Konfigurieren von Partneranwendungen in Skype for Business Server und Exchange Server

  • Artikel

Zusammenfassung: Konfigurieren Sie die Server-zu-Server-Authentifizierung für Exchange Server 2016 oder Exchange Server 2013 und Skype for Business Server.

Die Server-zu-Server-Authentifizierung erfordert in der Regel zwei Server, die miteinander kommunizieren müssen, und einen Partnersicherheitstokenserver. Wenn Server A und Server B kommunizieren müssen, beginnen beide Server in der Regel, indem sie einen Tokenserver kontaktieren und ein gegenseitig vertrauenswürdiges Sicherheitstoken abrufen. Server A präsentiert das Sicherheitstoken dann Server B (und umgekehrt), womit beide ihre Authentizität und Vertrauenswürdigkeit nachweisen.

Dies ist jedoch eine allgemeine Regel. Skype for Business Server, Exchange Server 2016, Exchange Server 2013 und SharePoint Server 2013 müssen bei der Kommunikation untereinander keinen Partnertokenserver verwenden. Das liegt daran, dass diese Serverprodukte Sicherheitstoken erstellen können, die voneinander akzeptiert werden können, ohne dass ein separater Tokenserver erforderlich ist. (Diese Funktion ist nur in Skype for Business Server, Exchange Server 2016, Exchange Server 2013 und SharePoint Server 2013 verfügbar. Wenn Sie die Server-zu-Server-Authentifizierung mit anderen Servern einrichten müssen, einschließlich anderer Microsoft-Serverprodukte, müssen Sie dazu einen Partnertokenserver verwenden.)

Um die Server-zu-Server-Authentifizierung zwischen Skype for Business Server und Exchange Server einzurichten, müssen Sie zwei Schritte ausführen: 1) Sie müssen jedem Server die entsprechenden Zertifikate zuweisen, und 2) Sie müssen jeden Server als Partneranwendung des anderen Servers konfigurieren: Das bedeutet, dass Sie konfigurieren müssen. Skype for Business Server eine Partneranwendung für Exchange Server sein, und Sie müssen Exchange Server als Partneranwendung für Skype for Business Server konfigurieren.

Konfigurieren von Skype for Business Server als Partneranwendung für Exchange Server

Die einfachste Möglichkeit, Skype for Business Server als Partneranwendung mit Exchange Server 2016 oder Exchange Server 2013 zu konfigurieren, besteht darin, das Configure-EnterprisePartnerApplication.ps1-Skript auszuführen, ein Windows PowerShell Skript, das im Lieferumfang von Exchange Server. Zum Ausführen dieses Skripts müssen Sie die URL für das Dokument mit den Skype for Business Server Authentifizierungsmetadaten angeben. Dies ist in der Regel der vollqualifizierte Domänenname des Skype for Business Server Pools gefolgt vom Suffix /metadata/json/1. Zum Beispiel: 

https://atl-cs-001.litwareinc.com/metadata/json/1

Um Skype for Business Server als Partneranwendung zu konfigurieren, öffnen Sie die Exchange-Verwaltungsshell, und führen Sie einen Befehl ähnlich dem folgenden aus (vorausgesetzt, dass Exchange auf Laufwerk C: installiert wurde und den Standardordnerpfad verwendet):

"C:\Program Files\Microsoft\Exchange Server\V15\Scripts\Configure-EnterprisePartnerApplication.ps1 -AuthMetaDataUrl 'https://atl-cs-001.litwareinc.com/metadata/json/1' -ApplicationType Lync"

Nach dem Konfigurieren der Partneranwendung wird empfohlen, Internetinformationsdienste (IIS) auf Ihrem Exchange-Postfach und den Clientzugriffsservern zu beenden und neu zu starten. Sie können IIS mit einem Befehl wie diesem neu starten, der den Dienst auf dem Computer atl-exchange-001 neu startet:

iisreset atl-exchange-001

Dieser Befehl kann in der Exchange-Verwaltungsshell oder in einem beliebigen anderen Befehlsfenster ausgeführt werden, das unter Administratorrechten ausgeführt wird.

Konfigurieren von Exchange Server als Partneranwendung für Skype for Business Server

Nachdem Sie Skype for Business Server als Partneranwendung für Exchange Server 2016 oder Exchange Server 2013 konfiguriert haben, müssen Sie Exchange Server als Partneranwendung für konfigurieren. Skype for Business Server. Dazu können Sie die Skype for Business Server-Verwaltungsshell verwenden und das Dokument mit den Authentifizierungsmetadaten für Exchange angeben. Dies ist in der Regel der URI des Exchange-AutoErmittlungsdiensts, gefolgt vom Suffix /metadata/json/1. Zum Beispiel: 

https://autodiscover.litwareinc.com/autodiscover/metadata/json/1

In Skype for Business Server werden Partneranwendungen mithilfe des Cmdlets New-CsPartnerApplication konfiguriert. Zusätzlich zur Angabe des Metadaten-URI sollten Sie auch die Vertrauensstufe der Anwendung auf Full festlegen. Dadurch kann Exchange sowohl sich selbst als auch alle autorisierten Benutzer im Bereich darstellen. Zum Beispiel: 

New-CsPartnerApplication -Identity Exchange -ApplicationTrustLevel Full -MetadataUrl "https://autodiscover.litwareinc.com/autodiscover/metadata/json/1"

Alternativ können Sie eine Partneranwendung erstellen, indem Sie den Skriptcode in der Skype for Business Server Dokumentation zur Server-zu-Server-Authentifizierung kopieren und ändern. Weitere Informationen finden Sie im Artikel Verwalten von Server-zu-Server-Authentifizierung (OAuth) und Partneranwendungen in Skype for Business Server.

Wenn Sie Partneranwendungen sowohl für Skype for Business Server als auch für Exchange Server erfolgreich konfiguriert haben, haben Sie auch die Server-zu-Server-Authentifizierung zwischen den beiden Produkten erfolgreich konfiguriert. Skype for Business Server enthält das Windows PowerShell Cmdlet Test-CsExStorageConnectivity, mit dem Sie überprüfen können, ob die Server-zu-Server-Authentifizierung ordnungsgemäß konfiguriert wurde und der Skype for Business Server Storage Service eine Verbindung mit herstellen kann. Exchange Server. Dazu stellt das Cmdlet eine Verbindung mit dem Postfach eines Exchange Server Benutzers her, schreibt ein Element für diesen Benutzer in den Ordner Unterhaltungsverlauf und löscht dann (optional) dieses Element.

Um die Integration von Skype for Business Server und Exchange Server zu testen, führen Sie in der Skype for Business Server-Verwaltungsshell einen Befehl ähnlich dem folgenden aus:

Test-CsExStorageConnectivity -SipUri "sip:kenmyer@litwareinc.com"

Im vorherigen Befehl stellt der SipUri die SIP-Adresse eines Benutzers mit einem Konto auf Exchange Server dar. Ihr Befehl schlägt fehl, da es sich dabei nicht um ein gültiges Benutzerkonto handelt.

Hinweis

Wenn Sie eine 401-Antwort von diesem Cmdlet erhalten, liegt dies wahrscheinlich daran, dass die Standardkonfiguration für Exchange keine Unterstützung für das Akzeptieren von Oauth-Token enthält. Weitere Informationen zur Verwendung von Oauth in Exchange finden Sie unter Konfigurieren der OAuth-Authentifizierung mit SharePoint 2013 und Skype for Business Server.

Wenn der Test erfolgreich ist und die Konnektivität hergestellt wurde, können Sie mit der Konfiguration optionaler Features fortfahren, z. B. die Archivierungsintegration und den einheitlichen Kontaktspeicher.