Requisitos de sistema do Skype para Empresas Server 2019
Resumo: Prepare-se para instalar o Skype para Empresas Server 2019 com a ajuda deste artigo. Hardware, SO, software, bases de dados, certificados, Active Directory, DNS e partilhas de ficheiros estão abrangidos aqui. Todos os requisitos de sistema e recomendações estão aqui para ajudar a garantir uma instalação e implementação bem-sucedidas do farm de servidores.
Como seria de esperar, existem alguns preparativos a fazer antes de começar a implementar o Skype para Empresas Server 2019. Este artigo orienta-o ao longo do planeamento para:
Hardware do Skype para Empresas Server 2019
Depois de ter a topologia estabelecida (e se não o fizer, pode consultar o artigo Noções Básicas de Topologia para o Skype para Empresas Server 2019 ), é altura de pensar nos servidores. O servidor do Skype para Empresas Server 2019 necessita de hardware de 64 bits. As nossas recomendações de hardware estão listadas nas tabelas seguintes. Estes não são requisitos, mas refletem os requisitos necessários para um desempenho ideal. Temos documentação de planeamento de capacidade que o ajuda a determinar se precisa de mais do que estes requisitos, consoante as suas circunstâncias.
Hardware recomendado para servidores Standard Edition
Componente de hardware | Recomendado |
---|---|
CPU | Processador duplo Intel Xeon E5-2673 v3, 6 núcleos, 2,4 gigahertz (GHz) ou superior. Os processadores Intel Itanium não são suportados para funções do Skype para Empresas Server 2019. |
Memória | 32 gigabytes (GB). |
Disco | UMA DESTAS OPÇÕES: • Oito ou mais unidades de disco rígido de 10 000 RPM com, pelo menos, 72 GB de espaço livre em disco (dois dos discos que utilizam RAID 1 e 6 com RAID 10). OR • Unidades de estado sólido (SSDs) capazes de fornecer o mesmo espaço livre e um desempenho semelhante a oito unidades de disco mecânicas de 10 000 RPM. |
Rede | Um adaptador de rede de duas portas, 1 Gbps ou superior (podem ser utilizados dois adaptadores de rede, mas têm de ser associados a um único endereço MAC e a um único endereço IP). As configurações dual ou multi-homed não são suportadas para servidores front-end, servidores back-end e servidores Standard Edition. Pode ter sistemas de gestão fora de banda, como DRAC ou ILO, desde que não estejam expostos ao sistema operativo e sejam utilizados para monitorizar e gerir o hardware do servidor. Este cenário não constitui um servidor multi-homed e é suportado. |
Hardware recomendado para Servidores front-end e back-end
Componente de hardware | Recomendado |
---|---|
CPU | Processador duplo Intel Xeon E5-2673 v3, 6 núcleos, 2,4 gigahertz (GHz) ou superior. Os processadores Intel Itanium não são suportados para funções do Skype para Empresas Server 2019. |
Memória | 64 gigabytes (GB). |
Disco | UMA DESTAS OPÇÕES: • Oito ou mais unidades de disco rígido de 10 000 RPM com, pelo menos, 72 GB de espaço livre em disco (dois dos discos que utilizam RAID 1 e 6 com RAID 10). OR • Unidades de estado sólido (SSDs) capazes de fornecer o mesmo espaço livre e um desempenho semelhante a oito unidades de disco mecânicas de 10 000 RPM. |
Rede | Um adaptador de rede de duas portas, 1 Gbps ou superior (podem ser utilizados dois adaptadores de rede, mas têm de ser associados a um único endereço MAC e a um único endereço IP). As configurações dual ou multi-homed não são suportadas para servidores front-end, servidores back-end e servidores Standard Edition. Pode ter sistemas de gestão fora de banda, como DRAC ou ILO, desde que não estejam expostos ao sistema operativo e sejam utilizados para monitorizar e gerir o hardware do servidor. Este cenário não constitui um servidor multi-homed e é suportado. |
Hardware recomendado para Servidores Edge, Servidores de Mediação autónomos e Diretores
Componente de hardware | Recomendado |
---|---|
CPU | Processador duplo Intel Xeon E5-2673 v3, 6 núcleos, 2,4 gigahertz (GHz) ou superior. Os processadores Intel Itanium não são suportados para funções do Skype para Empresas Server 2019. |
Memória | 32 gigabytes. |
Disco | UMA DESTAS OPÇÕES: • Quatro ou mais unidades de disco rígido de 10 000 RPM com, pelo menos, 72 GB de espaço livre em disco (os discos devem estar numa configuração RAID 1 2x). OR • Unidades de estado sólido (SSDs) capazes de fornecer o mesmo espaço livre e um desempenho semelhante a quatro unidades de disco mecânicas de 10 000 RPM. |
Rede | Um adaptador de rede de duas portas, 1 Gbps ou superior (podem ser utilizados dois adaptadores de rede, mas têm de ser associados a um único endereço MAC e a um único endereço IP). As configurações dual ou multi-homed não são suportadas para Os Servidores e Diretórios do Video Interop. Os servidores Edge necessitam de duas interfaces de rede que sejam adaptadores de rede de porta dupla, 1 Gbps ou superior (ou dois adaptadores de rede emparelhados, para um total de quatro, cada par que esteja associado a um único endereço MAC e um único endereço IP, num total de dois pares). Nos Servidores de Mediação autónomos, é suportada a instalação de placas de interface de rede (NICs) adicionais para permitir a configuração de um endereço IP RTPC específico. |
Nota
Independentemente da função de servidor, também recomendamos as seguintes definições de hardware para o Skype para Empresas Server 2019 (as definições podem variar consoante a marca de hardware que comprou, por isso consulte a documentação do fabricante para obter informações específicas):
- Configuração do BIOS – deve ser definida como FLAT a partir de NUMA.
- Ative o Hyperthreading.
- A definição da fila RSS deve ser definida como 8 filas.
Sistemas operativos do Skype para Empresas Server 2019
Depois de ter o hardware definido, tem de instalar o sistema operativo (SO) que lhe permite instalar e utilizar com êxito o Skype para Empresas Server 2019:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
Qualquer outra coisa que não seja os sistemas operativos listados aqui não funcionará corretamente. Não tente utilizar mais nada para instalações do Skype para Empresas Server 2019. Por exemplo, a opção Server Core não está listada. Por conseguinte, não é suportado.
Nota
O Windows Server 2022 só se qualifica com o Skype para Empresas Server 2019 para a Atualização Cumulativa 7 e versões posteriores (número mínimo de compilação 2046.524).
Não é suportada uma atualização no local do SO. Tem de implementar um conjunto separado que esteja a executar um SO diferente e, em seguida, migrar os utilizadores para o novo conjunto. Todos os servidores dentro de um conjunto têm de ter a mesma versão do SO.
Se estiver a instalar o Windows Admin Center 2019 no seu computador Windows Server 2019, o programa pede-lhe uma porta para escutar. É provável que escolha a porta 443. No entanto, se esse computador tiver o Skype para Empresas Server 2019 instalado ou tiver o Skype para Empresas Server 2019 instalado, tem de escolher um número de porta diferente.
Porquê? Se o Windows Admin Center 2019 estiver em execução na porta 443, não poderá ligar-se ao servidor utilizando o Painel de Controlo do Skype para Empresas, nem poderá ligar a qualquer serviço Web interno que esteja em execução no servidor (Serviço Web livro de endereços, Serviço de Deteção Automática, Serviço WebTicket, etc.). Na verdade, não poderá ligar a nenhum URL do Serviço Web Interno. Caso precise ou pretenda colocar o Windows Admin Center 2019 num servidor que tenha o Skype para Empresas Server 2019, selecione uma porta diferente.
Software que deve ser instalado antes de uma implementação do Skype para Empresas Server 2019
Nota
Como pré-requisito para instalar o Skype para Empresas Server 2019, ao utilizar o Windows Server 2022, tem de executar o script de compatibilidade para o Windows Server 2022.
Existem alguns aspetos que tem de instalar ou configurar para qualquer servidor que esteja a executar o Skype para Empresas Server 2019. Estes itens são listados nas tabelas seguintes, seguidos de requisitos adicionais para funções de servidor específicas.
Importante
O Skype para Empresas 2019 suporta o .Net Framework 4.8. e .Net Framework 4.8.1
Todos os servidores
Software/função | Detalhes |
---|---|
Windows PowerShell 3.0 | Todos os servidores do Skype para Empresas Server têm de ter o Windows PowerShell 3.0 instalado. • O PowerShell 3.0 deve ser instalado por predefinição com o Windows Server 2016. |
Microsoft .NET Framework | Os serviços WCF são uma Funcionalidade que está instalada como uma funcionalidade do Windows, em Gestor de Servidor. Inicialmente, não são necessárias transferências. • Quando instala esta funcionalidade ou se esta já está instalada e está a verificá-la, tem de se certificar de que a opção Ativação HTTP também está selecionada e instalada, da seguinte forma. Não se preocupe se receber outra janela de pop-up que indique que alguns outros itens têm de ser instalados para que a Ativação HTTP seja instalada. É normal. Selecione OK e continue. Se não receber esta janela de pop-up, pode assumir que esses itens já estão instalados. O Microsoft .NET Framework é instalado quando o Windows Server 2016 é instalado. No entanto, o Skype para Empresas Server necessita do Microsoft .NET Framework 4.7, 4.8 ou 4.8.1, pelo que provavelmente teria de atualizá-lo. Pode encontrar a atualização aqui |
Media Foundation | Para o Windows Server 2016, o Windows Media Format Runtime é instalado com o Microsoft Media Foundation. Todos os servidores front-end e servidores Standard Edition utilizados para conferências requerem o Windows Media Format Runtime para executar os ficheiros do Windows Media Audio (.wma) que as aplicações Call Park, Announcement e Response Group reproduzem para anúncios e música. |
Windows Identity Foundation | Precisamos do Windows Identity Foundation 3.5 para suportar cenários de autenticação servidor a servidor para o Skype para Empresas Server 2019. • Para o Windows Server 2016, não é necessário transferir nada. Abra o Gerenciador do Servidor e vá para o Assistente de Adição de Funções e Recursos. O Windows Identity Foundation 3.5 está listado na seção Recursos. Se estiver selecionado, tudo pronto. Caso contrário, selecione-o e, em seguida, selecione Seguinte para aceder ao botão Instalar . |
AD DS and AD LDS ToolsFerramentas de Administração de Servidor Remoto | Ferramentas de Administração de Funções: ferramentas do AD DS e AD LDS |
Servidores front-end e servidor Standard Edition
Software/função | Detalhes |
---|---|
IIS (Serviços de Informações da Internet) | O IIS é necessário em todos os Servidores front-end e em todos os servidores standard edition, com os seguintes módulos selecionados: • Funcionalidades HTTP Comuns: Documento Predefinido, Erros HTTP, Conteúdo Estático • Estado de Funcionamento e Diagnóstico: Registo HTTP, Ferramentas de Registo, Rastreio • Desempenho: Compressão de Conteúdo Estático, Compressão de Conteúdo Dinâmico • Segurança: Filtragem de Pedidos, Autenticação de Mapeamento de Certificados de Cliente, Autenticação do Windows • Desenvolvimento de Aplicações: Extensibilidade .NET 3.5, Extensibilidade .NET 4.5, ASP.NET 3.5, ASP.NET 4.5, Extensões ISAPI, Filtros ISAPI • Ferramentas de Gestão: Consola de Gestão do IIS, Ferramentas e Scripts de Gestão do IIS O Acesso Anónimo também é necessário, mas obtém-no quando instala o IIS, para que não tenha um local para o selecionar na lista. |
Tempo de Execução do Windows Media Format | Para o Windows Server 2016, tem de instalar a funcionalidade Media Foundation no Gestor de Servidores. Na verdade, pode iniciar a sua instalação do Skype para Empresas Server 2019 sem esta funcionalidade. No entanto, é-lhe pedido que o instale e, em seguida, reinicie o servidor antes de a instalação do Skype para Empresas Server 2019 poder continuar. É melhor fazê-lo com antecedência. |
Silverlight | Pode instalar a versão mais recente do Silverlight aqui. |
Para utilizadores na região da China | Execute o script do PowerShell depois de atualizar o servidor para o número mínimo de compilação Skype para Empresas Server 2019 Atualização Cumulativa 7 Correção 1 (2046.524). |
Para o ajudar, eis um script do PowerShell de exemplo que pode executar para automatizar este processo:
Add-WindowsFeature RSAT-ADDS, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, Web-Dyn-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Mgmt-Tools, Web-Scripting-Tools, Web-Mgmt-Compat, Windows-Identity-Foundation, Server-Media-Foundation, Telnet-Client, BITS, ManagementOData, Web-Mgmt-Console, Web-Metabase, Web-Lgcy-Mgmt-Console, Web-Lgcy-Scripting, Web-WMI, Web-Scripting-Tools, Web-Mgmt-Service
Os diretórios também precisam:
IIS, com os seguintes módulos selecionados:
Recursos HTTP Comuns
Documento padrão
Erros HTTP
Conteúdo estático
Integridade e Diagnósticos
Log HTTP
Ferramentas de log
Rastreamento
Desempenho
- Compressão de conteúdo estático
Segurança
Requisição de filtro
Autenticação de mapeamento de certificado de cliente
Autenticação do Windows
Desenvolvimento do aplicativo
Extensibilidade .NET 3.5
Extensibilidade .NET 4.5
ASP.NET 3.5
ASP.NET 4.5
Extensão ISAPI
Filtros ISAPI
(Caso esteja a perguntar-se, é o mesmo conjunto de módulos que os servidores Front End Servers e Standard Edition, sem incluir as Ferramentas de Compressão e Gestão de Conteúdos Dinâmicos.)
Também temos alguns códigos do PowerShell para este processo:
Add-WindowsFeature RSAT-ADDS, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Scripting-Tools, Web-Mgmt-Compat, Server-Media-Foundation, Telnet-Client
Instalação do script de compatibilidade para o Windows Server 2022
Quando configura o Skype para Empresas Server para Windows Server 2022, tem de executar o seguinte script para garantir a compatibilidade com o Windows Server 2022:
$providerName = "AesProvider"
$keyContainerName = "iisCustomConfigurationKey"
$exe = Get-ChildItem -Path "$env:SystemRoot\Microsoft.NET\Framework64" -Filter "aspnet_regiis.exe" -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1
if ($exe -eq $null) {
Write-Error "aspnet_regiis.exe not found. Exiting";
Exit
}
$existingProvider = Get-WebConfiguration -PSPath 'MACHINE/WEBROOT/APPHOST' -Filter "configProtectedData/providers/add[@name='$providerName']"
if ($null -ne $existingProvider) { # Provider already exists
Write-Host "Script has already run. $providerName already exists. Exiting"
Exit 0
}
& $exe.FullName -pc $keyContainerName -exp
& $exe.FullName -pa $keyContainerName "BUILTIN\IIS_IUSRS"
& $exe.FullName -pa $keyContainerName "NT SERVICE\WMSVC"
Add-WebConfigurationProperty -PSPath 'MACHINE/WEBROOT/APPHOST' -Filter "configProtectedData/providers" -Name "." -Value @{name="$providerName";type='System.Configuration.RsaProtectedConfigurationProvider,System.Configuration, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a'}
$applicationHostConfigPath = "$env:SystemRoot\System32\inetsrv\config\applicationHost.config"
[xml] $applicationHostConfigFile = Get-Content $applicationHostConfigPath
foreach ($ele in $applicationHostConfigFile.configuration.configProtectedData.providers.add) {
if ($ele.name -eq $providerName) {
$ele.SetAttribute("keyContainerName", $keyContainerName)
$ele.SetAttribute("useMachineContainer", "true")
$ele.SetAttribute("useOAEP", "false")
$ele.SetAttribute("useFIPS", "true")
}
}
$applicationHostConfigFile.Save($applicationHostConfigPath)
Write-Host "Script ran successfully. Key container $keyContainerName created. Provider $providerName added."
Bases de dados de back-end que funcionam com o Skype para Empresas Server 2019
Quando instala o Skype para Empresas Server 2019 Standard Edition, o SQL Server 2016 Express (edição de 64 bits) também é instalado.
O Skype para Empresas Server 2019 Enterprise Edition requer a versão completa do SQL Server, conforme indicado aqui (apenas edição de 64 bits; não utilize edições de 32 bits):
- Microsoft SQL Server 2019 (edição de 64 bits) – tem de ser executado juntamente com as atualizações mais recentes
- Microsoft SQL Server 2017 (edição de 64 bits) – tem de ser executado juntamente com as atualizações mais recentes
- Microsoft SQL Server 2016 (edição de 64 bits) – tem de ser executado juntamente com as atualizações mais recentes
Se não vir a edição do SQL Server que pretende utilizar listada aqui, não poderá utilizá-la.
Nota
Também tem de instalar o SQL Server Reporting Services para a função servidor de monitorização.
Clustering de SQL e SQL AlwaysOn
O Clustering do SQL com o Skype para Empresas Server 2019 é suportado. Se quiser configurar o Clustering do SQL, isso é feito no SQL Server.
Confirme que tem uma configuração ativa/passiva para o Clustering do SQL, que é suportada. Não partilhe o nó passivo com qualquer outra instância do SQL.
Para o clustering de ativação pós-falha, pode ter:
Dois nós:
- Microsoft SQL Server 2019 Standard (edição de 64 bits) e recomendamos que execute com o service pack mais recente.
- Microsoft SQL Server 2017 Standard (edição de 64 bits) e recomendamos que execute com o service pack mais recente.
- Microsoft SQL Server 2016 Standard (edição de 64 bits) e recomendamos que execute com o service pack mais recente.
Dezesseis nós:
- Microsoft SQL Server 2019 Enterprise (edição de 64 bits) e recomendamos que execute com o service pack mais recente.
- Microsoft SQL Server 2017 Enterprise (edição de 64 bits) e recomendamos que execute com o service pack mais recente.
- Microsoft SQL Server 2016 Enterprise (edição de 64 bits) e recomendamos que execute com o service pack mais recente.
O SQL AlwaysOn é suportado e pode ler mais sobre o mesmo no Back End Server de elevada disponibilidade no Skype para Empresas Server 2019.
Recomendações adicionais de instalação do servidor
Não instale software de cliente microsoft Internet Security and Acceleration (ISA) Server ou qualquer outro software winsock Layered Service Providers (LSP) (quaisquer firewalls de terceiros ou software de inspeção de rede antivírus seriam incluídos aqui) em qualquer um dos seus servidores front-end ou servidores de mediação autónomos. O fraco desempenho do tráfego de multimédia tem sido visto quando esse software é instalado.
Active Directory
Embora grande parte dos dados de configuração para servidores e serviços estejam armazenados no arquivo de Gestão Central do Skype para Empresas Server 2019, algumas coisas ainda estão armazenadas no Active Directory.
Objetos do Active Directory | Tipos de objeto |
---|---|
Extensões de esquema | Extensões de objetos de usuário |
Extensões para o Skype para Empresas Server 2015 e Lync Server 2013, para manter a retrocompatibilidade com as versões suportadas anteriores | |
Dados | URI do SIP do usuário e outras configurações de usuário |
Contactar objetos para aplicações (como a aplicação Grupo de Resposta e a aplicação Atendedor de Conferências) | |
Dados publicados para retrocompatibilidade | |
Um ponto de controlo de serviço (SCP) para o arquivo de Gestão Central | |
Conta de Autenticação Kerberos (um objeto de computador opcional) |
OS para controladores de domínio
Os seguintes sistemas operativos do Controlador de Domínio podem ser utilizados:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
O nível funcional de domínio de qualquer domínio no qual implemente o Skype para Empresas Server 2019 e o nível funcional da floresta de qualquer floresta em que implemente o Skype para Empresas Server 2019, tem de ser um dos seguintes:
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
É possível ter controladores de domínio somente leitura nesses ambientes? Sim, pode , desde que também estejam disponíveis controladores de domínio graváveis.
É importante saber que o Skype para Empresas Server 2019 não suporta domínios de etiqueta única. O que são estes? Se tiver um domínio de raiz com o nome "contoso.local", isso funcionará. Se tiver um domínio de raiz com o nome "local", isso não funcionará e não será suportado. Para obter mais informações, veja Implementação e operação de domínios do Active Directory que são configurados com nomes DNS de etiqueta única.
O Skype para Empresas Server 2019 também não suporta a mudança de nome de domínios. Se tiver de mudar o nome do seu domínio, terá de desinstalar o Skype para Empresas Server 2019, mudar o nome do domínio e, em seguida, reinstalar o Skype para Empresas Server 2019.
Por fim, pode estar a lidar com um domínio que tem um ambiente do AD DS bloqueado, o que é aceitável. Temos mais informações sobre como implementar o Skype para Empresas Server 2019 num ambiente do AD DS bloqueado na Documentação de implementação.
Topologias do AD
As topologias suportadas no Skype para Empresas Server 2019 são as seguintes:
Floresta única com domínio único
Floresta única com uma única árvore e vários domínios
Floresta única com várias árvores e namespaces não contíguos
Várias florestas em uma topologia de floresta central
Várias florestas em uma topologia de floresta de recursos
Várias florestas em uma topologia de floresta de recursos do Skype for Business com o Exchange Online
Várias florestas numa topologia de floresta de recursos com o Skype para Empresas Online e o Microsoft Entra Connect
Temos diagramas e descrições para o ajudar a determinar que topologia tem no seu ambiente ou o que poderá ter de configurar antes de instalar o Skype para Empresas Server 2019. Para o manter simples, também incluímos uma chave:
Floresta única com domínio único
Não é mais fácil do que isto. É uma única floresta de domínio, uma topologia comum.
Floresta única com uma única árvore e vários domínios
Este diagrama mostra uma única floresta, novamente, mas também tem um ou mais domínios subordinados (existem três neste exemplo específico). S, o domínio no qual os utilizadores são criados pode ser diferente do domínio no qual o Skype para Empresas Server 2019 está implementado. Por que se preocupar com esta situação? É importante lembrar que, quando implementa um conjunto de Front-end do Skype para Empresas Server, todos os servidores nesse conjunto têm de estar num único domínio. Pode ter administração entre domínios através do suporte do Skype para Empresas Server de grupos de administradores universais do Windows.
No diagrama anterior, pode ver que os utilizadores de um domínio conseguem aceder aos conjuntos do Skype para Empresas Server a partir do mesmo domínio ou de domínios diferentes, mesmo que esses utilizadores estejam num domínio subordinado.
Floresta única com várias árvores e namespaces não contíguos
Pode ter uma topologia semelhante a este diagrama, onde tem uma floresta, mas dentro dessa floresta existem vários domínios, com espaços de nomes do AD separados. Neste caso, este diagrama é uma boa ilustração, uma vez que inclui utilizadores em três domínios diferentes que acedem ao Skype para Empresas Server 2019. As linhas sólidas indicam que estão a aceder a um conjunto do Skype para Empresas Server no seu próprio domínio, enquanto uma linha tracejada indica que vão para um conjunto numa árvore diferente.
Como pode ver, os utilizadores no mesmo domínio, na mesma árvore ou mesmo numa árvore diferente podem aceder a conjuntos com êxito.
Várias florestas em uma topologia de floresta central
O Skype para Empresas Server 2019 suporta várias florestas configuradas numa topologia de floresta central. Se não tiver a certeza de que é isso que tem, a floresta central na topologia utiliza objetos na mesma para representar utilizadores nas outras florestas e aloja contas de utilizador para todos os utilizadores na floresta.
Como isso funciona? Um produto de sincronização de diretórios (como o Forefront Identity Manager ou o FIM) gere as contas de utilizador da sua organização ao longo da sua existência. Quando uma conta é criada ou excluída de uma floresta, essa mudança é sincronizada até o contato correspondente na floresta central.
Claramente, se a sua infraestrutura do AD estiver implementada, mudar para esta topologia pode não ser fácil, mas se já estiver lá ou ainda planear a sua infraestrutura de floresta, esta pode ser uma boa opção. Pode centralizar a sua implementação do Skype para Empresas Server 2019 numa única floresta, enquanto os utilizadores podem procurar, comunicar e ver a presença de outros utilizadores em qualquer floresta. Todas as atualizações de contato são feitas automaticamente com o software de sincronização.
Várias florestas em uma topologia de floresta de recursos do Skype for Business
Também é suportada uma topologia de floresta de recursos; É onde uma floresta se dedica a executar as suas aplicações de servidor, como o Microsoft Exchange Server e o Skype para Empresas Server 2019. Essas florestas de recursos também hospedam uma representação sincronizada de objetos de usuário ativo, mas não contas de usuário habilitadas para logon. Portanto, a floresta de recursos é um ambiente de serviços compartilhados para outras florestas nas quais os objetos de usuários residem, e que têm uma relação de confiança no nível de floresta com a floresta de recursos.
O Exchange Server pode ser implementado na mesma floresta de recursos que o Skype para Empresas Server ou numa floresta diferente.
Para implementar o Skype para Empresas Server 2019 neste tipo de topologia, criaria um objeto de utilizador desativado na floresta de recursos para cada conta de utilizador nas florestas de utilizadores (se o Microsoft Exchange Server já estiver no ambiente, esta ação poderá ser feita por si). Em seguida, precisa de uma ferramenta de sincronização de diretórios (como o Forefront Identity Manager ou o FIM) para gerir contas de utilizador ao longo do ciclo de vida.
Várias florestas em uma topologia de floresta de recursos do Skype for Business com o Exchange Online
Esta topologia é similar à topologia descrita em Várias florestas em uma topologia de floresta de recursos do Skype for Business.
Nesta topologia, existem uma ou mais florestas de utilizador e o Skype para Empresas Server é implementado numa floresta de recursos dedicada. O Exchange Server pode ser implementado no local na mesma floresta de recursos ou numa floresta diferente e configurado para híbrido com o Exchange Online ou os serviços de e-mail podem ser fornecidos exclusivamente pelo Exchange Online para as contas no local. Não há um diagrama disponível para esta topologia.
Várias florestas numa topologia de floresta de recursos com o Skype para Empresas Online e o Microsoft Entra Connect
Neste cenário há várias florestas locais, com uma topologia de floresta de recursos. Há um relacionamento de total confiança entre as florestas do Active Directory. A ferramenta Microsoft Entra Connect é utilizada para sincronizar contas entre as florestas de utilizadores no local e o Microsoft 365 ou o Office 365.
A organização também tem o Microsoft 365 ou o Office 365 e utiliza o Microsoft Entra Connect para sincronizar as respetivas contas no local com o Microsoft 365 ou o Office 365. Os utilizadores ativados para o Skype para Empresas estão ativados através do Microsoft 365 ou do Office 365 e do Skype para Empresas Online. O Skype para Empresas Server não está implementado no local.
A autenticação de início de sessão único é fornecida por um farm dos Serviços de Federação do Active Directory localizado na floresta de utilizadores.
Neste cenário, é suportado implementar o Exchange no local, o Exchange Online, uma solução híbrida do Exchange ou não ter o Exchange implementado. O diagrama mostra somente o Exchange no Local, mas as outras soluções do Exchange são totalmente aceitas.
Várias florestas em uma topologia de floresta de recursos com o Skype for Business híbrido
Neste cenário, existe uma ou mais florestas de utilizador no local e o Skype para Empresas é implementado numa floresta de recursos dedicada e está configurado para o modo híbrido com o Skype para Empresas Online. O Exchange Server pode ser implementado no local na mesma floresta de recursos ou numa floresta diferente e pode ser configurado para híbrido com o Exchange Online. Em alternativa, os serviços de e-mail podem ser fornecidos exclusivamente pelo Exchange Online para as contas no local.
Para obter mais informações, consulte Configurar um ambiente de várias florestas para o Skype para Empresas híbrido.
Sistema de Nomes de Domínio (DNS)
O Skype para Empresas Server 2019 necessita de DNS pelos seguintes motivos:
O DNS permite que o Skype para Empresas Server 2019 detete servidores ou conjuntos internos, permitindo comunicações servidor a servidor.
O DNS permite que os computadores cliente descubram o conjunto de Front-End ou o servidor Standard Edition que é utilizado para transações SIP.
Ele associa URLs simples para conferências aos servidores que as hospedam.
O DNS permite que utilizadores externos e computadores cliente se liguem aos seus Servidores Edge, ou ao proxy inverso http, para mensagens instantâneas (MI) ou conferências.
Permite que os dispositivos de comunicações unificadas (UC) que não têm sessão iniciada descubram o conjunto de Front-End ou o servidor Standard Edition que está a executar o serviço Web Atualização de Dispositivos para obter atualizações e enviar registos.
O uso do DNS permite que clientes móveis descubram automaticamente os recursos dos serviços Web sem que os usuários tenham que inserir URLs manualmente em suas configurações do dispositivo.
É utilizado no balanceamento de carga DNS.
É importante ter em atenção que o Skype para Empresas Server 2019 não suporta nomes de domínio internacionalizados (IDNs).
Além disso, é extremamente importante lembrar que qualquer nome no DNS é idêntico ao nome do computador configurado em qualquer servidor utilizado pelo Skype para Empresas Server 2019. Especificamente, não podemos ter nomes curtos no ambiente e temos de ter FQDNs para o Topology Builder.
Parece que seria lógico para qualquer computador já associado a um domínio. No entanto, se tiver um Servidor Edge que não esteja associado ao seu domínio, por predefinição, poderá ter um nome abreviado sem um sufixo de domínio. Certifique-se de que não é esse o caso, seja no DNS, no Edge Server ou em qualquer servidor ou conjunto do Skype para Empresas Server 2019.
Definitivamente, não utilize carateres Unicode ou carateres de sublinhado em nomes de domínio. Os carateres padrão (que são A-Z, a-z, 0-9 e hífenes) são suportados pelo DNS externo e pelas Autoridades de Certificação públicas (tem de atribuir FQDNs ao SN no certificado, é importante lembrar- se). Por conseguinte, poupará muitos problemas se tiver esta regra em mente desde o início.
Para obter mais informações sobre os requisitos de DNS para Redes, consulte a secção Rede da nossa documentação de Planeamento.
Certificados
Uma das coisas mais importantes que pode fazer antes da implementação é certificar-se de que tem os certificados por ordem. O Skype para Empresas Server 2019 precisa de uma infraestrutura de chaves públicas (PKI) para ligações TLS (transport layer security) e de segurança de camadas de transporte mútuo (MTLS). Basicamente, para comunicar de forma segura de forma padronizada, o Skype para Empresas Server utiliza certificados emitidos pelas Autoridades de Certificação (ACs).
Estas são algumas das coisas para as quais o Skype para Empresas Server 2019 utiliza certificados para:
Conexões TLS entre clientes e servidores
Conexões MTLS entre servidores
Federação com deteção DNS automática de parceiros
Acesso de usuários remotos a IM (mensagens instantâneas)
Acesso de usuário externo a sessões de A/V (áudio/vídeo), compartilhamento de aplicativos e conferência
Falar com aplicações Web e o Outlook Web Access (OWA)
Portanto, o planeamento de certificados é obrigatório. Agora, vamos ver uma lista de alguns dos aspetos que precisa de ter em conta ao pedir certificados:
Todos os certificados de servidor devem oferecer suporte à autorização de servidor (EKU de servidor).
Todos os certificados de servidor devem conter um CDP (Ponto de Distribuição de CRL).
Todos os certificados devem ser assinados usando um algoritmo de assinatura que seja compatível com o sistema operacional. O Skype para Empresas Server 2019 suporta o conjunto de tamanhos de resumo SHA-1 e SHA-2 (224 bits, 256 bits, 384 bits e 512 bits) e cumpre ou excede os requisitos do sistema operativo.
A inscrição automática é suportada para servidores internos com o Skype para Empresas Server 2019.
A inscrição automática não é suportada para Servidores Edge do Skype para Empresas Server 2019.
Nota
A utilização do algoritmo de assinatura RSASSA-PSS não é suportada e pode causar erros no início de sessão e no reencaminhamento de chamadas, entre outros problemas.
Os comprimentos de chave de criptografia de 1024, 2048 e 4096 são suportados. Comprimentos de pelo menos 2048 são recomendados.
O algoritmo de hash de assinatura ou sumário padrão é RSA. Os algoritmos ECDH_P256, ECDH_P384 e ECDH_P521 também têm suporte.
É muito em que pensar e existem vários níveis de conforto para pedir certificados de uma AC. Iremos fornecer-lhe mais orientações nas secções seguintes para tornar o seu planeamento o mais indolor possível.
Certificados para seus servidores internos
Precisa de certificados para a maioria dos servidores internos e, muito provavelmente, irá obtê-los a partir de uma AC interna (que é uma AC localizada no seu domínio). Se quiser, pode pedir estes certificados a partir de uma AC externa (uma localizada na Internet). Se estiver a perguntar-se a que AC pública deve aceder, pode consultar a lista de parceiros de certificados das Comunicações Unificadas .
Também precisará de certificados quando o Skype para Empresas Server 2019 comunicar com outras aplicações e servidores, como o Microsoft Exchange Server. Este terá, obviamente, de ser um certificado que estas outras aplicações e servidores podem utilizar de forma suportada. O Skype para Empresas Server 2019 e outros produtos Microsoft suportam o protocolo Open Authorization (OAuth) para autenticação e autorização servidor a servidor. Se estiver interessado, temos um artigo de planeamento adicional para o OAuth e o Skype para Empresas Server 2019.
O Skype para Empresas Server 2019 também inclui suporte para (sem necessidade) certificados assinados com a função hash criptográfica SHA-256. Para oferecer suporte ao acesso externo usando SHA-256, o certificado externo é emitido por uma AC pública usando SHA-256.
Para manter as coisas simples, colocámos os requisitos de certificado para servidores da Edição Standard, conjuntos de Front-End e outras funções nas tabelas seguintes e utilizámos a contoso.com fictícia para exemplos (provavelmente estará a utilizar outra coisa para o seu ambiente). Todos esses são certificados do servidor Web padrão, com chaves privadas que não são exportáveis. Outras observações:
O Uso Avançado de Chave (EKU) no servidor é automaticamente configurado quando o assistente de certificado é usado para solicitar certificados.
Cada nome amigável do certificado deve ser exclusivo no repositório do computador.
De acordo com os seguintes nomes de exemplo, se tiver configurado sipinternal.contoso.com ou sipexternal.contoso.com no seu DNS, estes têm de ser adicionados ao Nome Alternativo do Requerente (SAN) do certificado.
Certificados para servidores standard edition
Certificado | Nome do requerente/nome comum | Nome alternativo de entidade | Exemplo | Comentários |
---|---|---|---|---|
Padrão | FQDN do pool | FQDN do pool e FQDN do servidor Se você tiver vários domínios SIP e tiver habilitado a configuração automática do cliente, o assistente de certificados detectará e adicionará os FQDNs de cada domínio SIP aceito. Se este conjunto for o servidor de início de sessão automático para clientes e for necessária uma correspondência estrita do Sistema de Nomes de Domínio (DNS) na política de grupo, também precisa de entradas para sip.sipdomain (para cada domínio SIP que tiver). |
SN=se01.contoso.com; SAN=se01.contoso.com Se esse pool for o servidor de logon automático para clientes, e se a combinação estrita de DNS for exigida na política do grupo, também serão necessários: SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Nos servidores standard edition, o FQDN do servidor é o mesmo que o FQDN do conjunto. O assistente detecta quaisquer domínios SIP especificados durante a instalação e os adiciona automaticamente ao nome alternativo para a entidade. Você também utiliza este certificado para Autenticação de Servidor para Servidor. |
Web interna | FQDN do servidor | Cada um dos seguintes: • FQDN Web interno (que é o mesmo que o FQDN do servidor) AND • Conheça URLs simples • URL simples de acesso telefónico • URL simples do administrador OR • Uma entrada de caráter universal para os URLs simples |
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Como usar um certificado curinga: SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com |
Não pode substituir o FQDN Web Interno no Topology Builder. Se tiver vários URLs simples meet, tem de incluí-los todos como SANs. As entradas curinga são suportadas pelas entradas de URL simples. |
Web externa | FQDN do servidor | Cada um dos seguintes: • FQDN Web externo AND • URL simples de acesso telefónico • Conheça URLs simples por domínio SIP OR • Uma entrada de caráter universal para os URLs simples |
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Como usar um certificado curinga: SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Se tiver vários URLs simples meet, tem de incluí-los todos como nomes alternativos do requerente. As entradas curinga são suportadas pelas entradas de URL simples. |
Certificados para Servidores front-end num conjunto de Front-end
Certificado | Nome do requerente/nome comum | Nome alternativo de entidade | Exemplo | Comentários |
---|---|---|---|---|
Padrão | FQDN do pool | FQDN do pool e FQDN do servidor Se você tiver vários domínios SIP e tiver habilitado a configuração automática do cliente, o assistente de certificados detectará e adicionará os FQDNs de cada domínio SIP aceito. Se este conjunto for o servidor de início de sessão automático para clientes e for necessária uma correspondência estrita do Sistema de Nomes de Domínio (DNS) na política de grupo, também precisa de entradas para sip.sipdomain (para cada domínio SIP que tiver). |
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com Se esse pool for o servidor de logon automático para clientes, e se a combinação estrita de DNS for exigida na política do grupo, também serão necessários: SAN=sip.contoso.com; SAN=sip.fabrikam.com |
O assistente detecta quaisquer domínios SIP especificados durante a instalação e os adiciona automaticamente ao nome alternativo para a entidade. Você também utiliza este certificado para Autenticação de Servidor para Servidor. |
Web interna | FQDN do pool | Cada um dos seguintes: • FQDN Web interno (que NÃO é igual ao FQDN do servidor) • FQDN do Servidor • FQDN do conjunto do Skype para Empresas AND • Conheça URLs simples • URL simples de acesso telefónico • URL simples do administrador OR • Uma entrada de caráter universal para os URLs simples |
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Como usar um certificado curinga: SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com |
Se tiver vários URLs simples meet, tem de incluí-los todos como nomes alternativos do requerente. As entradas curinga são suportadas pelas entradas de URL simples. |
Web externa | FQDN do pool | Cada um dos seguintes: • FQDN Web externo AND • URL simples de acesso telefónico • URL simples do administrador OR • Uma entrada de caráter universal para os URLs simples |
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Como usar um certificado curinga: SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Se tiver vários URLs simples meet, tem de incluí-los todos como nomes alternativos do requerente. As entradas curinga são suportadas pelas entradas de URL simples. |
Certificados para o Diretor
Certificado | Nome do requerente/nome comum | Nome alternativo de entidade | Exemplo |
---|---|---|---|
Padrão | Pool de diretores | FQDN do Director, FQDN do conjunto de Diretórios. Se este conjunto for o servidor de início de sessão automático para clientes e for necessária uma correspondência DNS rigorosa na política de grupo, também precisará de entradas para sip.sipdomain (para cada domínio SIP que tiver). |
pool.contoso.com; SAN=dir01.contoso.com Se este conjunto de Diretórios for o servidor de início de sessão automático para clientes e for necessária uma correspondência DNS rigorosa na política de grupo, também precisa de SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Web interna | FQDN do servidor | Cada um dos seguintes: • FQDN Web interno (que é o mesmo que o FQDN do servidor) • FQDN do Servidor • FQDN do conjunto do Skype para Empresas AND • Conheça URLs simples • URL simples de acesso telefónico • URL simples do administrador OR • Uma entrada de caráter universal para os URLs simples |
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Como usar um certificado curinga: SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com |
Web externa | FQDN do servidor | Cada um dos seguintes: • FQDN Web externo AND • Conheça URLs simples por domínio SIP • URL simples de acesso telefónico OR • Uma entrada de caráter universal para os URLs simples |
O FQDN Web externo do Director tem de ser diferente do conjunto de Front-End ou do Servidor front-end. SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Como usar um certificado curinga: SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
Certificados para o Servidor de Mediação Autónomo
Certificado | Nome do requerente/nome comum | Nome alternativo de entidade | Exemplo |
---|---|---|---|
Padrão | FQDN do pool | FQDN do pool FQDN do servidor membro do pool |
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net |
Certificados para a Survivable Branch Appliance (Especificamente, Survivable Branch Appliance 2015 for Skype for Business Server 2019)
Certificado | Nome do requerente/nome comum | Nome alternativo de entidade | Exemplo |
---|---|---|---|
Padrão | FQDN do aplicativo | SIP.<sipdomain> (só precisa de uma entrada por domínio SIP) | SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Certificados para acesso de usuário externo (Borda)
O Skype para Empresas Server 2019 suporta a utilização de um único certificado público para interfaces externas edge de acesso e conferências Web, bem como o serviço de Autenticação A/V, que é fornecido através do(s) Servidor(s) Edge(s). A interface interna do Edge utiliza um certificado privado emitido pela AC interna, mas se preferir, também pode utilizar um certificado público para tal, se for proveniente de uma AC fidedigna.
O proxy inverso (RP) também utilizará um certificado público e encripta a comunicação do RP para os clientes e o RP para servidores internos utilizando HTTP (ou, mais precisamente, TLS através de HTTP).
Certificados para mobilidade
Se estiver a implementar a mobilidade e estiver a suportar a deteção automática para clientes móveis, terá de incluir algumas entradas adicionais de nome alternativo do requerente nos certificados para suportar as ligações seguras dos clientes móveis.
Precisa de nomes SAN para a deteção automática nos seguintes certificados:
Pool de diretores
Pool de Front-Ends
Proxy reverso
As especificações estão listadas nas tabelas que se seguem.
É aqui que um pouco de pré-planeamento é bom. No entanto, por vezes, implementou o Skype para Empresas Server 2019 sem ter a intenção de implementar a mobilidade e isso surge mais tarde quando já tem certificados no seu ambiente. Normalmente, a reedição dos certificados através de uma AC interna é bastante fácil. No entanto, para certificados públicos de uma AC pública, isso pode ser um pouco mais caro.
Se for essa a situação que está a observar e se tiver muitos domínios SIP (o que tornaria a adição de SANS mais cara), pode configurar o proxy inverso para utilizar HTTP para o pedido inicial do Serviço de Deteção Automática em vez de utilizar HTTPS (a configuração predefinida). Para obter mais informações, veja Planear a Mobilidade.
Requisitos de certificados do conjunto de diretórios e do conjunto de Front-End
Descrição | Entrada do SAN |
---|---|
URL interna do serviço de Descoberta Automática | SAN=lyncdiscoverinternal.<sipdomain> |
URL externa do serviço de Descoberta Automática | SAN=lyncdiscover.<sipdomain> |
Em alternativa, pode utilizar SAN=*.<sipdomain>
Requisitos de certificado de Proxy Inverso (AC Pública)
Descrição | Entrada do SAN |
---|---|
URL externa do serviço de Descoberta Automática | SAN=lyncdiscover.<sipdomain> |
Esta SAN tem de ser atribuída ao certificado atribuído ao Serviço de Escuta SSL no proxy inverso.
Nota
O serviço de escuta de proxy inverso terá SANs para os URLs dos Serviços Web externos. Alguns exemplos seriam SAN=skypewebextpool01.contoso.com e dirwebexternal.contoso.com, se tiver implementado o Director (opcional).
Partilha de ficheiros
O Skype para Empresas Server 2019 pode utilizar a mesma partilha de ficheiros para todo o armazenamento de ficheiros. Deve ter em mente o seguinte:
Uma partilha de ficheiros tem de estar no armazenamento ligado direto (DAS) ou numa rede de armazenamento (SAN). Este requisito inclui o Sistema de Ficheiros Distribuído (DFS) e também uma matriz redundante de discos independentes (RAID) para arquivos de ficheiros. Para obter mais informações sobre o DFS para Windows Server 2012, veja Descrição Geral de Espaços de Nomes DFS e Replicação DFS.
Recomendamos que utilize um cluster partilhado para a partilha de ficheiros. Se já estiver a utilizar uma, deve criar um cluster do Windows Server 2012 ou versões posteriores.
Nota
Porquê o Windows mais recente? As versões anteriores podem não ter as permissões certas para ativar todas as funcionalidades. Pode utilizar o Administrador de Clusters para criar as partilhas de ficheiros. Para obter mais informações, veja Como criar partilhas de ficheiros num cluster.
Atenção
Deve saber que a utilização do armazenamento anexado à rede (NAS) como uma partilha de ficheiros não é suportada. Por conseguinte, utilize uma das opções listadas aqui. Esta limitação de suporte é causada pela conceção variável de dispositivos NAS que têm de fornecer adaptabilidade do sistema de ficheiros ao computador baseado no Windows Server que acede ao sistema de ficheiros partilhado dos dispositivos.