Requisiti di sistema per Skype for Business Server 2019
Riepilogo: Prepararsi a installare Skype for Business Server 2019 con l'aiuto di questo articolo. Hardware, sistema operativo, software, database, certificati, Active Directory, DNS e fileshare sono descritti in questo articolo. Tutti i requisiti di sistema e i consigli sono qui per garantire la corretta installazione e distribuzione della server farm.
Come ci si potrebbe aspettare, ci sono alcune operazioni preliminari da effettuare prima di iniziare a distribuire Skype for Business Server 2019. Questo articolo illustra i passaggi per la pianificazione di:
Hardware per Skype for Business Server 2019
Dopo aver stabilito la topologia (e in caso contrario, consultare l'articolo Topologia di base per Skype for Business Server 2019 ), è il momento di pensare ai server. Il server Skype for Business Server 2019 richiede hardware a 64 bit. I suggerimenti per l'hardware sono elencati nelle tabelle seguenti. Questi non sono requisiti, ma riflettono i requisiti necessari per ottenere prestazioni ottimali. È disponibile una documentazione per la pianificazione della capacità che consente di determinare se sono necessari più requisiti, a seconda delle circostanze.
Hardware consigliato per i server Standard Edition
| Componente hardware | Consigliata |
|---|---|
| CPU | Processore doppio Intel Xeon E5-2673 v3, 6 core, 2,4 gigahertz (GHz) o superiore. I processori Intel Itanium non sono supportati per i ruoli di Skype for Business Server 2019. |
| Memoria | 32 gigabyte (GB). |
| Disco | ENTRAMBI: • Otto o più unità disco rigido da 10.000 RPM con almeno 72 GB di spazio libero su disco (due dei dischi che utilizzano RAID 1 e 6 con RAID 10). OPPURE • Unità SSD (Solid State Drive) in grado di fornire lo stesso spazio libero e prestazioni simili a otto unità meccaniche da 10.000 RPM. |
| Rete | Una scheda di rete a doppia porta, 1 Gbps o superiore (possono essere usate due schede di rete, ma devono essere abbinate a un singolo indirizzo MAC e un singolo indirizzo IP). Le configurazioni duali o multi-homed non sono supportate per i server Front End Server, Back End Server e Standard Edition. È possibile avere sistemi di gestione fuori banda, ad esempio DRAC o ILO, purché non siano esposti al sistema operativo e vengano usati per monitorare e gestire l'hardware del server. Questo scenario non costituisce un server multi-homed ed è supportato. |
Hardware consigliato per front-end e back-end server
| Componente hardware | Consigliata |
|---|---|
| CPU | Processore doppio Intel Xeon E5-2673 v3, 6 core, 2,4 gigahertz (GHz) o superiore. I processori Intel Itanium non sono supportati per i ruoli di Skype for Business Server 2019. |
| Memoria | 64 gigabyte (GB). |
| Disco | ENTRAMBI: • Otto o più unità disco rigido da 10.000 RPM con almeno 72 GB di spazio libero su disco (due dei dischi che utilizzano RAID 1 e 6 con RAID 10). OPPURE • Unità SSD (Solid State Drive) in grado di fornire lo stesso spazio libero e prestazioni simili a otto unità meccaniche da 10.000 RPM. |
| Rete | Una scheda di rete a doppia porta, 1 Gbps o superiore (possono essere usate due schede di rete, ma devono essere abbinate a un singolo indirizzo MAC e un singolo indirizzo IP). Le configurazioni duali o multi-homed non sono supportate per i server Front End Server, Back End Server e Standard Edition. È possibile avere sistemi di gestione fuori banda, ad esempio DRAC o ILO, purché non siano esposti al sistema operativo e vengano usati per monitorare e gestire l'hardware del server. Questo scenario non costituisce un server multi-homed ed è supportato. |
Hardware consigliato per server perimetrali, mediation server autonomi e amministratori
| Componente hardware | Consigliata |
|---|---|
| CPU | Processore doppio Intel Xeon E5-2673 v3, 6 core, 2,4 gigahertz (GHz) o superiore. I processori Intel Itanium non sono supportati per i ruoli di Skype for Business Server 2019. |
| Memoria | 32 gigabyte. |
| Disco | ENTRAMBI: • Quattro o più unità disco rigido da 10.000 RPM con almeno 72 GB di spazio libero su disco (i dischi devono essere in una configurazione RAID 1 2x). OPPURE • Unità SSD (Solid State Drive) in grado di fornire lo stesso spazio libero e prestazioni simili a quattro unità meccaniche da 10.000 RPM. |
| Rete | Una scheda di rete a doppia porta, 1 Gbps o superiore (possono essere usate due schede di rete, ma devono essere abbinate a un singolo indirizzo MAC e un singolo indirizzo IP). Le configurazioni duali o multi-homed non sono supportate per i server e i direttori di video interop. I server perimetrali richiedono due interfacce di rete che sono schede di rete a doppia porta, 1 Gbps o superiore (o due schede di rete accoppiate, per un totale di quattro, ciascuna coppia associata con un singolo indirizzo MAC e un singolo indirizzo IP, per un totale di due coppie). Nei Mediation Server autonomi è supportata l'installazione di schede di interfaccia di rete aggiuntive per consentire la configurazione di uno specifico indirizzo IP PSTN. |
Nota
Indipendentemente dal ruolo del server, consigliamo anche le seguenti impostazioni hardware per Skype for Business Server 2019 (le impostazioni possono variare a seconda del marchio dell'hardware acquistato, quindi consulta la documentazione del produttore per informazioni specifiche):
- Configurazione BIOS: deve essere impostata su FLAT da NUMA.
- Abilita l'hyperthreading.
- L'impostazione della coda RSS deve essere impostata su 8 code.
Sistemi operativi per Skype for Business Server 2019
Dopo aver impostato l'hardware, è necessario installare il sistema operativo (OS) che consente di installare e utilizzare correttamente Skype for Business Server 2019:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
Qualsiasi altro elemento diverso dai sistemi operativi elencati qui non funzionerà correttamente. Non tentare di utilizzare altro per le installazioni di Skype for Business Server 2019. Ad esempio, l'opzione Server Core non è elencata. Di conseguenza, non è supportato.
Nota
Windows Server 2022 è idoneo solo con Skype for Business Server 2019 per l'aggiornamento cumulativo 7 e versioni successive (numero di build minimo 2046.524).
Un aggiornamento sul posto del sistema operativo non è supportato. È necessario distribuire un pool separato che esegue un sistema operativo diverso e quindi eseguire la migrazione degli utenti al nuovo pool. Tutti i server all'interno di un pool devono avere la stessa versione del sistema operativo.
Se si sta installando Windows Admin Center 2019 nel computer Windows Server 2019, il programma richiede l'ascolto di una porta. È probabile che tu scelga la porta 443. Tuttavia, se nel computer è installato Skype for Business Server 2019 o se è installato Skype for Business Server 2019, è necessario scegliere un numero di porta diverso.
Perché? Se Windows Admin Center 2019 è in esecuzione sulla porta 443, non potrai connetterti al server utilizzando il Pannello di controllo di Skype for Business, né potrai connetterti a qualsiasi servizio Web interno in esecuzione sul server (Servizio Web Rubrica, Servizio di individuazione automatica, Servizio WebTicket e così via). In effetti, non potrai connetterti ad alcun URL del servizio Web interno. Nel caso in cui tu abbia bisogno o voglia di inserire Windows Admin Center 2019 su un server con Skype for Business Server 2019, scegli una porta diversa.
Software che deve essere installato prima di una distribuzione di Skype for Business Server 2019
Nota
Come prerequisito per l'installazione di Skype for Business Server 2019, mentre si utilizza Windows Server 2022, è necessario eseguire lo script di compatibilità per Windows Server 2022.
Ci sono alcuni elementi che è necessario installare o configurare per qualsiasi server che esegue Skype for Business Server 2019. Questi elementi sono elencati nelle tabelle seguenti, seguiti da requisiti aggiuntivi per ruoli server specifici.
Importante
Skype for Business 2019 supporta .Net Framework 4.8. e .Net Framework 4.8.1
Tutti i server
| Software/ruolo | Dettagli |
|---|---|
| Windows PowerShell 3.0 | Per tutti i server Skype for Business Server deve essere installato Windows PowerShell 3.0. • PowerShell 3.0 deve essere installato per impostazione predefinita con Windows Server 2016. |
| Microsoft .NET Framework | I servizi WCF sono una funzionalità installata come funzionalità di Windows in Server Manager. Inizialmente, non sono necessari download. • Quando installi questa funzionalità o se è già installata e la controlli, devi assicurarti che anche l'opzione Attivazione HTTP sia selezionata e installata, come indicato di seguito. 
Non preoccuparti se viene visualizzata un'altra finestra popup in cui è indicato che è necessario installare alcuni altri elementi per installare l'attivazione HTTP. È normale. Selezionare OK e continuare. Se non viene visualizzata questa finestra popup, è possibile presumere che siano già installati. Microsoft .NET Framework viene installato quando è installato Windows Server 2016. Skype for Business Server richiede però Microsoft .NET Framework 4.7, 4.8 o 4.8.1, quindi probabilmente dovrai aggiornarlo. Puoi trovare l'aggiornamento qui |
| Media Foundation | Per Windows Server 2016, Windows Media Format Runtime viene installato con Microsoft Media Foundation. Tutti i server Front End e Standard Edition utilizzati per le conferenze richiedono Windows Media Format Runtime per eseguire i file Windows Media Audio (.wma) riprodotti dalle applicazioni Parcheggio di chiamata, Annuncio e Response Group per annunci e musica. |
| Windows Identity Foundation | Abbiamo bisogno di Windows Identity Foundation 3.5 per supportare scenari di autenticazione da server a server per Skype for Business Server 2019. • Per Windows Server 2016, non è necessario scaricare nulla. Aprire Server Manager e passare alla procedura guidata Aggiungi ruoli e funzionalità. Windows Identity Foundation 3.5 è elencato nella sezione Funzionalità . Se è selezionata, tutto pronto. In caso contrario, selezionalo e quindi seleziona Avanti per raggiungere il pulsante Installa . |
| Strumenti di amministrazione remota del server | Strumenti di amministrazione ruoli: Servizi di dominio Active Directory e strumenti di AD LDS |
Front End Servers e server Standard Edition
| Software/ruolo | Dettagli |
|---|---|
| Internet Information Services (IIS) | IIS è necessario su tutti i front end server e su tutti i server Standard Edition, con i seguenti moduli selezionati: • Caratteristiche HTTP comuni: documento predefinito, errori HTTP, contenuto statico • Integrità e diagnostica: registrazione HTTP, strumenti di registrazione, traccia • Prestazioni: Compressione del contenuto statico, Compressione dinamica del contenuto • Sicurezza: filtro delle richieste, autenticazione del mapping dei certificati client, autenticazione di Windows • Sviluppo di applicazioni: Estendibilità 3.5.NET, Estendibilità .NET 4.5, ASP.NET 3.5, ASP.NET 4.5, estensioni ISAPI, filtri ISAPI • Strumenti di gestione: Console di gestione IIS, script e strumenti di gestione IIS È necessario anche l'accesso anonimo, ma viene visualizzato quando si installa IIS, in modo da non avere una posizione in cui selezionarlo nell'elenco. |
| Windows Media Format Runtime | Per Windows Server 2016, è necessario installare la funzionalità Media Foundation in Server Manager. È possibile avviare l'installazione di Skype for Business Server 2019 senza questa funzionalità. Tuttavia, ti viene richiesto di installarlo e quindi riavviare il server prima che l'installazione di Skype for Business Server 2019 possa continuare. È meglio farlo in anticipo. |
| Silverlight | È possibile installare l'ultima versione di Silverlight qui. |
| Per gli utenti nell'area geografica cina | Eseguire lo script di PowerShell dopo aver aggiornato il server al numero di build minimo Skype for Business Server 2019 Cumulative Update 7 Hotfix 1 (2046.524). |
Ecco uno script di PowerShell di esempio che è possibile eseguire per automatizzare questo processo:
Add-WindowsFeature RSAT-ADDS, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, Web-Dyn-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Mgmt-Tools, Web-Scripting-Tools, Web-Mgmt-Compat, Windows-Identity-Foundation, Server-Media-Foundation, Telnet-Client, BITS, ManagementOData, Web-Mgmt-Console, Web-Metabase, Web-Lgcy-Mgmt-Console, Web-Lgcy-Scripting, Web-WMI, Web-Scripting-Tools, Web-Mgmt-Service
Gli amministratori hanno anche bisogno di:
IIS, con i seguenti moduli selezionati:
Caratteristiche HTTP comuni
Documento predefinito
Errori HTTP
Contenuto statico
Integrità e diagnostica
Registrazione HTTP
Strumenti di registrazione
Traccia
Prestazione
- Compressione contenuto statico
Sicurezza
Richiedi filtro
Autenticazione mapping certificato client
Autenticazione di Windows
Sviluppo di applicazioni
Estendibilità di .NET 3.5
Estendibilità di .NET 4.5
ASP.NET 3,5
ASP.NET 4,5
Estensione ISAPI
Filtri ISAPI
(Nel caso lo desideri, è lo stesso set di moduli dei server Front End Server e Standard Edition, senza includere gli strumenti di compressione e gestione del contenuto dinamico.
Inoltre, abbiamo anche del codice PowerShell per questo processo:
Add-WindowsFeature RSAT-ADDS, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Scripting-Tools, Web-Mgmt-Compat, Server-Media-Foundation, Telnet-Client
Installazione di script di compatibilità per Windows Server 2022
Quando si configura Skype for Business Server per Windows Server 2022, è necessario eseguire il seguente script per garantire la compatibilità con Windows Server 2022:
$providerName = "AesProvider"
$keyContainerName = "iisCustomConfigurationKey"
$exe = Get-ChildItem -Path "$env:SystemRoot\Microsoft.NET\Framework64" -Filter "aspnet_regiis.exe" -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1
if ($exe -eq $null) {
Write-Error "aspnet_regiis.exe not found. Exiting";
Exit
}
$existingProvider = Get-WebConfiguration -PSPath 'MACHINE/WEBROOT/APPHOST' -Filter "configProtectedData/providers/add[@name='$providerName']"
if ($null -ne $existingProvider) { # Provider already exists
Write-Host "Script has already run. $providerName already exists. Exiting"
Exit 0
}
& $exe.FullName -pc $keyContainerName -exp
& $exe.FullName -pa $keyContainerName "BUILTIN\IIS_IUSRS"
& $exe.FullName -pa $keyContainerName "NT SERVICE\WMSVC"
Add-WebConfigurationProperty -PSPath 'MACHINE/WEBROOT/APPHOST' -Filter "configProtectedData/providers" -Name "." -Value @{name="$providerName";type='System.Configuration.RsaProtectedConfigurationProvider,System.Configuration, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a'}
$applicationHostConfigPath = "$env:SystemRoot\System32\inetsrv\config\applicationHost.config"
[xml] $applicationHostConfigFile = Get-Content $applicationHostConfigPath
foreach ($ele in $applicationHostConfigFile.configuration.configProtectedData.providers.add) {
if ($ele.name -eq $providerName) {
$ele.SetAttribute("keyContainerName", $keyContainerName)
$ele.SetAttribute("useMachineContainer", "true")
$ele.SetAttribute("useOAEP", "false")
$ele.SetAttribute("useFIPS", "true")
}
}
$applicationHostConfigFile.Save($applicationHostConfigPath)
Write-Host "Script ran successfully. Key container $keyContainerName created. Provider $providerName added."
Database back-end compatibili con Skype for Business Server 2019
Quando si installa Skype for Business Server 2019 Standard Edition, viene installato anche SQL Server 2016 Express (edizione a 64 bit).
Skype for Business Server 2019 Enterprise Edition richiede la versione completa di SQL Server, come indicato qui (solo edizione a 64 bit; non utilizzare edizioni a 32 bit):
- Microsoft SQL Server 2019 (edizione a 64 bit) - deve essere eseguito insieme agli aggiornamenti più recenti
- Microsoft SQL Server 2017 (edizione a 64 bit) - deve essere eseguito insieme agli aggiornamenti più recenti
- Microsoft SQL Server 2016 (edizione a 64 bit) - deve essere eseguito insieme agli aggiornamenti più recenti
Se l'edizione di SQL Server che si vuole usare non è presente nell'elenco, non è possibile usarla.
Nota
È anche necessario installare SQL Server Reporting Services per il ruolo Monitoring Server.
Sql Clustering e SQL Always On
È supportato il clustering SQL con Skype for Business Server 2019. Se si vuole configurare il clustering SQL, questa operazione viene eseguita in SQL Server.
Assicurarsi di avere una configurazione attiva/passiva per il clustering SQL, supportata. Non condividere il nodo passivo con altre istanze SQL.
Per il clustering di failover, è possibile avere:
Due nodi:
- Microsoft SQL Server 2019 Standard (edizione a 64 bit) ed è consigliabile eseguire il Service Pack più recente.
- Microsoft SQL Server 2017 Standard (edizione a 64 bit) ed è consigliabile eseguire il Service Pack più recente.
- Microsoft SQL Server 2016 Standard (edizione a 64 bit) ed è consigliabile eseguire il Service Pack più recente.
Sedici nodi:
- Microsoft SQL Server 2019 Enterprise (edizione a 64 bit) ed è consigliabile eseguire il Service Pack più recente.
- Microsoft SQL Server 2017 Enterprise (edizione a 64 bit) ed è consigliabile eseguire il Service Pack più recente.
- Microsoft SQL Server 2016 Enterprise (edizione a 64 bit) ed è consigliabile eseguire il Service Pack più recente.
SQL Always On è supportato e puoi saperne di più in Disponibilità elevata di Back End Server in Skype for Business Server 2019.
Suggerimenti aggiuntivi per l'installazione del server
Non installare software client Microsoft Internet Security and Acceleration (ISA) Server o altro software LSP (Winsock Layered Service Provider) (eventuali firewall di terze parti o software di ispezione della rete antivirus incluso qui) su uno qualsiasi dei server front-end o dei server di mediazione autonomi. Quando è installato il software, si sono riscontrate prestazioni di traffico multimediale scadenti.
Active Directory
Sebbene gran parte dei dati di configurazione per server e servizi sia archiviata nell'archivio di gestione centrale di Skype for Business Server 2019, alcuni elementi sono ancora archiviati in Active Directory.
| Oggetti di Active Directory | Tipi di oggetti |
|---|---|
| Estensioni dello schema | Estensioni degli oggetti utente |
| Estensioni per Skype for Business Server 2015 e Lync Server 2013, per mantenere la compatibilità con le versioni precedenti supportate | |
| Dati | URI SIP utente e altre impostazioni utente |
| Oggetti contatto per le applicazioni (ad esempio l'applicazione Response Group e l'applicazione Conferencing Attendant) | |
| Dati pubblicati per garantire la compatibilità con le versioni precedenti | |
| Un punto di controllo del servizio (SCP) per l'archivio di gestione centrale | |
| Account di autenticazione Kerberos (oggetto computer facoltativo) |
Sistema operativo per controller di dominio
È possibile utilizzare i sistemi operativi controller di dominio seguenti:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
Il livello di funzionalità del dominio di qualsiasi dominio in cui si distribuisce Skype for Business Server 2019 e il livello di funzionalità della foresta di qualsiasi foresta in cui si distribuisce Skype for Business Server 2019, deve essere uno dei seguenti:
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
È possibile avere controller di dominio di sola lettura in questi ambienti? Sì, è possibile, purché siano disponibili anche i controller di dominio scrivibili.
È importante sapere che Skype for Business Server 2019 non supporta domini con etichetta singola. Cosa sono questi? Se si ha un dominio radice denominato "contoso.local", funzionerà. Se si ha un dominio radice denominato "locale", questa operazione non funziona e non è supportata. Per altre informazioni, vedere Distribuzione e funzionamento dei domini di Active Directory configurati con nomi DNS con etichetta singola.
Anche Skype for Business Server 2019 non supporta la ridenominazione dei domini. Se è necessario rinominare il dominio, è necessario disinstallare Skype for Business Server 2019, rinominare il dominio e quindi reinstallare Skype for Business Server 2019.
Infine, è possibile che si abbia a che fare con un dominio con un ambiente Active Directory Domain DomainS bloccato ed è accettabile. Ulteriori informazioni su come distribuire Skype for Business Server 2019 in un ambiente ad dominio Active Directory bloccato sono disponibili nella documentazione relativa alla distribuzione.
Topologie di Active Directory
Le topologie supportate in Skype for Business Server 2019 sono le seguenti:
Foresta singola con dominio singolo
Foresta singola con un singolo albero e più domini
Singola foresta con più alberi e spazi dei nomi disgiunti
Più foreste in una topologia di foresta centrale
Più foreste in una topologia di foresta di risorse
Più foreste in una topologia di foresta di risorse di Skype for Business con Exchange Online
Più foreste nella topologia di una foresta di risorse con Skype for Business Online e Microsoft Entra Connect
Sono disponibili diagrammi e descrizioni che consentono di determinare la topologia disponibile nel proprio ambiente o le operazioni che potrebbe essere necessario configurare prima di installare Skype for Business Server 2019. Per renderla semplice, viene inclusa anche una chiave:
Foresta singola con dominio singolo
Non è più facile di questo. Si tratta di una singola foresta di dominio, una topologia comune.
Foresta singola con un singolo albero e più domini
Questo diagramma mostra anche una singola foresta, ma ha anche uno o più domini figlio (ce ne sono tre in questo esempio specifico). S,o il dominio in cui vengono creati gli utenti potrebbe essere diverso dal dominio in cui è distribuito Skype for Business Server 2019. Perché preoccuparsi di questa situazione? È importante ricordare che quando si distribuisce un pool Front End di Skype for Business Server, tutti i server in tale pool devono trovarsi in un unico dominio. È possibile disporre dell'amministrazione tra domini tramite il supporto di Skype for Business Server dei gruppi di amministratori universali di Windows.
Nel diagramma precedente è possibile vedere che gli utenti di un dominio sono in grado di accedere ai pool di Skype for Business Server dallo stesso dominio o da domini diversi, anche se si trovano in un dominio figlio.
Singola foresta con più alberi e spazi dei nomi disgiunti
È possibile che si abbia una topologia simile a questo diagramma, in cui si dispone di una foresta, ma all'interno di tale foresta sono presenti più domini, con spazi dei nomi ACTIVE Directory separati. In questo caso, questo diagramma è una buona illustrazione, perché include utenti in tre domini diversi che accedono a Skype for Business Server 2019. Linee continue indicano che stanno accedendo a un pool di Skype for Business Server nel proprio dominio, mentre una linea tratteggiata indica che stanno andando a un pool in un albero diverso del tutto.
Come si può vedere, gli utenti nello stesso dominio, nello stesso albero o anche in un altro albero possono accedere correttamente ai pool.
Più foreste in una topologia di foresta centrale
Skype for Business Server 2019 supporta più foreste configurate in una topologia di foresta centrale. In caso di dubbi, la foresta centrale nella topologia usa gli oggetti in essa contenuti per rappresentare gli utenti delle altre foreste e ospita gli account utente per gli utenti della foresta.
Come funziona? Un prodotto di sincronizzazione della directory, ad esempio Forefront Identity Manager o FIM, gestisce gli account utente dell'organizzazione per tutta la loro esistenza. Quando si crea o si elimina un account da una foresta, la modifica viene sincronizzata con il contatto corrispondente nella foresta centrale.
Chiaramente, se l'infrastruttura di Active Directory è attiva, passare a questa topologia potrebbe non essere facile, ma se si è già lì o si sta ancora pianificando l'infrastruttura forestale, questa può essere una buona scelta. È possibile centralizzare la distribuzione di Skype for Business Server 2019 in un'unica foresta, mentre gli utenti possono cercare, comunicare e visualizzare la presenza di altri utenti in qualsiasi foresta. Tutti gli aggiornamenti dei contatti utente vengono gestiti automaticamente con il software di sincronizzazione.
Più foreste in una topologia di foresta di risorse di Skype for Business
È supportata anche una topologia di foresta di risorse. è dove una foresta è dedicata all'esecuzione delle applicazioni server, come Microsoft Exchange Server e Skype for Business Server 2019. Questa foresta di risorse ospita anche una rappresentazione sincronizzata degli oggetti utente attivi, ma non gli account utente abilitati per l'accesso. Quindi la foresta di risorse è un ambiente di servizi condivisi per altre foreste in cui risiedono gli oggetti utente e hanno una relazione di trust a livello di foresta con la foresta di risorse.
Exchange Server può essere distribuito nella stessa foresta di risorse di Skype for Business Server o in una foresta diversa.
Per distribuire Skype for Business Server 2019 in questo tipo di topologia, è necessario creare un oggetto utente disabilitato nella foresta di risorse per ogni account utente nelle foreste utente (se Microsoft Exchange Server è già nell'ambiente, questa azione potrebbe essere eseguita per te). È quindi necessario uno strumento di sincronizzazione della directory, ad esempio Forefront Identity Manager o FIM, per gestire gli account utente durante l'intero ciclo di vita.
Più foreste in una topologia di foresta di risorse di Skype for Business con Exchange Online
Questa topologia è simile alla topologia descritta in Più foreste in una topologia di foresta di risorse di Skype for Business.
In questa topologia sono presenti una o più foreste utente e Skype for Business Server viene distribuito in una foresta di risorse dedicata. Exchange Server può essere distribuito in locale nella stessa foresta di risorse o in una foresta diversa e configurato per la distribuzione ibrida con Exchange Online oppure i servizi di posta elettronica possono essere forniti esclusivamente da Exchange Online per gli account locali. Non sono disponibili diagrammi per questa topologia.
Più foreste nella topologia di una foresta di risorse con Skype for Business Online e Microsoft Entra Connect
In questo scenario sono presenti più foreste in locale, con una topologia di foresta di risorse. Esiste una relazione di trust completo tra le foreste di Active Directory. Lo strumento Microsoft Entra Connect viene usato per sincronizzare gli account tra le foreste utente locali e Microsoft 365 o Office 365.
L'organizzazione ha anche Microsoft 365 o Office 365 e usa Microsoft Entra Connect per sincronizzare i propri account locali con Microsoft 365 o Office 365. Gli utenti abilitati per Skype for Business sono abilitati tramite Microsoft 365 o Office 365 e Skype for Business online. Skype for Business Server non viene distribuito in locale.
L'autenticazione Single Sign-On viene fornita da una farm di Active Directory Federation Services situata nella foresta degli utenti.
In questo scenario è supportato per distribuire Exchange locale, Exchange Online, una soluzione ibrida di Exchange, o per non distribuire affatto Exchange. Il diagramma mostra solo Exchange locale, ma sono supportate anche le altre soluzioni di Exchange.
Più foreste in una topologia di foresta di risorse con Skype for Business ibrido
In questo scenario sono presenti una o più foreste utente locali e Skype for Business viene distribuito in una foresta di risorse dedicata ed è configurato per la modalità ibrida con Skype for Business online. Exchange Server può essere distribuito in locale nella stessa foresta di risorse o in un'altra foresta e può essere configurato per la distribuzione ibrida con Exchange Online. In alternativa, i servizi di posta elettronica possono essere forniti esclusivamente da Exchange Online per gli account locali.
Per ulteriori informazioni, vedere Configurare un ambiente con più foreste per Skype for Business ibrido.
DNS (Domain Name System)
Skype for Business Server 2019 richiede il DNS per i motivi seguenti:
Il DNS consente a Skype for Business Server 2019 di individuare server o pool interni, consentendo comunicazioni da server a server.
Il DNS consente ai computer client di individuare il pool Front End o il server Standard Edition usato per le transazioni SIP.
Associa URL semplici per le conferenze ai server che ospitano tali conferenze.
Il DNS consente agli utenti esterni e ai computer client di connettersi ai server perimetrali, o al proxy inverso HTTP, per la messaggistica istantanea o le conferenze.
Consente ai dispositivi di comunicazioni unificate che non hanno effettuato l'accesso di individuare il pool Front End o il server Standard Edition che esegue il servizio Web Aggiornamento dispositivi per ottenere aggiornamenti e inviare i log.
L'uso del DNS consente ai client mobili di individuare automaticamente le risorse dei servizi Web senza richiedere agli utenti di immettere manualmente gli URL nelle impostazioni del dispositivo.
Viene usato nel bilanciamento del carico DNS.
È importante notare che Skype for Business Server 2019 non supporta i nomi di dominio internazionalizzati (IDN).
Ed è estremamente importante ricordare che qualsiasi nome nel DNS sia identico al nome del computer configurato su qualsiasi server utilizzato da Skype for Business Server 2019. In particolare, non è possibile avere nomi brevi nell'ambiente e devono essere presenti FQDN per Generatore di topologie.
Questo sembra logico per qualsiasi computer già aggiunto a un dominio. Se però si ha un server perimetrale che non fa parte del dominio, per impostazione predefinita può avere un nome breve senza suffisso di dominio. Assicurati che non sia così, sia nel DNS che nel server perimetrale, o in qualsiasi server o pool di Skype for Business Server 2019.
Sicuramente non usare caratteri Unicode o caratteri di sottolineatura nei nomi di dominio. I caratteri standard, ovvero A-Z, a-z, 0-9 e i trattini, sono supportati dal DNS esterno e dalle autorità di certificazione pubbliche (è necessario assegnare fqdn al nome dell'utente nel certificato, è importante ricordarlo). Pertanto, ci si risparmierà un sacco di problemi se si tiene questa regola in mente fin dall'inizio.
Per altre informazioni sui requisiti DNS per la rete, vedere la sezione Rete della documentazione relativa alla pianificazione.
Certificati
Una delle operazioni più importanti che è possibile eseguire prima della distribuzione è verificare di avere i certificati nell'ordine indicato. Skype for Business Server 2019 richiede un'infrastruttura a chiave pubblica (PKI) per le connessioni TLS (Transport Layer Security) e MTLS (Mutual Transport Layer Security). Fondamentalmente, per comunicare in modo sicuro in modo standardizzato, Skype for Business Server utilizza certificati emessi da autorità di certificazione.
Ecco alcuni degli elementi che Skype for Business Server 2019 utilizza i certificati per:
Connessioni TLS tra client e server
Connessioni MTLS tra server
Federazione con individuazione DNS automatica dei partner
Accesso remoto dell'utente per la messaggistica istantanea
Accesso degli utenti esterni a sessioni audio/video (AV), condivisione applicazioni e conferenze
Parlare con le applicazioni Web e Outlook Web Access (OWA)
Quindi la pianificazione dei certificati è un must. Ora diamo un'occhiata a un elenco di alcuni degli aspetti da tenere in considerazione quando richiedi certificati:
Tutti i certificati server devono supportare l'autorizzazione del server (EKU Server).
Tutti i certificati server devono contenere un punto di distribuzione CRL (CDP).
Tutti i certificati devono essere firmati utilizzando un algoritmo di firma supportato dal sistema operativo. Skype for Business Server 2019 supporta la famiglia di digest SHA-1 e SHA-2 (224 bit, 256 bit, 384 bit e 512 bit) e soddisfa o supera i requisiti del sistema operativo.
La registrazione automatica è supportata per i server interni che eseguono Skype for Business Server 2019.
La registrazione automatica non è supportata per i server Perimetrali di Skype for Business Server 2019.
Nota
L'uso dell'algoritmo di firma RSASSA-PSS non è supportato e può causare errori nell'accesso e nell'inoltro di chiamata, tra gli altri problemi.
Sono supportate le lunghezze delle chiavi di crittografia 1024, 2048 e 4096. Sono consigliate le lunghezze chiave del 2048 e successive.
L'algoritmo di riepilogo predefinito, o firma hash, è RSA. Sono supportati anche gli algoritmi ECDH_P256, ECDH_P384 e ECDH_P521.
Questo è molto da pensare, e ci sono vari livelli di comfort per richiedere certificati da una CA. Verranno fornite altre indicazioni nelle sezioni seguenti per rendere la pianificazione il più indolore possibile.
Certificati per i server interni
Sono necessari certificati per la maggior parte dei server interni e molto probabilmente si otterrà un certificato da una CA interna, ovvero un'AUTORITÀ di certificazione situata nel dominio. Se si vuole, è possibile richiedere questi certificati a un'AUTORITÀ di certificazione esterna (una che si trova su Internet). Se ti stai chiedendo a quale CA pubblica dovresti accedere, puoi consultare l'elenco dei partner del certificato unificato per le comunicazioni .
Sono inoltre necessari certificati quando Skype for Business Server 2019 comunica con altre applicazioni e server, ad esempio Microsoft Exchange Server. Questo, ovviamente, dovrà essere un certificato che queste altre applicazioni e server possono utilizzare in un modo supportato. Skype for Business Server 2019 e altri prodotti Microsoft supportano il protocollo OAuth (Open Authorization) per l'autenticazione e l'autorizzazione da server a server. Se sei interessato, abbiamo un articolo di pianificazione aggiuntivo per OAuth e Skype for Business Server 2019.
Skype for Business Server 2019 include anche il supporto per (senza la necessità) di certificati firmati con la funzione hash crittografica SHA-256. Per supportare l'accesso esterno con SHA-256, il certificato esterno deve essere emesso da un'autorità di certificazione pubblica con SHA-256.
Per garantire la semplicità, sono stati inseriti i requisiti dei certificati per i server Standard Edition, i pool Front End e altri ruoli nelle tabelle seguenti ed è stato usato il contoso.com fittizio per alcuni esempi (probabilmente si userà un'altra funzionalità per l'ambiente in uso). Si tratta di tutti certificati server Web standard, con chiavi private non esportabili. Ecco alcuni altri aspetti da tenere presente:
L'utilizzo delle chiavi avanzate del server (EKU) viene configurato automaticamente quando si usa la procedura guidata certificato per richiedere i certificati.
Ogni nome descrittivo del certificato deve essere univoco nell'archivio computer.
In base ai nomi di esempio seguenti, se sono stati configurati sipinternal.contoso.com o sipexternal.contoso.com nel DNS, devono essere aggiunti al nome alternativo soggetto (SAN) del certificato.
Certificati per i server Standard Edition
| Certificato | Nome del soggetto/nome comune | Nome alternativo del soggetto | Esempio | Commenti |
|---|---|---|---|---|
| Predefinito | FQDN del pool | FQDN del pool e FQDN del server Se si hanno più domini SIP e la configurazione automatica del client è abilitata, la procedura guidata per i certificati rileva e aggiunge tutti gli FQDN di dominio SIP supportati. Se questo pool è il server di accesso automatico per i client ed è necessaria una corrispondenza completa del DNS (Domain Name System) in Criteri di gruppo, sono necessarie anche le voci per sip.sipdomain (per ogni dominio SIP in uso). |
SN=se01.contoso.com; SAN=se01.contoso.com Se questo pool è il server di accesso automatico per i client ed è necessaria una corrispondenza DNS completa in Criteri di gruppo, è necessario SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Nei server Standard Edition, il nome di dominio completo del server è uguale a quello del pool. La procedura guidata rileva tutti i domini SIP specificati durante l'installazione e li aggiunge automaticamente al nome alternativo del soggetto. È anche possibile usare questo certificato per l'autenticazione da server a server. |
| Interno Web | FQDN del server | Ognuna delle opzioni seguenti: • FQDN Web interno (che corrisponde all'FQDN del server) E • Scopri URL semplici • URL semplice per l'accesso • URL semplice amministratore OPPURE • Una voce con caratteri jolly per gli URL semplici |
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Uso di un certificato con caratteri jolly: SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com |
Non è possibile ignorare l'FQDN Web interno in Generatore di topologie. Se si hanno più URL di riunione semplici, è necessario includerli tutti come NOMI. Le voci con caratteri jolly sono supportate per le voci url semplici. |
| Web esterno | FQDN del server | Ognuna delle opzioni seguenti: • FQDN Web esterno E • URL semplice per l'accesso • Introduzione a URL semplici per dominio SIP OPPURE • Una voce con caratteri jolly per gli URL semplici |
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Uso di un certificato con caratteri jolly: SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Se si hanno più URL di riunione semplici, è necessario includerli tutti come nomi alternativi dell'oggetto. Le voci con caratteri jolly sono supportate per le voci url semplici. |
Certificati per front end server in un pool Front End
| Certificato | Nome del soggetto/nome comune | Nome alternativo del soggetto | Esempio | Commenti |
|---|---|---|---|---|
| Predefinito | FQDN del pool | FQDN del pool e FQDN del server Se si hanno più domini SIP e la configurazione automatica del client è abilitata, la procedura guidata per i certificati rileva e aggiunge tutti gli FQDN di dominio SIP supportati. Se questo pool è il server di accesso automatico per i client ed è necessaria una corrispondenza completa del DNS (Domain Name System) in Criteri di gruppo, sono necessarie anche le voci per sip.sipdomain (per ogni dominio SIP in uso). |
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com Se questo pool è il server di accesso automatico per i client ed è necessaria una corrispondenza DNS completa in Criteri di gruppo, è necessario SAN=sip.contoso.com; SAN=sip.fabrikam.com |
La procedura guidata rileva tutti i domini SIP specificati durante l'installazione e li aggiunge automaticamente al nome alternativo del soggetto. È anche possibile usare questo certificato per l'autenticazione da server a server. |
| Interno Web | FQDN del pool | Ognuna delle opzioni seguenti: • FQDN Web interno (che NON corrisponde all'FQDN del server) • FQDN server • FQDN pool Skype for Business E • Scopri URL semplici • URL semplice per l'accesso • URL semplice amministratore OPPURE • Una voce con caratteri jolly per gli URL semplici |
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Uso di un certificato con caratteri jolly: SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com |
Se si hanno più URL di riunione semplici, è necessario includerli tutti come nomi alternativi dell'oggetto. Le voci con caratteri jolly sono supportate per le voci url semplici. |
| Web esterno | FQDN del pool | Ognuna delle opzioni seguenti: • FQDN Web esterno E • URL semplice per l'accesso • URL semplice amministratore OPPURE • Una voce con caratteri jolly per gli URL semplici |
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Uso di un certificato con caratteri jolly: SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Se si hanno più URL di riunione semplici, è necessario includerli tutti come nomi alternativi dell'oggetto. Le voci con caratteri jolly sono supportate per le voci url semplici. |
Certificati per il director
| Certificato | Nome del soggetto/nome comune | Nome alternativo del soggetto | Esempio |
|---|---|---|---|
| Predefinito | Pool di directory | FQDN del Director, FQDN del pool director. Se questo pool è il server di accesso automatico per i client ed è necessaria una corrispondenza DNS completa in Criteri di gruppo, sono necessarie anche le voci per sip.sipdomain (per ogni dominio SIP in uso). |
pool.contoso.com; SAN=dir01.contoso.com Se questo pool di director è il server di accesso automatico per i client ed è necessaria una corrispondenza DNS completa in Criteri di gruppo, è necessario anche SAN=sip.contoso.com; SAN=sip.fabrikam.com |
| Interno Web | FQDN del server | Ognuna delle opzioni seguenti: • FQDN Web interno (che corrisponde all'FQDN del server) • FQDN server • FQDN pool Skype for Business E • Scopri URL semplici • URL semplice per l'accesso • URL semplice amministratore OPPURE • Una voce con caratteri jolly per gli URL semplici |
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Uso di un certificato con caratteri jolly: SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com |
| Web esterno | FQDN del server | Ognuna delle opzioni seguenti: • FQDN Web esterno E • Introduzione a URL semplici per dominio SIP • URL semplice per l'accesso OPPURE • Una voce con caratteri jolly per gli URL semplici |
L'FQDN Web esterno del director deve essere diverso dal pool Front End o dal Front End Server. SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Uso di un certificato con caratteri jolly: SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
Certificati per Mediation Server autonomo
| Certificato | Nome del soggetto/nome comune | Nome alternativo del soggetto | Esempio |
|---|---|---|---|
| Predefinito | FQDN del pool | FQDN del pool FQDN del server membro del pool |
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net |
Certificati per Survivable Branch Appliance (in particolare, Survivable Branch Appliance 2015 per Skype for Business Server 2019)
| Certificato | Nome del soggetto/nome comune | Nome alternativo del soggetto | Esempio |
|---|---|---|---|
| Predefinito | FQDN dell'accessorio | SIP.<sipdomain> (è necessaria una sola voce per ogni dominio SIP) | SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Certificati per l'accesso degli utenti esterni (Edge)
Skype for Business Server 2019 supporta l'uso di un singolo certificato pubblico per l'accesso e le interfacce esterne di Web Conferencing Edge, oltre al servizio di autenticazione A/V, fornito tramite i server perimetrali. L'interfaccia interna di Edge usa un certificato privato emesso dalla CA interna, ma se si preferisce, è possibile usare anche un certificato pubblico, se proviene da una CA attendibile.
Il proxy inverso (RP) userà anche un certificato pubblico e crittografa la comunicazione dal RP ai client e il RP ai server interni tramite HTTP (o, più precisamente, TLS su HTTP).
Certificati per mobilità
Se si sta distribuendo la mobilità e si supporta l'individuazione automatica per i client mobili, è necessario includere nei certificati alcune voci aggiuntive relative al nome alternativo per argomento per supportare le connessioni sicure dai client mobili.
Per l'individuazione automatica dei certificati seguenti sono necessari i nomi SAN:
Pool di directory
Pool Front End
Proxy inverso
Le specifiche sono elencate nelle tabelle successive.
Qui è dove un po 'di pre-pianificazione è buono. Ma a volte, hai distribuito Skype for Business Server 2019 senza avere l'intenzione di distribuire la mobilità, e questo si verifica in un secondo momento, quando hai già certificati nel tuo ambiente. Il riutilizzo dei certificati tramite una CA interna è in genere piuttosto semplice. Ma per i certificati pubblici da una CA pubblica, che può essere un po 'più costoso.
Se questa è la situazione che si sta verificando e se si hanno molti domini SIP (il che renderebbe più costoso l'aggiunta di SANS), è possibile configurare il proxy inverso in modo da usare HTTP per la richiesta iniziale del servizio di individuazione automatica invece di usare HTTPS (la configurazione predefinita). Per altre informazioni, vedere Pianificare la mobilità.
Requisiti per il pool di director e il certificato del pool Front End
| Descrizione | Voce SAN |
|---|---|
| URL del servizio di individuazione automatica interno | SAN=lyncdiscoverinternal.<sipdomain> |
| URL del servizio di individuazione automatica esterna | SAN=lyncdiscover.<sipdomain> |
In alternativa, è possibile usare SAN=*.<sipdomain>
Requisiti dei certificati per il proxy inverso (CA pubblica)
| Descrizione | Voce SAN |
|---|---|
| URL del servizio di individuazione automatica esterna | SAN=lyncdiscover.<sipdomain> |
Questo SAN deve essere assegnato al certificato assegnato al listener SSL nel proxy inverso.
Nota
Il listener del proxy inverso avrà saN per gli URL dei servizi Web esterni. Alcuni esempi sono SAN=skypewebextpool01.contoso.com e dirwebexternal.contoso.com, se è stato distribuito il Director (facoltativo).
Condivisione file
Skype for Business Server 2019 può usare la stessa condivisione file per tutto lo spazio di archiviazione dei file. Tenere presente quanto segue:
Una condivisione file deve essere in una rete SAN (Direct Attached Storage) o in una RETE (STORAGE Area Network). Questo requisito include il file system distribuito (DFS) e anche una matrice ridondante di dischi indipendenti (RAID) per gli archivi di file. Per ulteriori informazioni sul file system DFS per Windows Server 2012, vedi Panoramica di Spazi dei nomi DFS e Replica DFS.
È consigliabile usare un cluster condiviso per la condivisione file. Se ne usi già uno, devi raggruppare Windows Server 2012 o versioni successive.
Nota
Perché l'ultima versione di Windows? Le versioni precedenti potrebbero non avere le autorizzazioni appropriate per abilitare tutte le funzionalità. È possibile usare Amministratore cluster per creare le condivisioni file. Per altre informazioni, vedere Come creare condivisioni file in un cluster.
Attenzione
È necessario sapere che l'uso del NAS (Network Attached Storage) come condivisione file non è supportato. Usare quindi una delle opzioni elencate di seguito. Questa limitazione di supporto è causata dalla progettazione variabile dei dispositivi NAS che devono fornire l'adattabilità del file system al computer basato su Windows Server che accede al file system condiviso dei dispositivi.