Требования к системе для Skype для бизнеса Server 2019
Сводка: Подготовьтесь к установке Skype для бизнеса Server 2019 с помощью этой статьи. Здесь рассматриваются оборудование, ОС, программное обеспечение, базы данных, сертификаты, Active Directory, DNS и общие папки. Здесь приведены все требования к системе и рекомендации, которые помогут обеспечить успешную установку и развертывание фермы серверов.
Как и следовало ожидать, перед развертыванием Skype для бизнеса Server 2019 году необходимо выполнить некоторые подготовительные действия. В этой статье описано, как спланировать следующие действия:
Оборудование для Skype для бизнеса Server 2019
После установки топологии (а если вы этого не сделали, вы можете проверка раздел Основы топологии для Skype для бизнеса Server 2019), пришло время подумать о серверах. Skype для бизнеса Server 2019 server требуется 64-разрядное оборудование. Наши рекомендации по оборудованию приведены в следующих таблицах. Они не являются обязательными, но их соблюдение обеспечивает оптимальную производительность. У нас есть документация по планированию емкости, которая поможет вам определить, требуется ли вам больше, чем эти требования, в зависимости от ваших обстоятельств.
Рекомендуемое оборудование для серверов Standard Edition
| Аппаратный компонент | Рекомендуется |
|---|---|
| ЦП | Intel Xeon E5-2673 v3 с двумя процессорами, 6 ядрами, 2,4 ГГц или более. Процессоры Intel Itanium не поддерживаются для ролей Skype для бизнеса Server 2019 года. |
| Память | 32 ГБ. |
| Диск | ЛЮБОЙ ИЗ ВАРИАНТОВ: • Восемь или более жестких дисков с размером 10 000 об/мин с объемом свободного места не менее 72 ГБ (два диска используют RAID 1 и 6 — RAID 10). ИЛИ • Твердотельные накопители (SSD), способные обеспечить одинаковое свободное пространство и одинаковую производительность для восьми механических дисков 10 000 об/мин. |
| Сеть | Один сетевой адаптер с двумя портами, 1 Гбит/с или более (можно использовать два сетевых адаптера, но их необходимо объединить с одним MAC-адресом и одним IP-адресом). Двух- и многоадресные конфигурации не поддерживаются для серверов переднего плана, внутренних серверов и серверов Standard Edition. Вы можете использовать внеполосные системы управления, такие как DRAC или МОТ, при условии, что они не предоставляются операционной системе и используются для мониторинга и управления серверным оборудованием. Этот сценарий не представляет собой сервер с несколькими домашними серверами и поддерживается. |
Рекомендуемое оборудование для внешних и внутренних серверов
| Аппаратный компонент | Рекомендуется |
|---|---|
| ЦП | Intel Xeon E5-2673 v3 с двумя процессорами, 6 ядрами, 2,4 ГГц или более. Процессоры Intel Itanium не поддерживаются для ролей Skype для бизнеса Server 2019 года. |
| Память | 64 ГБ. |
| Диск | ЛЮБОЙ ИЗ ВАРИАНТОВ: • Восемь или более жестких дисков с размером 10 000 об/мин с объемом свободного места не менее 72 ГБ (два диска используют RAID 1 и 6 — RAID 10). ИЛИ • Твердотельные накопители (SSD), способные обеспечить одинаковое свободное пространство и одинаковую производительность для восьми механических дисков 10 000 об/мин. |
| Сеть | Один сетевой адаптер с двумя портами, 1 Гбит/с или более (можно использовать два сетевых адаптера, но их необходимо объединить с одним MAC-адресом и одним IP-адресом). Двух- и многоадресные конфигурации не поддерживаются для серверов переднего плана, внутренних серверов и серверов Standard Edition. Вы можете использовать внеполосные системы управления, такие как DRAC или МОТ, при условии, что они не предоставляются операционной системе и используются для мониторинга и управления серверным оборудованием. Этот сценарий не представляет собой сервер с несколькими домашними серверами и поддерживается. |
Рекомендуемое оборудование для пограничных серверов, автономных серверов-посредников и директоров
| Аппаратный компонент | Рекомендуется |
|---|---|
| ЦП | Intel Xeon E5-2673 v3 с двумя процессорами, 6 ядрами, 2,4 ГГц или более. Процессоры Intel Itanium не поддерживаются для ролей Skype для бизнеса Server 2019 года. |
| Память | 32 ГБ. |
| Диск | ЛЮБОЙ ИЗ ВАРИАНТОВ: • Четыре или более жестких дисков емкостью 10 000 об/мин с объемом свободного места не менее 72 ГБ (диски должны находиться в конфигурации RAID 1 2x). ИЛИ • Твердотельные накопители (SSD) могут обеспечить одинаковое свободное пространство и аналогичную производительность для четырех механических дисков 10 000 об/мин. |
| Сеть | Один сетевой адаптер с двумя портами, 1 Гбит/с или более (можно использовать два сетевых адаптера, но их необходимо объединить с одним MAC-адресом и одним IP-адресом). Двух- и многоадресные конфигурации не поддерживаются для серверов видеовзаимодействия и директоров. Пограничным серверам требуются два сетевых интерфейса, которые являются сетевыми адаптерами с двумя портами, 1 Гбит/с или более (или два парных сетевых адаптера, в общей сложности четыре, каждая пара, которая объединяется с одним MAC-адресом и одним IP-адресом, в общей сложности для двух пар). Для автономных серверов-посредников поддерживается установка дополнительных сетевых карт с целью настройки конкретного IP-адреса ТСОП. |
Примечание.
Независимо от роли сервера мы также рекомендуем использовать следующие параметры оборудования для Skype для бизнеса Server 2019 г. (параметры могут отличаться в зависимости от марки приобретенного оборудования, поэтому подробные сведения см. в документации производителя):
- Для конфигурации BIOS должно быть установлено значение FLAT из NUMA.
- Включение многопоточности.
- Для параметра очередей RSS следует указать 8 очередей.
Операционные системы для Skype для бизнеса Server 2019
После установки оборудования необходимо установить операционную систему (ОС), которая позволяет установить и успешно использовать Skype для бизнеса Server 2019:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
Все, кроме перечисленных здесь операционных систем, будут работать неправильно. Не пытайтесь использовать что-либо еще для установки Skype для бизнеса Server 2019 года. Например, параметр Server Core отсутствует в списке. Поэтому он не поддерживается.
Примечание.
Windows Server 2022 имеет только Skype для бизнеса Server 2019 для накопительного обновления 7 и более поздних версий (минимальный номер сборки 2046.524).
Обновление ОС на месте не поддерживается. Необходимо развернуть отдельный пул под управлением другой ОС, а затем перенести пользователей в новый пул. Все серверы в пуле должны иметь одну и ту же версию ОС.
Если вы устанавливаете Windows Admin Center 2019 на компьютере с Windows Server 2019, программа запрашивает порт для прослушивания. Существует вероятность того, что вы можете выбрать порт 443. Однако если на этом компьютере установлена Skype для бизнеса Server 2019 или будет установлена Skype для бизнеса Server 2019, необходимо выбрать другой номер порта.
Почему? Если Windows Admin Center 2019 работает через порт 443, вы не сможете подключиться к серверу с помощью Skype для бизнеса панель управления, а также не сможете подключиться к любой внутренней веб-службе, работающей на сервере (веб-служба адресной книги, служба автообнаружения, служба WebTicket и т. д.). Фактически вы не сможете подключиться к какому-либо URL-адресу внутренней веб-службы. Если вам может потребоваться разместить Windows Admin Center 2019 на сервере с Skype для бизнеса Server 2019, выберите другой порт.
Программное обеспечение, которое следует установить перед развертыванием Skype для бизнеса Server 2019
Примечание.
В качестве необходимого условия для установки Skype для бизнеса Server 2019 при использовании Windows Server 2022 необходимо запустить сценарий совместимости для Windows Server 2022.
Существуют некоторые компоненты, которые необходимо установить или настроить для любого сервера, работающего Skype для бизнеса Server 2019. Эти сведения перечислены в следующих таблицах, за которыми следуют дополнительные требования для конкретных ролей сервера.
Важно!
Skype для бизнеса 2019 поддерживает .Net Framework 4.8. и .Net Framework 4.8.1
Все серверы
| Программное обеспечение или роль | Сведения |
|---|---|
| Windows PowerShell 3.0 | На всех серверах Skype для бизнеса Server должна быть установлена Windows PowerShell 3.0. • PowerShell 3.0 должен быть установлен по умолчанию с Windows Server 2016. |
| Microsoft .NET Framework | Службы WCF — это компонент, который устанавливается как компонент Windows в диспетчер сервера. Изначально скачивание не требуется. • При установке этой функции или если она уже установлена и вы проверяете ее, необходимо убедиться, что параметр АКТИВАЦИЯ HTTP также выбран и установлен, как показано ниже.  Не беспокойтесь, если вы получите еще одно всплывающее окно, в котором говорится, что для установки активации HTTP необходимо установить некоторые другие компоненты. Это нормально. Нажмите кнопку ОК и продолжить. Если вы не получите это всплывающее окно, можно предположить, что эти компоненты уже установлены. Microsoft платформа .NET Framework устанавливается при установке Windows Server 2016. Skype для бизнеса Server требуется Microsoft платформа .NET Framework 4.7, 4.8 или 4.8.1, поэтому вам, вероятно, придется обновить его. Это обновление можно найти здесь |
| Media Foundation | Для Windows Server 2016 компонент Windows Media Format Runtime устанавливается вместе с Microsoft Media Foundation. Все серверы переднего плана и серверы Standard Edition, используемые для конференций, требуют наличия компонента Windows Media Format Runtime для воспроизведения файлов Windows Media Audio (WMA) в приложениях "Парковка вызовов", "Оповещение" и "Группа ответа" при проигрывании объявлений и музыки. |
| Windows Identity Foundation | Компонент Windows Identity Foundation 3.5 необходим для поддержки сценариев проверки подлинности "сервер-сервер" в Skype для бизнеса Server 2019. • Для Windows Server 2016 ничего скачивать не требуется. Откройте диспетчер серверов и перейдите к мастеру добавления ролей и компонентов. Компонент Windows Identity Foundation 3.5 перечислен в разделе Компоненты. Если он выбран, все задано. В противном случае выберите его и нажмите кнопку Далее , чтобы перейти к кнопке Установить . |
| Средства удаленного администрирования сервера | Средства администрирования ролей: инструменты AD DS и AD LDS |
Серверы переднего плана и сервер Standard Edition
| Программное обеспечение или роль | Сведения |
|---|---|
| Службы IIS | Службы IIS необходимы на всех серверах переднего плана и на всех серверах Standard Edition с выбранными следующими модулями: • Общие функции HTTP: документ по умолчанию, ошибки HTTP, статическое содержимое • Работоспособность и диагностика: ведение журналов HTTP, средства ведения журнала, трассировка • Производительность: сжатие статического содержимого, сжатие динамического содержимого • Безопасность: фильтрация запросов, проверка подлинности с сопоставлением сертификатов клиентов, проверка подлинности Windows • Разработка приложений: расширяемость .NET 3.5, расширяемость .NET 4.5, ASP.NET 3.5, ASP.NET 4.5, расширения ISAPI, фильтры ISAPI • Средства управления: консоль управления IIS, сценарии управления и инструменты IIS Анонимный доступ также необходим, но вы получите его при установке IIS, поэтому у вас нет места для выбора его в списке. |
| Windows Media Format Runtime | Для Windows Server 2016 необходимо установить компонент Media Foundation в диспетчер сервера. Вы можете начать установку Skype для бизнеса Server 2019 года без этой функции. Однако вам будет предложено установить его, а затем перезапустить сервер, прежде чем установка Skype для бизнеса Server 2019 может продолжиться. Лучше сделать это заранее. |
| Silverlight | Установить последнюю версию Silverlight можно отсюда. |
| Для пользователей в регионе Китая | Запустите сценарий PowerShell после обновления сервера до минимального номера сборки Skype для бизнеса Server 2019 накопительного обновления 7 исправление 1 (2046.524). |
Ниже приведен пример скрипта PowerShell, который можно запустить для автоматизации этого процесса.
Add-WindowsFeature RSAT-ADDS, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, Web-Dyn-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Mgmt-Tools, Web-Scripting-Tools, Web-Mgmt-Compat, Windows-Identity-Foundation, Server-Media-Foundation, Telnet-Client, BITS, ManagementOData, Web-Mgmt-Console, Web-Metabase, Web-Lgcy-Mgmt-Console, Web-Lgcy-Scripting, Web-WMI, Web-Scripting-Tools, Web-Mgmt-Service
Дополнительные требования для директоров:
IIS, с выбранными следующими модулями:
Основные возможности HTTP
Документ по умолчанию
Ошибки HTTP
Статическое содержимое
Работоспособность и диагностика
Ведение журнала HTTP
Средства ведения журналов
Трассировка
Производительность
- Сжатие статического содержимого
Безопасность
Фильтрация запросов
Проверка подлинности с сопоставлением сертификатов клиентов
Проверка подлинности Windows
Разработка приложений
.NET Extensibility 3.5
.NET Extensibility 4.5
ASP.NET 3.5
ASP.NET 4.5
Расширение ISAPI
Фильтры ISAPI
(Если вам интересно, это тот же набор модулей, что и серверы переднего плана и серверы Standard Edition, не включая средства динамического сжатия содержимого и управления.)
Кроме того, у нас есть код PowerShell для этого процесса:
Add-WindowsFeature RSAT-ADDS, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Scripting-Tools, Web-Mgmt-Compat, Server-Media-Foundation, Telnet-Client
Установка сценария совместимости для Windows Server 2022
При настройке Skype для бизнеса Server для Windows Server 2022 необходимо выполнить следующий скрипт, чтобы обеспечить совместимость с Windows Server 2022:
$providerName = "AesProvider"
$keyContainerName = "iisCustomConfigurationKey"
$exe = Get-ChildItem -Path "$env:SystemRoot\Microsoft.NET\Framework64" -Filter "aspnet_regiis.exe" -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1
if ($exe -eq $null) {
Write-Error "aspnet_regiis.exe not found. Exiting";
Exit
}
$existingProvider = Get-WebConfiguration -PSPath 'MACHINE/WEBROOT/APPHOST' -Filter "configProtectedData/providers/add[@name='$providerName']"
if ($null -ne $existingProvider) { # Provider already exists
Write-Host "Script has already run. $providerName already exists. Exiting"
Exit 0
}
& $exe.FullName -pc $keyContainerName -exp
& $exe.FullName -pa $keyContainerName "BUILTIN\IIS_IUSRS"
& $exe.FullName -pa $keyContainerName "NT SERVICE\WMSVC"
Add-WebConfigurationProperty -PSPath 'MACHINE/WEBROOT/APPHOST' -Filter "configProtectedData/providers" -Name "." -Value @{name="$providerName";type='System.Configuration.RsaProtectedConfigurationProvider,System.Configuration, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a'}
$applicationHostConfigPath = "$env:SystemRoot\System32\inetsrv\config\applicationHost.config"
[xml] $applicationHostConfigFile = Get-Content $applicationHostConfigPath
foreach ($ele in $applicationHostConfigFile.configuration.configProtectedData.providers.add) {
if ($ele.name -eq $providerName) {
$ele.SetAttribute("keyContainerName", $keyContainerName)
$ele.SetAttribute("useMachineContainer", "true")
$ele.SetAttribute("useOAEP", "false")
$ele.SetAttribute("useFIPS", "true")
}
}
$applicationHostConfigFile.Save($applicationHostConfigPath)
Write-Host "Script ran successfully. Key container $keyContainerName created. Provider $providerName added."
Внутренние базы данных, работающие с Skype для бизнеса Server 2019 г.
При установке Skype для бизнеса Server 2019 Standard Edition также устанавливается SQL Server 2016 Express (64-разрядная версия).
Skype для бизнеса Server 2019 выпуск Enterprise требуется полная версия SQL Server, как показано здесь (только 64-разрядный выпуск; не используйте 32-разрядные выпуски):
- Microsoft SQL Server 2019 (64-разрядная версия) — должна запускаться вместе с последними обновлениями
- Microsoft SQL Server 2017 (64-разрядная версия) — должна запускаться вместе с последними обновлениями
- Microsoft SQL Server 2016 (64-разрядная версия) — должен запускаться вместе с последними обновлениями
Если вы не видите SQL Server выпуск, который вы хотите использовать здесь, вы не сможете использовать его.
Примечание.
Также необходимо установить SQL Server Reporting Services для роли сервера мониторинга.
Кластеризация SQL и sql Always On
В Skype для бизнеса Server 2019 поддерживается кластеризация SQL. Если вы хотите настроить кластеризацию SQL, это выполняется в SQL Server.
Убедитесь, что у вас есть конфигурация "активный/пассивный" для кластеризации SQL, которая поддерживается. Не делайте пассивный узел общим ни с каким другим экземпляром SQL.
Для кластеризация отработки отказа можно использовать следующие возможности:
Два узла:
- Microsoft SQL Server 2019 Standard (64-разрядная версия), рекомендуется использовать последний пакет обновления.
- Microsoft SQL Server 2017 Standard (64-разрядная версия), рекомендуется использовать последний пакет обновления.
- Microsoft SQL Server 2016 Standard (64-разрядная версия), рекомендуется использовать последний пакет обновления.
16 узлов:
- Microsoft SQL Server 2019 Enterprise (64-разрядная версия), рекомендуется использовать последний пакет обновления.
- Microsoft SQL Server 2017 Enterprise (64-разрядная версия), рекомендуется использовать последний пакет обновления.
- Microsoft SQL Server 2016 Enterprise (64-разрядная версия), рекомендуется использовать последний пакет обновления.
Дополнительные сведения о функции SQL Always On можно найти в статье Высокая доступность внутреннего сервера в Skype для бизнеса Server 2019.
Дополнительные рекомендации по установке сервера
Не устанавливайте клиентское программное обеспечение сервера Microsoft Internet Security and Acceleration (ISA) или любое другое программное обеспечение поставщиков многоуровневых служб Winsock (LSP) (любые сторонние брандмауэры или антивирусное программное обеспечение для проверки сети будут включены) на внешних серверах или автономных серверах-посредниках. При установке такого программного обеспечения наблюдалась низкая скорость мультимедиа-трафика.
Active Directory
Хотя большая часть данных конфигурации для серверов и служб хранится в центральном хранилище управления Skype для бизнеса Server 2019, некоторые данные по-прежнему хранятся в Active Directory.
| Объекты Active Directory | Типы объектов |
|---|---|
| Расширения схемы | Расширения объекта пользователя |
| Расширения для Skype для бизнеса Server 2015 и Lync Server 2013, обеспечивающие совместимость с предыдущими версиями | |
| Данные | URI SIP пользователя и другие пользовательские параметры |
| Контактные объекты для приложений (такие как приложение группы ответа и приложение помощника по конференц-связи) | |
| Данные, опубликованные для обеспечения обратной совместимости | |
| Точка управления службой для центрального хранилища управления | |
| Учетная запись для проверки подлинности Kerberos (необязательный объект-компьютер) |
ОС для контроллеров доменов
Можно использовать следующие операционные системы контроллера домена:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
Функциональный уровень домена любого домена, в который вы развертываете Skype для бизнеса Server 2019 г., и уровень работы леса, в который вы развертываете Skype для бизнеса Server 2019 г., должен быть одним из следующих:
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
Допускается наличие в этих средах контроллеров доменов, доступных только для чтения. Да, вы можете— при условии, что доступны также доступны записываемые контроллеры домена.
Следует учитывать, что Skype для бизнеса Server 2019 не поддерживает домены с однокомпонентными именами. Что это такое? Если у вас есть корневой домен с именем contoso.local, он будет работать. Если у вас есть корневой домен с именем local, он не будет работать и не поддерживается. Дополнительные сведения см. в разделе Развертывание и эксплуатация доменов Active Directory, настроенных с помощью DNS-имен с одной меткой.
Skype для бизнеса Server 2019 не поддерживает также переименование доменов. Если необходимо переименовать домен, необходимо удалить Skype для бизнеса Server 2019, выполнить переименование домена, а затем переустановить Skype для бизнеса Server 2019.
Наконец, вы можете иметь дело с доменом, который имеет заблокированную среду AD DS, и это приемлемо. Дополнительные сведения о развертывании Skype для бизнеса Server 2019 в заблокированной среде AD DS см. в документации по развертыванию.
Топологии AD
В Skype для бизнеса Server 2019 г. поддерживаются следующие топологии:
Один лес с одним доменом
Один лес с одним деревом и несколькими доменами
Один лес с несколькими деревьями и несвязанными пространствами имен
Несколько лесов в топологии с центральным лесом
Несколько лесов в топологии с лесом ресурсов
Несколько лесов в топологии с лесом ресурсов Skype для бизнеса с Exchange Online
Несколько лесов в топологии леса ресурсов с Skype для бизнеса Online и Microsoft Entra Connect
У нас есть схемы и описания, которые помогут вам определить, какая топология у вас есть в вашей среде или что вам, возможно, потребуется настроить перед установкой Skype для бизнеса Server 2019 году. Для упрощения предлагается также ключ:
Один лес с одним доменом
Это не легче, чем это. Это один доменный лес, общая топология.
Один лес с одним деревом и несколькими доменами
На этой схеме показан один лес, но в нем также есть один или несколько дочерних доменов (в этом примере три). S,o домен, в который создаются пользователи, может отличаться от домена, в Skype для бизнеса Server 2019 развертывается. Зачем беспокоиться об этой ситуации? При развертывании пула переднего плана Skype для бизнеса Server важно помнить, что все серверы этого пула должны находиться в одном домене. Поддержка универсальных групп администраторов Windows сервером Skype для бизнеса Server обеспечивает возможность междоменного администрирования.
На предыдущей схеме видно, что пользователи из одного домена могут получать доступ к Skype для бизнеса Server пулам из того же домена или из разных доменов, даже если эти пользователи находятся в дочернем домене.
Один лес с несколькими деревьями и несвязанными пространствами имен
У вас может быть топология, аналогичная показанной на схеме: один лес содержит несколько доменов с отдельными пространствами имен AD. Это схема хорошо подходит для этого случая, так как она включает пользователей в трех разных доменах, обращающихся к Skype для бизнеса Server 2019. Сплошными линиями показано обращение к пулу серверов Skype для бизнеса Server в собственном домене, а штриховой линией — переход к пулу в другом дереве.
Как показано на схеме, пулы доступны пользователям из того же домена, из того же дерева и даже из других деревьев.
Несколько лесов в топологии с центральным лесом
Skype для бизнеса Server 2019 поддерживает несколько лесов, настроенных в топологии с центральным лесом. Наличие такой топологии проверяется по следующим критериям: в центральном лесу топологии содержатся объекты, предназначенные для представления пользователей в других лесах, и размещены учетные записи всех пользователей в лесу.
Как это работает? Управление учетными записями пользователей в организации на всем протяжении их существования осуществляется с помощью программы синхронизации каталогов (например, Forefront Identity Manager, или FIM). При создании или удалении учетной записи в лесу это изменение синхронизируется с соответствующим контактом в центральном лесу.
Если инфраструктура AD уже развернута, переход к такой топологии затруднен, однако она обладает значительными преимуществами и может быть рекомендована в качестве новой инфраструктуры. Наличие единого центрального леса в топологии Skype для бизнеса Server 2019 позволяет пользователям выполнять поиск, обмениваться данными и просматривать сведения о присутствии других пользователей в любом лесу. Обновление всех контактов пользователей выполняются автоматически с помощью программного обеспечения синхронизации.
Несколько лесов в топологии с лесом ресурсов Skype для бизнеса
Поддерживается также топология с лесом ресурсов, то есть с лесом, выделенным для работы серверных приложений, таких как Microsoft Exchange Server и Skype для бизнеса Server 2019. В таких лесах ресурсов размещается также синхронизированное представление активных объектов-пользователей, но не могут размещаться учетные записи пользователей, по которым возможен вход в систему. Таким образом, лес ресурсов представляет собой среду общих служб для других лесов, в которых расположены объекты-пользователи; при этом на уровне лесов поддерживаются отношения доверия с лесом ресурсов.
Exchange Server можно развернуть в том же лесу ресурсов, что и Skype для бизнеса Server или в другом лесу.
Чтобы развернуть Skype для бизнеса Server 2019 в топологии этого типа, необходимо создать один отключенный объект пользователя в лесу ресурсов для каждой учетной записи пользователя в лесах пользователей (если Microsoft Exchange Server уже находится в среде, это действие может быть выполнено за вас). Для управления учетными записями пользователей на протяжении их жизненного цикла потребуется средство синхронизации каталогов (например, Forefront Identity Manager, или FIM).
Несколько лесов в топологии с лесом ресурсов Skype для бизнеса с Exchange Online
Эта топология аналогична топологии, описанной в разделе Несколько лесов в топологии Skype для бизнеса с лесом ресурсов (Multiple forests in a Skype for Business resource forest topology).
В этой топологии может быть один или несколько лесов пользователей, а сервер Skype для бизнеса Server развернут в выделенном лесу ресурсов. Exchange Server можно развернуть локально в том же или другом лесу ресурсов и настроить для гибридного развертывания с помощью Exchange Online. Кроме того, службы электронной почты могут быть предоставлены исключительно посредством Exchange Online для локальных учетных записей. Для этой топологии отсутствует схема.
Несколько лесов в топологии леса ресурсов с Skype для бизнеса Online и Microsoft Entra Connect
В этом сценарии существует несколько локальных лесов с топологией леса ресурсов. Между лесами Active Directory существует отношение полного доверия. Средство Microsoft Entra Connect используется для синхронизации учетных записей между локальными лесами пользователей и Microsoft 365 или Office 365.
Организация также имеет Microsoft 365 или Office 365 и использует Microsoft Entra Connect для синхронизации своих локальных учетных записей с Microsoft 365 или Office 365. Пользователи, для которых включена Skype для бизнеса, включаются через Microsoft 365 или Office 365 и Skype для бизнеса Online. Skype для бизнеса Server не развертывается локально.
Служба единого входа предоставляется фермой служб федерации Active Directory, расположенной в пользовательском лесу.
В этом случае поддерживается развертывание локальных служб Exchange, Exchange Online, гибридного решения Exchange или Exchange не развертывается совсем. (На схеме изображены только локальные службы Exchange, однако другие решения Exchange также полностью поддерживаются.)
Несколько лесов в топологии с лесом ресурсов с гибридным развертыванием Skype для бизнеса и Azure Active Directory Connect
При данном сценарии может быть один или несколько локальных лесов пользователей, а Skype для бизнеса развернут в выделенном лесу ресурсов и настроен для гибридного режима с помощью Skype для бизнеса Online. Exchange Server можно развернуть локально в том же или другом лесу ресурсов и настроить для гибридной среды с помощью Exchange Online. Кроме того, службы электронной почты могут быть предоставлены исключительно посредством Exchange Online для локальных учетных записей.
Дополнительные сведения см. в разделе Настройка среды с несколькими лесами для гибридного решения Skype для бизнеса.
Служба доменных имен (DNS)
Skype для бизнеса Server 2019 требуется СЛУЖБА DNS по следующим причинам:
Служба доменных имен обеспечивает обнаружение внутренних серверов и пулов Skype для бизнеса Server 2019, что необходимо для обмена данными между серверами.
DNS позволяет клиентским компьютерам обнаруживать пул переднего плана или сервер Standard Edition, который используется для транзакций SIP.
Она обеспечивает связывание простых URL‑адресов для конференций с серверами, на которых размещаются эти конференции.
DNS позволяет внешним пользователям и клиентским компьютерам подключаться к пограничным серверам или обратному прокси-серверу HTTP для обмена мгновенными сообщениями или конференц-связи.
Она позволяет без входа в систему обнаруживать на устройствах системы объединенных коммуникаций (UC) пул переднего плана или сервер Standard Edition, на котором работает веб-служба обновления устройств, для получения пакетов обновления и передачи журналов.
На мобильных клиентах служба доменных имен обеспечивает автоматическое обнаружение ресурсов веб-служб без ввода URL‑адресов вручную в разделе параметров устройства.
Балансировка нагрузки может выполняться средствами службы доменных имен.
Следует учитывать, что Skype для бизнеса Server 2019 не поддерживает международные доменные имена (IDN).
И очень важно помнить, что любое имя в DNS идентично имени компьютера, настроенного на любом сервере, используемом Skype для бизнеса Server 2019 году. В частности, в данной среде не допускаются сокращенные имена, а для построителя топологий должны быть заданы полные доменные имена.
Это кажется логичным для любого компьютера, уже присоединенного к домену. Но если у вас есть пограничный сервер, который не присоединен к вашему домену, по умолчанию он может иметь короткое имя без суффикса домена. Убедитесь, что это не так, в DNS, на пограничном сервере или любом сервере Skype для бизнеса Server 2019 или пуле.
Определенно не используйте символы Юникода или символы подчеркивания в доменных именах. Стандартные символы (A–Z, a-z, 0–9 и дефисы) поддерживаются внешними центрами DNS и общедоступными центрами сертификации (необходимо назначить полные доменные имена sn в сертификате, важно помнить). Таким образом, вы избавите себя от многих неприятностей, если вы будете помнить об этом правиле с самого начала.
Дополнительные сведения о требованиях DNS для сети проверка раздел "Сеть" документации по планированию.
Сертификаты
Одна из наиболее важных вещей, которые можно сделать перед развертыванием, — убедиться, что у вас есть сертификаты в порядке. Skype для бизнеса Server 2019 необходима инфраструктура открытых ключей (PKI), обеспечивающая подключение по протоколам TLS и MTLS. По сути, для безопасного взаимодействия стандартизированным способом Skype для бизнеса Server использует сертификаты, выданные центрами сертификации (ЦС).
Skype для бизнеса Server 2019 применяет сертификаты, в частности, в следующих целях:
для установления соединений между клиентами и серверами по протоколу TLS ;
для подключений MTLS между серверами;
для федерации с использованием автоматического обнаружения DNS партнеров;
для доступа удаленных пользователей к обмену мгновенными сообщениями;
для доступа внешних пользователей к сеансам аудио- или видеосвязи, функциям обмена приложениями и конференц-связи;
для обмена данными с веб-приложениями и Outlook Web Access (OWA).
Поэтому обойтись без планирования сертификатов невозможно. При запросе сертификатов необходимо иметь в виду следующее.
Все сертификаты серверов должны поддерживать авторизацию сервера (EKU сервера).
Все сертификаты серверов должны содержать точку распространения списка отзыва сертификатов (CDP).
Все сертификаты должны быть подписаны с помощью алгоритма подписывания, поддерживаемого операционной системой. Skype для бизнеса Server 2019 поддерживает набор размеров дайджестов SHA-1 и SHA-2 (224-разрядный, 256-разрядный, 384-разрядный и 512-разрядный) и соответствует требованиям операционной системы или превышает их.
Автоматическая регистрация поддерживается для внутренних серверов, на которых работает Skype для бизнеса Server 2019.
Автоматическая регистрация не поддерживается для пограничных серверов Skype для бизнеса Server 2019 года.
Примечание.
Использование алгоритма подписи RSASSA-PSS не поддерживается и может привести к ошибкам при входе и переадресации вызовов, среди прочих проблем.
Поддерживается длина ключей шифрования в 1024, 2048 и 4096 бит. Рекомендуется использовать ключи не короче 2048 бит.
По умолчанию используется дайджест-алгоритм (алгоритм хэширования и подписывания) RSA. Также поддерживаются алгоритмы ECDH_P256, ECDH_P384 и ECDH_P521.
Это многое нужно подумать, и существуют различные уровни комфорта для запроса сертификатов из ЦС. В следующих разделах мы дадим вам дополнительные рекомендации, чтобы сделать планирование как можно более безболезненным.
Сертификаты для внутренних серверов
Вам нужны сертификаты для большинства внутренних серверов, и, скорее всего, вы получите их из внутреннего ЦС (это ЦС, расположенный в вашем домене). При необходимости можно запросить эти сертификаты из внешнего ЦС (расположенного в Интернете). Если вам интересно, к какому общедоступному ЦС следует перейти, вы можете проверка список партнеров по сертификату Unified Communications.
Сертификаты также потребуются, когда Skype для бизнеса Server 2019 взаимодействует с другими приложениями и серверами, такими как Microsoft Exchange Server. Очевидно, что это должен быть сертификат, который другие приложения и серверы могут использовать в поддерживаемом виде. Skype для бизнеса Server 2019 и другие продукты Майкрософт поддерживают проверку подлинности и авторизацию между серверами по протоколу OAuth. Если вы заинтересованы, у нас есть дополнительная статья о планировании OAuth и Skype для бизнеса Server 2019.
Skype для бизнеса Server 2019 поддерживает также сертификаты, подписанные с помощью функции криптографического хэширования SHA-256 (хотя применение этой функции не обязательно). Для поддержки внешнего доступа с использованием SHA-256 внешний сертификат выдается общедоступным центром сертификации с использованием SHA-256.
Чтобы все было проще, мы поместили требования к сертификатам для серверов Standard Edition, пулов переднего плана и других ролей в следующих таблицах и использовали вымышленные contoso.com в качестве примеров (вы, вероятно, будете использовать что-то другое для своей среды). Все сертификаты являются стандартными сертификатами веб-сервера с закрытыми ключами, не подлежащими экспорту. Отметим еще некоторые особенности.
При запросе сертификатов с помощью мастера сертификатов автоматически настраивается расширенное использование ключа (EKU) сервера.
Понятные имена сертификатов не должны повторятся в пределах хранилища компьютера.
Согласно приведенным ниже примерам имен, если вы настроили sipinternal.contoso.com или sipexternal.contoso.com в DNS, они должны быть добавлены в альтернативное имя субъекта сертификата (SAN).
Сертификаты для серверов Standard Edition
| Сертификат | Имя субъекта или общее имя | Альтернативное имя субъекта | Пример | Комментарии |
|---|---|---|---|---|
| "Default" (По умолчанию) | Полное доменное имя пула | Полные доменные имена пула и сервера Если существует несколько доменов SIP и включена автоматическая настройка клиента, мастер сертификатов обнаруживает все поддерживаемые полные доменные имена SIP. Если этот пул является сервером автоматического входа для клиентов и в групповой политике требуется строгое сопоставление системы доменных имен (DNS), вам также потребуются записи для sip.sipdomain (для каждого домена SIP). |
SN=se01.contoso.com; SAN=se01.contoso.com Если этот пул предназначен для сервера автоматического входа для клиентов, а в групповой политике требуется строгое сопоставление DNS, необходимо также добавить строки SAN=sip.contoso.com; SAN=sip.fabrikam.com |
На сервере Standard Edition полное доменное имя сервера совпадает с полным доменным именем пула. Мастер обнаруживает все домены SIP, указанные вами во время установки, и автоматически добавляет их в альтернативное имя субъекта. Вы также можете использовать этот сертификат для проверки подлинности между серверами. |
| Внутренняя сеть | Полное доменное имя сервера | Каждое из следующих: • Полное доменное имя внутреннего веб-сайта (совпадает с полным доменным именем сервера) И • Простые URL-адреса собрания • Простой URL-адрес для телефонного подключения • Простой URL-адрес администратора ИЛИ • Ввод подстановочного знака для простых URL-адресов |
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Использование групповых сертификатов: SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com |
Заменить полное доменное имя внутреннего веб-сайта в построителе топологии невозможно. При наличии нескольких простых URL-адресов собраний необходимо включить все эти адреса в качестве альтернативных имен субъектов. Для простых URL-адресов поддерживаются подстановочные записи. |
| Внешняя сеть | Полное доменное имя сервера | Каждое из следующих: • Полное доменное имя внешней сети И • Простой URL-адрес для телефонного подключения • Простые URL-адреса собраний для каждого домена SIP ИЛИ • Ввод подстановочного знака для простых URL-адресов |
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Использование групповых сертификатов: SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
При наличии нескольких простых URL-адресов собрания необходимо включить их все как альтернативные имена субъекта. Для простых URL-адресов поддерживаются подстановочные записи. |
Сертификаты для серверов переднего плана в пуле переднего плана
| Сертификат | Имя субъекта или общее имя | Альтернативное имя субъекта | Пример | Комментарии |
|---|---|---|---|---|
| "Default" (По умолчанию) | Полное доменное имя пула | Полные доменные имена пула и сервера Если существует несколько доменов SIP и включена автоматическая настройка клиента, мастер сертификатов обнаруживает все поддерживаемые полные доменные имена SIP. Если этот пул является сервером автоматического входа для клиентов и в групповой политике требуется строгое сопоставление системы доменных имен (DNS), вам также потребуются записи для sip.sipdomain (для каждого домена SIP). |
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com Если этот пул предназначен для сервера автоматического входа для клиентов, а в групповой политике требуется строгое сопоставление DNS, необходимо также добавить строки SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Мастер обнаруживает все домены SIP, указанные вами во время установки, и автоматически добавляет их в альтернативное имя субъекта. Вы также можете использовать этот сертификат для проверки подлинности между серверами. |
| Внутренняя сеть | Полное доменное имя пула | Каждое из следующих: • Полное доменное имя внутренней сети (которое НЕ совпадает с полным доменным именем сервера) • Полное доменное имя сервера • Полное доменное имя пула Skype для бизнеса И • Простые URL-адреса собрания • Простой URL-адрес для телефонного подключения • Простой URL-адрес администратора ИЛИ • Ввод подстановочного знака для простых URL-адресов |
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Использование групповых сертификатов: SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com |
При наличии нескольких простых URL-адресов собрания необходимо включить их все как альтернативные имена субъекта. Для простых URL-адресов поддерживаются подстановочные записи. |
| Внешняя сеть | Полное доменное имя пула | Каждое из следующих: • Полное доменное имя внешней сети И • Простой URL-адрес для телефонного подключения • Простой URL-адрес администратора ИЛИ • Ввод подстановочного знака для простых URL-адресов |
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Использование групповых сертификатов: SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
При наличии нескольких простых URL-адресов собрания необходимо включить их все как альтернативные имена субъекта. Для простых URL-адресов поддерживаются подстановочные записи. |
Сертификаты для директора
| Сертификат | Имя субъекта или общее имя | Альтернативное имя субъекта | Пример |
|---|---|---|---|
| "Default" (По умолчанию) | Пул директоров | Полное доменное имя директора и пула директоров. Если этот пул является сервером автоматического входа для клиентов и в групповой политике требуется строгое сопоставление DNS, вам также потребуются записи для sip.sipdomain (для каждого домена SIP). |
pool.contoso.com; SAN=dir01.contoso.com Если этот пул директоров предназначен для сервера автоматического входа для клиентов, а в групповой политике требуется строгое сопоставление DNS, необходимо также добавить строки SAN=contoso.com SIP; SAN=fabrikam.com SIP. |
| Внутренняя сеть | Полное доменное имя сервера | Каждое из следующих: • Полное доменное имя внутреннего веб-сайта (совпадает с полным доменным именем сервера) • Полное доменное имя сервера • Полное доменное имя пула Skype для бизнеса И • Простые URL-адреса собрания • Простой URL-адрес для телефонного подключения • Простой URL-адрес администратора ИЛИ • Ввод подстановочного знака для простых URL-адресов |
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Использование групповых сертификатов: SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com |
| Внешняя сеть | Полное доменное имя сервера | Каждое из следующих: • Полное доменное имя внешней сети И • Простые URL-адреса собраний для каждого домена SIP • Простой URL-адрес для телефонного подключения ИЛИ • Ввод подстановочного знака для простых URL-адресов |
Полное доменное имя внешней сети директора должно отличаться от пула переднего плана и сервера переднего плана. SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Использование групповых сертификатов: SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
Сертификаты для автономного сервера-посредника
| Сертификат | Имя субъекта или общее имя | Альтернативное имя субъекта | Пример |
|---|---|---|---|
| "Default" (По умолчанию) | Полное доменное имя пула | Полное доменное имя пула Полное доменное имя сервера, входящего в пул |
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net |
Сертификаты для устройства "Живучее филиала" (в частности, для устройства "Живучее отделение" 2015 для Skype для бизнеса Server 2019 г.)
| Сертификат | Имя субъекта или общее имя | Альтернативное имя субъекта | Пример |
|---|---|---|---|
| "Default" (По умолчанию) | Полное доменное имя устройства | SIP.<домен_SIP> (достаточно одной записи для каждого домена SIP) | SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Сертификаты для доступа внешних пользователей (пограничные)
Skype для бизнеса Server 2019 поддерживает применение единого общего сертификата для доступа и внешних пограничных интерфейсов веб-конференций, а также службу проверки подлинности по аудио- или видеосвязи, которые все подготавливаются через пограничные серверы. В вашем внутреннем интерфейсе Edge используется частный сертификат, выданный внутренним ЦС, но при желании для этого также можно использовать открытый сертификат, если он получен из доверенного ЦС.
Обратный прокси-сервер (RP) также будет использовать общедоступный сертификат, и он шифрует обмен данными от RP к клиентам, а RP — с внутренними серверами с помощью HTTP (или, точнее, TLS через HTTP).
Сертификаты для мобильной работы
Если вы развертываете мобильность и поддерживаете автоматическое обнаружение для мобильных клиентов, для поддержки безопасных подключений из мобильных клиентов необходимо включить в сертификаты дополнительные записи альтернативных имен субъектов.
Имена SAN требуются для автоматического обнаружения следующих сертификатов:
Пул директоров
Пул переднего плана
Обратный прокси-сервер
Особенности перечислены в следующих таблицах.
Вот где немного предварительного планирования хорошо. Но иногда вы развертываете Skype для бизнеса Server 2019 году, не планируя развертывание мобильности, и это происходит позже, когда у вас уже есть сертификаты в вашей среде. Переиздания сертификатов через внутренний ЦС обычно довольно просто. Но для общедоступных сертификатов из общедоступного ЦС это может быть немного дороже.
Если вы просматриваете эту ситуацию и у вас есть много доменов SIP (что сделает добавление SANS более дорогим), вы можете настроить обратный прокси-сервер для использования HTTP для первоначального запроса службы автообнаружения, а не HTTPS (конфигурация по умолчанию). Дополнительные сведения см. в разделе Планирование мобильности.
Требования к сертификатам пула директоров и интерфейсного пула
| Описание | Запись SAN |
|---|---|
| URL-адрес внутренней службы автоматического обнаружения | SAN=lyncdiscoverinternal.<домен_SIP> |
| URL-адрес внешней службы автоматического обнаружения | SAN=lyncdiscover.<домен_SIP> |
Кроме того, можно использовать SAN=*.<sipdomain>
Требования к сертификатам обратного прокси-сервера (общедоступный ЦС)
| Описание | Запись SAN |
|---|---|
| URL-адрес внешней службы автоматического обнаружения | SAN=lyncdiscover.<домен_SIP> |
Эта san должна быть назначена сертификату, назначенному прослушивателю SSL на обратном прокси-сервере.
Примечание.
Прослушиватель обратного прокси-сервера будет иметь сети SAN для внешних URL-адресов веб-служб. Например, san=skypewebextpool01.contoso.com и dirwebexternal.contoso.com, если вы развернули Director (необязательно).
Общая папка
Skype для бизнеса Server 2019 использует один файловый ресурс для хранения всех файлов. Следует помнить следующее:
Общая папка должна находиться в хранилище с прямым подключением (DAS) или в сети хранилища (SAN). Это требование включает распределенную файловую систему (DFS), а также избыточный массив независимых дисков (RAID) для хранилищ файлов. Дополнительные сведения о DFS для Windows Server 2012 см. в разделе Общие сведения о пространствах имен DFS и репликации DFS.
Рекомендуется использовать общий кластер для общей папки. Если вы уже используете его, следует кластерировать Windows Server 2012 или более поздних версий.
Примечание.
Необходима последняя версия Windows: Более ранние версии могут не иметь необходимых разрешений для включения всех функций. Создавать общие файловые ресурсы можно с помощью администратора кластера. Дополнительные сведения см. в статье Создание общих папок в кластере.
Осторожностью
Следует знать, что использование сетевого хранилища (NAS) в качестве общей папки не поддерживается. Поэтому используйте один из перечисленных здесь параметров. Такая ограниченная поддержка связана с разным дизайном устройств NAS, которые обеспечивают адаптируемость файловой системы к компьютеру с Windows Server, имеющему доступ к общей файловой системе устройств.