Requisiti ambientali di Skype for Business Server 2015
Riepilogo: Configurare i requisiti non server per Skype for Business Server 2015. Prima di eseguire la distribuzione, è necessario configurare diversi elementi, tra cui Active Directory, DNS, Certificati e Condivisi file.
Qual è un requisito ambientale per Skype for Business Server 2015? Bene, abbiamo inserito tutto ciò che non è direttamente server correlati a questo argomento, in modo da non dover fare tanto clic intorno. Se si cercano i prerequisiti del server, è possibile consultare il documento Requisiti del server per Skype for Business Server 2015. Anche pianificazione della rete viene documentata separatamente. In caso contrario, ecco cosa c'è in questo articolo:
Active Directory
Anche se molti dati di configurazione per server e servizi sono archiviati nell'archivio di gestione centrale di Skype for Business Server 2015, alcuni elementi sono ancora archiviati in Active Directory:
| Oggetti di Active Directory | Tipi di oggetti |
|---|---|
| Estensioni dello schema |
Estensioni degli oggetti utente |
| Estensioni per Lync Server 2013 e Lync Server 2010, per mantenere la compatibilità con le versioni supportate precedenti. |
|
| Dati |
URI SIP utente e altre impostazioni utente |
| Oggetti contatto per le applicazioni, ad esempio l'applicazione Response Group e la applicazione Operatore conferenza. |
|
| Dati pubblicati per garantire la compatibilità con le versioni precedenti. |
|
| Un punto di controllo del servizio (SCP) per l'archivio di gestione centrale. |
|
| Account di autenticazione Kerberos (oggetto computer facoltativo). |
Sistema operativo per controller di dominio
Quindi, quale sistema operativo controller di dominio può essere utilizzato? L'elenco è il seguente:
Windows Server 2019 (è necessario disporre di Skype for Business Server 2015 Cumulative Update 5 o versione successiva)
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server 2008
A questo punto, il livello di funzionalità del dominio di qualsiasi dominio in cui si distribuisce Skype for Business Server 2015 e il livello di funzionalità della foresta di qualsiasi foresta distribuita Skype for Business Server 2015 devono essere uno dei seguenti:
Windows Server 2019 (è necessario disporre di Skype for Business Server 2015 Cumulative Update 5 o versione successiva)
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server 2008
Windows Server 2003
È possibile avere controller di dominio di sola lettura in questi ambienti? Certo, purché nello stesso sito del Skype for Business Server siano disponibili anche controller di dominio scrivibili.
Ora, è importante sapere che Skype for Business Server 2015 non supporta i domini con etichetta singola. Cosa sono? Se un dominio radice è denominato contoso.local, non c'è problema. Se si ha un dominio radice denominato semplicemente locale, non funzionerà e di conseguenza non è supportato. Un po' di più su questo argomento è stato scritto in questo articolo della Knowledge Base.
Skype for Business Server 2015 inoltre non supporta la ridenominazione dei domini. Se è necessario eseguire questa operazione, è necessario disinstallare Skype for Business Server 2015, rinominare il dominio e quindi reinstallare Skype for Business Server 2015.
Infine, potresti avere a che fare con un dominio con un ambiente Ad DS bloccato e questo è tutto a posto. Sono disponibili altre informazioni su come distribuire Skype for Business Server 2015 in questo tipo di ambiente nei documenti di distribuzione.
Topologie di Active Directory
le topologie supportate di Skype for Business Server 2015 sono:
Foresta singola con dominio singolo
Foresta singola con un singolo albero e più domini
Singola foresta con più alberi e spazi dei nomi disgiunti
Più foreste in una topologia di foresta centrale
Più foreste in una topologia di foresta di risorse
Più foreste in una topologia di foresta di risorse di Skype for Business con Exchange Online
Più foreste in una topologia di foresta di risorse con Skype for Business Online e Microsoft Entra Connect
Sono disponibili diagrammi e descrizioni che consentono di determinare la topologia disponibile nell'ambiente o le impostazioni da configurare prima dell'installazione di Skype for Business Server 2015. Per renderla semplice, viene inclusa anche una chiave:
Foresta singola con dominio singolo
Non diventa più facile di questo, è un unico insieme di strutture di dominio, questa è una topologia comune.
Foresta singola con un singolo albero e più domini
Questo diagramma mostra anche una singola foresta, ma include anche uno o più domini figlio (ne sono presenti tre in questo esempio specifico). Il dominio in cui vengono creati gli utenti potrebbe quindi essere diverso dal dominio in cui è distribuito il Skype for Business Server 2015. Perché preoccuparsi di questo? È importante ricordare che quando si distribuisce un Skype for Business Server pool Front End, tutti i server in tale pool devono trovarsi in un unico dominio. È possibile disporre dell'amministrazione tra domini tramite il supporto di Skype for Business Server dei gruppi di amministratori universali di Windows.
Torna al diagramma precedente, è possibile vedere che gli utenti di un dominio possono accedere a pool di Skype for Business Server dallo stesso dominio o da domini diversi, anche se si trovano in un dominio figlio.
Singola foresta con più alberi e spazi dei nomi disgiunti
È possibile che si abbia una topologia simile a questo diagramma, in cui si ha una foresta, ma all'interno di tale foresta ci sono più domini, con spazi dei nomi active directory separati. In questo caso, questo diagramma è una buona illustrazione, perché ci sono utenti in tre domini diversi che accedono Skype for Business Server 2015. Le linee continue indicano che stanno accedendo a un pool di Skype for Business Server nel proprio dominio, mentre una linea tratteggiata indica che stanno andando a un pool in un albero diverso.
Come si può vedere, gli utenti nello stesso dominio, nello stesso albero o anche in un altro albero possono accedere correttamente ai pool.
Più foreste in una topologia di foresta centrale
Skype for Business Server 2015 supporta più foreste configurate in una topologia di foresta centrale. In caso di dubbi, la foresta centrale nella topologia usa gli oggetti in essa contenuti per rappresentare gli utenti delle altre foreste e ospita gli account utente per gli utenti della foresta.
Come funziona? Un prodotto di sincronizzazione della directory, ad esempio Forefront Identity Manager o FIM, gestisce gli account utente dell'organizzazione per tutta la loro esistenza. Quando si crea o si elimina un account da una foresta, la modifica viene sincronizzata con il contatto corrispondente nella foresta centrale.
Chiaramente, se l'infrastruttura di Active Directory è sul posto per passare a questa topologia potrebbe non essere facile, ma se ci si trova già o si sta ancora pianificando l'infrastruttura foresta, questa può essere una buona scelta. È possibile centralizzare la distribuzione di Skype for Business Server 2015 in un'unica foresta, mentre gli utenti possono cercare, comunicare e visualizzare la presenza di altri utenti in qualsiasi foresta. Tutti gli aggiornamenti dei contatti utente vengono gestiti automaticamente con il software di sincronizzazione.
Più foreste in una topologia di foresta di risorse Skype for Business
È supportata anche una topologia di foresta di risorse. è dove una foresta è dedicata all'esecuzione delle applicazioni server, come Microsoft Exchange Server e Skype for Business Server 2015. Questa foresta di risorse ospita anche una rappresentazione sincronizzata degli oggetti utente attivi, ma non gli account utente abilitati per l'accesso. Quindi la foresta di risorse è un ambiente di servizi condivisi per altre foreste in cui risiedono gli oggetti utente e hanno una relazione di trust a livello di foresta con la foresta di risorse.
Si noti che Exchange Server può essere distribuito nella stessa foresta di risorse di Skype for Business Server o in una foresta diversa.
Per distribuire Skype for Business Server 2015 in questo tipo di topologia, creare un oggetto utente disabilitato nella foresta di risorse per ogni account utente nelle foreste utente( se Microsoft Exchange Server è già nell'ambiente, questa operazione potrebbe essere eseguita automaticamente). Sarà quindi necessario uno strumento di sincronizzazione della directory, come Forefront Identity Manager o FIM, per gestire gli account utente durante l'intero ciclo di vita.
Più foreste in una topologia di foresta di risorse di Skype for Business con Exchange Online
Questa topologia è simile alla topologia descritta in Più foreste in una topologia di foresta di risorse Skype for Business.
In questa topologia sono presenti una o più foreste utente e Skype for Business Server viene distribuita in una foresta di risorse dedicata. Exchange Server possono essere distribuiti in locale nella stessa foresta di risorse o in una foresta diversa e configurati per la distribuzione ibrida con Exchange Online oppure i servizi di posta elettronica possono essere forniti esclusivamente da Exchange Online per gli account locali. Non sono disponibili diagrammi per questa topologia.
Più foreste in una topologia di foresta di risorse con Skype for Business Online e Microsoft Entra Connect
In questo scenario sono presenti più foreste in locale, con una topologia di foresta di risorse. Esiste una relazione di trust completo tra le foreste di Active Directory. Lo strumento Microsoft Entra Connect viene usato per sincronizzare gli account tra le foreste utente locali e Microsoft 365 o Office 365.
L'organizzazione dispone anche di Microsoft 365 o Office 365 e usa Microsoft Entra Connect per sincronizzare i propri account locali con Microsoft 365 o Office 365. Gli utenti abilitati per Skype for Business vengono abilitati tramite Microsoft 365 o Office 365 e Skype for Business Online. Skype for Business Server non viene distribuita in locale.
L'autenticazione Single Sign-On viene fornita da una farm di Active Directory Federation Services che si trova nella foresta degli utenti.
In questo scenario, è supportato per distribuire Exchange locale, Exchange Online, una soluzione ibrida di Exchange o per non distribuire affatto Exchange. Il diagramma mostra solo Exchange locale, ma sono supportate anche le altre soluzioni di Exchange.
Più foreste in una topologia di foresta di risorse con Skype for Business ibrida
In questo scenario sono presenti una o più foreste utente locali e Skype for Business viene distribuita in una foresta di risorse dedicata ed è configurata per la modalità ibrida con Skype for Business Online. Exchange Server possono essere distribuite in locale nella stessa foresta di risorse o in un'altra foresta e possono essere configurate per la distribuzione ibrida con Exchange Online. In alternativa, i servizi di posta elettronica possono essere forniti esclusivamente da Exchange Online per gli account locali.
Per altre informazioni, vedere Configurare un ambiente con più foreste per Skype for Business ibridi.
DNS (Domain Name System)
Skype for Business Server 2015 richiede il DNS per i motivi seguenti:
Il DNS consente a Skype for Business Server 2015 di individuare server o pool interni, consentendo comunicazioni da server a server.
Il DNS consente ai computer client di individuare il pool Front End o il server Standard Edition usato per le transazioni SIP.
Associa URL semplici per le conferenze ai server che ospitano tali conferenze.
Il DNS consente agli utenti esterni e ai computer client di connettersi ai server perimetrali o al proxy inverso HTTP per la messaggistica istantanea o le conferenze.
Consente ai dispositivi di comunicazioni unificate che non hanno effettuato l'accesso di individuare il pool Front End o il server Standard Edition che esegue il servizio Web Aggiornamento dispositivi per ottenere aggiornamenti e inviare i log.
L'uso del DNS consente ai client mobili di individuare automaticamente le risorse dei servizi Web senza richiedere agli utenti di immettere manualmente gli URL nelle impostazioni del dispositivo.
Ed è usato nel bilanciamento del carico DNS.
È importante notare che Skype for Business Server 2015 non supporta i nomi di dominio internazionalizzati (IDN).
Ed è estremamente importante ricordare che qualsiasi nome nel DNS sia identico al nome del computer configurato su qualsiasi server utilizzato da Skype for Business Server 2015. In particolare, non è possibile avere nomi brevi nell'ambiente e devono essere presenti FQDN per Generatore di topologie.
Questo sembra logico per qualsiasi computer già aggiunto a un dominio, ma se si ha un server perimetrale che non fa parte del dominio, potrebbe avere un nome breve predefinito, senza suffisso di dominio. Assicurarsi che non sia così, sia nel DNS che nel server perimetrale o in qualsiasi server o pool Skype for Business Server 2015, in tal caso.
E sicuramente non usare caratteri Unicode o caratteri di sottolineatura. I caratteri standard(A-Z, a-z, 0-9 e i trattini) sono quelli che saranno supportati dal DNS esterno e dalle autorità di certificazione pubbliche (è necessario assegnare nomi fqdn al nome dell'SN nel certificato, non dimenticare), quindi ci si risparmia un sacco di dolore se si assegna un nome tenendo presente questo aspetto.
Per ulteriori informazioni sui requisiti DNS per la rete, consulta la sezione Rete della documentazione relativa alla pianificazione.
Certificati
Una delle operazioni più importanti che è possibile eseguire prima della distribuzione è verificare che i certificati siano ordinati. Skype for Business Server 2015 richiede un'infrastruttura a chiave pubblica (PKI) per le connessioni TLS (Transport Layer Security) e MTLS (Mutual Transport Layer Security). Fondamentalmente, per comunicare in modo sicuro in modo standardizzato, Skype for Business Server usa certificati emessi da autorità di certificazione.
Ecco alcuni degli elementi che Skype for Business Server 2015 usa i certificati per:
Connessioni TLS tra client e server
Connessioni MTLS tra server
Federazione con individuazione DNS automatica dei partner
Accesso remoto dell'utente per la messaggistica istantanea
Accesso degli utenti esterni a sessioni audio/video (AV), condivisione applicazioni e conferenze
Parlare con le applicazioni Web e Outlook Web Access (OWA)
Quindi la pianificazione dei certificati è un must. Ora diamo un'occhiata a un elenco di alcuni degli aspetti da tenere in considerazione quando richiedi certificati:
Tutti i certificati server devono supportare l'autorizzazione del server (EKU Server).
Tutti i certificati server devono contenere un punto di distribuzione CRL (CDP).
Tutti i certificati devono essere firmati utilizzando un algoritmo di firma supportato dal sistema operativo. Skype for Business Server 2015 supporta la famiglia di formati di digest SHA-1 e SHA-2 (224, 256, 384 e 512 bit) e soddisfa o supera i requisiti del sistema operativo.
La registrazione automatica è supportata per i server interni in cui è in esecuzione Skype for Business Server 2015.
La registrazione automatica non è supportata per i server perimetrali Skype for Business Server 2015.
Quando si invia una richiesta di certificato basata sul Web a una CA di Windows Server 2003, è necessario inviarla da un computer che esegue Windows Server 2003 con SP2 o Windows XP.
Nota
Anche se KB922706 fornisce supporto per la risoluzione dei problemi relativi alla registrazione di certificati Web in una registrazione Web di Servizi certificati Windows Server 2003, non consente di usare Windows Server 2008, Windows Vista o Windows 7 per richiedere un certificato a una CA di Windows Server 2003.
Nota
L'uso dell'algoritmo di firma RSASSA-PSS non è supportato e può causare errori, tra gli altri problemi, nell'accesso e nell'inoltro delle chiamate.
Nota
Skype for Business Server 2015 non supporta i certificati CNG.
Sono supportate le lunghezze delle chiavi di crittografia 1024, 2048 e 4096. Sono consigliate le lunghezze chiave del 2048 e successive.
L'algoritmo di riepilogo predefinito, o firma hash, è RSA. Sono supportati anche gli algoritmi ECDH_P256, ECDH_P384 e ECDH_P521.
Quindi questo è un sacco di pensare, e sicuramente, c'è una varietà di livelli di comfort con la richiesta di certificati da una CA. Di seguito ti forniremo altre indicazioni per rendere la tua pianificazione il più indolore possibile.
Certificati per i server interni
Sono necessari certificati per la maggior parte dei server interni e, molto probabilmente, si otterranno da una CA interna ( che si trova nel dominio). Se si vuole, è possibile richiedere questi certificati a un'AUTORITÀ di certificazione esterna (una che si trova su Internet). Se ti stai chiedendo a quale CA pubblica dovresti accedere, puoi consultare l'elenco dei partner del certificato unificato per le comunicazioni .
Sono necessari anche certificati quando Skype for Business Server 2015 comunica con altre applicazioni e server, ad esempio Microsoft Exchange Server. Questo sarà, ovviamente, necessario essere un certificato queste altre applicazioni e server possono utilizzare in un modo supportato. Skype for Business Server 2015 e altri prodotti Microsoft supportano il protocollo OAuth (Open Authorization) per l'autenticazione e l'autorizzazione da server a server. Se sei interessato a questo argomento, abbiamo un altro articolo di pianificazione per OAuth e Skype for Business Server 2015.
Skype for Business Server 2015 include anche il supporto per i certificati firmati con la funzione hash di crittografia SHA-256. Per supportare l'accesso esterno con SHA-256, il certificato esterno deve essere emesso da un'autorità di certificazione pubblica con SHA-256.
Per rendere le cose semplici, abbiamo inserito i requisiti dei certificati per i server Standard Edition, i pool Front End e altri ruoli nelle tabelle seguenti, con le contoso.com fittizie usate per gli esempi (probabilmente userai qualcos'altro per il tuo ambiente). Si tratta di tutti certificati server Web standard, con chiavi private non esportabili. Ecco alcuni altri aspetti da tenere presente:
L'utilizzo delle chiavi avanzate del server (EKU) viene configurato automaticamente quando si usa la procedura guidata certificato per richiedere i certificati.
Ogni nome descrittivo del certificato deve essere univoco nell'archivio computer.
In base ai nomi di esempio seguenti, se sono stati configurati sipinternal.contoso.com o sipexternal.contoso.com nel DNS, è necessario aggiungerlo al nome alternativo per l'oggetto del certificato.
Certificati per i server Standard Edition:
| Certificato | Nome del soggetto/Nome comune | Nome alternativo del soggetto | Esempio | Commenti |
|---|---|---|---|---|
| Predefinito |
FQDN del pool |
FQDN del pool e FQDN del server Se si hanno più domini SIP e la configurazione automatica del client è abilitata, la procedura guidata per i certificati rileva e aggiunge tutti gli FQDN di dominio SIP supportati. Se questo pool è il server di accesso automatico per i client ed è necessaria una corrispondenza completa del DNS (Domain Name System) nei Criteri di gruppo, sono necessarie anche le voci per sip.sipdomain (per ogni dominio SIP in uso). |
SN=se01.contoso.com; SAN=se01.contoso.com Se questo pool è il server di accesso automatico per i client ed è necessaria una corrispondenza DNS completa in Criteri di gruppo, è necessario anche SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Nel server Standard Edition, l'FQDN del server corrisponde al nome di dominio completo del pool. La procedura guidata rileva tutti i domini SIP specificati durante l'installazione e li aggiunge automaticamente come nomi alternativi dell'oggetto. È anche possibile usare questo certificato per l'autenticazione da server a server. |
| Interno Web |
FQDN del server |
Ognuna delle opzioni seguenti: • FQDN Web interno (che corrisponde all'FQDN del server) E • Scopri URL semplici • URL semplice per l'accesso • Amministrazione URL semplice OPPURE • Una voce con caratteri jolly per gli URL semplici |
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Uso di un certificato con caratteri jolly: SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com |
Non è possibile ignorare l'FQDN Web interno in Generatore di topologie. Se si hanno più URL di riunione semplici, è necessario includerli tutti come NOMI. Le voci con caratteri jolly sono supportate per le voci url semplici. |
| Web esterno |
FQDN del server |
Ognuna delle opzioni seguenti: • FQDN Web esterno E • URL semplice per l'accesso • Introduzione a URL semplici per dominio SIP OPPURE • Una voce con caratteri jolly per gli URL semplici |
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Uso di un certificato con caratteri jolly: SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Se si hanno più URL di riunione semplici, è necessario includerli tutti come nomi alternativi dell'argomento. Le voci con caratteri jolly sono supportate per le voci url semplici. |
Certificati per front end server in un pool front-end edizione Enterprise:
| Certificato | Nome del soggetto/Nome comune | Nome alternativo del soggetto | Esempio | Commenti |
|---|---|---|---|---|
| Predefinito |
FQDN del pool |
FQDN del pool e FQDN del server Se si hanno più domini SIP e la configurazione automatica del client è abilitata, la procedura guidata per i certificati rileva e aggiunge tutti gli FQDN di dominio SIP supportati. Se questo pool è il server di accesso automatico per i client ed è necessaria una corrispondenza completa del DNS (Domain Name System) nei Criteri di gruppo, sono necessarie anche le voci per sip.sipdomain (per ogni dominio SIP in uso). |
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com Se questo pool è il server di accesso automatico per i client ed è necessaria una corrispondenza DNS completa in Criteri di gruppo, è necessario anche SAN=sip.contoso.com; SAN=sip.fabrikam.com |
La procedura guidata rileva tutti i domini SIP specificati durante l'installazione e li aggiunge automaticamente al nome alternativo del soggetto. È anche possibile usare questo certificato per l'autenticazione da server a server. |
| Interno Web |
FQDN del pool |
Ognuna delle opzioni seguenti: • FQDN Web interno (che NON corrisponde all'FQDN del server) • FQDN server • FQDN pool Skype for Business E • Scopri URL semplici • URL semplice per l'accesso • Amministrazione URL semplice OPPURE • Una voce con caratteri jolly per gli URL semplici |
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Uso di un certificato con caratteri jolly: SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com |
Se si hanno più URL di riunione semplici, è necessario includerli tutti come nomi alternativi dell'argomento. Le voci con caratteri jolly sono supportate per le voci url semplici. |
| Web esterno |
FQDN del pool |
Ognuna delle opzioni seguenti: • FQDN Web esterno E • URL semplice per l'accesso • Amministrazione URL semplice OPPURE • Una voce con caratteri jolly per gli URL semplici |
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Uso di un certificato con caratteri jolly: SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Se si hanno più URL di riunione semplici, è necessario includerli tutti come nomi alternativi dell'argomento. Le voci con caratteri jolly sono supportate per le voci url semplici. |
Certificati per il director:
| Certificato | Nome del soggetto/Nome comune | Nome alternativo del soggetto | Esempio |
|---|---|---|---|
| Predefinito |
Pool di directory |
FQDN del Director, FQDN del pool director. Se questo pool è il server di accesso automatico per i client e in Criteri di gruppo è richiesta una corrispondenza DNS completa, sono necessarie anche voci per sip.sipdomain (per ogni dominio SIP in uso). |
pool.contoso.com; SAN=dir01.contoso.com Se questo pool di directory è il server di accesso automatico per i client ed è necessaria una corrispondenza DNS completa in Criteri di gruppo, è necessario anche SAN=sip.contoso.com; SAN=sip.fabrikam.com |
| Interno Web |
FQDN del server |
Ognuna delle opzioni seguenti: • FQDN Web interno (che corrisponde all'FQDN del server) • FQDN server • FQDN pool Skype for Business E • Scopri URL semplici • URL semplice per l'accesso • Amministrazione URL semplice OPPURE • Una voce con caratteri jolly per gli URL semplici |
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Uso di un certificato con caratteri jolly: SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com |
| Web esterno |
FQDN del server |
Ognuna delle opzioni seguenti: • FQDN Web esterno E • Introduzione a URL semplici per dominio SIP • URL semplice per l'accesso OPPURE • Una voce con caratteri jolly per gli URL semplici |
L'FQDN Web esterno del director deve essere diverso dal pool Front End o dal Front End Server. SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Uso di un certificato con caratteri jolly: SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
Certificati per Mediation Server autonomo:
| Certificato | Nome del soggetto/Nome comune | Nome alternativo del soggetto | Esempio |
|---|---|---|---|
| Predefinito |
FQDN del pool |
FQDN del pool FQDN del server membro del pool |
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net |
Certificati per Survivable Branch Appliance:
| Certificato | Nome del soggetto/Nome comune | Nome alternativo del soggetto | Esempio |
|---|---|---|---|
| Predefinito |
FQDN dell'accessorio |
SIP.<sipdomain> (è necessaria una sola voce per ogni dominio SIP) |
SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Certificati per il server Chat persistente
Durante l'installazione del server Chat persistente, è necessario un certificato emesso dalla stessa CA usata dai server interni di Skype for Business Server 2015. Questa operazione deve essere eseguita per ogni server che esegue Servizi Web Persistent Chat per il caricamento/download di file. È consigliabile disporre dei certificati necessari prima di avviare l'installazione di Persistent Chat e, se la CA è esterna, anche di più (l'emissione di queste operazioni può richiedere un po' di tempo).
Certificati per l'accesso degli utenti esterni (Edge)
Skype for Business Server 2015 supporta l'uso di un singolo certificato pubblico per l'accesso e le interfacce esterne di Web Conferencing Edge, oltre al servizio di autenticazione A/V, fornito tramite i server perimetrali. L'interfaccia interna di Edge in genere usa un certificato privato emesso dalla CA interna, ma se si preferisce, è possibile usare anche un certificato pubblico, se proviene da una CA attendibile.
Il proxy inverso (RP) userà anche un certificato pubblico e crittografa la comunicazione dal RP ai client e il RP ai server interni usando HTTP (o, più precisamente, TLS su HTTP).
Certificati per mobilità
Se si sta distribuendo la mobilità e si supporta l'individuazione automatica per i client mobili, sarà necessario includere altre voci di nomi alternativi per soggetto nei certificati per supportare le connessioni sicure dai client mobili.
Quali certificati? I nomi SAN per l'individuazione automatica dei certificati sono necessari qui:
Pool di directory
Pool Front End
Proxy inverso
Di seguito verranno elencati i dettagli di ogni tabella.
A questo punto è opportuno pianificare un po' di tempo, ma a volte si è distribuito Skype for Business Server 2015 senza voler distribuire la mobilità, cosa che viene visualizzata in basso quando si hanno già certificati nell'ambiente. Il loro riutilizzo tramite una CA interna è in genere piuttosto semplice, ma con certificati pubblici da una CA pubblica, che può essere un po 'più costoso.
Se questo è ciò che si sta guardando e se si hanno molti domini SIP (il che renderebbe più costoso l'aggiunta di SANS), è possibile configurare il proxy inverso per l'uso di HTTP per la richiesta iniziale del servizio di individuazione automatica, invece di usare HTTPS (che è la configurazione predefinita). L'argomento Pianificazione della mobilità contiene altre informazioni in proposito.
Requisiti per il pool di director e il certificato del pool Front End:
| Descrizione | Voce SAN |
|---|---|
| URL del servizio di individuazione automatica interno |
SAN=lyncdiscoverinternal.<sipdomain> |
| URL del servizio di individuazione automatica esterna |
SAN=lyncdiscover.<sipdomain> |
In alternativa, è possibile usare SAN=*.<sipdomain>
Requisiti dei certificati per proxy inverso (CA pubblica):
| Descrizione | Voce SAN |
|---|---|
| URL del servizio di individuazione automatica esterna |
SAN=lyncdiscover.<sipdomain> |
Questo san deve essere assegnato al certificato assegnato al listener SSL nel proxy inverso.
Nota
Il listener del proxy inverso avrà saN per gli URL dei servizi Web esterni. Alcuni esempi sono SAN=skypewebextpool01.contoso.com e dirwebexternal.contoso.com, se è stato distribuito il Director, (facoltativo).
Condivisione file
Skype for Business Server 2015 è in grado di usare la stessa condivisione file per tutto lo spazio di archiviazione dei file. È necessario tenere presente quanto segue:
Una condivisione file deve trovarsi in una rete SAN (Direct Attached Storage DAS) o in una rete AD (Storage Area Network), che include il file system distribuito e una matrice ridondante di dischi indipendenti (RAID) per gli archivi file. Per ulteriori informazioni su DFS per Windows Server 2012, vedi questa pagina DFS.
È consigliabile un cluster condiviso per la condivisione file. Se ne usi uno, devi raggruppare Windows Server 2012 o Windows Server 2012 R2. Anche Windows Server 2008 R2 è accettabile. Perché l'ultima versione di Windows? Le versioni precedenti potrebbero non avere le autorizzazioni appropriate per abilitare tutte le funzionalità. È possibile usare l'amministratore del cluster per creare le condivisioni file. In questo articolo Come creare condivisioni file in un cluster è utile per questi dettagli.
Attenzione
Dovresti sapere che l'uso del NAS (Network Attached Storage) come condivisione file non è supportato, quindi usa una delle opzioni elencate sopra.