Compartir a través de


Implementación del recurso de topología entre bosques

Importante

Skype Empresarial Online a través de 21Vianet en China se retirará el 1 de octubre de 2023. Si aún no ha actualizado a sus usuarios de Skype Empresarial Online, se programarán automáticamente para una actualización asistida. Si quiere actualizar su organización a Teams usted mismo, le recomendamos que empiece a planear la ruta de actualización hoy mismo. Recuerde que una actualización correcta alinea la preparación técnica y de usuario, por lo que debe asegurarse de aprovechar nuestras instrucciones de actualización mientras se desplaza a Teams.

Skype Empresarial Online, excluyendo el servicio operado por 21Vianet en China, se retiró el 31 de julio de 2021.

En las secciones siguientes se describe cómo configurar un entorno que tiene varios bosques en un modelo de bosque de recursos o usuarios para proporcionar funcionalidad en un escenario híbrido.

Entorno multi foresto para híbrido.

Requisitos de topología

Se admiten varios bosques de usuarios. Tenga en cuenta lo siguiente:

  • Para ver las versiones compatibles de Lync Server y Skype Empresarial Server en una configuración híbrida, consulte Planear la conectividad híbrida.

  • Exchange Server se puede implementar en uno o más bosques, lo que puede incluir o no el bosque que contiene Skype Empresarial Server. Asegúrese de que ha aplicado la actualización acumulativa más reciente.

  • Para obtener información detallada sobre la coexistencia con Exchange Server, incluidos los criterios de soporte técnico y las limitaciones en varias combinaciones de local y en línea, consulte Compatibilidad de características en Plan para integrar Skype Empresarial y Exchange.

Consideraciones sobre el hospedaje de usuarios

Los usuarios de Skype Empresarial alojados localmente pueden tener Exchange alojado en local o en línea. Los usuarios de Teams deben usar Exchange Online para disfrutar de una experiencia óptima; sin embargo, esto no es necesario. Exchange local no es necesario para implementar Skype Empresarial en ningún caso.

Configurar confianzas de bosques

En una topología de bosque de recursos, los bosques de recursos que hospedan Skype Empresarial Server deben confiar en cada bosque de cuentas que contenga las cuentas de los usuarios que tienen acceso a él.

Si tiene varios bosques de usuarios, para habilitar la autenticación entre bosques, es importante que el enrutamiento de sufijos de nombres esté habilitado para cada una de estas confianzas del bosque. Para obtener instrucciones, vea Administrar confianzas de bosques.

Si tiene Exchange Server implementado en otro bosque y Exchange proporciona funcionalidad para los usuarios de Skype Empresarial, el bosque en el que se hospeda Exchange debe confiar en el bosque que hospeda Skype Empresarial Server. Por ejemplo, si Exchange se implementó en el bosque de cuentas, se requiere una confianza bidireccional entre la cuenta y los bosques de Skype Empresarial.

Sincronizar cuentas en el bosque donde se hospeda Skype Empresarial

Suponga que Skype Empresarial Server se implementa en un bosque (un bosque de recursos), pero proporciona funcionalidad a los usuarios de uno o más bosques (bosques de cuentas). En este caso, los usuarios de los otros bosques deben estar representados como objetos de usuario deshabilitados en el bosque donde se implementa Skype Empresarial Server.

Debe usar un producto de administración de identidades, como Microsoft Identity Manager, para aprovisionar y sincronizar los usuarios de los bosques de cuentas en el bosque donde se implementa Skype Empresarial Server. Los usuarios deben sincronizarse en el bosque que hospeda Skype Empresarial Server como objetos de usuario deshabilitados. Los usuarios no se pueden sincronizar como objetos de contacto de Active Directory, porque Microsoft Entra Connect no sincronizará correctamente los contactos en el id. de Entra de Microsoft para su uso con Skype.

Independientemente de cualquier configuración de varios bosques, el bosque que hospeda Skype Empresarial Server también puede proporcionar funcionalidad para cualquier usuario habilitado que exista en el mismo bosque.

Para obtener una sincronización de identidades adecuada, deben sincronizarse los siguientes atributos:

Bosques de usuarios Bosques de recursos
atributo de vínculo de cuenta elegida
atributo de vínculo de cuenta elegida
mail
mail
ProxyAddresses
ProxyAddresses
ObjectSID
msRTCSIP-OriginatorSID

El atributo de vínculo de cuenta elegido se usará como delimitador de origen. Si tiene un atributo diferente e inmutable que prefiere usar, puede hacerlo; asegúrese de editar la regla de notificaciones de AD FS y seleccione el atributo durante la configuración de Microsoft Entra Connect.

No sincronice los UPN entre los bosques. Debe usar un UPN único para cada bosque de usuarios, ya que no puede usar el mismo UPN en varios bosques. Como resultado, hay dos posibilidades: sincronizar el UPN o no sincronizar.

  • Si el UPN único de cada bosque de usuarios no se sincronizó con el objeto deshabilitado asociado en el bosque de recursos, se rompería el inicio de sesión único (SSO) al menos durante el intento de inicio de sesión inicial (suponiendo que el usuario hubiera seleccionado la opción de guardar la contraseña). En el cliente de Skype Empresarial, suponemos que los valores SIP/UPN son los mismos. Dado que la dirección SIP en este escenario es user@company.com, pero el UPN del objeto habilitado en el bosque de usuarios es, de hecho user@contoso.company.com, el intento inicial de inicio de sesión produce un error y se le pedirá al usuario que escriba las credenciales. Al introducir el UPN correcto, la solicitud de autenticación se completaría con los controladores de dominio en el bosque del usuario y el inicio de sesión se realizaría correctamente.

  • Si el UPN único de cada bosque de usuarios se sincronizó con el objeto deshabilitado asociado en el bosque de recursos, se produciría un error en la autenticación de AD FS. La regla coincidente buscaría el UPN en el objeto en el bosque de recursos, que se deshabilitó y no se pudo usar para la autenticación.

Crear una organización de Microsoft 365

Tendrá que aprovisionar una organización de Microsoft 365 para usarla con la implementación. Para obtener más información, consulta Suscripciones, licencias, cuentas e inquilinos para las ofertas en la nube de Microsoft.

Configurar Servicios de federación de Active Directory

Una vez que tenga un inquilino, tendrá que configurar Servicios de federación de Active Directory (AD FS) en cada uno de los bosques de usuarios. Se presupone que tiene un SIP, una dirección SMTP y un nombre principal de usuario (UPN) únicos para cada bosque. AD FS es opcional y se usa aquí para obtener el inicio de sesión único (SSO). También se admite Dirsync con la sincronización de contraseñas, y también se puede usar en lugar de AD FS.

Solo se probaron implementaciones con SIP/SMTP y UPN coincidentes. Si no se tienen conexiones SIP/SMTP/UPN, es posible que se reduzca la funcionalidad, como problemas con la integración y el SSO de Exchange.

A menos que use un SIP/SMTP/UPN único para los usuarios de cada bosque, aún puede tener problemas de SSO, independientemente de dónde se implemente AD FS:

  • En confianzas unidireccionales o bidireccionales entre bosques de usuarios/recursos con una granja de AD FS implementada en cada bosque de usuarios, todos los usuarios comparten un mismo dominio SIP/SMTP, pero un único UPN para cada bosque de usuarios.

  • En confianzas bidireccionales entre bosques de usuarios con una granja de AD FS implementada únicamente en bosque de recursos, todos los usuarios comparten un mismo dominio SIP/SMTP, pero un único UPN para cada bosque de usuarios.

Al colocar una granja de AD FS en cada bosque de usuarios y un SIP/SMTP/UPN único para cada bosque, se solucionan dos problemas. Durante los intentos de autenticación, solo se buscarían e identificarían las cuentas del bosque de usuarios específico. Esto ayuda a proporcionar un proceso de autenticación más perfecto.

Esta implementación es una implementación estándar de Windows Server 2012 R2 AD FS y debería funcionar antes de continuar. Para obtener instrucciones, consulte Cómo instalar AD FS 2012 R2 para Microsoft 365.

Una vez implementado, debe editar la regla de notificaciones para que coincida con el delimitador de origen seleccionado anteriormente. En MMC de AD FS, en Confianzas de terceros de confianza, haga clic con el botón derecho en Plataforma de identidad de Microsoft 365 o Plataforma de identidad de Microsoft Office 365 y, a continuación, seleccione Editar reglas de reclamación. Edite la primera regla y cambie ObjectSID a employeeNumber.

Pantalla Editar reglas de varios bosques.

Configurar Microsoft Entra Connect

En las topologías de bosques de recursos, es necesario que los atributos de usuario del bosque de recursos y de los bosques de cuentas se sincronicen con el id. de Entra de Microsoft. Microsoft recomienda que Microsoft Entra Connect sincronice y combine identidades de usuario de todos los bosques que tengan cuentas de usuario habilitadas y el bosque que contiene Skype Empresarial. Para obtener más información, consulte Configurar Microsoft Entra Connect para Skype Empresarial y Teams.

Tenga en cuenta que Microsoft Entra Connect no proporciona sincronización local entre la cuenta y los bosques de recursos. Debe configurarse mediante Microsoft Identity Manager o un producto similar, como se ha descrito anteriormente.

Cuando haya terminado y Microsoft Entra Connect se está fusionando, si mira un objeto en el metaverso, debería ver algo similar a lo siguiente:

Pantalla de objetos Metaverso de varios bosques.

Los atributos resaltados en verde se combinaron de Microsoft 365, los amarillos son del bosque de usuarios y los azules, del bosque de recursos.

En este ejemplo, Microsoft Entra Connect ha identificado el sourceAnchor y el cloudSourceAnchor del usuario y los objetos del bosque de recursos de Microsoft 365, en este caso 1101: el employeeNumber seleccionado anteriormente. Microsoft Entra Connect fue capaz de combinar este objeto en lo que ves anteriormente.

Para obtener más información, vea Integrar los directorios locales con id. de Microsoft Entra.

Microsoft Entra Connect debe instalarse con los valores predeterminados, excepto para las situaciones siguientes:

  1. Inicio de sesión único: con AD FS ya implementado y funcionando: seleccione No configurar.

  2. Conectar los directorios: Agregue todos los dominios.

  3. Identificar usuarios en directorios locales: Seleccione Existen identidades de usuario en varios directorios y seleccione los atributos ObjectSID y msExchangeMasterAccountSID .

  4. Identificar usuarios en Microsoft Entra ID: Delimitador de origen: seleccione el atributo que ha elegido después de leer Seleccionar un atributo sourceAnchor correcto, User Principal Name - userPrincipalName.

  5. Características opcionales: seleccione si tiene implementado un sistema híbrido de Exchange.

    Nota

    Si solo tiene Exchange Online, es posible que haya un problema con errores de OAuth durante la detección automática debido a la redirección de CNAME. Para corregir esto, tendrá que establecer la dirección URL de Detección automática de Exchange ejecutando el siguiente cmdlet desde el Shell de administración de Skype Empresarial Server:

    Set-CsOAuthConfiguration -ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc 
    
  6. Granja de AD FS: seleccione Usar una granja de AD FS existente de Windows Server 2012 R2 y escriba el nombre del servidor de AD FS.

  7. Finalice el asistente y realice las validaciones necesarias.

Configurar la conectividad híbrida para Skype Empresarial Server

Siga los procedimientos recomendados para configurar la implementación híbrida de Skype Empresarial. Para obtener más información, vea Planear la conectividad híbrida y Configurar la conectividad híbrida.

Configurar la conectividad híbrida para Exchange Server

Si es necesario, siga los procedimientos recomendados para realizar la configuración híbrida de Exchange. Para obtener más información, vea Implementaciones híbridas de Exchange Server.