Настройка гибридной среды в Skype для бизнеса Server 2015

Skype for Business Server 2015
 

Дата изменения раздела:2017-01-10

Краткое содержание . Настройка Skype для бизнеса Server 2015 в гибридной среде.

В гибридной конфигурации одни пользователи размещены на локально установленном сервере Skype для бизнеса Server 2015, а другие — в версии Office 365 сервера Skype для бизнеса Server. Для настройки проверки подлинности между серверами в гибридной среде необходимо сначала настроить на локально установленном сервере Skype для бизнеса Server 2015 доверие к серверу авторизации Office 365. Первый шаг этой процедуры может быть выполнен с помощью следующего сценария Командная консоль Skype для бизнеса Server:

$TenantID = (Get-CsTenant -Filter {DisplayName -eq "Fabrikam.com"}).TenantId

$sts = Get-CsOAuthServer microsoft.sts -ErrorAction SilentlyContinue
        
   if ($sts -eq $null)
      {
         New-CsOAuthServer microsoft.sts -MetadataUrl "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1"
      }
   else
      {
         if ($sts.MetadataUrl -ne  "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1")
            {
               Remove-CsOAuthServer microsoft.sts
               New-CsOAuthServer microsoft.sts -MetadataUrl "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1"
            }
        }

$exch = Get-CsPartnerApplication microsoft.exchange -ErrorAction SilentlyContinue
        
if ($exch -eq $null)
   {
      New-CsPartnerApplication -Identity microsoft.exchange -ApplicationIdentifier 00000002-0000-0ff1-ce00-000000000000 -ApplicationTrustLevel Full -UseOAuthServer
    }
else
    {
       if ($exch.ApplicationIdentifier -ne "00000002-0000-0ff1-ce00-000000000000")
          {
             Remove-CsPartnerApplication microsoft.exchange
             New-CsPartnerApplication -Identity microsoft.exchange -ApplicationIdentifier 00000002-0000-0ff1-ce00-000000000000 -ApplicationTrustLevel Full -UseOAuthServer 
          }
       else
          {
             Set-CsPartnerApplication -Identity microsoft.exchange -ApplicationTrustLevel Full -UseOAuthServer
          }
   }

Set-CsOAuthConfiguration -ServiceName 00000004-0000-0ff1-ce00-000000000000

Помните о том, что имя области для клиента обычно отличается от имени организации; на деле имя области почти всегда совпадает с идентификатором клиента. Поэтому первая строка скрипта используется для получения значения свойства TenantId для заданного клиента (в данном случае это fabrikam.com) и последующего назначения этого имени переменной $TenantId:

$TenantID = (Get-CsTenant -DisplayName "Fabrikam.com").TenantId

После выполнения сценария необходимо настроить отношение доверия между Skype для бизнеса Server 2015 и сервером авторизации, а затем еще одно отношение доверия — между Exchange 2013 и сервером авторизации. Это возможно только с помощью командлетов Microsoft Online Services.

noteПримечание.
Если командлеты Microsoft Online Services не установлены, потребуется выполнить две операции перед тем, как продолжить. Во-первых, скачайте и установите 64-разрядную версию помощника по входу в Microsoft Online Services. По завершении установки скачайте и установите 64-разрядную версию модуля Microsoft Online Services для Windows PowerShell. Подробные сведения об установке модуля Microsoft Online Services и работе с ним приведены на веб-сайте Office 365. Там же представлены инструкции по настройке единого входа, федерации и синхронизации между Office 365 и Active Directory.
Если вы не выполнили установку этих командлетов, то произойдет сбой вашего сценария, так как командлет Get-CsTenant будет недоступен.

После настройки Office 365 и создания субъектов-служб Office 365 для Skype для бизнеса Server 2015 и Exchange 2013 потребуется зарегистрировать свои учетные данные в этих субъектах-службах. Для этого необходимо сначала получить X.509 Base64 в виде файла CER. Затем сертификат применяется к субъектам-службам Office 365.

После получения сертификата X.509 запустите модуль Microsoft Online Services (нажмите кнопку Пуск , щелкните Все программы , Microsoft Online Services , затем Модуль Microsoft Online Services для Windows PowerShell ). После открытия модуля введите следующую команду для импорта модуля Microsoft Online Windows PowerShell с командлетами, позволяющими управлять субъектами-службами:

Import-Module MSOnlineExtended

По завершении импорта модуля введите следующую команду и нажмите клавишу Enter для подключения к Office 365:

Connect-MsolService

При нажатии клавиши Enter отображается диалоговое окно учетных данных. Введите в нем имя пользователя Office 365 и пароль, затем нажмите кнопку "ОК".

После подключения к Office 365 можно запустить следующую команду, чтобы получить информацию о субъектах-службах:

Get-MsolServicePrincipal

Команда возвращает для всех субъектов-служб сведения, похожие на следующие:

ExtensionData        : System.Runtime.Serialization.ExtensionDataObject
AccountEnabled       : True
Addresses            : {}
AppPrincipalId       : 00000004-0000-0ff1-ce00-000000000000
DisplayName          : Skype for Business Server
ObjectId             : aada5fbd-c0ae-442a-8c0b-36fec40602e2
ServicePrincipalName : SkypeForBusinessServer/litwareinc.com
TrustedForDelegation : True

На следующем шаге выполняется импорт, кодирование и назначение сертификата X.509. Для импорта и кодирования сертификата выполните следующие команды Windows PowerShell, обязательно указав полный путь к файлу .CER при вызове метода Import:

$certificate = New-Object System.Security.Cryptography.X509Certificates.X509Certificate
$certificate.Import("C:\Certificates\Office365.cer")
$binaryValue = $certificate.GetRawCertData()
$credentialsValue = [System.Convert]::ToBase64String($binaryValue)

После импорта и кодирования сертификата можно назначить его субъектам-службам Office 365. Для этого сначала с помощью командлета Get-MsolServicePrincipal извлеките значение свойства AppPrincipalId для субъектов-служб Skype для бизнеса Server и Microsoft Exchange; по этому значению свойства AppPrincipalId будет определяться субъект-служба, которой назначается сертификат. Получив значение свойства AppPrincipalId для Skype для бизнеса Server 2015, назначьте сертификат версии Office 365 сервера Skype для бизнеса Server с помощью следующей команды:

New-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -Type Asymmetric -Usage Verify -Value $credentialsValue 

Затем следует выполнить команду повторно, на этот раз указав значение свойства AppPrincipalId для Exchange 2013.

Если позднее вам потребуется удалить этот сертификат, сначала вам потребуется получить для него значение KeyId:

Get-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000

Эта команда возвращает следующие данные:

Type      : Asymmetric
Value     : 
KeyId     : bc2795f3-2387-4543-a95d-f92c85c7a1b0
StartDate : 6/1/2012 8:00:00 AM
EndDate   : 5/31/2013 8:00:00 AM
Usage     : Verify

После этого вы можете удалить сертификат с помощью следующей команды:

Remove-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -KeyId bc2795f3-2387-4543-a95d-f92c85c7a1b0

Помимо назначения сертификата, необходимо также настроить субъект-службу Exchange Online и задать локальную версию внешних URL-адресов веб-служб системы Skype для бизнеса Server 2015 в качестве субъекта-службы Office 365. Для этого можно выполнить две следующие команды:

В следующем примере в качестве внешнего URL-адреса веб-служб для пула Skype для бизнеса Server используется lync.contoso.com. Чтобы добавить все внешние URL-адреса веб-служб в развертывание, нужно повторить эти действия.

Set-MSOLServicePrincipal -AppPrincipalID 00000002-0000-0ff1-ce00-000000000000 -AccountEnabled $true

$lyncSP = Get-MSOLServicePrincipal -AppPrincipalID 00000004-0000-0ff1-ce00-000000000000
$lyncSP.ServicePrincipalNames.Add("00000004-0000-0ff1-ce00-000000000000/lync.contoso.com")
Set-MSOLServicePrincipal -AppPrincipalID 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $lyncSP.ServicePrincipalNames
 
Показ: