Bereitstellen einer Topologie mit Ressourcengesamtstruktur

  • Artikel

Wichtig

Skype for Business Online, das von 21Vianet in China betrieben wird, wird am 1. Oktober 2023 eingestellt. Wenn Sie Ihre Skype for Business Online-Benutzer noch nicht aktualisiert haben, wird für sie automatisch ein unterstütztes Upgrade geplant. Wenn Sie Ihr organization selbst auf Teams aktualisieren möchten, empfehlen wir Dringend, dass Sie noch heute mit der Planung Ihres Upgradepfads beginnen. Denken Sie daran, dass ein erfolgreiches Upgrade die technische und die Benutzerbereitschaft ausrichtet. Nutzen Sie daher unseren Upgradeleitfaden , wenn Sie auf Ihrem Weg zu Teams navigieren.

Skype for Business Online wurde mit Ausnahme des von 21Vianet in China betriebenen Diensts am 31. Juli 2021 eingestellt.

In den folgenden Abschnitten wird beschrieben, wie Sie eine Umgebung mit mehreren Gesamtstrukturen in einem Ressourcen-/Benutzergesamtstrukturmodell konfigurieren, um Funktionen in einem Hybridszenario bereitzustellen.

Umgebung mit mehreren Gesamtstrukturen für Hybrid.

Topologieanforderungen

Mehrere Benutzergesamtstrukturen werden unterstützt. Berücksichtigen Sie dabei Folgendes:

  • Informationen zu unterstützten Versionen von Lync Server und Skype for Business Server in einer Hybridkonfiguration finden Sie unter Planen der Hybridkonnektivität.

  • Exchange Server können in einer oder mehreren Gesamtstrukturen bereitgestellt werden, die die Gesamtstruktur enthalten können, die Skype for Business Server enthält. Stellen Sie sicher, dass Sie das neueste kumulative Update angewendet haben.

  • Ausführliche Informationen zur Koexistenz mit Exchange Server, einschließlich Unterstützungskriterien und Einschränkungen in verschiedenen Kombinationen von lokal und online, finden Sie unter Featureunterstützung unter Planen der Integration von Skype for Business und Exchange.

Überlegungen zum Aufenthaltsort von Benutzern

Skype for Business Benutzern, die lokal verwaltet werden, kann Exchange lokal oder online verwaltet werden. Teams-Benutzer sollten Exchange Online verwenden, um eine optimale Erfahrung zu erzielen. Dies ist jedoch nicht erforderlich. Exchange lokal ist in beiden Fällen nicht erforderlich, um Skype for Business zu implementieren.

Konfigurieren von Gesamtstrukturvertrauensstellungen

In einer Ressourcengesamtstrukturtopologie müssen die Ressourcengesamtstrukturen, die Skype for Business Server hosten, jeder Kontogesamtstruktur vertrauen, die die Konten enthält, die darauf zugreifen.

Wenn Sie über mehrere Benutzergesamtstrukturen verfügen, ist es wichtig, dass das Namenssuffixrouting für jede dieser Gesamtstrukturvertrauensstellungen aktiviert ist, um die gesamtstrukturübergreifende Authentifizierung zu aktivieren. Anweisungen finden Sie unter Verwalten von Gesamtstrukturvertrauensstellungen.

Wenn Sie Exchange Server in einer anderen Gesamtstruktur bereitgestellt haben und Exchange Funktionen für Skype for Business Benutzer bereitstellt, muss die Gesamtstruktur, die Exchange hosten, der Gesamtstruktur vertrauen, die Skype for Business Server hosten. Wenn Exchange beispielsweise in der Kontogesamtstruktur bereitgestellt wurde, ist eine bidirektionale Vertrauensstellung zwischen dem Konto und den Skype for Business Gesamtstrukturen erforderlich.

Synchronisieren von Konten in der Gesamtstruktur, die Skype for Business

Angenommen Skype for Business Server in einer Gesamtstruktur (einer Ressourcengesamtstruktur) bereitgestellt wird, aber Benutzern in einer oder mehreren anderen Gesamtstrukturen (Kontogesamtstrukturen) Funktionen bereitstellt. In diesem Fall müssen Benutzer in den anderen Gesamtstrukturen als deaktivierte Benutzerobjekte in der Gesamtstruktur dargestellt werden, in der Skype for Business Server bereitgestellt wird.

Sie müssen ein Identitätsverwaltungsprodukt wie Microsoft Identity Manager verwenden, um die Benutzer aus den Kontogesamtstrukturen in der Gesamtstruktur bereitzustellen und zu synchronisieren, in der Skype for Business Server bereitgestellt wird. Benutzer müssen mit der Gesamtstruktur synchronisiert werden, die Skype for Business Server als deaktivierte Benutzerobjekte hosten. Benutzer können nicht als Active Directory-Kontaktobjekte synchronisiert werden, da Microsoft Entra Connect Kontakte nicht ordnungsgemäß in Microsoft Entra ID für die Verwendung mit Skype synchronisiert.

Unabhängig von einer Konfiguration mit mehreren Gesamtstrukturen kann die Gesamtstruktur, die Skype for Business Server hostet, auch Funktionen für alle aktivierten Benutzer bereitstellen, die in derselben Gesamtstruktur vorhanden sind.

Für eine ordnungsgemäße Identitätssynchronisierung müssen die folgenden Attribute synchronisiert werden:

Benutzergesamtstrukturen Ressourcengesamtstrukturen
Gewähltes Kontenverknüpfung-Attribut
 Gewähltes Kontenverknüpfung-Attribut
mail
mail
ProxyAddresses
 ProxyAddresses
ObjectSID
 msRTCSIP-OriginatorSID

Das ausgewählte Kontolink-Attribut wird als Quellanker verwendet. Wenn Sie über ein anderes und unveränderliches Attribut verfügen, das Sie lieber verwenden möchten, können Sie dies tun. Bearbeiten Sie einfach die AD FS-Anspruchsregel, und wählen Sie das Attribut während der Microsoft Entra Connect-Konfiguration aus.

Synchronisieren Sie die UPNs nicht zwischen den Gesamtstrukturen. Sie müssen für jede Benutzergesamtstruktur einen eindeutigen UPN verwenden, da Sie denselben UPN nicht über mehrere Gesamtstrukturen hinweg verwenden können. Daher gibt es zwei Möglichkeiten: den UPN zu synchronisieren oder nicht zu synchronisieren.

  • Wenn der eindeutige UPN aus jeder Benutzergesamtstruktur nicht mit dem zugeordneten deaktivierten Objekt in der Ressourcengesamtstruktur synchronisiert wurde, würde einmaliges Anmelden (Single Sign-On, SSO) zumindest für den ersten Anmeldeversuch unterbrochen werden (vorausgesetzt, der Benutzer hat die Option zum Speichern des Kennworts ausgewählt). Im Skype for Business-Client wird davon ausgegangen, dass die SIP/UPN-Werte identisch sind. Da die SIP-Adresse in diesem Szenario lautet user@company.com, aber der UPN des aktivierten Objekts in der Benutzergesamtstruktur tatsächlich user@contoso.company.comlautet, würde der erste Anmeldeversuch fehlschlagen, und der Benutzer würde zur Eingabe von Anmeldeinformationen aufgefordert. Nach der Eingabe des richtigen UPNs wird die Authentifizierungsanforderung für die Domänencontroller in der Benutzergesamtstruktur abgeschlossen, und die Anmeldung wäre erfolgreich.

  • Wenn der eindeutige UPN aus jeder Benutzergesamtstruktur mit dem zugeordneten deaktivierten Objekt in der Ressourcengesamtstruktur synchronisiert wurde, schlägt die AD FS-Authentifizierung fehl. Die Abgleichsregel würde den UPN für das Objekt in der Ressourcengesamtstruktur finden, der deaktiviert war und nicht für die Authentifizierung verwendet werden konnte.

Erstellen einer Microsoft 365-organization

Sie müssen einen Microsoft 365-organization bereitstellen, der mit Ihrer Bereitstellung verwendet werden kann. Weitere Informationen finden Sie unter Abonnements, Lizenzen, Konten und Mandanten für die Cloudangebote von Microsoft.

Konfigurieren von Active Directory-Verbunddienste (AD FS)

Sobald Sie über einen Mandanten verfügen, müssen Sie Active Directory-Verbunddienste (AD FS) (AD FS) in jeder Benutzergesamtstruktur konfigurieren. Dabei wird vorausgesetzt, dass Sie eine eindeutige SIP- und SMTP-Adresse sowie einen Benutzerprinzipalnamen (UPN) für jede Gesamtstruktur haben. AD FS ist optional und wird hier verwendet, um einmaliges Anmelden (Single Sign-On, SSO) zu erhalten. DirSync mit Kennwortsynchronisierung wird ebenfalls unterstützt und kann anstelle von AD FS verwendet werden.

Es wurden nur Bereitstellungen mit übereinstimmenden SIP-/SMTP-Adressen und UPNs getestet. Wenn keine übereinstimmenden SIP/SMTP/UPNs vorhanden sind, kann die Funktionalität eingeschränkt werden, z. B. Probleme mit der Exchange-Integration und SSO.

Wenn Sie nicht einen eindeutigen SIP/SMTP/UPN für Benutzer aus jeder Gesamtstruktur verwenden, können weiterhin Probleme mit dem einmaligen Anmelden auftreten, unabhängig davon, wo AD FS bereitgestellt wird:

  • Uni- oder bidirektionale Vertrauensstellungen zwischen Ressourcen-/Benutzergesamtstrukturen mit einer in jeder Benutzergesamtstruktur bereitgestellten AD FS-Farm, gemeinsame SIP-/SMTP-Domäne für alle Benutzer, aber eindeutiger UPN für jede Benutzergesamtstruktur

  • Bidirektionale Vertrauensstellungen zwischen Ressourcen-/Benutzergesamtstrukturen mit einer nur in der Ressourcengesamtstruktur bereitgestellten AD FS-Farm, gemeinsame SIP-/SMTP-Domäne für alle Benutzer, aber eindeutiger UPN für jede Benutzergesamtstruktur

Durch die Platzierung einer ADFS-Farm in jede Benutzergesamtstruktur und die Verwendung eines eindeutigen SIP-/SMTP-/UPN-Werts für jede Gesamtstruktur können wir beide Probleme beheben. Bei Authentifizierungsversuchen werden nur Konten in dieser bestimmten Benutzergesamtstruktur gesucht und zugeordnet. Damit kann ein nahtloserer Authentifizierungsprozess bereitgestellt werden.

Diese Bereitstellung ist eine Standardbereitstellung des Windows Server 2012 R2 AD FS und sollte funktionieren, bevor Sie fortfahren. Anweisungen finden Sie unter Installieren von AD FS 2012 R2 für Microsoft 365.

Nach der Bereitstellung müssen Sie die Anspruchsregel so bearbeiten, dass sie dem zuvor ausgewählten Quellanker entspricht. Klicken Sie im AD FS MMC unter Vertrauensstellungen der vertrauenden Seite mit der rechten Maustaste auf Microsoft 365 Identity Platform oder Microsoft Office 365 Identity Platform, und wählen Sie dann Anspruchsregeln bearbeiten aus. Bearbeiten Sie die erste Regel, und ändern Sie ObjectSID in employeeNumber.

Bildschirm

Konfigurieren von Microsoft Entra Connect

In Ressourcengesamtstrukturtopologien ist es erforderlich, dass Benutzerattribute aus der Ressourcengesamtstruktur und allen Kontogesamtstrukturen in Microsoft Entra ID synchronisiert werden. Microsoft empfiehlt, dass Microsoft Entra Connect Benutzeridentitäten aus allen Gesamtstrukturen mit aktivierten Benutzerkonten und der Gesamtstruktur, die Skype for Business enthält, synchronisieren und zusammenführen. Weitere Informationen finden Sie unter Konfigurieren von Microsoft Entra Connect für Skype for Business und Teams.

Beachten Sie, dass Microsoft Entra Connect keine lokale Synchronisierung zwischen dem Konto und den Ressourcengesamtstrukturen bereitstellt. Dies muss mithilfe von Microsoft Identity Manager oder einem ähnlichen Produkt konfiguriert werden, wie weiter oben beschrieben.

Wenn Sie fertig sind und Microsoft Entra Connect zusammengeführt wird, sollte beim Betrachten eines Objekts in der Metaverse etwas ähnliches wie folgt angezeigt werden:

Metaverse-Objektbildschirm mit mehreren Gesamtstrukturen.

Die grün hervorgehobenen Attribute wurden aus Microsoft 365 zusammengeführt, die gelben aus der Benutzergesamtstruktur und das Blaue aus der Ressourcengesamtstruktur.

In diesem Beispiel hat Microsoft Entra Connect die Objekte sourceAnchor und cloudSourceAnchor aus dem Benutzer und die Ressourcengesamtstrukturobjekte von Microsoft 365 identifiziert, in diesem Fall 1101 – die zuvor ausgewählte employeeNumber. Microsoft Entra Connect konnte dieses Objekt mit dem oben angezeigten Objekt zusammengeführt werden.

Weitere Informationen finden Sie unter Integrieren Ihrer lokalen Verzeichnisse in Microsoft Entra ID.

Microsoft Entra Connect sollte mit den Standardwerten installiert werden, mit Ausnahme der folgenden Situationen:

  1. Einmaliges Anmelden– mit bereits bereitgestelltem und funktionsfähigem AD FS: Wählen Sie Nicht konfigurieren aus.

  2. Verbinden Sie Ihre Verzeichnisse: Fügen Sie alle Domänen hinzu.

  3. Identifizieren von Benutzern in lokalen Verzeichnissen: Wählen Sie Benutzeridentitäten sind in mehreren Verzeichnissen vorhanden, und wählen Sie die Attribute ObjectSID und msExchangeMasterAccountSID aus.

  4. Identifizieren von Benutzern in Microsoft Entra ID: Quellanker: Wählen Sie das Attribut aus, das Sie nach dem Lesen Auswählen eines guten sourceAnchor-Attributs, Benutzerprinzipalname – UserPrincipalName ausgewählt haben.

  5. Optionale Features: Wählen Sie aus, ob Exchange Hybrid bereitgestellt wurde.

    Hinweis

    Wenn Sie nur Exchange Online haben, kann es aufgrund der CNAME-Umleitung zu einem Problem mit OAuth-Fehlern während der AutoErmittlung kommen. Um dies zu beheben, müssen Sie die Exchange AutoErmittlungs-URL festlegen, indem Sie das folgende Cmdlet in der Skype for Business Server-Verwaltungsshell ausführen:

    Set-CsOAuthConfiguration -ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc

  6. AD FS-Farm: Wählen Sie Vorhandene Windows Server 2012 R2 AD FS-Farm verwenden aus und geben Sie den Namen des AD FS-Servers ein.

  7. Schließen Sie den Assistenten ab und führen Sie die erforderlichen Überprüfungen durch.

Konfigurieren der Hybridkonnektivität für Skype for Business Server

Befolgen Sie die bewährten Methoden zum Konfigurieren Skype for Business Hybrids. Weitere Informationen finden Sie unter Planen der Hybridkonnektivität und Konfigurieren der Hybridkonnektivität.

Konfigurieren der Hybridkonnektivität für Exchange Server

Falls erforderlich, befolgen Sie die bewährten Methoden für die Konfiguration einer Exchange-Hybridbereitstellung. Weitere Informationen finden Sie unter Exchange Server Hybridbereitstellungen.