部署资源林拓扑

重要

由世纪互联在中国运营的 Skype for Business Online 将于 2023 年 10 月 1 日停用。 如果尚未升级 Skype for Business Online 用户,系统会自动安排他们进行 辅助升级。 如果想要自行将组织升级到 Teams,强烈建议你立即开始规划升级路径。 请记住,成功升级与技术和用户就绪情况一致,因此在导航到 Teams 旅程时,请务必利用我们的 升级指南

Skype for Business Online(不包括世纪互联在中国运营的服务)已于 2021 年 7 月 31 日停用。

以下部分介绍如何在资源/用户林模型中配置具有多个林的环境,以在混合方案中提供功能。

混合的多林环境。

拓扑要求

支持多个用户林。 注意以下几项:

  • 有关混合配置中受支持的 Lync Server 和 Skype for Business Server 版本,请参阅 规划混合连接

  • Exchange Server 可以部署在一个或多个林中,其中可能包含包含 Skype for Business Server 的林,也可能不包括该林。 请确保已应用最新的累积更新。

  • 有关与 Exchange Server 共存的详细信息,包括本地和联机的各种组合的支持条件和限制,请参阅计划集成 Skype for Business 和 Exchange 中的功能支持

用户驻留注意事项

驻留在本地的 Skype for Business 用户可将 Exchange 驻留在本地或联机。 Teams 用户应使用 Exchange Online 获得最佳体验;但是,这不是必需的。 在任一情况下,实现 Skype for Business 都不需要本地 Exchange。

配置林信任

在资源林拓扑中,托管 Skype for Business Server 的资源林必须信任每个帐户林,其中包含访问它的用户帐户。

如果有多个用户林,若要启用跨林身份验证,请务必为每个林信任启用名称后缀路由。 有关说明,请参阅 管理林信任

如果你在另一个林中部署了 Exchange Server,并且 Exchange 为 Skype for Business 用户提供功能,则托管 Exchange 的林必须信任托管 Skype for Business Server 的林。 例如,如果 Exchange 部署在帐户林中,则需要帐户与 Skype for Business 林之间的双向信任。

将帐户同步到托管 Skype for Business 的林中

假设 Skype for Business Server 部署在资源林) (一个林中,但为一个或多个其他林中的用户提供功能, (帐户林) 。 在这种情况下,其他林中的用户必须在部署 Skype for Business Server 的林中表示为禁用的用户对象。

你需要使用标识管理产品(例如 Microsoft Identity Manager)将用户从帐户林预配并同步到部署 Skype for Business Server 的林中。 必须将用户作为已禁用的用户对象同步到托管 Skype for Business Server 的林中。 用户无法同步为 Active Directory 联系人对象,因为 Microsoft Entra Connect 无法正确将联系人同步到 Microsoft Entra ID 中以用于 Skype。

无论使用何种多林配置,托管 Skype for Business Server 的林也可以为同一林中存在的任何已启用的用户提供功能。

若要获得正确的身份同步,需要同步下列属性:

用户林 资源林
选择的帐户链接属性
选择的帐户链接属性
邮件
邮件
ProxyAddresses
ProxyAddresses
ObjectSID
msRTCSIP-OriginatorSID

所选帐户链接属性将用作源定位点。 如果你有一个想要使用的其他不可变属性,则可以这样做:只需确保在 Microsoft Entra Connect 配置期间编辑 AD FS 声明规则并选择 属性。

不要在林之间同步 UPN。 需要对每个用户林使用唯一的 UPN,因为不能跨多个林使用相同的 UPN。 因此,有两种可能性:同步 UPN 或不同步。

  • 如果每个用户林中的唯一 UPN 未同步到资源林中关联的已禁用对象,则假设用户选择了用于保存密码) 的选项,单一登录 (SSO) 将至少在初始登录尝试 (中断。 在 Skype for Business 客户端中,我们假定 SIP/UPN 值相同。 由于此方案中的 SIP 地址为 user@company.com,但用户林中已启用对象的 UPN 实际上是 user@contoso.company.com,因此初始登录尝试将失败,并且系统会提示用户输入凭据。 输入正确的 UPN 后,将针对用户林中的域控制器完成身份验证请求,并且登录会成功。

  • 如果将每个用户林中的唯一 UPN 同步到资源林中关联的禁用对象,AD FS 身份验证将失败。 匹配规则会在资源林中的 对象上找到 UPN,该对象已被禁用,无法用于身份验证。

创建 Microsoft 365 组织

需要预配 Microsoft 365 组织以用于部署。 有关详细信息,请参阅 Microsoft 云产品的订阅、许可证、帐户和租户

配置 Active Directory 联合身份验证服务

拥有租户后,需要在每个用户林中配置 Active Directory 联合身份验证服务 (AD FS) 。 这假设您具有每个林的唯一 SIP 及 SMTP 地址和用户主体名称 (UPN)。 AD FS 是可选的,在此处用于获取单一登录 (SSO) 。 DirSync with Password Sync 也受支持,并且还可以替代 AD FS 使用。

只会测试具有匹配的 SIP/SMTP 和 UPN 的部署。 没有匹配的 SIP/SMTP/UPN 可能会导致功能降低,例如 Exchange 集成和 SSO 出现问题。

除非对每个林中的用户使用唯一的 SIP/SMTP/UPN,否则无论 AD FS 部署在何处,都可能遇到 SSO 问题:

  • 对于在每个用户林中部署了 AD FS 服务器场的资源/用户林之间的单向或双向信任,所有用户共享共同的 SIP/SMTP 域,但将唯一 UPN 用于每个用户林。

  • 对于仅在资源林中部署了 AD FS 服务器场的资源/用户林之间的双向信任,所有用户共享共同的 SIP/SMTP 域,但将唯一 UPN 用于每个用户林。

通过在每个用户林中放置 AD FS 服务器场并将唯一的 SIP/SMTP/UPN 用于每个林,我们解决了这两个问题。 在身份验证期间,将只搜索并匹配特定用户林中的帐户。 这有助于提供更无缝的身份验证过程。

此部署是 Windows Server 2012 R2 AD FS 的标准部署,应在继续之前正常工作。 有关说明,请参阅 如何安装 AD FS 2012 R2 for Microsoft 365

部署后,需要编辑声明规则,以匹配之前选择的源定位点。 在 AD FS MMC 中,在“信赖方信任”下,右键单击“ Microsoft 365 标识平台 ”或“ Microsoft Office 365 标识平台”,然后选择“ 编辑声明规则”。 编辑第一个规则,并将 ObjectSID 更改为 employeeNumber

多林编辑规则屏幕。

配置 Microsoft Entra Connect

在资源林拓扑中,资源林和任何帐户林 () 的用户属性都必须同步到 Microsoft Entra ID 中。 Microsoft 建议 Microsoft Entra Connect 从已启用用户帐户 的所有 林和包含 Skype for Business 的林同步和合并用户标识。 有关详细信息,请参阅 为 Skype for Business 和 Teams 配置 Microsoft Entra Connect

请注意,Microsoft Entra Connect 不会在本地提供帐户和资源林之间的同步。 必须使用 Microsoft Identity Manager 或类似产品进行配置,如前所述。

完成并且 Microsoft Entra Connect 正在合并时,如果查看 metaverse 中的对象,应会看到类似于以下内容的内容:

多林 Metaverse 对象屏幕。

绿色突出显示的属性来自 Microsoft 365,黄色来自用户林,蓝色来自资源林。

在此示例中,Microsoft Entra Connect 已从用户标识 sourceAnchor 和 cloudSourceAnchor,以及 Microsoft 365 中的资源林对象(在本例中为 1101-之前选择的 employeeNumber)。 Microsoft Entra Connect 能够将此对象合并到上面看到的内容中。

有关详细信息,请参阅 将本地目录与 Microsoft Entra ID 集成

应使用默认值安装 Microsoft Entra Connect,但以下情况除外:

  1. 单一登录 - AD FS 已部署并正常工作:选择“ 不配置”。

  2. 连接目录:添加所有域。

  3. 标识本地目录中的用户:选择 “用户标识存在于多个目录中”,然后选择 “ObjectSID ”和 “msExchangeMasterAccountSID ”属性。

  4. 在 Microsoft Entra ID:源定位点中标识用户:选择在阅读选择 一个良好的 sourceAnchor 属性、用户主体名称 - userPrincipalName 之后选择的属性。

  5. 可选功能:选择是否已部署 Exchange 混合。

    注意

    如果您只有 Exchange Online,则在自动发现期间,可能会因为 CNAME 重定向而出现 OAuth 失败问题。 若要更正此问题,需要通过运行 Skype for Business Server 命令行管理程序中的以下 cmdlet 来设置 Exchange 自动发现 URL:

    Set-CsOAuthConfiguration -ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc 
    
  6. AD FS 服务器场:选择使用现有 Windows Server 2012 R2 AD FS 服务器场并输入 AD FS 服务器的名称。

  7. 完成向导并执行必要的验证。

为 Skype for Business Server 配置混合连接

遵循有关配置 Skype for Business 混合的最佳做法。 有关详细信息,请参阅 规划混合连接配置混合连接

为 Exchange Server 配置混合连接

如有必要,遵循配置 Exchange 混合部署的最佳做法操作。 有关详细信息,请参阅 Exchange Server 混合部署