Настройте среду нескольких лесов по гибридной среде Скайп для бизнеса

Skype for Business Server 2015
 

Дата изменения раздела:2017-03-17

В следующих разделах приведены указания по настройке среды с несколькими лесами в модели лесов ресурсов/пользователей для реализации функциональных возможностей Skype для бизнеса в гибридной среде.

Среда с несколькими лесами для гибридного развертывания

Поддерживаются многопользовательские леса. Учитывайте следующее.

Дополнительные сведения см. в разделе Требования к среде Skype для бизнеса Server 2015.

Skype для бизнеса Пользователи, размещенные локально, могут использовать локальную среду Exchange или Exchange Online. Пользователи Skype для бизнеса Online должны использовать Exchange Online для максимальной производительности; но это не обязательно. Локальная система Exchange не требуется для реализации Skype для бизнеса ни в одном из случаев.

Между лесом ресурсов и каждым из лесов пользователей должны быть установлены двусторонние транзитивные отношения доверия. При наличии нескольких лесов пользователей для включения проверки подлинности между лесами важно включить режим "Маршрутизация суффикса имен" применительно к каждому из этих отношений доверия. Инструкции см. в разделе Управление отношениями доверия между лесами.

При Skype для бизнеса Server развертывается в одном лесу (леса ресурсов), но предоставляет функциональные возможности для пользователей в одну или несколько других лесов (лесах учетной записи), пользователи в других лесах должны быть представлены как объектов отключенных пользователей в лесу, где Skype для бизнеса Server развертывается. Продукта управления удостоверений, например Identity Manager необходимо развернуть и настроить для подготовки и синхронизация пользователей из лесов учетной записи в лес где Skype для бизнеса Server развертывается. Пользователи должны быть синхронизированы в лесу размещения Skype для бизнеса Server как объекты отключенных пользователей. Пользователи не синхронизировать как контактных объектов Active Directory, поскольку подключение Azure Active Directory, не будут синхронизированы должным образом контакты в Azure AD для использования с Скайп.

Вне зависимости от любого конфигурация с несколькими лесами размещения леса Skype для бизнеса Server также предоставляют функциональные возможности для всех включенных пользователей, существует в том же лесу.

Для надлежащей синхронизации удостоверений требуется синхронизация следующих атрибутов.

 

Леса пользователей Леса ресурсов

выбранный атрибут ссылки на учетную запись

выбранный атрибут ссылки на учетную запись

mail

mail

ProxyAddresses

ProxyAddresses

ObjectSID

msRTCSIP-OriginatorSID

В качестве привязки к источнику будет использоваться выбранный атрибут ссылки на учетную запись. При необходимости можно использовать другой неизменяемый атрибут. Для этого измените правило утверждений и выберите атрибут в процессе настройки AAD Connect.

Имена субъектов-пользователей не следует синхронизировать между лесами. В результате испытаний было обнаружено, что имена субъектов-пользователей должны быть уникальными для каждого леса пользователей: одно и то же имя субъекта-пользователя не может быть назначено в разных лесах пользователей. Поэтому следовало рассмотреть две возможности: с синхронизацией и без синхронизации имени субъекта-пользователя.

  • Если имя субъекта-пользователя из каждого леса пользователей не синхронизировано со связанным отключенным объектом в лесу ресурсов, единый вход не будет выполнен, по крайней мере с первой попытки (при условии, что пользователь выбрал сохранение пароля). Предполагается, что в клиенте SfB значения адреса SIP и имени субъекта-пользователя совпадают. Поскольку в данной ситуации применяется адрес SIP user@company.com, а для включенного объекта в лесу пользователей задано имя субъекта-пользователя user@contoso.company.com, при первой попытке входа произойдет сбой и появится запрос на ввод учетных данных пользователя. После ввода правильного/фактического имени субъекта-пользователя запрос на проверку подлинности будет выполнен с применением контроллеров доменов в лесу пользователей, и единый вход будет успешно завершен.

  • Синхронизация имени субъекта-пользователя из каждого леса пользователей со связанным отключенным объектом в лесу ресурсов привела бы к сбою проверки подлинности AD FS. При применении правила сопоставления имя субъекта-пользователя было бы обнаружено на объекте в лесу ресурсов, однако проверка подлинности по этому объекту невозможна, так как он отключен.

После этого необходимо подготовить клиент Office 365 для работы в этом развертывании. Дополнительные сведения см. в разделе Этапы подготовки Office 365.

После создания клиента потребуется настроить службы федерации Active Directory (AD FS) в каждом из лесов пользователей. При этом предполагается, что для каждого леса заданы уникальные адреса SIP и SMTP, а также имя субъекта-пользователя (UPN). AD FS не является обязательным компонентом; в данном случае он служит для реализации единого входа. В качестве альтернативы AD FS поддерживается также DirSync с синхронизацией паролей.

Испытания проведены только для развертываний с совпадением SIP/SMTP и имен субъектов-пользователей. Несовпадение SIP/SMTP и имен субъектов-пользователей может привести к ухудшению функционирования, включая неполадки взаимодействия с Exchange и единого входа.

Если пользователям в каждом лесу не назначены уникальные адреса SIP/SMTP и имена субъектов-пользователей, при едином входе по-прежнему могут возникать неполадки независимо от места развертывания AD FS.

  • Односторонние или двусторонние отношения доверия между лесами ресурсов/пользователей при развертывании фермы AD FS в каждом лесу пользователей; всем пользователям назначен один и тот же домен SIP/SMTP, но неповторяющиеся имена субъектов-пользователей для каждого леса пользователей.

  • Двусторонние отношения доверия между лесами ресурсов/пользователей при развертывании фермы AD FS только в лесу ресурсов; всем пользователям назначен один и тот же домен SIP/SMTP, но неповторяющиеся имена субъектов-пользователей для каждого леса пользователей.

При размещении AD FS в каждом лесу пользователей и назначении уникальных адресов SIP/SMTP и имен субъектов пользователей для каждого леса обе неполадки устраняются. При попытке проверки подлинности поиск совпадений выполняется только в одном конкретном лесу пользователей. Это способствует бесперебойной проверке подлинности.

В результате будет получено стандартное развертывание Windows Server 2012 R2 AD FS. Чтобы убедиться, что развертывание было выполнено успешно, обратитесь к инструкциям в разделе Установка AD FS 2012 R2 для Office 365.

После развертывания потребуется отредактировать правило утверждений, приведя его в соответствие с ранее выбранной привязкой к источнику. В AD FS MMC в разделе отношений доверия с проверяющей стороной щелкните "Microsoft Office 365 Identity Platform" правой кнопкой мыши и выберите команду редактирования правил утверждений. Откройте первое правило для редактирования и измените "ObjectSID" на "employeeNumber".

Экран правил редактирования нескольких лесов

Объединение учетных записей из разных лесов, а также из лесов и Office 365 будет выполняться с помощью AAD Connect. В лесу ресурсов следует развернуть AAD Connect. Это необходимое условие синхронизации между несколькими лесами и Office 365, которая не поддерживается инструментом DirSync.

В AAD Connect не выполняется синхронизация учетных записей между локальными лесами. Объекты, ранее синхронизированные между локальными лесами (средствами FIM или аналогичных программ), считываются с помощью соединителей AD. Затем с применением правил фильтрации создается единое представление соответствующего включенного и отключенного объекта в метавселенной; полученный объединенный объект реплицируется в Office 365.

По завершении объект в метавселенной, полученный в результате объединения средствами AAD Connect, выглядит приблизительно следующим образом:

Экран объекта–метавселенной с несколькими лесами

Атрибуты, выделенные зеленым цветом, получены из Office 365, желтым – из леса пользователей, синим – из леса ресурсов.

Обратите внимание на то, что для тестового пользователя в AAD Connect распознаны атрибуты sourceAnchor и cloudSourceAnchor из объектов леса пользователей, леса ресурсов и Office 365; в данном случае отображается значение 1101, выбранное ранее для атрибута employeeNumber. Это позволило выполнить объединение и получить показанный выше объект.

Дополнительные сведения см. в разделе Интеграция локальных удостоверений с Azure Active Directory.

При установке AAD преимущественно применяются значения по умолчанию. Ниже указаны исключения.

  1. Единый вход: при развернутом и настроенном компоненте AD FS выберите "Не настраивать".

  2. Подключить каталоги: добавьте все домены.

  3. Идентификация пользователей в локальных каталогах: выберите пункт Удостоверения пользователей существуют в нескольких каталогах и Атрибуты ObjectSID и msExchangeMasterAccountSID .

  4. Идентифицировать пользователей в Azure AD: привязка к источнику – укажите атрибут (ознакомьтесь со статьей Выбор значений атрибута sourceAnchor) и имя субъекта-пользователя – userPrincipalName

  5. Дополнительные возможности: выберите, реализовано ли гибридное развертывание Exchange.

    noteПримечание.
    Если у вас есть только в Exchange Online, возможны проблемы со сбоями OAuth во время автообнаружения из-за CNAME в режиме одобрения администратором. Чтобы исправить ошибку, необходимо задать URL-адреса автообнаружения Exchange, выполнив следующий командлет Командная консоль Skype для бизнеса Server:

    Set-CsOAuthConfiguration –ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc

  6. Ферма AD FS: выберите Использовать существующую ферму Windows Server 2012 R2 AD FS и введите имя сервера AD FS.

  7. Завершите работу мастера и выполните необходимые проверки.

Настройте гибридный режим Skype для бизнеса с учетом практических рекомендаций. Дополнительные сведения о планировании см. в разделе Планирование гибридного развертывания Skype для бизнеса Server 2015; сведения о настройке см. в разделе Настройка гибридного развертывания Skype для бизнеса Online.

При необходимости настройте гибридный режим для Exchange с учетом практических рекомендаций. Дополнительные сведения см. в разделе Гибридное развертывание Exchange Server.

 
Показ: