнеса Server 2015 поддерживает использование одного общедоступного сертификата для доступа и внешних интерфейсов веб-конференций, а также службы проверки подлинности A/V, которая предоставляется через пограничные серверы. Обычно для внешнего пограничного интерфейса применяется закрытый сертификат, выпущенный внутренним центром сертификации, но при необходимости можно применить общий сертификат, выпущенный доверенным центром сертификации.
Общий сертификат требуется также для обратного прокси-сервера (RP); данные, передаваемые между обратным прокси-сервером и клиентами и внутренними серверами, шифруются по протоколу HTTP (точнее, по протоколу TLS на базе HTTP).
Сертификаты для мобильной работы
Если развертывается мобильная связь с поддержкой автоматического обнаружения мобильных клиентов, для поддержки безопасных соединений с мобильными клиентами необходимо включить в сертификаты дополнительные записи для альтернативных имен субъектов.
Какие сертификаты? Имена SAN потребуются для автоматического обнаружения сертификатов:
Пул директоров
Пул переднего плана
Обратный прокси-сервер
Конкретная информация приведена в соответствующих таблицах ниже.
В этом случае можно выполнить небольшое предварительное планирование, но иногда вы развертываете Skype для бизнеса Server 2015 году, не планируя развертывание мобильности, и это происходит, когда у вас уже есть сертификаты в вашей среде. Переиздания через внутренний ЦС обычно довольно просто, но с общедоступными сертификатами из общедоступного ЦС, что может быть немного дороже.
Если в такой ситуации у вас есть большое количество доменов SIP (что увеличивает затраты на добавление альтернативных имен доменов), можно изменить конфигурацию обратного прокси-сервера, задав для начального запроса службы автоматического обнаружения протокол HTTP (вместо используемого по умолчанию протокола HTTPS). Дополнительные сведения см. в разделе "Планирование мобильной работы".
Требования к сертификатам пула директоров и пула переднего плана:
| Описание | Запись SAN |
|---|---|
| URL-адрес внутренней службы автоматического обнаружения |
SAN=lyncdiscoverinternal.<домен_SIP> |
| URL-адрес внешней службы автоматического обнаружения |
SAN=lyncdiscover.<домен_SIP> |
Кроме того, можно использовать SAN=*.<sipdomain>
Требования к сертификатам для обратного прокси-сервера (общедоступный центр сертификации):
| Описание | Запись SAN |
|---|---|
| URL-адрес внешней службы автоматического обнаружения |
SAN=lyncdiscover.<домен_SIP> |
SAN необходимо связать с сертификатом, назначенным прослушивателю SSL на обратном прокси-сервере.
Примечание.
Прослушиватель обратного прокси-сервера будет иметь сети SAN для внешних URL-адресов веб-служб. Примеры для случая, когда вы развернули сервер-директор (необязательно): SAN=skypewebextpool01.contoso.com и dirwebexternal.contoso.com.
Файловый ресурс
Skype для бизнеса Server 2015 году может использовать один и тот же файловый ресурс для всего хранилища файлов. Необходимо иметь в виду следующее.
Общий файловый ресурс должен находиться в непосредственно подключенном хранилище (DAS) или в сети хранения данных (SAN); для хранения файлов необходимы распределенная файловая система (DFS) и RAID. Дополнительные сведения о DFS для Windows Server 2012 см. на этой странице о DFS.
Для общего файлового ресурса рекомендуется общий кластер. Если вы используете его, следует кластерировать Windows Server 2012 или Windows Server 2012 R2. Windows Server 2008 R2 также является приемлемым. Необходима последняя версия Windows: в более ранних версиях могут отсутствовать разрешения, необходимые для запуска всех функций. Вы можете использовать администратор кластера для создания общих папок, и эта статья поможет вам в этой статье.
Осторожностью
Обратите внимание, что использование запоминающего устройства, подключаемого к сети (NAS), не поддерживается в качестве общего файлового ресурса, поэтому следует использовать один из приведенных выше вариантов.