Bereitstellen einer Topologie mit Ressourcengesamtstruktur
Wichtig
Skype for Business Online, das von 21Vianet in China betrieben wird, wird am 1. Oktober 2023 eingestellt. Wenn Sie Ihre Skype for Business Online-Benutzer noch nicht aktualisiert haben, wird für sie automatisch ein unterstütztes Upgrade geplant. Wenn Sie Ihr Unternehmen selbst auf Teams aktualisieren möchten, empfehlen wir Dringend, dass Sie noch heute mit der Planung Ihres Upgradepfads beginnen. Denken Sie daran, dass ein erfolgreiches Upgrade die technische und die Benutzerbereitschaft ausrichtet. Nutzen Sie daher unseren Upgradeleitfaden , wenn Sie auf Ihrem Weg zu Teams navigieren.
Skype for Business Online, mit Ausnahme des von 21Vianet in China betriebenen Diensts, wurde am 31. Juli 2021 eingestellt.
In den folgenden Abschnitten wird beschrieben, wie Sie eine Umgebung mit mehreren Gesamtstrukturen in einem Ressourcen-/Benutzergesamtstrukturmodell konfigurieren, um Funktionen in einem Hybridszenario bereitzustellen.
Topologieanforderungen
Mehrere Benutzergesamtstrukturen werden unterstützt. Berücksichtigen Sie dabei Folgendes:
Informationen zu unterstützten Versionen von Lync Server und Skype for Business Server in einer Hybridkonfiguration finden Sie unter Planen der Hybridkonnektivität.
Exchange Server kann in einer oder mehreren Gesamtstrukturen bereitgestellt werden, die die Gesamtstruktur enthalten kann, die Skype for Business Server enthält. Stellen Sie sicher, dass Sie das neueste kumulative Update angewendet haben.
Ausführliche Informationen zur Koexistenz mit Exchange Server, einschließlich Supportkriterien und Einschränkungen in verschiedenen Kombinationen von lokal und online, finden Sie unter Featureunterstützung unter Planen der Integration von Skype for Business und Exchange.
Überlegungen zum Aufenthaltsort von Benutzern
Lokal verwaltete Skype for Business-Benutzer können Exchange lokal oder online verwalten lassen. Teams-Benutzer sollten Exchange Online verwenden, um eine optimale Erfahrung zu erzielen. Dies ist jedoch nicht erforderlich. Exchange lokal ist in beiden Fällen nicht erforderlich, um Skype for Business zu implementieren.
Konfigurieren von Gesamtstrukturvertrauensstellungen
In einer Ressourcengesamtstrukturtopologie müssen die Ressourcengesamtstrukturen, die Skype for Business Server hosten, jeder Kontogesamtstruktur vertrauen, die die Konten der Benutzer enthält, die darauf zugreifen.
Wenn Sie über mehrere Benutzergesamtstrukturen verfügen, ist es wichtig, dass das Namenssuffixrouting für jede dieser Gesamtstrukturvertrauensstellungen aktiviert ist, um die gesamtstrukturübergreifende Authentifizierung zu aktivieren. Anweisungen finden Sie unter Verwalten von Gesamtstrukturvertrauensstellungen.
Wenn Sie Exchange Server in einer anderen Gesamtstruktur bereitgestellt haben und Exchange Funktionen für Skype for Business-Benutzer bereitstellt, muss die Gesamtstruktur, die Exchange hosten, der Gesamtstruktur vertrauen, die Skype for Business Server hosten. Wenn Exchange beispielsweise in der Kontogesamtstruktur bereitgestellt wurde, ist eine bidirektionale Vertrauensstellung zwischen dem Konto und den Skype for Business-Gesamtstrukturen erforderlich.
Synchronisieren von Konten in der Gesamtstruktur, in der Skype for Business gehostet wird
Angenommen, Skype for Business Server wird in einer Gesamtstruktur (einer Ressourcengesamtstruktur) bereitgestellt, bietet benutzern jedoch Funktionen in einer oder mehreren anderen Gesamtstrukturen (Kontogesamtstrukturen). In diesem Fall müssen Benutzer in den anderen Gesamtstrukturen als deaktivierte Benutzerobjekte in der Gesamtstruktur dargestellt werden, in der Skype for Business Server bereitgestellt wird.
Sie müssen ein Identitätsverwaltungsprodukt wie Microsoft Identity Manager verwenden, um die Benutzer aus den Kontogesamtstrukturen in der Gesamtstruktur bereitzustellen und zu synchronisieren, in der Skype for Business Server bereitgestellt wird. Benutzer müssen in der Gesamtstruktur synchronisiert werden, die Skype for Business Server als deaktivierte Benutzerobjekte hosten. Benutzer können nicht als Active Directory-Kontaktobjekte synchronisiert werden, da Microsoft Entra Connect Kontakte zur Verwendung mit Skype nicht ordnungsgemäß mit der Microsoft Entra ID synchronisiert.
Unabhängig von einer Konfiguration mit mehreren Gesamtstrukturen kann die Gesamtstruktur, die Skype for Business Server hostet, auch Funktionen für alle aktivierten Benutzer bereitstellen, die in derselben Gesamtstruktur vorhanden sind.
Für eine ordnungsgemäße Identitätssynchronisierung müssen die folgenden Attribute synchronisiert werden:
Benutzergesamtstrukturen | Ressourcengesamtstrukturen |
---|---|
Gewähltes Kontenverknüpfung-Attribut |
Gewähltes Kontenverknüpfung-Attribut |
mail |
mail |
ProxyAddresses |
ProxyAddresses |
ObjectSID |
msRTCSIP-OriginatorSID |
Das ausgewählte Kontolink-Attribut wird als Quellanker verwendet. Wenn Sie über ein anderes und unveränderliches Attribut verfügen, das Sie lieber verwenden möchten, können Sie dies tun. Bearbeiten Sie einfach die AD FS-Anspruchsregel, und wählen Sie das Attribut während der Microsoft Entra Connect-Konfiguration aus.
Synchronisieren Sie die UPNs nicht zwischen den Gesamtstrukturen. Sie müssen für jede Benutzergesamtstruktur einen eindeutigen UPN verwenden, da Sie denselben UPN nicht über mehrere Gesamtstrukturen hinweg verwenden können. Daher gibt es zwei Möglichkeiten: den UPN zu synchronisieren oder nicht zu synchronisieren.
Wenn der eindeutige UPN aus jeder Benutzergesamtstruktur nicht mit dem zugeordneten deaktivierten Objekt in der Ressourcengesamtstruktur synchronisiert wurde, würde einmaliges Anmelden (Single Sign-On, SSO) zumindest für den ersten Anmeldeversuch unterbrochen werden (vorausgesetzt, der Benutzer hat die Option zum Speichern des Kennworts ausgewählt). Im Skype for Business-Client wird davon ausgegangen, dass die SIP/UPN-Werte identisch sind. Da die SIP-Adresse in diesem Szenario lautet user@company.com, aber der UPN des aktivierten Objekts in der Benutzergesamtstruktur tatsächlich user@contoso.company.comlautet, würde der erste Anmeldeversuch fehlschlagen, und der Benutzer würde zur Eingabe von Anmeldeinformationen aufgefordert. Nach der Eingabe des richtigen UPNs wird die Authentifizierungsanforderung für die Domänencontroller in der Benutzergesamtstruktur abgeschlossen, und die Anmeldung wäre erfolgreich.
Wenn der eindeutige UPN aus jeder Benutzergesamtstruktur mit dem zugeordneten deaktivierten Objekt in der Ressourcengesamtstruktur synchronisiert wurde, schlägt die AD FS-Authentifizierung fehl. Die Abgleichsregel würde den UPN für das Objekt in der Ressourcengesamtstruktur finden, der deaktiviert war und nicht für die Authentifizierung verwendet werden konnte.
Erstellen einer Microsoft 365-Organisation
Sie müssen eine Microsoft 365-Organisation bereitstellen, die mit Ihrer Bereitstellung verwendet werden kann. Weitere Informationen finden Sie unter Abonnements, Lizenzen, Konten und Mandanten für die Cloudangebote von Microsoft.
Konfigurieren von Active Directory-Verbunddiensten
Sobald Sie über einen Mandanten verfügen, müssen Sie Active Directory-Verbunddienste (AD FS) in jeder Benutzergesamtstruktur konfigurieren. Dabei wird vorausgesetzt, dass Sie eine eindeutige SIP- und SMTP-Adresse sowie einen Benutzerprinzipalnamen (UPN) für jede Gesamtstruktur haben. AD FS ist optional und wird hier verwendet, um einmaliges Anmelden (Single Sign-On, SSO) zu erhalten. DirSync mit Kennwortsynchronisierung wird ebenfalls unterstützt und kann anstelle von AD FS verwendet werden.
Es wurden nur Bereitstellungen mit übereinstimmenden SIP-/SMTP-Adressen und UPNs getestet. Wenn keine übereinstimmenden SIP/SMTP/UPNs vorhanden sind, kann die Funktionalität eingeschränkt werden, z. B. Probleme mit der Exchange-Integration und SSO.
Wenn Sie nicht einen eindeutigen SIP/SMTP/UPN für Benutzer aus jeder Gesamtstruktur verwenden, können weiterhin Probleme mit dem einmaligen Anmelden auftreten, unabhängig davon, wo AD FS bereitgestellt wird:
Uni- oder bidirektionale Vertrauensstellungen zwischen Ressourcen-/Benutzergesamtstrukturen mit einer in jeder Benutzergesamtstruktur bereitgestellten AD FS-Farm, gemeinsame SIP-/SMTP-Domäne für alle Benutzer, aber eindeutiger UPN für jede Benutzergesamtstruktur
Bidirektionale Vertrauensstellungen zwischen Ressourcen-/Benutzergesamtstrukturen mit einer nur in der Ressourcengesamtstruktur bereitgestellten AD FS-Farm, gemeinsame SIP-/SMTP-Domäne für alle Benutzer, aber eindeutiger UPN für jede Benutzergesamtstruktur
Durch die Platzierung einer ADFS-Farm in jede Benutzergesamtstruktur und die Verwendung eines eindeutigen SIP-/SMTP-/UPN-Werts für jede Gesamtstruktur können wir beide Probleme beheben. Bei Authentifizierungsversuchen werden nur Konten in dieser bestimmten Benutzergesamtstruktur gesucht und zugeordnet. Dies trägt zu einem nahtloseren Authentifizierungsprozess bei.
Diese Bereitstellung ist eine Standardbereitstellung von Windows Server 2012 R2 AD FS und sollte funktionieren, bevor Sie fortfahren. Anweisungen finden Sie unter Installieren von AD FS 2012 R2 für Microsoft 365.
Nach der Bereitstellung müssen Sie die Anspruchsregel so bearbeiten, dass sie dem zuvor ausgewählten Quellanker entspricht. Klicken Sie im AD FS-MMC unter Vertrauensstellungen der vertrauenden Seite mit der rechten Maustaste auf Microsoft 365 Identity Platform oder Microsoft Office 365 Identity Platform, und wählen Sie dann Anspruchsregeln bearbeiten aus. Bearbeiten Sie die erste Regel, und ändern Sie ObjectSID in employeeNumber.
Konfigurieren von Microsoft Entra Connect
In Ressourcengesamtstrukturtopologien ist es erforderlich, dass Benutzerattribute aus der Ressourcengesamtstruktur und allen Kontogesamtstrukturen mit der Microsoft Entra-ID synchronisiert werden. Microsoft empfiehlt, dass Microsoft Entra Connect Benutzeridentitäten aus allen Gesamtstrukturen mit aktivierten Benutzerkonten und der Gesamtstruktur, die Skype for Business enthält, synchronisiert und zusammenführt. Weitere Informationen finden Sie unter Konfigurieren von Microsoft Entra Connect für Skype for Business und Teams.
Beachten Sie, dass Microsoft Entra Connect keine lokale Synchronisierung zwischen dem Konto und den Ressourcengesamtstrukturen bereitstellt. Dies muss mithilfe von Microsoft Identity Manager oder einem ähnlichen Produkt konfiguriert werden, wie weiter oben beschrieben.
Wenn Sie sich ein Objekt im Metaverse ansehen und Microsoft Entra Connect zusammenführt, sollte folgendes angezeigt werden:
Die grün hervorgehobenen Attribute wurden aus Microsoft 365 zusammengeführt, die gelben aus der Benutzergesamtstruktur und das Blaue aus der Ressourcengesamtstruktur.
In diesem Beispiel hat Microsoft Entra Connect die Objekte sourceAnchor und cloudSourceAnchor aus dem Benutzer und die Ressourcengesamtstrukturobjekte aus Microsoft 365 identifiziert, in diesem Fall 1101– die zuvor ausgewählte employeeNumber. Microsoft Entra Connect konnte dieses Objekt mit dem, was Sie oben sehen, zusammenführen.
Weitere Informationen finden Sie unter Integrieren Ihrer lokalen Verzeichnisse in Microsoft Entra ID.
Microsoft Entra Connect sollte mit den Standardwerten installiert werden, mit Ausnahme der folgenden Situationen:
Einmaliges Anmelden– mit bereits bereitgestelltem und funktionsfähigem AD FS: Wählen Sie Nicht konfigurieren aus.
Verbinden Sie Ihre Verzeichnisse: Fügen Sie alle Domänen hinzu.
Identifizieren von Benutzern in lokalen Verzeichnissen: Wählen Sie Benutzeridentitäten sind in mehreren Verzeichnissen vorhanden, und wählen Sie die Attribute ObjectSID und msExchangeMasterAccountSID aus.
Identifizieren von Benutzern in Microsoft Entra ID: Quellanker: Wählen Sie das Attribut aus, das Sie nach dem Lesen Auswählen eines guten sourceAnchor-Attributs, Benutzerprinzipalname – userPrincipalName ausgewählt haben.
Optionale Features: Wählen Sie aus, ob Exchange Hybrid bereitgestellt wurde.
Hinweis
Wenn Sie nur Exchange Online haben, kann es aufgrund der CNAME-Umleitung zu einem Problem mit OAuth-Fehlern während der AutoErmittlung kommen. Um dies zu korrigieren, müssen Sie die Exchange AutoErmittlungs-URL festlegen, indem Sie das folgende Cmdlet in der Skype for Business Server-Verwaltungsshell ausführen:
Set-CsOAuthConfiguration -ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc
AD FS-Farm: Wählen Sie Vorhandene Windows Server 2012 R2 AD FS-Farm verwenden aus und geben Sie den Namen des AD FS-Servers ein.
Schließen Sie den Assistenten ab und führen Sie die erforderlichen Überprüfungen durch.
Konfigurieren der Hybridkonnektivität für Skype for Business Server
Befolgen Sie die bewährten Methoden für die Konfiguration von Skype for Business Hybrid. Weitere Informationen finden Sie unter Planen der Hybridkonnektivität und Konfigurieren der Hybridkonnektivität.
Konfigurieren der Hybridkonnektivität für Exchange Server
Falls erforderlich, befolgen Sie die bewährten Methoden für die Konfiguration einer Exchange-Hybridbereitstellung. Weitere Informationen finden Sie unter Exchange Server-Hybridbereitstellungen.