部署资源林拓扑
重要
由世纪互联在中国运营的Skype for Business将于2023年10月1日停用。 如果尚未升级 Skype for Business Online 用户,系统会自动安排他们进行辅助升级。 如果想要自行将组织升级到 Teams,强烈建议你立即开始规划升级路径。 请记住,成功升级与技术和用户就绪情况一致,因此在导航到 Teams 旅程时,请务必利用我们的 升级指南 。
Skype for Business Online(不包括世纪互联在中国运营的服务)已于 2021 年 7 月 31 日停用。
以下部分介绍如何在资源/用户林模型中配置具有多个林的环境,以在混合方案中提供功能。
拓扑要求
支持多个用户林。 注意以下几项:
有关混合配置中受支持的 Lync Server 版本和Skype for Business Server,请参阅规划混合连接。
Exchange Server可以部署在一个或多个林中,这些林可能包含也可能不包含包含Skype for Business Server的林。 请确保已应用最新的累积更新。
有关与Exchange Server共存的详细信息,包括本地和联机的各种组合的支持条件和限制,请参阅计划集成 Skype for Business 和 Exchange 中的功能支持。
用户驻留注意事项
Skype for Business本地用户可将 Exchange 驻留在本地或联机。 Teams 用户应使用 Exchange Online 来获得最佳体验;但是,这不是必需的。 在任一情况下,无需本地 Exchange 即可实现Skype for Business。
配置林信任
在资源林拓扑中,托管Skype for Business Server的资源林必须信任每个包含将访问它的用户帐户的帐户林。
如果有多个用户林,若要启用跨林身份验证,请务必为每个林信任启用名称后缀路由。 有关说明,请参阅 管理林信任。
如果已在另一个林中部署Exchange Server,并且 Exchange 为Skype for Business用户提供功能,则托管 Exchange 的林必须信任该林托管Skype for Business Server。 例如,如果 Exchange 部署在帐户林中,则需要帐户与Skype for Business林之间的双向信任。
将帐户同步到林托管Skype for Business
假设Skype for Business Server部署在资源林) (一个林中,但为一个或多个其他林中的用户提供 (帐户林) 的功能。 在这种情况下,其他林中的用户必须在部署Skype for Business Server的林中表示为禁用的用户对象。
需要使用标识管理产品(例如Microsoft Identity Manager)将用户从帐户林预配并同步到部署Skype for Business Server的林中。 必须将用户作为已禁用的用户对象同步到托管Skype for Business Server林中。 用户无法同步为 Active Directory 联系人对象,因为 Microsoft Entra Connect 无法正确将联系人同步到 Microsoft Entra ID以用于 Skype。
无论使用何种多林配置,托管Skype for Business Server林也可以为同一林中存在的任何已启用的用户提供功能。
若要获得正确的身份同步,需要同步下列属性:
| 用户林 | 资源林 |
|---|---|
| 选择的帐户链接属性 |
选择的帐户链接属性 |
| 邮件 |
邮件 |
| ProxyAddresses |
ProxyAddresses |
| ObjectSID |
msRTCSIP-OriginatorSID |
所选帐户链接属性将用作源定位点。 如果你有一个想要使用的其他不可变属性,则可以这样做:只需确保在 Microsoft Entra Connect 配置期间编辑 AD FS 声明规则并选择属性。
不要在林之间同步 UPN。 需要对每个用户林使用唯一的 UPN,因为不能跨多个林使用相同的 UPN。 因此,有两种可能性:同步 UPN 或不同步。
如果每个用户林中的唯一 UPN 未同步到资源林中关联的已禁用对象,则假设用户选择了用于保存密码) 的选项,单一登录 (SSO) 将至少在初始登录尝试 (中断。 在 Skype for Business 客户端中,假定 SIP/UPN 值相同。 由于此方案中的 SIP 地址为 user@company.com,但用户林中已启用对象的 UPN 实际上是 user@contoso.company.com,因此初始登录尝试将失败,并且系统会提示用户输入凭据。 输入正确的 UPN 后,将针对用户林中的域控制器完成身份验证请求,并且登录会成功。
如果将每个用户林中的唯一 UPN 同步到资源林中关联的禁用对象,AD FS 身份验证将失败。 匹配规则会在资源林中的 对象上找到 UPN,该对象已被禁用,无法用于身份验证。
创建 Microsoft 365 组织
需要预配 Microsoft 365 组织以用于部署。 有关详细信息,请参阅 Microsoft 云产品的订阅、许可证、帐户和租户。
配置Active Directory 联合身份验证服务
拥有租户后,需要在每个用户林中配置Active Directory 联合身份验证服务 (AD FS) 。 这假设您具有每个林的唯一 SIP 及 SMTP 地址和用户主体名称 (UPN)。 AD FS 是可选的,在此处用于获取单一登录 (SSO) 。 DirSync with Password Sync 也受支持,并且还可以替代 AD FS 使用。
只会测试具有匹配的 SIP/SMTP 和 UPN 的部署。 没有匹配的 SIP/SMTP/UPN 可能会导致功能降低,例如 Exchange 集成和 SSO 出现问题。
除非对每个林中的用户使用唯一的 SIP/SMTP/UPN,否则无论 AD FS 部署在何处,都可能遇到 SSO 问题:
对于在每个用户林中部署了 AD FS 服务器场的资源/用户林之间的单向或双向信任,所有用户共享共同的 SIP/SMTP 域,但将唯一 UPN 用于每个用户林。
对于仅在资源林中部署了 AD FS 服务器场的资源/用户林之间的双向信任,所有用户共享共同的 SIP/SMTP 域,但将唯一 UPN 用于每个用户林。
通过在每个用户林中放置 AD FS 服务器场并将唯一的 SIP/SMTP/UPN 用于每个林,我们解决了这两个问题。 在身份验证期间,将只搜索并匹配特定用户林中的帐户。 这将有助于提供更无缝的身份验证流程。
此部署将是 Windows Server 2012 R2 AD FS 的标准部署,应该在继续之前正常工作。 有关说明,请参阅 如何安装 AD FS 2012 R2 for Microsoft 365。
部署后,需要编辑声明规则,以匹配之前选择的源定位点。 在 AD FS MMC 中,在“信赖方信任”下,右键单击“Microsoft 365 标识平台”或“Microsoft Office 365标识平台”,然后选择“编辑声明规则”。 编辑第一个规则,并将 ObjectSID 更改为 employeeNumber。
配置 Microsoft Entra Connect
在资源林拓扑中,资源林和任何帐户林 () 的用户属性都必须同步到Microsoft Entra ID。 Microsoft 建议Microsoft Entra Connect 从已启用用户帐户的所有林和包含Skype for Business的林同步和合并用户标识。 有关详细信息,请参阅为 Skype for Business 和 Teams 配置 Microsoft Entra Connect。
请注意,Microsoft Entra Connect 不提供本地帐户和资源林之间的同步。 必须使用 Microsoft Identity Manager 或类似产品进行配置,如前所述。
完成并Microsoft Entra Connect 合并后,如果查看 metaverse 中的对象,应会看到类似于以下内容的内容:
绿色突出显示的属性来自 Microsoft 365,黄色来自用户林,蓝色来自资源林。
在此示例中,Microsoft Entra Connect 标识了用户的 sourceAnchor 和 cloudSourceAnchor,以及 Microsoft 365 中的资源林对象,在本例中为 1101,即之前选择的 employeeNumber。 Microsoft Entra Connect,他们能够将此对象合并到上面看到的内容中。
有关详细信息,请参阅将本地目录与Microsoft Entra ID集成。
Microsoft Entra Connect 应使用默认值进行安装,但以下情况除外:
单一登录 - AD FS 已部署并正常工作:选择“ 不配置”。
连接目录:添加所有域。
标识本地目录中的用户:选择 “用户标识存在于多个目录中”,然后选择 “ObjectSID ”和 “msExchangeMasterAccountSID ”属性。
识别Microsoft Entra ID中的用户:源定位点:选择在阅读选择良好的 sourceAnchor 属性、用户主体名称 - userPrincipalName 后选择的属性。
可选功能:选择是否已部署 Exchange 混合。
注意
如果您只有 Exchange Online,则在自动发现期间,可能会因为 CNAME 重定向而出现 OAuth 失败问题。 若要更正此问题,需要通过运行 Skype for Business Server 命令行管理程序中的以下 cmdlet 来设置 Exchange 自动发现 URL:
Set-CsOAuthConfiguration -ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svcAD FS 服务器场:选择使用现有 Windows Server 2012 R2 AD FS 服务器场并输入 AD FS 服务器的名称。
完成向导并执行必要的验证。
为Skype for Business Server配置混合连接
遵循配置Skype for Business混合的最佳做法。 有关详细信息,请参阅 规划混合连接 和 配置混合连接。
为Exchange Server配置混合连接
如有必要,遵循配置 Exchange 混合部署的最佳做法操作。 有关详细信息,请参阅Exchange Server混合部署。