Настройка среды с несколькими лесами для гибридного развертывания Skype для бизнеса

Skype for Business Server 2015
 

Дата изменения раздела:2017-03-17

В следующих разделах приведены указания по настройке среды с несколькими лесами в модели лесов ресурсов/пользователей для реализации функциональных возможностей Skype для бизнеса в гибридной среде.

Среда с несколькими лесами для гибридного развертывания

Поддерживаются многопользовательские леса. Учитывайте следующее.

  • При развертывании как однопользовательского, так и многопользовательского леса необходимо развернуть всего один экземпляр Skype для бизнеса Server.

  • Exchange Server можно развернуть в том же лесу ресурсов, что и Skype для бизнеса Server, или в другом лесу.

  • В этой топологии также поддерживается Lync 2013.

  • В этой топологии также поддерживается Exchange 2016.

Дополнительные сведения см. в разделе Требования к среде Skype для бизнеса Server 2015.

Skype для бизнеса Пользователи, размещенные локально, могут использовать локальную среду Exchange или Exchange Online. Пользователи Skype для бизнеса Online должны использовать Exchange Online для максимальной производительности; но это не обязательно. Локальная система Exchange не требуется для реализации Skype для бизнеса ни в одном из случаев.

Между лесом ресурсов и каждым из лесов пользователей должны быть установлены двусторонние транзитивные отношения доверия. При наличии нескольких лесов пользователей для включения проверки подлинности между лесами важно включить режим "Маршрутизация суффикса имен" применительно к каждому из этих отношений доверия. Инструкции см. в разделе Управление отношениями доверия между лесами.

Если Skype для бизнеса Server разворачивается в лесу ресурсов с целью предоставления необходимых функций пользователям в других лесах, то эти пользователи должны быть представлены в лесу ресурсов (в котором развернут Skype для бизнеса Server) в виде отключенных объектов-пользователей. Необходимо развернуть и настроить продукт для управления удостоверениями, например Microsoft Identity Manager, который будет отвечать за синхронизацию активных учетных записей в лесу пользователей и отключенных объектов-пользователей в лесах ресурсов. Обратите внимание, что при синхронизации пользователей с лесом ресурсов пользователи не могут быть представлены как объекты контактов Active Directory, так как Azure Active Directory Connect не будет синхронизировать контакты с Azure AD.

Для надлежащей синхронизации удостоверений требуется синхронизация следующих атрибутов.

 

Леса пользователей Леса ресурсов

выбранный атрибут ссылки на учетную запись

выбранный атрибут ссылки на учетную запись

mail

mail

ProxyAddresses

ProxyAddresses

ObjectSID

msRTCSIP-OriginatorSID

В качестве привязки к источнику будет использоваться выбранный атрибут ссылки на учетную запись. При необходимости можно использовать другой неизменяемый атрибут. Для этого измените правило утверждений и выберите атрибут в процессе настройки AAD Connect.

Имена субъектов-пользователей не следует синхронизировать между лесами. В результате испытаний было обнаружено, что имена субъектов-пользователей должны быть уникальными для каждого леса пользователей: одно и то же имя субъекта-пользователя не может быть назначено в разных лесах пользователей. Поэтому следовало рассмотреть две возможности: с синхронизацией и без синхронизации имени субъекта-пользователя.

  • Если имя субъекта-пользователя из каждого леса пользователей не синхронизировано со связанным отключенным объектом в лесу ресурсов, единый вход не будет выполнен, по крайней мере с первой попытки (при условии, что пользователь выбрал сохранение пароля). Предполагается, что в клиенте SfB значения адреса SIP и имени субъекта-пользователя совпадают. Поскольку в данной ситуации применяется адрес SIP user@company.com, а для включенного объекта в лесу пользователей задано имя субъекта-пользователя user@contoso.company.com, при первой попытке входа произойдет сбой и появится запрос на ввод учетных данных пользователя. После ввода правильного/фактического имени субъекта-пользователя запрос на проверку подлинности будет выполнен с применением контроллеров доменов в лесу пользователей, и единый вход будет успешно завершен.

  • Синхронизация имени субъекта-пользователя из каждого леса пользователей со связанным отключенным объектом в лесу ресурсов привела бы к сбою проверки подлинности AD FS. При применении правила сопоставления имя субъекта-пользователя было бы обнаружено на объекте в лесу ресурсов, однако проверка подлинности по этому объекту невозможна, так как он отключен.

После этого необходимо подготовить клиент Office 365 для работы в этом развертывании. Дополнительные сведения см. в разделе Этапы подготовки Office 365.

После создания клиента потребуется настроить службы федерации Active Directory (AD FS) в каждом из лесов пользователей. При этом предполагается, что для каждого леса заданы уникальные адреса SIP и SMTP, а также имя субъекта-пользователя (UPN). AD FS не является обязательным компонентом; в данном случае он служит для реализации единого входа. В качестве альтернативы AD FS поддерживается также DirSync с синхронизацией паролей.

Испытания проведены только для развертываний с совпадением SIP/SMTP и имен субъектов-пользователей. Несовпадение SIP/SMTP и имен субъектов-пользователей может привести к ухудшению функционирования, включая неполадки взаимодействия с Exchange и единого входа.

Если пользователям в каждом лесу не назначены уникальные адреса SIP/SMTP и имена субъектов-пользователей, при едином входе по-прежнему могут возникать неполадки независимо от места развертывания AD FS.

  • Односторонние или двусторонние отношения доверия между лесами ресурсов/пользователей при развертывании фермы AD FS в каждом лесу пользователей; всем пользователям назначен один и тот же домен SIP/SMTP, но неповторяющиеся имена субъектов-пользователей для каждого леса пользователей.

  • Двусторонние отношения доверия между лесами ресурсов/пользователей при развертывании фермы AD FS только в лесу ресурсов; всем пользователям назначен один и тот же домен SIP/SMTP, но неповторяющиеся имена субъектов-пользователей для каждого леса пользователей.

При размещении AD FS в каждом лесу пользователей и назначении уникальных адресов SIP/SMTP и имен субъектов пользователей для каждого леса обе неполадки устраняются. При попытке проверки подлинности поиск совпадений выполняется только в одном конкретном лесу пользователей. Это способствует бесперебойной проверке подлинности.

В результате будет получено стандартное развертывание Windows Server 2012 R2 AD FS. Чтобы убедиться, что развертывание было выполнено успешно, обратитесь к инструкциям в разделе Установка AD FS 2012 R2 для Office 365.

После развертывания потребуется отредактировать правило утверждений, приведя его в соответствие с ранее выбранной привязкой к источнику. В AD FS MMC в разделе отношений доверия с проверяющей стороной щелкните "Microsoft Office 365 Identity Platform" правой кнопкой мыши и выберите команду редактирования правил утверждений. Откройте первое правило для редактирования и измените "ObjectSID" на "employeeNumber".

Экран правил редактирования нескольких лесов

Объединение учетных записей из разных лесов, а также из лесов и Office 365 будет выполняться с помощью AAD Connect. В лесу ресурсов следует развернуть AAD Connect. Это необходимое условие синхронизации между несколькими лесами и Office 365, которая не поддерживается инструментом DirSync.

В AAD Connect не выполняется синхронизация учетных записей между локальными лесами. Объекты, ранее синхронизированные между локальными лесами (средствами FIM или аналогичных программ), считываются с помощью соединителей AD. Затем с применением правил фильтрации создается единое представление соответствующего включенного и отключенного объекта в метавселенной; полученный объединенный объект реплицируется в Office 365.

По завершении объект в метавселенной, полученный в результате объединения средствами AAD Connect, выглядит приблизительно следующим образом:

Экран объекта–метавселенной с несколькими лесами

Атрибуты, выделенные зеленым цветом, получены из Office 365, желтым – из леса пользователей, синим – из леса ресурсов.

Обратите внимание на то, что для тестового пользователя в AAD Connect распознаны атрибуты sourceAnchor и cloudSourceAnchor из объектов леса пользователей, леса ресурсов и Office 365; в данном случае отображается значение 1101, выбранное ранее для атрибута employeeNumber. Это позволило выполнить объединение и получить показанный выше объект.

Дополнительные сведения см. в разделе Интеграция локальных удостоверений с Azure Active Directory.

При установке AAD преимущественно применяются значения по умолчанию. Ниже указаны исключения.

  1. Единый вход: при развернутом и настроенном компоненте AD FS выберите "Не настраивать".

  2. Подключить каталоги: добавьте все домены.

  3. Идентификация пользователей в локальных каталогах: выберите пункт Удостоверения пользователей существуют в нескольких каталогах и Атрибуты ObjectSID и msExchangeMasterAccountSID .

  4. Идентифицировать пользователей в Azure AD: привязка к источнику – укажите атрибут (ознакомьтесь со статьей Выбор значений атрибута sourceAnchor) и имя субъекта-пользователя – userPrincipalName

  5. Дополнительные возможности: выберите, реализовано ли гибридное развертывание Exchange.

    noteПримечание.
    При наличии только Exchange Online перенаправление CNAME может приводить к сбоям OAuth в процессе автоматического обнаружения. Для устранения этой неполадки потребуется задать URL‑адрес автоматического обнаружения в командной консоли Skype для бизнеса Server следующий командлет:

    Set-CsOAuthConfiguration –ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc

  6. Ферма AD FS: выберите Использовать существующую ферму Windows Server 2012 R2 AD FS и введите имя сервера AD FS.

  7. Завершите работу мастера и выполните необходимые проверки.

Настройте гибридный режим Skype для бизнеса с учетом практических рекомендаций. Дополнительные сведения о планировании см. в разделе Планирование гибридного развертывания Skype для бизнеса Server 2015; сведения о настройке см. в разделе Настройка гибридного развертывания Skype для бизнеса Online.

При необходимости настройте гибридный режим для Exchange с учетом практических рекомендаций. Дополнительные сведения см. в разделе Гибридное развертывание Exchange Server.

 
Показ: