Requisitos del sistema para Skype Empresarial Server 2019
Resumen: Prepárese para instalar Skype Empresarial Server 2019 con la ayuda de este artículo. Hardware, sistema operativo, software, bases de datos, certificados, Active Directory, DNS y archivos compartidos están cubiertos aquí. Todos los requisitos y recomendaciones del sistema están aquí para ayudar a garantizar una instalación e implementación correctas de la granja de servidores.
Como es de esperar, hay algunos preparativos que realizar antes de comenzar a implementar Skype Empresarial Server 2019. Este artículo le guiará a través de la planeación de:
Hardware para Skype Empresarial Server 2019
Una vez establecida la topología (y si no lo hace, puede consultar el artículo Conceptos básicos de la topología para Skype Empresarial Server 2019 ), es el momento de pensar en los servidores. El servidor de Skype Empresarial Server 2019 requiere hardware de 64 bits. Nuestras recomendaciones de hardware se enumeran en las tablas siguientes. Estos no son requisitos, pero reflejan los requisitos necesarios para un rendimiento óptimo. Tenemos documentación de planificación de capacidad que le ayuda a determinar si necesita más de estos requisitos, dependiendo de sus circunstancias.
Hardware recomendado para servidores Standard Edition
Componente de hardware | Recomendado |
---|---|
CPU | Procesador dual Intel Xeon E5-2673 v3, 6 núcleos, 2,4 gigahercios (GHz) o superior. Los procesadores Intel Itanium no son compatibles con los roles de Skype Empresarial Server 2019. |
Memoria | 32 gigabytes (GB). |
Disco | O • Ocho o más unidades de disco duro de 10.000 RPM con al menos 72 GB de espacio libre (dos de los discos que usan RAID 1 y 6 con RAID 10). O BIEN • Unidades de estado sólido (SSD) capaces de proporcionar el mismo espacio libre y un rendimiento similar a ocho discos mecánicos de 10.000 RPM. |
Red | Un adaptador de red de doble puerto, 1 Gbps o superior (se pueden usar dos adaptadores de red, pero tienen que estar asociados con una única dirección MAC y una única dirección IP). Las configuraciones duales o multi-hogar no son compatibles con los servidores front-end, back-end y standard edition. Puede tener sistemas de gestión fuera de banda, como DRAC o OIT, siempre y cuando no estén expuestos al sistema operativo y se usen para supervisar y administrar el hardware del servidor. Este escenario no constituye un servidor multi-hogar y es compatible. |
Hardware recomendado para servidores front-end y back-end
Componente de hardware | Recomendado |
---|---|
CPU | Procesador dual Intel Xeon E5-2673 v3, 6 núcleos, 2,4 gigahercios (GHz) o superior. Los procesadores Intel Itanium no son compatibles con los roles de Skype Empresarial Server 2019. |
Memoria | 64 gigabytes (GB). |
Disco | O • Ocho o más unidades de disco duro de 10.000 RPM con al menos 72 GB de espacio libre (dos de los discos que usan RAID 1 y 6 con RAID 10). O BIEN • Unidades de estado sólido (SSD) capaces de proporcionar el mismo espacio libre y un rendimiento similar a ocho discos mecánicos de 10.000 RPM. |
Red | Un adaptador de red de doble puerto, 1 Gbps o superior (se pueden usar dos adaptadores de red, pero tienen que estar asociados con una única dirección MAC y una única dirección IP). Las configuraciones duales o multi-hogar no son compatibles con los servidores front-end, back-end y standard edition. Puede tener sistemas de gestión fuera de banda, como DRAC o OIT, siempre y cuando no estén expuestos al sistema operativo y se usen para supervisar y administrar el hardware del servidor. Este escenario no constituye un servidor multi-hogar y es compatible. |
Hardware recomendado para servidores perimetrales, servidores de mediación independientes y directores
Componente de hardware | Recomendado |
---|---|
CPU | Procesador dual Intel Xeon E5-2673 v3, 6 núcleos, 2,4 gigahercios (GHz) o superior. Los procesadores Intel Itanium no son compatibles con los roles de Skype Empresarial Server 2019. |
Memoria | 32 gigabytes. |
Disco | O • Cuatro o más unidades de disco duro de 10.000 RPM con al menos 72 GB de espacio libre (los discos deben estar en una configuración raid 1 de 2x). O BIEN • Unidades de estado sólido (SSD) capaces de proporcionar el mismo espacio libre y un rendimiento similar a cuatro unidades de disco mecánicas de 10.000 RPM. |
Red | Un adaptador de red de doble puerto, 1 Gbps o superior (se pueden usar dos adaptadores de red, pero tienen que estar asociados con una única dirección MAC y una única dirección IP). Las configuraciones duales o multi-hogar no son compatibles con los servidores y directores de interoperabilidad de video. Los servidores perimetrales requieren dos interfaces de red que son adaptadores de red de doble puerto, 1 Gbps o superior (o dos adaptadores de red emparejados, para un total de cuatro, cada par que se asocia con una única dirección MAC y una única dirección IP, para un total de dos pares). En servidores de mediación independientes, se admite la instalación de tarjetas de interfaz de red adicionales (NIC) para permitir la configuración de una dirección IP RTC específica. |
Nota
Independientemente del rol de servidor, también recomendamos la siguiente configuración de hardware para Skype Empresarial Server 2019 (la configuración puede variar en función de la marca de hardware que haya comprado, así que consulte la documentación del fabricante para obtener información específica):
- Configuración bios - debe establecerse en FLAT desde NUMA.
- Habilitar Hyperthreading.
- La configuración de la cola RSS debe establecerse en 8 colas.
Sistemas operativos para Skype Empresarial Server 2019
Después de tener el conjunto de hardware, tiene que instalar el sistema operativo (SO) que le permite instalar y usar correctamente Skype Empresarial Server 2019:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
Todo lo que no sea el sistema operativo que se muestra aquí no funcionará correctamente. No intente usar nada más para las instalaciones de Skype Empresarial Server 2019. Por ejemplo, la opción Server Core no aparece en la lista. Por lo tanto, no es compatible.
Nota
Windows Server 2022 solo cumple los requisitos con Skype Empresarial Server 2019 para la actualización acumulativa 7 y versiones posteriores (número mínimo de compilación 2046.524).
No se admite una actualización local del sistema operativo. Debe implementar un grupo independiente que ejecute otro sistema operativo y, después, migrar los usuarios al nuevo grupo. Todos los servidores de un grupo deben tener la misma versión del SO.
Si va a instalar Windows Admin Center 2019 en su equipo con Windows Server 2019, el programa le pedirá que escuche un puerto. Es probable que elija el puerto 443. Sin embargo, si ese equipo tiene instalado Skype Empresarial Server 2019 o tendrá instalado Skype Empresarial Server 2019, debe elegir un número de puerto diferente.
¿Por qué? Si Windows Admin Center 2019 se ejecuta en el puerto 443, no podrá conectarse al servidor mediante el Panel de control de Skype Empresarial ni podrá conectarse a ningún servicio web interno que se esté ejecutando en el servidor (servicio web de libreta de direcciones, servicio de detección automática, servicio WebTicket, etc.). De hecho, no podrá conectarse a ninguna dirección URL de servicio web interno. En el caso de que necesite o quiera colocar Windows Admin Center 2019 en un servidor que tenga Skype Empresarial Server 2019, elija un puerto diferente.
Software que debe instalarse antes de una implementación de Skype Empresarial Server 2019
Nota
Como requisito previo para instalar Skype Empresarial Server 2019 mientras usa Windows Server 2022, debe ejecutar el script de compatibilidad para Windows Server 2022.
Hay algunas cosas que debe instalar o configurar para cualquier servidor que ejecute Skype Empresarial Server 2019. Estos elementos se enumeran en las tablas siguientes, seguidas de requisitos adicionales para roles de servidor específicos.
Importante
Skype Empresarial 2019 es compatible con .Net Framework 4.8. y .Net Framework 4.8.1
Todos los servidores
Software/rol | Detalles |
---|---|
Windows PowerShell 3.0 | Todos los servidores de Skype Empresarial Server deben tener instalado Windows PowerShell 3.0. • PowerShell 3.0 debe instalarse de forma predeterminada con Windows Server 2016. |
Microsoft .NET Framework | Los servicios WCF son una característica que se instala como una característica de Windows, en el Administrador del servidor. Inicialmente, no se necesitan descargas. • Cuando instales esta función, o si ya está instalada y la estás comprobando, debes asegurarte de que la opción activación HTTP también está seleccionada e instalada, como se indica a continuación. No te preocupes si aparece otra ventana emergente que indica que hay que instalar algunas otras cosas para que se instale la activación HTTP. Eso es normal. Seleccione Aceptar y continúe. Si no obtiene esta ventana emergente, puede suponer que esas cosas ya están instaladas. Microsoft .NET Framework se instala cuando se instala Windows Server 2016. Skype Empresarial Server requiere Microsoft .NET Framework 4.7, 4.8 o 4.8.1 sin embargo, por lo que probablemente tendría que actualizarlo. Encontrarás la actualización aquí |
Media Foundation | Para Windows Server 2016, el entorno en tiempo de ejecución de formato de Windows Media se instala con Microsoft Media Foundation. Todos los servidores Front-End y Standard Edition que se usan para las conferencias requieren que Windows Media Format Runtime ejecute los archivos de Windows Media Audio (.wma) que reproducen las aplicaciones Parque de llamadas, Anuncio y Grupo de respuesta para anuncios y música. |
Windows Identity Foundation | Necesitamos Windows Identity Foundation 3.5 para admitir escenarios de autenticación de servidor a servidor para Skype Empresarial Server 2019. • Para Windows Server 2016, no es necesario descargar nada. Abra el Administrador de servidores y vaya a Asistente para agregar roles y características. Windows Identity Foundation 3.5 aparece en la sección Características. Si está seleccionada, todo listo. En caso contrario, selecciónalo y, a continuación, selecciona Siguiente para desplazarte hasta el botón Instalar . |
Herramientas de administración remota del servidor | Herramientas de administración de roles: herramientas AD DS y AD LDS |
Servidores front-end y servidor Standard Edition
Software/rol | Detalles |
---|---|
Servicios de Internet Information Server (IIS) | IIS es necesario en todos los servidores front-end y todos los servidores Standard Edition, con los siguientes módulos seleccionados: • Características HTTP comunes: documento predeterminado, errores HTTP, contenido estático • Mantenimiento y diagnósticos: registro HTTP, herramientas de registro, seguimiento • Rendimiento: Compresión de contenido estático, Compresión dinámica de contenido • Seguridad: Filtrado de solicitudes, Autenticación de asignación de certificados de cliente, Autenticación de Windows • Desarrollo de aplicaciones: extensibilidad .NET 3.5, extensibilidad .NET 4.5, ASP.NET 3.5, ASP.NET 4.5, extensiones ISAPI, filtros ISAPI • Herramientas de administración: Consola de administración de IIS, Scripts y herramientas de administración de IIS También se necesita acceso anónimo, pero lo obtiene al instalar IIS, por lo que no tiene un lugar para seleccionarlo en la lista. |
Motor en tiempo de ejecución de Windows Media Format | Para Windows Server 2016, tiene que instalar la característica Media Foundation en Server Manager. En realidad, puede iniciar la instalación de Skype Empresarial Server 2019 sin esta característica. Sin embargo, se le pedirá que lo instale y, a continuación, reinicie el servidor para que la instalación de Skype Empresarial Server 2019 pueda continuar. Es mejor hacerlo con antelación. |
Silverlight | Puede instalar la última versión de Silverlight aquí. |
Para los usuarios de la región china | Ejecute el script de PowerShell después de actualizar el servidor al número de compilación mínimo de Skype Empresarial Server 2019 Actualización acumulativa 7 Revisión 1 (2046.524). |
Para ayudarle, aquí tiene un script de PowerShell de ejemplo que puede ejecutar para automatizar este proceso:
Add-WindowsFeature RSAT-ADDS, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, Web-Dyn-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Mgmt-Tools, Web-Scripting-Tools, Web-Mgmt-Compat, Windows-Identity-Foundation, Server-Media-Foundation, Telnet-Client, BITS, ManagementOData, Web-Mgmt-Console, Web-Metabase, Web-Lgcy-Mgmt-Console, Web-Lgcy-Scripting, Web-WMI, Web-Scripting-Tools, Web-Mgmt-Service
Los directores también necesitan:
IIS, con los siguientes módulos seleccionados:
Características HTTP comunes
Documento predeterminado
Errores HTTP
Contenido estático
Estado y diagnóstico
Registro HTTP
Herramientas de registro
Seguimiento
Rendimiento
- Compresión de contenido estático
Seguridad
Filtro de solicitudes
Autenticación por asignación de certificados de clientes
Autenticación de Windows
Desarrollo de aplicaciones
Extensibilidad de .NET 3.5
Extensibilidad de .NET 4.5
ASP.NET 3.5
ASP.NET 4.5
Extensión ISAPI
Filtros ISAPI
(En caso de que se pregunte, es el mismo conjunto de módulos que los servidores front-end y los servidores Standard Edition, sin incluir las Herramientas de administración y compresión dinámica de contenido).
Y también tenemos código de PowerShell para este proceso:
Add-WindowsFeature RSAT-ADDS, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Scripting-Tools, Web-Mgmt-Compat, Server-Media-Foundation, Telnet-Client
Instalación de script de compatibilidad para Windows Server 2022
Al configurar Skype Empresarial Server para Windows Server 2022, debe ejecutar el script siguiente para garantizar la compatibilidad con Windows Server 2022:
$providerName = "AesProvider"
$keyContainerName = "iisCustomConfigurationKey"
$exe = Get-ChildItem -Path "$env:SystemRoot\Microsoft.NET\Framework64" -Filter "aspnet_regiis.exe" -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1
if ($exe -eq $null) {
Write-Error "aspnet_regiis.exe not found. Exiting";
Exit
}
$existingProvider = Get-WebConfiguration -PSPath 'MACHINE/WEBROOT/APPHOST' -Filter "configProtectedData/providers/add[@name='$providerName']"
if ($null -ne $existingProvider) { # Provider already exists
Write-Host "Script has already run. $providerName already exists. Exiting"
Exit 0
}
& $exe.FullName -pc $keyContainerName -exp
& $exe.FullName -pa $keyContainerName "BUILTIN\IIS_IUSRS"
& $exe.FullName -pa $keyContainerName "NT SERVICE\WMSVC"
Add-WebConfigurationProperty -PSPath 'MACHINE/WEBROOT/APPHOST' -Filter "configProtectedData/providers" -Name "." -Value @{name="$providerName";type='System.Configuration.RsaProtectedConfigurationProvider,System.Configuration, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a'}
$applicationHostConfigPath = "$env:SystemRoot\System32\inetsrv\config\applicationHost.config"
[xml] $applicationHostConfigFile = Get-Content $applicationHostConfigPath
foreach ($ele in $applicationHostConfigFile.configuration.configProtectedData.providers.add) {
if ($ele.name -eq $providerName) {
$ele.SetAttribute("keyContainerName", $keyContainerName)
$ele.SetAttribute("useMachineContainer", "true")
$ele.SetAttribute("useOAEP", "false")
$ele.SetAttribute("useFIPS", "true")
}
}
$applicationHostConfigFile.Save($applicationHostConfigPath)
Write-Host "Script ran successfully. Key container $keyContainerName created. Provider $providerName added."
Bases de datos back-end que funcionan con Skype Empresarial Server 2019
Al instalar Skype Empresarial Server 2019 Standard Edition, también se instala SQL Server 2016 Express (edición de 64 bits).
Skype Empresarial Server 2019 Enterprise Edition requiere la versión completa de SQL Server, como se indica aquí (solo edición de 64 bits; no use ediciones de 32 bits):
- Microsoft SQL Server 2019 (edición de 64 bits): debe ejecutarse con las últimas actualizaciones
- Microsoft SQL Server 2017 (edición de 64 bits): debe ejecutarse con las últimas actualizaciones
- Microsoft SQL Server 2016 (edición de 64 bits): debe ejecutarse con las últimas actualizaciones
Si no ve la edición de SQL Server que desea usar aquí, no puede usarla.
Nota
También debe instalar SQL Server Reporting Services para el rol de servidor de supervisión.
Clústeres de SQL y SQL siempre activados
Se admite la agrupación en clústeres de SQL con Skype Empresarial Server 2019. Si desea configurar la agrupación en clústeres de SQL, esto se hace en SQL Server.
Asegúrese de que tiene una configuración activa o pasiva para clústeres de SQL, que es compatible. No comparta el nodo pasivo con ninguna otra instancia de SQL.
Para clústeres de conmutación por error, puede tener:
Dos nodos:
- Microsoft SQL Server 2019 Standard (edición de 64 bits) y se recomienda ejecutar con el Service Pack más reciente.
- Microsoft SQL Server 2017 Standard (edición de 64 bits) y se recomienda ejecutar con el Service Pack más reciente.
- Microsoft SQL Server 2016 Standard (edición de 64 bits) y se recomienda ejecutar con el Service Pack más reciente.
Dieciséis nodos:
- Microsoft SQL Server 2019 Enterprise (edición de 64 bits) y se recomienda ejecutar con el Service Pack más reciente.
- Microsoft SQL Server 2017 Enterprise (edición de 64 bits) y se recomienda ejecutar con el Service Pack más reciente.
- Microsoft SQL Server 2016 Enterprise (edición de 64 bits) y se recomienda ejecutar con el Service Pack más reciente.
SQL Always On es compatible y puede obtener más información al respecto en Back-End Server highavailability en Skype Empresarial Server 2019.
Recomendaciones adicionales de instalación de servidores
No instales ningún software cliente de Microsoft Internet Security and Acceleration (ISA) Server ni ningún otro software de proveedores de servicios de nivel winsock (LSP) (cualquier firewall de terceros o software de inspección de red antivirus se incluiría aquí) en cualquiera de los servidores front-end o servidores de mediación independientes. Se ha visto un rendimiento deficiente del tráfico multimedia cuando se instala ese software.
Active Directory
Aunque gran parte de los datos de configuración de servidores y servicios se almacenan en el almacén de administración central de Skype Empresarial Server 2019, algunas cosas aún se almacenan en Active Directory.
Objetos de Active Directory | Tipos de objeto |
---|---|
Extensiones de esquema | Extensiones de objetos de usuario |
Extensiones para Skype Empresarial Server 2015 y Lync Server 2013, para mantener la compatibilidad con versiones anteriores admitidas | |
Datos | URI de SIP del usuario y otros parámetros de usuario |
Objetos de contacto para aplicaciones (como la aplicación Grupo de respuesta y la aplicación Operador de conferencia) | |
Datos publicados para la compatibilidad con versiones anteriores | |
Un punto de control de servicio (SCP) para el almacén de administración central | |
Cuenta de autenticación Kerberos (un objeto de equipo opcional) |
SO para controladores de dominio
Se pueden usar los siguientes sistemas operativos de controlador de dominio:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
El nivel funcional de dominio de cualquier dominio en el que implemente Skype Empresarial Server 2019 y el nivel funcional del bosque en el que implemente Skype Empresarial Server 2019 deben ser uno de los siguientes:
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
¿Puede haber controladores de dominio de solo lectura en estos entornos? Sí, puede , siempre y cuando los controladores de dominio de escritura también estén disponibles.
Es importante saber que Skype Empresarial Server 2019 no admite dominios de etiqueta única. ¿Qué son? Si tiene un dominio raíz etiquetado como "contoso.local", eso funcionará. Si tiene un dominio raíz denominado "local", eso no funcionará y no es compatible. Para obtener más información, vea Implementación y operación de dominios de Active Directory que se han configurado con nombres DNS de etiqueta única.
Skype Empresarial Server 2019 tampoco admite el cambio de nombre de dominios. Si necesita cambiar el nombre de su dominio, tendrá que desinstalar Skype Empresarial Server 2019, hacer el cambio de nombre del dominio y, a continuación, reinstalar Skype Empresarial Server 2019.
Por último, es posible que esté tratando con un dominio que tiene un entorno de AD DS bloqueado y que es aceptable. Tenemos más información sobre cómo implementar Skype Empresarial Server 2019 en un entorno de AD DS bloqueado en la documentación de implementación.
Topologías de AD
Las topologías admitidas en Skype Empresarial Server 2019 son las siguientes:
Un solo bosque con un solo dominio
Un solo bosque con un solo árbol y varios dominios
Un solo bosque con varios árboles y espacios de nombres separados
Varios bosques en una topología de bosque central
Varios bosques en una topología de bosque de recursos
Varios bosques en una topología de bosque de recursos de Skype Empresarial con Exchange Online
Varios bosques en una topología de bosque de recursos con Skype Empresarial Online y Microsoft Entra Connect
Disponemos de diagramas y descripciones para ayudarle a determinar qué topología tiene en su entorno o lo que puede tener que configurar antes de instalar Skype Empresarial Server 2019. Para que sea más sencillo, también estamos incluyendo una clave:
Un solo bosque con un solo dominio
No es más fácil que esto. Es un bosque de un solo dominio, una topología común.
Un solo bosque con un solo árbol y varios dominios
Este diagrama muestra un único bosque, de nuevo, pero también tiene uno o varios dominios secundarios (hay tres en este ejemplo específico). S, o el dominio en el que se crean los usuarios puede ser diferente del dominio en el que se implementa Skype Empresarial Server 2019. ¿Por qué preocuparse por esta situación? Es importante recordar que cuando implementa un grupo de servidores front-end de Skype Empresarial Server, todos los servidores de ese grupo deben estar en un único dominio. Puede tener administración entre dominios a través del soporte técnico de Skype Empresarial Server para grupos de administradores universales de Windows.
En el diagrama anterior, puede ver que los usuarios de un dominio pueden acceder a grupos de Skype Empresarial Server desde el mismo dominio o desde dominios diferentes, incluso si esos usuarios están en un dominio secundario.
Un solo bosque con varios árboles y espacios de nombres separados
Es posible que tenga una topología similar a este diagrama, donde tiene un bosque, pero dentro de ese bosque hay varios dominios, con espacios de nombres de AD independientes. En este caso, este diagrama es una buena ilustración, ya que incluye usuarios en tres dominios diferentes que acceden a Skype Empresarial Server 2019. Las líneas sólidas indican que están accediendo a un grupo de Skype Empresarial Server en su propio dominio, mientras que una línea discontinua indica que van a un grupo en un árbol diferente por completo.
Como puede ver, los usuarios del mismo dominio, el mismo árbol o incluso un árbol diferente pueden acceder a los grupos correctamente.
Varios bosques en una topología de bosque central
Skype Empresarial Server 2019 admite varios bosques configurados en una topología de bosque central. Si no está seguro de que sea lo que tiene, el bosque central de la topología usa objetos en él para representar a los usuarios de los otros bosques y hospeda las cuentas de usuario de cualquier usuario del bosque.
¿Cómo funciona? Un producto de sincronización de directorios (como Forefront Identity Manager o FIM) administra las cuentas de usuario de la organización durante toda su existencia. Cuando una cuenta se crea o elimina en un bosque, este cambio se sincroniza con el contacto correspondiente en el bosque central.
Claramente, si su infraestructura de AD está en su lugar, migrar a esta topología puede no ser fácil, pero si ya está allí, o aún planeando su infraestructura forestal, esta puede ser una buena opción. Puede centralizar la implementación de Skype Empresarial Server 2019 en un único bosque, mientras que los usuarios pueden buscar, comunicarse y ver la presencia de otros usuarios en cualquier bosque. Todas las actualizaciones de contactos de usuario se gestionan automáticamente con software de sincronización.
Varios bosques en una topología de bosque de recursos de Skype Empresarial
También se admite una topología de bosque de recursos; es donde un bosque se dedica a ejecutar las aplicaciones de servidor, como Microsoft Exchange Server y Skype Empresarial Server 2019. Estos bosques de recursos también hospedan una representación sincronizada de objetos de usuario activos, pero no cuentas de usuario habilitadas para inicio de sesión. Por lo tanto, el bosque de recursos es un entorno de servicios compartidos para otros bosques en los que residen los objetos de usuario y tienen una relación de confianza a nivel de bosque con el bosque de recursos.
Exchange Server se puede implementar en el mismo bosque de recursos que Skype Empresarial Server o en un bosque diferente.
Para implementar Skype Empresarial Server 2019 en este tipo de topología, crearía un objeto de usuario deshabilitado en el bosque de recursos para cada cuenta de usuario en los bosques de usuarios (si Microsoft Exchange Server ya está en el entorno, es posible que realice esta acción por usted). A continuación, necesitas una herramienta de sincronización de directorios (como Forefront Identity Manager o FIM) para administrar las cuentas de usuario a lo largo de su ciclo de vida.
Varios bosques en una topología de bosque de recursos de Skype Empresarial con Exchange Online
Esta topología es similar a la descrita en Varios bosques en una topología de bosque de recursos de Skype Empresarial.
En esta topología, hay uno o más bosques de usuarios y Skype Empresarial Server se implementa en un bosque de recursos dedicado. Exchange Server se puede implementar localmente en el mismo bosque de recursos o en un bosque diferente y configurarse para la implementación híbrida con Exchange Online, o bien Exchange Online puede proporcionar servicios de correo electrónico exclusivamente para las cuentas locales. No existe ningún diagrama disponible para esta topología.
Varios bosques en una topología de bosque de recursos con Skype Empresarial Online y Microsoft Entra Connect
Con este escenario, hay varios bosques locales, con una topología de bosque de recursos. Hay una relación de total confianza entre los bosques de Active Directory. La herramienta Microsoft Entra Connect se usa para sincronizar cuentas entre los bosques de usuarios locales y Microsoft 365 u Office 365.
La organización también tiene Microsoft 365 u Office 365, y usa Microsoft Entra Connect para sincronizar sus cuentas locales con Microsoft 365 u Office 365. Los usuarios habilitados para Skype Empresarial están habilitados a través de Microsoft 365 u Office 365 y Skype Empresarial Online. Skype Empresarial Server no se implementa de forma local.
Una granja de servidores de Servicios de federación de Active Directory ubicada en el bosque de usuarios proporciona la autenticación de inicio de sesión único.
En este escenario, se admite la implementación local de Exchange, Exchange Online, una solución híbrida de Exchange o la implementación de Exchange en absoluto. (El diagrama muestra solo Exchange local, pero las otras soluciones para Exchange también son totalmente compatibles).
Varios bosques en una topología de bosque de recursos con una implementación híbrida de Skype Empresarial
En este escenario, hay uno o varios bosques de usuarios locales y Skype Empresarial se implementa en un bosque de recursos dedicado y está configurado para el modo híbrido con Skype Empresarial Online. Exchange Server se puede implementar de forma local en el mismo bosque de recursos o en un bosque diferente y se puede configurar para la implementación híbrida con Exchange Online. Como alternativa, Exchange Online puede proporcionar servicios de correo electrónico exclusivamente para las cuentas locales.
Para obtener más información, consulte Configurar un entorno de varios bosques para Skype Empresarial híbrido.
Sistema de nombre de dominio (DNS)
Skype Empresarial Server 2019 requiere DNS por los siguientes motivos:
DNS permite que Skype Empresarial Server 2019 detecte servidores o grupos internos, lo que permite comunicaciones de servidor a servidor.
DNS permite a los equipos cliente detectar el grupo front-end o el servidor Standard Edition que se usa para transacciones SIP.
Asocia las direcciones URL sencillas para conferencias con los servidores que hospedan dichas conferencias.
Dns permite a los usuarios externos y equipos cliente conectarse a sus servidores perimetrales, o al proxy inverso HTTP, para mensajería instantánea (MI) o conferencias.
Permite a los dispositivos de comunicaciones unificadas (UC) que no hayan iniciado sesión descubrir el grupo de servidores front-end o el servidor Standard Edition que ejecuta el servicio web Device Update para obtener actualizaciones y enviar registros.
El uso de DNS permitir que los clientes móviles detecten automáticamente recursos de servicios web sin que los usuarios tengan que escribir manualmente las direcciones URL en la configuración del dispositivo.
Se usa en el equilibrio de carga DNS.
Es importante tener en cuenta que Skype Empresarial Server 2019 no admite nombres de dominio internacionalizados (IDN).
Y es muy importante recordar que cualquier nombre en DNS es idéntico al nombre del equipo configurado en cualquier servidor que utiliza Skype Empresarial Server 2019. En concreto, no podemos tener nombres cortos en el entorno y debemos tener FQDN para el Generador de topologías.
Parece que sería lógico para cualquier equipo que ya esté unido a un dominio. Pero si tiene un servidor perimetral que no está unido a su dominio, de forma predeterminada, puede tener un nombre corto sin un sufijo de dominio. Asegúrese de que no es el caso, ya sea en DNS o en el servidor perimetral, o cualquier servidor o grupo de Skype Empresarial Server 2019.
Definitivamente no use caracteres Unicode ni caracteres de subrayado en los nombres de dominio. Los caracteres estándar (que son A-Z, a-z, 0-9 y guiones) son compatibles con DNS externo y entidades de certificación públicas (tiene que asignar FQDN al SN en el certificado, es importante recordar). Por lo tanto, te ahorrarás una gran cantidad de problemas si mantienes esta regla en mente desde el principio.
Para obtener más información sobre los requisitos dns para redes, consulte la sección Redes de nuestra documentación de planificación.
Certificados
Una de las cosas más importantes que puede hacer antes de implementar es asegurarse de que tiene los certificados en orden. Skype Empresarial Server 2019 necesita una infraestructura de clave pública (PKI) para la seguridad de la capa de transporte (TLS) y conexiones de seguridad mutua de las capas de transporte (MTLS). Básicamente, para comunicarse de forma segura de forma estandarizada, Skype Empresarial Server usa certificados emitidos por entidades emisoras de certificados (CA).
Estas son algunas de las cosas para las que Skype Empresarial Server 2019 usa certificados:
Conexiones TLS entre clientes y servidores
Conexiones MTLS entre servidores
Federación que usa la detección automática de DNS de partners
Acceso de usuarios remotos a la mensajería instantánea (MI)
Acceso de usuarios externos a sesiones de audio/vídeo (A/V), a uso compartido de aplicaciones y a conferencias
Hablar con aplicaciones web y Outlook Web Access (OWA)
Por lo tanto, la planificación de certificados es una necesidad. Ahora, veamos una lista de algunas de las cosas que debe tener en cuenta al solicitar certificados:
Todos los certificados de servidor deben admitir la autorización de servidor (EKU de servidor).
Todos los certificados de servidor deben contener un punto de distribución CRL (CDP).
Todos los certificados deben estar firmados mediante un algoritmo de firma compatible con el sistema operativo. Skype Empresarial Server 2019 admite el conjunto de tamaños de resumen SHA-1 y SHA-2 (224 bits, 256 bits, 384 bits y 512 bits) y cumple o supera los requisitos del sistema operativo.
La inscripción automática es compatible con servidores internos que ejecutan Skype Empresarial Server 2019.
La inscripción automática no es compatible con los servidores perimetrales de Skype Empresarial Server 2019.
Nota
El uso del algoritmo de firma RSASSA-PSS no es compatible y puede causar errores en los problemas de inicio de sesión y desvío de llamadas, entre otros problemas.
Se admiten longitudes de clave de cifrado de 1024, 2048 y 4096. Se recomienda usar longitudes de clave de 2048 y superiores.
El algoritmo de firma hash o implícito predeterminado es RSA. También se admiten los algoritmos ECDH_P256, ECDH_P384 y ECDH_P521.
Eso es mucho en lo que pensar, y hay varios niveles de comodidad para solicitar certificados de una CA. Le proporcionaremos más orientación en las siguientes secciones para que su planificación sea lo más indolo posible.
Certificados para los servidores internos
Necesita certificados para la mayoría de los servidores internos y, lo más probable es que los obtenga de una CA interna (es decir, una CA ubicada en su dominio). Si lo desea, puede solicitar estos certificados de una CA externa (una ubicada en Internet). Si se pregunta a qué CA pública debe ir, puede consultar la lista de asociados de certificados de comunicaciones unificadas .
También necesitará certificados cuando Skype Empresarial Server 2019 se comunique con otras aplicaciones y servidores, como Microsoft Exchange Server. Esto, obviamente, tendrá que ser un certificado que estas otras aplicaciones y servidores pueden utilizar de una manera compatible. Skype Empresarial Server 2019 y otros productos de Microsoft admiten el protocolo Open Authorization (OAuth) para autenticación y autorización de servidor a servidor. Si está interesado, tenemos un artículo de planeación adicional para OAuth y Skype Empresarial Server 2019.
Skype Empresarial Server 2019 también incluye compatibilidad con certificados firmados (sin requerirlo) mediante la función hash criptográfica SHA-256. Para permitir el acceso externo mediante SHA-256, una entidad de certificación pública que usa SHA-256 emite el certificado externo.
Para que todo sea sencillo, hemos puesto los requisitos de certificado para los servidores Standard Edition, los grupos de servidores front-end y otros roles en las tablas siguientes, y hemos usado la contoso.com ficticia por ejemplo (es probable que use otra cosa para su entorno). Estos son todos certificados de servidor web estándar, con claves privadas que no se pueden exportar. Tenga en cuenta algunas cosas adicionales:
El uso mejorado de clave (EKU) del servidor se configura automáticamente al usar el asistente para certificados para solicitar certificados.
El nombre descriptivo de cada certificado debe ser único en el almacén del equipo.
De acuerdo con los siguientes nombres de ejemplo, si ha configurado sipinternal.contoso.com o sipexternal.contoso.com en su DNS, deben agregarse al nombre alternativo de asunto (SAN) del certificado.
Certificados para servidores Standard Edition
Certificado | Nombre del asunto/nombre común | Nombre alternativo de sujeto | Ejemplo | Comentarios |
---|---|---|---|---|
Predeterminado | FQDN del grupo de servidores | FQDN del grupo y FQDN del servidor Si hay varios dominios SIP y está habilitada la configuración automática de los clientes, el Asistente para certificados detectará y agregará los FQDN de todos los dominios SIP admitidos. Si este grupo es el servidor de inicio de sesión automático para clientes y se requiere la coincidencia estricta del Sistema de nombres de dominio (DNS) en la directiva de grupo, también necesita entradas para sip.sipdomain (para cada dominio SIP que tenga). |
SN=se01.contoso.com; SAN=se01.contoso.com Si este grupo de servidores es el servidor de inicio automático de sesión de los clientes y se requiere una correspondencia exacta de DNS en la directiva del grupo, necesitará también SAN=sip.contoso.com; SAN=sip.fabrikam.com |
En los servidores de edición estándar, el FQDN del servidor es el mismo que el FQDN del grupo. El asistente detecta todos los dominios SIP especificados durante la instalación y los agrega automáticamente al nombre alternativo de sujeto. También puede usar este certificado para la autenticación de servidor a servidor. |
Web interno | FQDN del servidor | Cada uno de los siguientes elementos: • FQDN web interno (que es lo mismo que el FQDN del servidor) Y • Conocer direcciones URL sencillas • Url simple de acceso telefónico local • Url simple de administración O BIEN • Una entrada comodín para las direcciones URL sencillas |
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Con un certificado de comodín: SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com |
No puede invalidar el FQDN web interno en el Generador de topologías. Si tiene varias direcciones URL sencillas de Meet, debe incluirlas todas como SAN. Las entradas de comodín se admiten para las entradas de direcciones URL sencillas. |
Web externo | FQDN del servidor | Cada uno de los siguientes elementos: • FQDN web externo Y • Url simple de acceso telefónico local • Conocer direcciones URL sencillas por dominio SIP O BIEN • Una entrada comodín para las direcciones URL sencillas |
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Con un certificado de comodín: SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Si tiene varias direcciones URL sencillas de Meet, debe incluirlas todas como nombres alternativos de asunto. Las entradas de comodín se admiten para las entradas de direcciones URL sencillas. |
Certificados para servidores front-end en un grupo de servidores front-end
Certificado | Nombre del asunto/nombre común | Nombre alternativo de sujeto | Ejemplo | Comentarios |
---|---|---|---|---|
Predeterminado | FQDN del grupo de servidores | FQDN del grupo y FQDN del servidor Si hay varios dominios SIP y está habilitada la configuración automática de los clientes, el Asistente para certificados detectará y agregará los FQDN de todos los dominios SIP admitidos. Si este grupo es el servidor de inicio de sesión automático para clientes y se requiere la coincidencia estricta del Sistema de nombres de dominio (DNS) en la directiva de grupo, también necesita entradas para sip.sipdomain (para cada dominio SIP que tenga). |
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com Si este grupo de servidores es el servidor de inicio automático de sesión de los clientes y se requiere una correspondencia exacta de DNS en la directiva del grupo, necesitará también SAN=sip.contoso.com; SAN=sip.fabrikam.com |
El asistente detecta todos los dominios SIP especificados durante la instalación y los agrega automáticamente al nombre alternativo de sujeto. También puede usar este certificado para la autenticación de servidor a servidor. |
Web interno | FQDN del grupo de servidores | Cada uno de los siguientes elementos: • FQDN web interno (que NO es lo mismo que el FQDN del servidor) • FQDN de servidor • FQDN del grupo de Skype Empresarial Y • Conocer direcciones URL sencillas • Url simple de acceso telefónico local • Url simple de administración O BIEN • Una entrada comodín para las direcciones URL sencillas |
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Con un certificado de comodín: SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com |
Si tiene varias direcciones URL sencillas de Meet, debe incluirlas todas como nombres alternativos de asunto. Las entradas de comodín se admiten para las entradas de direcciones URL sencillas. |
Web externo | FQDN del grupo de servidores | Cada uno de los siguientes elementos: • FQDN web externo Y • Url simple de acceso telefónico local • Url simple de administración O BIEN • Una entrada comodín para las direcciones URL sencillas |
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Con un certificado de comodín: SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Si tiene varias direcciones URL sencillas de Meet, debe incluirlas todas como nombres alternativos de asunto. Las entradas de comodín se admiten para las entradas de direcciones URL sencillas. |
Certificados para el Director
Certificado | Nombre del asunto/nombre común | Nombre alternativo de sujeto | Ejemplo |
---|---|---|---|
Predeterminado | Grupo de directores | FQDN del director, FQDN del grupo de directores. Si este grupo es el servidor de inicio de sesión automático para clientes y se requiere una coincidencia DNS estricta en la directiva de grupo, también necesitará entradas para sip.sipdomain (para cada dominio SIP que tenga). |
pool.contoso.com; SAN=dir01.contoso.com Si este grupo de directores es el servidor de inicio de sesión automático para clientes y se requiere una coincidencia DNS estricta en la directiva de grupo, también necesita SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Web interno | FQDN del servidor | Cada uno de los siguientes elementos: • FQDN web interno (que es lo mismo que el FQDN del servidor) • FQDN de servidor • FQDN del grupo de Skype Empresarial Y • Conocer direcciones URL sencillas • Url simple de acceso telefónico local • Url simple de administración O BIEN • Una entrada comodín para las direcciones URL sencillas |
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Con un certificado de comodín: SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com |
Web externo | FQDN del servidor | Cada uno de los siguientes elementos: • FQDN web externo Y • Conocer direcciones URL sencillas por dominio SIP • Url simple de acceso telefónico local O BIEN • Una entrada comodín para las direcciones URL sencillas |
El FQDN web externo de Director debe ser diferente del grupo de servidores front-end o front-end server. SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Con un certificado de comodín: SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
Certificados para el servidor de mediación independiente
Certificado | Nombre del asunto/nombre común | Nombre alternativo de sujeto | Ejemplo |
---|---|---|---|
Predeterminado | FQDN del grupo de servidores | FQDN del grupo de servidores FQDN del miembro del grupo de servidores |
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net |
Certificados para el dispositivo de rama con funciones de supervivencia (específicamente, Aplicación de rama con funciones de supervivencia 2015 para Skype Empresarial Server 2019)
Certificado | Nombre del asunto/nombre común | Nombre alternativo de sujeto | Ejemplo |
---|---|---|---|
Predeterminado | FQDN de la aplicación | SIP.<sipdomain> (solo necesita una entrada por dominio SIP) | SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Certificados para el acceso de usuarios externos (Edge)
Skype Empresarial Server 2019 admite el uso de un único certificado público para las interfaces externas perimetrales de conferencias web y acceso, además del servicio de autenticación A/V, que se proporciona a través de los servidores perimetrales. Su interfaz interna de Edge usa un certificado privado emitido por su CA interna, pero si lo prefiere, también puede usar un certificado público para esto, si es de una CA de confianza.
Su proxy inverso (RP) también usará un certificado público, y cifra la comunicación de su RP a los clientes, y el RP a los servidores internos mediante HTTP (o más precisamente, TLS sobre HTTP).
Certificados para movilidad
Si está implementando movilidad y está admitiendo la detección automática para clientes móviles, tendrá que incluir algunas entradas adicionales de nombre alternativo del asunto en sus certificados para admitir las conexiones seguras de los clientes móviles.
Necesita nombres san para la detección automática en los siguientes certificados:
Grupo de directores
Grupo de servidores front-end
Proxy inverso
Los detalles se enumeran en las tablas siguientes.
Aquí es donde una pequeña planificación previa es buena. Pero a veces, ha implementado Skype Empresarial Server 2019 sin intención de implementar la movilidad, lo que aparece más adelante cuando ya tiene certificados en su entorno. Por lo general, es bastante fácil volver a emitir los certificados a través de una CA interna. Pero para los certificados públicos de una CA pública, eso puede ser un poco más caro.
Si esa es la situación que está viendo y si tiene una gran cantidad de dominios SIP (lo que podría hacer que agregar SANS sea más caro), puede configurar el proxy inverso para que use HTTP para la solicitud de servicio de detección automática inicial en lugar de usar HTTPS (la configuración predeterminada). Para obtener más información, consulte Plan de movilidad.
Requisitos de certificado del grupo de directores y del grupo de servidores front-end
Descripción | Entrada SAN |
---|---|
URL del servicio Detección automática interna | SAN=lyncdiscoverinternal.<sipdomain> |
URL del servicio Detección automática externa | SAN=lyncdiscover.<sipdomain> |
Como alternativa, puede usar SAN=*.<sipdomain>
Requisitos de certificados de proxy inverso (CA pública)
Descripción | Entrada SAN |
---|---|
URL del servicio Detección automática externa | SAN=lyncdiscover.<sipdomain> |
Este SAN debe asignarse al certificado asignado al agente de escucha SSL en el proxy inverso.
Nota
El agente de escucha de proxy inverso tendrá SANs para las direcciones URL externas de servicios web. Algunos ejemplos serían SAN=skypewebextpool01.contoso.com y dirwebexternal.contoso.com, si ya ha implementado el Director (opcional).
Compartir archivos
Skype Empresarial Server 2019 puede usar el mismo recurso compartido de archivos para todo el almacenamiento de archivos. Tenga en cuenta lo siguiente:
Un recurso compartido de archivos debe estar en un almacenamiento conectado directamente (DAS) o en una red de área de almacenamiento (SAN). Este requisito incluye el sistema de archivos distribuido (DFS) y también una matriz redundante de discos independientes (RAID) para almacenes de archivos. Para obtener más información sobre DFS para Windows Server 2012, vea Introducción a los espacios de nombres DFS y la replicación de DFS.
Le recomendamos que use un clúster compartido para el recurso compartido de archivos. Si ya usa una, debe agrupar Windows Server 2012 o versiones posteriores.
Nota
¿Por qué la versión más reciente de Windows? Es posible que las versiones anteriores no tengan los permisos adecuados para habilitar todas las características. Puede usar el Administrador de clústeres para crear los recursos compartidos de archivos. Para obtener más información, consulte Cómo crear recursos compartidos de archivos en un clúster.
Precaución
Debe saber que no se admite el uso del almacenamiento conectado a la red (NAS) como recurso compartido de archivos. Por lo tanto, use una de las opciones que se enumeran aquí. Esta limitación de soporte técnico se debe al diseño variable de los dispositivos NAS que tienen que proporcionar adaptabilidad del sistema de archivos al equipo basado en Windows Server que accede al sistema de archivos compartido de los dispositivos.