Развертывание топологии леса ресурсов

Важно!

Skype для бизнеса Online, эксплуатируемый компанией 21Vianet в Китае, будет прекращен 1 октября 2023 года. Если вы еще не обновили пользователей Skype для бизнеса Online, они будут автоматически запланированы для вспомогательного обновления. Если вы хотите обновить организацию до Teams самостоятельно, настоятельно рекомендуется начать планирование пути обновления уже сегодня. Помните, что успешное обновление соответствует технической готовности и готовности пользователей, поэтому обязательно используйте наше руководство по обновлению при переходе в Teams.

Skype для бизнеса Online, за исключением службы 21Vianet в Китае, была прекращена 31 июля 2021 года.

В следующих разделах описывается настройка среды с несколькими лесами в модели леса ресурсов или пользователей для предоставления функциональных возможностей в гибридном сценарии.

Среда с несколькими лесами для гибридной среды.

Требования к топологии

Поддерживаются многопользовательские леса. Учитывайте следующее.

  • Сведения о поддерживаемых версиях Lync Server и Skype для бизнеса Server в гибридной конфигурации см. в разделе Планирование гибридного подключения.

  • Exchange Server можно развернуть в одном или нескольких лесах, которые могут содержать лес, содержащий Skype для бизнеса Server. Убедитесь, что вы применили последнее накопительное обновление.

  • Дополнительные сведения о совместной работе с Exchange Server, в том числе ограничениях и критериях поддержки для различных комбинаций локальных и интернет-решений, см. в разделе Поддержка функций статьи Plan to integrate Skype for Business and Exchange.

Рекомендации по размещению пользователей

Skype для бизнеса пользователи, размещенные в локальной среде, могут использовать Exchange как локально, так и в сети. Пользователи Teams должны использовать Exchange Online для оптимального взаимодействия, однако это необязательно. Для реализации Skype для бизнеса в любом случае не требуется локальная среда Exchange.

Настройка доверия леса

В топологии леса ресурсов леса ресурсов, на которых размещается Skype для бизнеса Server, должны доверять каждому лесу учетных записей, содержащему учетные записи пользователей, которые будут обращаться к нему.

При наличии нескольких лесов пользователей для включения проверки подлинности между лесами важно включить маршрутизацию суффиксов имен для каждого из этих лесов доверия. Инструкции см. в разделе Управление отношениями доверия леса.

Если вы развернули Exchange Server в другом лесу и Exchange предоставляет функциональные возможности для Skype для бизнеса пользователей, лес, на котором размещается Exchange, должен доверять лесу, размещающей Skype для бизнеса Server. Например, если Exchange был развернут в лесу учетных записей, требуется двустороннее доверие между учетной записью и лесом Skype для бизнеса.

Синхронизация учетных записей с Skype для бизнеса размещения леса

Предположим, Skype для бизнеса Server развертывается в одном лесу (лесе ресурсов), но предоставляет пользователям функциональные возможности в одном или нескольких других лесах (лесах учетных записей). В этом случае пользователи в других лесах должны быть представлены как отключенные объекты пользователей в лесу, где развернута Skype для бизнеса Server.

Необходимо использовать продукт управления удостоверениями, например Microsoft Identity Manager, для подготовки и синхронизации пользователей из лесов учетных записей в лес, где развернут Skype для бизнеса Server. Пользователи должны быть синхронизированы с лесом, на котором размещается Skype для бизнеса Server как отключенные объекты пользователей. Пользователи не могут быть синхронизированы как объекты контактов Active Directory, так как Microsoft Entra Connect не будет правильно синхронизировать контакты с идентификатором Microsoft Entra для использования со Skype.

Независимо от конфигурации с несколькими лесами, лес размещения Skype для бизнеса Server также может предоставлять функциональные возможности для всех включенных пользователей, которые существуют в том же лесу.

Для надлежащей синхронизации удостоверений требуется синхронизация следующих атрибутов.

Пользовательские леса Леса ресурсов
выбранный атрибут ссылки на учетную запись
выбранный атрибут ссылки на учетную запись
mail
mail
ProxyAddresses
ProxyAddresses
ObjectSID
msRTCSIP-OriginatorSID

Выбранный атрибут ссылки учетной записи будет использоваться в качестве привязки к источнику. Если у вас есть другой и неизменяемый атрибут, который вы предпочитаете использовать, вы можете сделать это. Просто измените правило утверждений AD FS и выберите атрибут во время конфигурации Microsoft Entra Connect.

Не синхронизируйте имена участника-службы между лесами. Необходимо использовать уникальное имя участника-пользователя для каждого леса пользователей, так как одно и то же имя участника-пользователя нельзя использовать в нескольких лесах. В результате есть две возможности: синхронизировать имя участника-пользователя или не синхронизировать.

  • Если уникальное имя участника-пользователя из каждого леса пользователей не было синхронизировано со связанным отключенным объектом в лесу ресурсов, единый вход (SSO) будет нарушен по крайней мере при первой попытке входа (при условии, что пользователь выбрал параметр сохранения пароля). В клиенте Skype для бизнеса предполагается, что значения SIP/UPN совпадают. Так как SIP-адрес в этом сценарии — user@company.com, а имя участника-пользователя для включенного объекта в лесу пользователей фактически user@contoso.company.comявляется , первоначальная попытка входа завершится ошибкой, и пользователю будет предложено ввести учетные данные. После ввода правильного имени участника-пользователя запрос проверки подлинности будет выполнен для контроллеров домена в лесу пользователей, и вход будет выполнен успешно.

  • Если уникальное имя участника-пользователя из каждого леса пользователей было синхронизировано со связанным отключенным объектом в лесу ресурсов, проверка подлинности AD FS завершится ошибкой. При применении правила сопоставления имя субъекта-пользователя было бы обнаружено на объекте в лесу ресурсов, однако проверка подлинности по этому объекту невозможна, так как он отключен.

Создание организации Microsoft 365

Вам потребуется подготовить организацию Microsoft 365 для использования с развертыванием. Дополнительные сведения см. в статье Подписки, лицензии, учетные записи и клиенты для облачных предложений Майкрософт.

Настройка службы федерации Active Directory (AD FS)

После создания клиента необходимо настроить службы федерации Active Directory (AD FS) (AD FS) в каждом из лесов пользователей. При этом предполагается, что для каждого леса заданы уникальные адреса SIP и SMTP, а также имя субъекта-пользователя (UPN). AD FS является необязательным и используется здесь для получения единого входа. В качестве альтернативы AD FS поддерживается также DirSync с синхронизацией паролей.

Испытания проведены только для развертываний с совпадением SIP/SMTP и имен субъектов-пользователей. Отсутствие совпадающих sip,SMTP/UPN может привести к снижению функциональности, например к проблемам с интеграцией Exchange и единым входом.

Если вы не используете уникальный SIP,SMTP/UPN для пользователей из каждого леса, вы по-прежнему можете столкнуться с проблемами единого входа, независимо от того, где развернуты AD FS:

  • Односторонние или двусторонние отношения доверия между лесами ресурсов/пользователей при развертывании фермы AD FS в каждом лесу пользователей; всем пользователям назначен один и тот же домен SIP/SMTP, но неповторяющиеся имена субъектов-пользователей для каждого леса пользователей.

  • Двусторонние отношения доверия между лесами ресурсов/пользователей при развертывании фермы AD FS только в лесу ресурсов; всем пользователям назначен один и тот же домен SIP/SMTP, но неповторяющиеся имена субъектов-пользователей для каждого леса пользователей.

При размещении AD FS в каждом лесу пользователей и назначении уникальных адресов SIP/SMTP и имен субъектов пользователей для каждого леса обе неполадки устраняются. При попытке проверки подлинности поиск совпадений выполняется только в одном конкретном лесу пользователей. Это способствует бесперебойной проверке подлинности.

Это развертывание будет стандартным развертыванием Windows Server 2012 R2 AD FS и должно работать, прежде чем продолжить. Инструкции см. в статье Установка AD FS 2012 R2 для Microsoft 365.

После развертывания необходимо изменить правило утверждений в соответствии с выбранной ранее привязкой к источнику. В консоли УПРАВЛЕНИЯ AD FS в разделе Отношения доверия с проверяющей стороной щелкните правой кнопкой мыши платформу удостоверений Microsoft 365 или Microsoft Office 365 платформа удостоверений, а затем выберите Изменить правила утверждений. Измените первое правило и измените ObjectSID на employeeNumber.

Экран редактирования правил для нескольких лесов.

Настройка Microsoft Entra Connect

В топологиях леса ресурсов необходимо, чтобы атрибуты пользователей из леса ресурсов и любых лесов учетных записей синхронизировались с идентификатором Microsoft Entra. Корпорация Майкрософт рекомендует Microsoft Entra Connect синхронизировать и объединять удостоверения пользователей из всех лесов, в которых включены учетные записи пользователей, и леса, содержащего Skype для бизнеса. Дополнительные сведения см. в статье Настройка Microsoft Entra Connect для Skype для бизнеса и Teams.

Обратите внимание, что Microsoft Entra Connect не обеспечивает локальную синхронизацию между учетными записями и лесами ресурсов. Это необходимо настроить с помощью Microsoft Identity Manager или аналогичного продукта, как описано ранее.

По завершении и Microsoft Entra Соединение объединяется. Если вы посмотрите на объект в метавселенной, вы увидите примерно следующее:

Экран объекта метавселенной для нескольких лесов.

Зеленые выделенные атрибуты были объединены из Microsoft 365, желтый — из леса пользователя, а синий — из леса ресурсов.

В этом примере Microsoft Entra Connect идентифицировал sourceAnchor и cloudSourceAnchor у пользователя и объекты леса ресурсов из Microsoft 365, в данном случае 1101 — номер employeeNumber, выбранный ранее. Microsoft Entra Connect они смогли объединить этот объект с тем, что вы видите выше.

Дополнительные сведения см. в статье Интеграция локальных каталогов с идентификатором Microsoft Entra.

Microsoft Entra Connect следует установить с использованием значений по умолчанию, за исключением следующих ситуаций:

  1. Единый вход с уже развернутыми и работающими AD FS: выберите Не настраивать.

  2. Подключение каталогов. Добавьте все домены.

  3. Определение пользователей в локальных каталогах. Выберите Удостоверения пользователей существуют в нескольких каталогах и выберите атрибуты ObjectSID и msExchangeMasterAccountSID .

  4. Определение пользователей в Microsoft Entra идентификатор: привязка к источнику. Выберите атрибут, который вы выбрали после прочтения статьи Выбор хорошего атрибута sourceAnchor, User Principal Name - userPrincipalName.

  5. Необязательные функции. Выберите, развернута ли гибридная среда Exchange.

    Примечание.

    If you have only Exchange Online, there could be an issue with OAuth failures during autodiscover because of CNAME redirection. Чтобы исправить эту ошибку, необходимо задать URL-адрес автообнаружения Exchange, выполнив следующий командлет из командной консоли Skype для бизнеса Server:

    Set-CsOAuthConfiguration -ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc 
    
  6. Ферма AD FS: выберите Использовать существующую ферму Windows Server 2012 R2 AD FS и введите имя сервера AD FS.

  7. Завершите работу мастера и выполните необходимые проверки.

Настройка гибридного подключения для Skype для бизнеса Server

Следуйте рекомендациям по настройке Skype для бизнеса гибридной среды. Дополнительные сведения см. в разделах Планирование гибридного подключения и Настройка гибридного подключения.

Настройка гибридного подключения для Exchange Server

При необходимости настройте гибридный режим для Exchange с учетом практических рекомендаций. Дополнительные сведения см. в разделе Exchange Server гибридных развертываний.