Systemanforderungen für Skype for Business Server 2019
Zusammenfassung: Bereiten Sie die Installation von Skype for Business Server 2019 mithilfe dieses Artikels vor. Hardware, Betriebssystem, Software, Datenbanken, Zertifikate, Active Directory, DNS und Dateifreigaben werden hier behandelt. Alle Systemanforderungen und Empfehlungen sind hier, um eine erfolgreiche Installation und Bereitstellung Ihrer Serverfarm sicherzustellen.
Wie Sie vielleicht erwarten, müssen einige Vorbereitungen getroffen werden, bevor Sie mit der Bereitstellung Skype for Business Server 2019 beginnen. Dieser Artikel führt Sie durch die Planung für:
Hardware für Skype for Business Server 2019
Nachdem Sie Ihre Topologie eingerichtet haben (und wenn Sie dies nicht getan haben, können Sie sich das Thema Topologiegrundlagen für Skype for Business Server 2019 ansehen), ist es an der Zeit, über Server nachzudenken. Skype for Business Server 2019-Server erfordert 64-Bit-Hardware. Unsere Empfehlungen für Hardware sind in den folgenden Tabellen aufgeführt. Zwar handelt es sich dabei nicht um Anforderungen, aber die Empfehlungen entsprechen den Anforderungen, die für eine optimale Leistung erfüllt sein müssen. Wir verfügen über eine Dokumentation zur Kapazitätsplanung, mit der Sie je nach Ihren Umständen ermitteln können, ob Sie mehr als diese Anforderungen benötigen.
Empfohlene Hardware für Standard Edition-Server
| Hardwarekomponente | Empfohlen |
|---|---|
| CPU | Intel Xeon E5-2673 v3 Dual-Prozessor, 6 Kerne, 2,4 Gigahertz (GHz) oder höher. Intel Itanium-Prozessoren werden für Skype for Business Server 2019-Rollen nicht unterstützt. |
| Arbeitsspeicher | 32 GB. |
| Festplatte | ENTWEDER: • Acht oder mehr Festplattenlaufwerke mit 10.000 U/min mit mindestens 72 GB freiem Speicherplatz (zwei datenträger mit RAID 1 und 6 mit RAID 10). ODER • Solid State Drives (SSDs), die den gleichen freien Speicherplatz und eine ähnliche Leistung wie acht mechanische Datenträger mit 10.000 U/min bereitstellen können. |
| Netzwerk | Ein Dual-Port-Netzwerkadapter, 1 GBit/s oder höher (es können zwei Netzwerkadapter verwendet werden, die jedoch mit einer einzelnen MAC-Adresse und einer einzelnen IP-Adresse kombiniert werden müssen). Für Front-End-Server, Back-End-Server und Standard Edition-Server werden keine Dual- oder Multi-Homed-Konfigurationen unterstützt. Sie können Out-of-Band-Verwaltungssysteme wie DRAC oder ILO verwenden, solange sie nicht für das Betriebssystem verfügbar gemacht werden und zum Überwachen und Verwalten von Serverhardware verwendet werden. Dieses Szenario stellt keinen Multi-Homed-Server dar und wird unterstützt. |
Empfohlene Hardware für Front-End- und Back-End-Server
| Hardwarekomponente | Empfohlen |
|---|---|
| CPU | Intel Xeon E5-2673 v3 Dual-Prozessor, 6 Kerne, 2,4 Gigahertz (GHz) oder höher. Intel Itanium-Prozessoren werden für Skype for Business Server 2019-Rollen nicht unterstützt. |
| Arbeitsspeicher | 64 Gigabyte (GB). |
| Festplattenspeicher | ENTWEDER: • Acht oder mehr Festplattenlaufwerke mit 10.000 U/min mit mindestens 72 GB freiem Speicherplatz (zwei datenträger mit RAID 1 und 6 mit RAID 10). ODER • Solid State Drives (SSDs), die den gleichen freien Speicherplatz und eine ähnliche Leistung wie acht mechanische Datenträger mit 10.000 U/min bereitstellen können. |
| Netzwerk | Ein Dual-Port-Netzwerkadapter, 1 GBit/s oder höher (es können zwei Netzwerkadapter verwendet werden, die jedoch mit einer einzelnen MAC-Adresse und einer einzelnen IP-Adresse kombiniert werden müssen). Für Front-End-Server, Back-End-Server und Standard Edition-Server werden keine Dual- oder Multi-Homed-Konfigurationen unterstützt. Sie können Out-of-Band-Verwaltungssysteme wie DRAC oder ILO verwenden, solange sie nicht für das Betriebssystem verfügbar gemacht werden und zum Überwachen und Verwalten von Serverhardware verwendet werden. Dieses Szenario stellt keinen Multi-Homed-Server dar und wird unterstützt. |
Empfohlene Hardware für Edgeserver, eigenständige Vermittlungsserver und Directors
| Hardwarekomponente | Empfohlen |
|---|---|
| CPU | Intel Xeon E5-2673 v3 Dual-Prozessor, 6 Kerne, 2,4 Gigahertz (GHz) oder höher. Intel Itanium-Prozessoren werden für Skype for Business Server 2019-Rollen nicht unterstützt. |
| Arbeitsspeicher | 32 Gigabyte. |
| Festplattenspeicher | ENTWEDER: • Vier oder mehr Festplattenlaufwerke mit 10.000 U/min mit mindestens 72 GB freiem Speicherplatz (die Datenträger sollten sich in einer 2x RAID 1-Konfiguration befinden). ODER • Solid State Drives (SSDs), die den gleichen freien Speicherplatz und eine ähnliche Leistung wie vier mechanische Festplattenlaufwerke mit 10.000 U/min bereitstellen können. |
| Netzwerk | Ein Dual-Port-Netzwerkadapter, 1 GBit/s oder höher (es können zwei Netzwerkadapter verwendet werden, die jedoch mit einer einzelnen MAC-Adresse und einer einzelnen IP-Adresse kombiniert werden müssen). Dualkonfigurationen oder mehrfach vernetzte Konfigurationen werden für Video-Interop-Server und Directors nicht unterstützt. Edgeserver erfordern zwei Netzwerkschnittstellen, bei denen es sich um Netzwerkadapter mit zwei Ports handelt, 1 GBit/s oder mehr (oder zwei gekoppelte Netzwerkadapter für insgesamt vier, jedes Paar, das mit einer einzelnen MAC-Adresse und einer einzelnen IP-Adresse kombiniert wird, für insgesamt zwei Paare). Auf eigenständigen Vermittlungsservern wird die Installation zusätzlicher Netzwerkschnittstellenkarten (NICs) unterstützt, um die Konfiguration einer bestimmten PSTN-IP-Adresse zu ermöglichen. |
Hinweis
Unabhängig von der Serverrolle empfehlen wir auch die folgenden Hardwareeinstellungen für Skype for Business Server 2019 (die Einstellungen können je nach Marke der von Ihnen erworbenen Hardware variieren. Weitere Informationen finden Sie in der Herstellerdokumentation):
- BIOS-Konfiguration: Sollte von NUMA auf FLAT festgelegt werden.
- Aktivieren Sie Hyperthreading.
- Die Rss-Warteschlangeneinstellung sollte auf 8 Warteschlange festgelegt werden.
Betriebssysteme für Skype for Business Server 2019
Nachdem Sie die Hardware festgelegt haben, müssen Sie das Betriebssystem installieren, mit dem Sie Skype for Business Server 2019 installieren und erfolgreich verwenden können:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
Alles andere als die hier aufgeführten Betriebssysteme funktioniert nicht ordnungsgemäß. Versuchen Sie, nichts anderes für Installationen von Skype for Business Server 2019 zu verwenden. Die Option Server Core ist beispielsweise nicht aufgeführt. Daher wird dies nicht unterstützt.
Hinweis
Windows Server 2022 qualifiziert sich nur mit Skype for Business Server 2019 für kumulatives Update 7 und höhere Versionen (Mindestbuildnummer 2046.524).
Ein direktes Upgrade des Betriebssystems wird nicht unterstützt. Sie müssen einen separaten Pool bereitstellen, in dem ein anderes Betriebssystem ausgeführt wird, und dann Benutzer zum neuen Pool migrieren. Alle Server in einem Pool müssen über die gleiche Betriebssystemversion verfügen.
Wenn Sie Windows Admin Center 2019 auf Ihrem Windows Server 2019-Computer installieren, werden Sie vom Programm aufgefordert, einen Port zum Lauschen anzugeben. Es besteht die Wahrscheinlichkeit, dass Sie Port 443 auswählen. Wenn auf diesem Computer jedoch Skype for Business Server 2019 installiert ist oder Skype for Business Server 2019 installiert ist, müssen Sie eine andere Portnummer auswählen.
Warum? Wenn Windows Admin Center 2019 an Port 443 ausgeführt wird, können Sie über den Skype for Business Systemsteuerung keine Verbindung mit dem Server herstellen, und Sie können auch keine Verbindung mit einem internen Webdienst herstellen, der auf dem Server ausgeführt wird (Adressbuchwebdienst, AutoErmittlungsdienst, WebTicket-Dienst usw.). Tatsächlich können Sie keine Verbindung mit einer internen Webdienst-URL herstellen. Falls Sie möglicherweise Windows Admin Center 2019 auf einem Server mit Skype for Business Server 2019 platzieren möchten, wählen Sie einen anderen Port aus.
Software, die vor einer Skype for Business Server 2019-Bereitstellung installiert werden sollte
Hinweis
Als Voraussetzung für die Installation des Skype for Business Server 2019 müssen Sie bei Verwendung von Windows Server 2022 das Kompatibilitätsskript für Windows Server 2022 ausführen.
Es gibt einige Dinge, die Sie für jeden Server installieren oder konfigurieren müssen, der Skype for Business Server 2019 ausgeführt wird. Diese Punkte sind in den folgenden Tabellen aufgeführt, gefolgt von zusätzlichen Anforderungen für bestimmte Serverrollen.
Wichtig
Skype For Business 2019 unterstützt .NET Framework 4.8. und .NET Framework 4.8.1
Alle Server
| Software/Rolle | Details |
|---|---|
| Windows PowerShell 3.0 | Auf allen Skype for Business Server-Servern muss Windows PowerShell 3.0 installiert sein. • PowerShell 3.0 sollte standardmäßig mit Windows Server 2016 installiert werden. |
| Microsoft .NET Framework | WCF-Dienste sind ein Feature, das als Windows-Feature unter Server-Manager installiert wird. Zunächst sind keine Downloads erforderlich. • Wenn Sie dieses Feature installieren oder wenn es bereits installiert ist und Sie es überprüfen, müssen Sie sicherstellen, dass die Option HTTP-Aktivierung wie folgt ebenfalls ausgewählt und installiert ist.  Machen Sie sich keine Sorgen, wenn Sie ein weiteres Popupfenster erhalten, in dem angegeben wird, dass einige andere Dinge installiert werden müssen, damit die HTTP-Aktivierung installiert werden kann. Das ist normal. Wählen Sie OK aus, und fahren Sie fort. Wenn Sie dieses Popupfenster nicht erhalten, können Sie davon ausgehen, dass diese Elemente bereits installiert sind. Microsoft .NET Framework wird installiert, wenn Windows Server 2016 installiert ist. Skype for Business Server erfordert jedoch Microsoft .NET Framework 4.7, 4.8 oder 4.8.1, sodass Sie es wahrscheinlich aktualisieren müssen. Das Update finden Sie hier. |
| Media Foundation | Für Windows Server 2016 wird die Windows Media Format Runtime mit Microsoft Media Foundation installiert. Alle Front-End-Server und Standard Edition-Server, die für Konferenzen verwendet werden, benötigen die Windows Media-Format-Laufzeitkomponente, damit die WMA-Dateien (Windows Media Audio) ausgeführt werden können. Über diese Dateien geben die Anwendungen für das Parken von Anrufen, für Ankündigungen und für Reaktionsgruppen Ankündigungen und Musik wieder. |
| Windows Identity Foundation | Wir benötigen Windows Identity Foundation 3.5, um Server-zu-Server-Authentifizierungsszenarien für Skype for Business Server 2019 zu unterstützen. • Für Windows Server 2016 ist es nicht erforderlich, etwas herunterzuladen. Öffnen Sie den Server-Manager und rufen Sie den Assistenten zum Hinzufügen von Rollen und Features auf. Windows Identity Foundation 3.5 wird unter dem Abschnitt Funktionen aufgelistet. Wenn es ausgewählt ist, wird alles festgelegt. Wählen Sie sie andernfalls aus, und wählen Sie dann Weiter aus, um die Schaltfläche Installieren zu erreichen. |
| Remoteserver-Verwaltungstools | Rollenverwaltungstools: AD DS- und AD LDS-Tools |
Front-End-Server und Standard Edition-Server
| Software/Rolle | Details |
|---|---|
| Internetinformationsdienste (Internet Information Services, IIS) | IIS ist auf allen Front-End-Servern und allen Standard Edition-Servern erforderlich, wobei die folgenden Module ausgewählt sind: • Gemeinsam genutzte HTTP-Features: Standarddokument, HTTP-Fehler, Statischer Inhalt • Systemzustand und Diagnose: HTTP-Protokollierung, Protokollierungstools, Ablaufverfolgung • Leistung: Komprimierung statischer Inhalte, Komprimierung dynamischer Inhalte • Sicherheit: Anforderungsfilterung, Authentifizierung über Clientzertifikatzuordnung, Windows-Authentifizierung • Anwendungsentwicklung: .NET-Erweiterbarkeit 3.5, .NET-Erweiterbarkeit 4.5, ASP.NET 3.5, ASP.NET 4.5, ISAPI-Erweiterungen, ISAPI-Filter • Verwaltungstools: IIS-Verwaltungskonsole, IIS-Verwaltungsskripts und -tools Anonymer Zugriff ist ebenfalls erforderlich, aber Sie erhalten diesen, wenn Sie IIS installieren, sodass Sie keinen Ort haben, um ihn in der Liste auszuwählen. |
| Windows Media Format-Laufzeitkomponente | Für Windows Server 2016 müssen Sie das Media Foundation-Feature in Server-Manager installieren. Sie können Ihre Skype for Business Server 2019-Installation tatsächlich ohne dieses Feature starten. Sie werden jedoch aufgefordert, es zu installieren, und starten Sie dann den Server neu, bevor die Skype for Business Server 2019-Installation fortgesetzt werden kann. Es ist besser, dies im Voraus zu tun. |
| Silverlight | Sie können die neueste Version von Silverlight hier installieren. |
| Für Benutzer in der Region China | Führen Sie das PowerShell-Skript aus, nachdem Sie den Server auf die Mindestbuildnummer Skype for Business Server kumulativen Update 7 Hotfix 1 (2046.524) von 2019 aktualisiert haben. |
Zur Unterstützung finden Sie hier ein PowerShell-Beispielskript, das Sie ausführen können, um diesen Prozess zu automatisieren:
Add-WindowsFeature RSAT-ADDS, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, Web-Dyn-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Mgmt-Tools, Web-Scripting-Tools, Web-Mgmt-Compat, Windows-Identity-Foundation, Server-Media-Foundation, Telnet-Client, BITS, ManagementOData, Web-Mgmt-Console, Web-Metabase, Web-Lgcy-Mgmt-Console, Web-Lgcy-Scripting, Web-WMI, Web-Scripting-Tools, Web-Mgmt-Service
Für Directors benötigen Sie außerdem Folgendes:
IIS mit den folgenden ausgewählten Modulen:
Allgemeine HTTP-Funktionen
Standarddokument
HTTP-Fehler
Statischer Inhalt
Integrität und Diagnose
HTTP-Protokollierung
Protokollierungstools
Ablaufverfolgung
Leistung
- Komprimierung statischer Inhalte
Sicherheit
Anforderungsfilterung
Clientzertifikatzuordnungs-Authentifizierung
Windows-Authentifizierung
Anwendungsentwicklung
.NET-Erweiterbarkeit 3.5
.NET-Erweiterbarkeit 4.5
ASP.NET 3.5
ASP.NET 4.5
ISAPI-Erweiterung
ISAPI-Filter
(Falls Sie sich fragen, ist es dasselbe Modul wie die Front-End-Server und Standard Edition-Server, ohne die Dynamic Content Compression and Management Tools.)
Außerdem verfügen wir über PowerShell-Code für diesen Prozess:
Add-WindowsFeature RSAT-ADDS, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Scripting-Tools, Web-Mgmt-Compat, Server-Media-Foundation, Telnet-Client
Installation des Kompatibilitätsskripts für Windows Server 2022
Wenn Sie die Skype for Business Server für Windows Server 2022 einrichten, müssen Sie das folgende Skript ausführen, um die Kompatibilität mit Windows Server 2022 sicherzustellen:
$providerName = "AesProvider"
$keyContainerName = "iisCustomConfigurationKey"
$exe = Get-ChildItem -Path "$env:SystemRoot\Microsoft.NET\Framework64" -Filter "aspnet_regiis.exe" -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1
if ($exe -eq $null) {
Write-Error "aspnet_regiis.exe not found. Exiting";
Exit
}
$existingProvider = Get-WebConfiguration -PSPath 'MACHINE/WEBROOT/APPHOST' -Filter "configProtectedData/providers/add[@name='$providerName']"
if ($null -ne $existingProvider) { # Provider already exists
Write-Host "Script has already run. $providerName already exists. Exiting"
Exit 0
}
& $exe.FullName -pc $keyContainerName -exp
& $exe.FullName -pa $keyContainerName "BUILTIN\IIS_IUSRS"
& $exe.FullName -pa $keyContainerName "NT SERVICE\WMSVC"
Add-WebConfigurationProperty -PSPath 'MACHINE/WEBROOT/APPHOST' -Filter "configProtectedData/providers" -Name "." -Value @{name="$providerName";type='System.Configuration.RsaProtectedConfigurationProvider,System.Configuration, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a'}
$applicationHostConfigPath = "$env:SystemRoot\System32\inetsrv\config\applicationHost.config"
[xml] $applicationHostConfigFile = Get-Content $applicationHostConfigPath
foreach ($ele in $applicationHostConfigFile.configuration.configProtectedData.providers.add) {
if ($ele.name -eq $providerName) {
$ele.SetAttribute("keyContainerName", $keyContainerName)
$ele.SetAttribute("useMachineContainer", "true")
$ele.SetAttribute("useOAEP", "false")
$ele.SetAttribute("useFIPS", "true")
}
}
$applicationHostConfigFile.Save($applicationHostConfigPath)
Write-Host "Script ran successfully. Key container $keyContainerName created. Provider $providerName added."
Back-End-Datenbanken, die mit Skype for Business Server 2019 funktionieren
Wenn Sie Skype for Business Server Standard Edition 2019 installieren, wird auch SQL Server 2016 Express (64-Bit-Edition) installiert.
Skype for Business Server 2019 Enterprise Edition erfordert die Vollversion von SQL Server, wie hier angegeben (nur 64-Bit-Edition; keine 32-Bit-Editionen verwenden):
- Microsoft SQL Server 2019 (64-Bit-Edition) – muss zusammen mit den neuesten Updates ausgeführt werden
- Microsoft SQL Server 2017 (64-Bit-Edition) – muss zusammen mit den neuesten Updates ausgeführt werden
- Microsoft SQL Server 2016 (64-Bit-Edition) – muss zusammen mit den neuesten Updates ausgeführt werden
Wenn die SQL Server Edition, die Sie verwenden möchten, hier nicht aufgeführt ist, können Sie sie nicht verwenden.
Hinweis
Außerdem müssen Sie SQL Server Reporting Services für die Rolle "Monitoring Server" installieren.
SQL-Clustering und SQL-Always On
SQL-Clustering mit Skype for Business Server 2019 wird unterstützt. Wenn Sie SQL-Clustering einrichten möchten, erfolgt dies in SQL Server.
Stellen Sie sicher, dass Sie über eine aktive/passive Konfiguration für SQL-Clustering verfügen, die unterstützt wird. Teilen Sie den passiven Knoten mit keiner anderen SQL-Instanz.
Für Failoverclustering haben Sie folgende Möglichkeiten:
Zwei Knoten:
- Microsoft SQL Server 2019 Standard (64-Bit-Edition) und wir empfehlen die Ausführung mit dem neuesten Service Pack.
- Microsoft SQL Server 2017 Standard (64-Bit-Edition) und wir empfehlen die Ausführung mit dem neuesten Service Pack.
- Microsoft SQL Server 2016 Standard (64-Bit-Edition) und wir empfehlen die Ausführung mit dem neuesten Service Pack.
Sechzehn Knoten:
- Microsoft SQL Server 2019 Enterprise (64-Bit-Edition) und wir empfehlen die Ausführung mit dem neuesten Service Pack.
- Microsoft SQL Server 2017 Enterprise (64-Bit-Edition) und wir empfehlen die Ausführung mit dem neuesten Service Pack.
- Microsoft SQL Server 2016 Enterprise (64-Bit-Edition) und wir empfehlen die Ausführung mit dem neuesten Service Pack.
SQL Always On wird unterstützt. Weitere Informationen dazu finden Sie unter Hochverfügbarkeit des Back-End-Servers in Skype for Business Server 2019.
Zusätzliche Serverinstallationsempfehlungen
Installieren Sie keine Microsoft ISA Server-Clientsoftware (Internet Security and Acceleration) oder andere Winsock Layered Service Providers (LSP)-Software (Firewalls von Drittanbietern oder Antiviren-Netzwerkinspektionssoftware sind hier enthalten) auf Ihren Front-End-Servern oder eigenständigen Vermittlungsservern. Bei der Installation dieser Software wurde eine schlechte Leistung des Mediendatenverkehrs festgestellt.
Active Directory
Obwohl ein Großteil der Konfigurationsdaten für Server und Dienste im zentralen Verwaltungsspeicher von Skype for Business Server 2019 gespeichert wird, werden einige Elemente weiterhin in Active Directory gespeichert.
| Active Directory-Objekte | Objekttypen |
|---|---|
| Schemaerweiterungen | Benutzerobjekterweiterungen |
| Erweiterungen für Skype for Business Server 2015 und Lync Server 2013 zur Aufrechterhaltung der Abwärtskompatibilität mit den vorherigen unterstützten Versionen | |
| Daten | Der Benutzer-SIP-URI und andere Einstellungen |
| Kontaktobjekte für Anwendungen (z. B. die Reaktionsgruppenanwendung und die Konferenzzentralenanwendung) | |
| Aus Gründen der Abwärtskompatibilität veröffentlichte Daten | |
| Dienststeuerungspunkt (Service Control Point, SCP) für den zentralen Verwaltungsspeicher | |
| Kerberos-Authentifizierungskonto (ein optionales Computerobjekt) |
Betriebssysteme für Domänencontroller
Die folgenden Domänencontrollerbetriebssysteme können verwendet werden:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
Die Domänenfunktionsebene jeder Domäne, in der Sie Skype for Business Server 2019 bereitstellen, und die Gesamtstrukturfunktionsebene jeder Gesamtstruktur, in der Sie Skype for Business Server 2019 bereitstellen, muss eine der folgenden sein:
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
Dürfen in diesen Umgebungen schreibgeschützte Domänencontroller vorhanden sein? Ja, Dies ist möglich, solange beschreibbare Domänencontroller ebenfalls verfügbar sind.
Es ist wichtig zu wissen, dass Skype for Business Server 2019 keine domänenspezifischen Bezeichnungen unterstützt. Was sind dies? Wenn Sie über eine Stammdomäne mit der Bezeichnung "contoso.local" verfügen, funktioniert dies. Wenn Sie über eine Stammdomäne mit dem Namen "lokal" verfügen, funktioniert dies nicht und wird nicht unterstützt. Weitere Informationen finden Sie unter Bereitstellung und Betrieb von Active Directory-Domänen, die mithilfe von DNS-Namen mit nur einer Bezeichnung konfiguriert werden.
Skype for Business Server 2019 unterstützt auch das Umbenennen von Domänen nicht. Wenn Sie Ihre Domäne umbenennen müssen, müssen Sie Skype for Business Server 2019 deinstallieren, die Domäne umbenennen und dann Skype for Business Server 2019 neu installieren.
Schließlich haben Sie es möglicherweise mit einer Domäne zu tun, die über eine gesperrte AD DS-Umgebung verfügt, was akzeptabel ist. Weitere Informationen zum Bereitstellen von Skype for Business Server 2019 in einer gesperrten AD DS-Umgebung finden Sie in der Bereitstellungsdokumentation.
AD-Topologien
In Skype for Business Server 2019 werden folgende Topologien unterstützt:
Einzelne Gesamtstruktur mit einzelner Domäne
Einzelne Gesamtstruktur mit einer Struktur und mehreren Domänen
Einzelne Gesamtstruktur mit mehreren Strukturen und nicht zusammenhängenden Namespaces
Mehrere Gesamtstrukturen in einer Topologie mit zentraler Gesamtstruktur
Mehrere Gesamtstrukturen in einer Topologie mit Ressourcengesamtstruktur
Mehrere Gesamtstrukturen in einer Skype for Business-Ressourcengesamtstruktur-Topologie mit Exchange Online
Mehrere Gesamtstrukturen in einer Ressourcengesamtstrukturtopologie mit Skype for Business Online und Microsoft Entra Connect
Wir verfügen über Diagramme und Beschreibungen, mit denen Sie ermitteln können, welche Topologie in Ihrer Umgebung vorhanden ist oder welche Sie möglicherweise vor der Installation von Skype for Business Server 2019 einrichten müssen. Um es einfach zu halten, fügen wir auch einen Schlüssel ein:
Einzelne Gesamtstruktur mit einzelner Domäne
Es wird nicht einfacher als das. Es handelt sich um eine einzelne Domänengesamtstruktur, eine gemeinsame Topologie.
Einzelne Gesamtstruktur mit einer Struktur und mehreren Domänen
Dieses Diagramm zeigt erneut eine einzelne Gesamtstruktur, aber es enthält auch eine oder mehrere untergeordnete Domänen (in diesem speziellen Beispiel gibt es drei). Die Domäne, in der die Benutzer erstellt werden, kann sich von der Domäne unterscheiden, in der Skype for Business Server 2019 bereitgestellt wird. Warum sorgen Sie sich über diese Situation? Beachten Sie, dass sich beim Bereitstellen eines Skype for Business Server Front-End-Pools alle Server in diesem Pool in einer einzigen Domäne befinden müssen. Sie können die domänenübergreifende Verwaltung über Skype for Business Server Unterstützung universeller Windows-Administratorgruppen verwenden.
Im vorherigen Diagramm sehen Sie, dass Benutzer aus einer Domäne auf Skype for Business Server Pools aus derselben Domäne oder aus verschiedenen Domänen zugreifen können, auch wenn sich diese Benutzer in einer untergeordneten Domäne befinden.
Einzelne Gesamtstruktur mit mehreren Strukturen und nicht zusammenhängenden Namespaces
Möglicherweise verfügen Sie über eine Topologie ähnlich wie dieses Diagramm, in der Sie über eine Gesamtstruktur verfügen, aber innerhalb dieser Gesamtstruktur mehrere Domänen mit separaten AD-Namespaces sind. In diesem Fall ist dieses Diagramm eine gute Veranschaulichung, da es Benutzer aus drei verschiedenen Domänen enthält, die auf Skype for Business Server 2019 zugreifen. Durchgezogene Linien zeigen an, dass sie auf einen Skype for Business Server Pool in ihrer eigenen Domäne zugreifen, während eine gestrichelte Linie angibt, dass sie zu einem Pool in einer anderen Struktur wechseln.
Wie Sie sehen können, können Benutzer in derselben Domäne, derselben Struktur oder sogar einer anderen Struktur erfolgreich auf Pools zugreifen.
Mehrere Gesamtstrukturen in einer Topologie mit zentraler Gesamtstruktur
Skype for Business Server 2019 unterstützt mehrere Gesamtstrukturen, die in einer zentralen Gesamtstrukturtopologie konfiguriert sind. Wenn Sie sich nicht sicher sind, ob dies Der Fall ist, verwendet die zentrale Gesamtstruktur in der Topologie Objekte darin, um Benutzer in den anderen Gesamtstrukturen darzustellen, und hostet Benutzerkonten für alle Benutzer in der Gesamtstruktur.
Wie funktioniert das? Ein Verzeichnissynchronisierungsprodukt (z. B. Forefront Identity Manager oder FIM) verwaltet die Benutzerkonten Ihrer organization während ihrer gesamten Existenz. Wenn ein Konto erstellt oder in der Gesamtstruktur gelöscht wird, wird diese Änderung im entsprechenden Kontakt in der zentralen Gesamtstruktur synchronisiert.
Wenn Ihre AD-Infrastruktur vorhanden ist, ist der Wechsel zu dieser Topologie möglicherweise nicht einfach, aber wenn Sie bereits dort sind oder Ihre Gesamtstrukturinfrastruktur planen, kann dies eine gute Wahl sein. Sie können Ihre Skype for Business Server 2019-Bereitstellung innerhalb einer einzelnen Gesamtstruktur zentralisieren, während Benutzer andere Benutzer in einer beliebigen Gesamtstruktur suchen, kommunizieren und anzeigen können. Alle Aktualisierungen von Benutzerkontakten werden automatisch mit der Synchronisierungssoftware verarbeitet.
Mehrere Gesamtstrukturen in einer Skype for Business-Ressourcengesamtstruktur-Topologie
Eine Ressourcengesamtstrukturtopologie wird ebenfalls unterstützt. Hier ist eine Gesamtstruktur für die Ausführung Ihrer Serveranwendungen wie Microsoft Exchange Server und Skype for Business Server 2019 vorgesehen. Diese Ressourcengesamtstrukturen hosten auch eine synchronisierte Darstellung aktiver Benutzerobjekte, aber keine anmeldefähigen Benutzerkonten. Daher ist die Ressourcengesamtstruktur eine Umgebung für gemeinsame Dienste für andere Gesamtstrukturen, in denen sich Benutzerobjekte befinden, und diese verfügen über eine Vertrauensstellung auf Gesamtstrukturebene mit der Ressourcengesamtstruktur.
Exchange Server können in derselben Ressourcengesamtstruktur wie Skype for Business Server oder in einer anderen Gesamtstruktur bereitgestellt werden.
Um Skype for Business Server 2019 in diesem Topologietyp bereitzustellen, erstellen Sie ein deaktiviertes Benutzerobjekt in der Ressourcengesamtstruktur für jedes Benutzerkonto in den Benutzergesamtstrukturen (wenn sich Microsoft Exchange Server bereits in der Umgebung befindet, kann diese Aktion für Sie ausgeführt werden). Anschließend benötigen Sie ein Verzeichnissynchronisierungstool (z. B. Forefront Identity Manager oder FIM), um Benutzerkonten während des gesamten Lebenszyklus zu verwalten.
Mehrere Gesamtstrukturen in einer Skype for Business-Ressourcengesamtstruktur-Topologie mit Exchange Online
Diese Topologie ähnelt der Topologie, die unter Mehrere Gesamtstrukturen in einer Skype for Business-Ressourcengesamtstruktur-Topologie beschrieben wird.
In dieser Topologie gibt es mindestens eine Benutzergesamtstruktur, und Skype for Business Server wird in einer dedizierten Ressourcengesamtstruktur bereitgestellt. Exchange Server können lokal in derselben Ressourcengesamtstruktur oder in einer anderen Gesamtstruktur bereitgestellt und für die Hybridbereitstellung mit Exchange Online konfiguriert werden, oder E-Mail-Dienste können ausschließlich von Exchange Online für die lokalen Konten bereitgestellt werden. Für diese Topologie ist kein Diagramm verfügbar.
Mehrere Gesamtstrukturen in einer Ressourcengesamtstrukturtopologie mit Skype for Business Online und Microsoft Entra Connect
Bei diesem Szenario sind mehrere lokale Gesamtstrukturen mit einer Topologie mit Ressourcengesamtstruktur vorhanden. Zwischen den Active Directory-Gesamtstrukturen besteht eine vollständige Vertrauensstellung. Das Microsoft Entra Connect-Tool wird verwendet, um Konten zwischen den lokalen Benutzergesamtstrukturen und Microsoft 365 oder Office 365 zu synchronisieren.
Die organization verfügt auch über Microsoft 365 oder Office 365 und verwendet Microsoft Entra Connect, um ihre lokalen Konten mit Microsoft 365 oder Office 365 zu synchronisieren. Benutzer, die für Skype for Business aktiviert sind, werden über Microsoft 365 oder Office 365 und Skype for Business Online aktiviert. Skype for Business Server wird nicht lokal bereitgestellt.
Die SSO-Authentifizierung wird von einer Active Directory-Verbunddienste (AD FS) Farm in der Benutzergesamtstruktur bereitgestellt.
In diesem Szenario wird die Bereitstellung von Exchange lokal, Exchange Online, einer Exchange-Hybridlösung oder die Bereitstellung von Exchange überhaupt nicht unterstützt. (Das Diagramm zeigt nur exchange lokal, aber die anderen Exchange-Lösungen werden ebenfalls vollständig unterstützt.)
Mehrere Gesamtstrukturen in einer Topologie mit Ressourcengesamtstruktur mit Skype for Business-Hybridbereitstellung
In diesem Szenario gibt es mindestens eine lokale Benutzergesamtstruktur, und Skype for Business in einer dedizierten Ressourcengesamtstruktur bereitgestellt wird und für den Hybridmodus mit Skype for Business Online konfiguriert ist. Exchange Server können lokal in derselben Ressourcengesamtstruktur oder einer anderen Gesamtstruktur bereitgestellt werden und können für die Hybridbereitstellung mit Exchange Online konfiguriert werden. Alternativ können E-Mail-Dienste ausschließlich von Exchange Online für die lokalen Konten bereitgestellt werden.
Weitere Informationen finden Sie unter Konfigurieren einer Umgebung mit mehreren Gesamtstrukturen für hybride Skype for Business.
DNS (Domain Name System)
Skype for Business Server 2019 erfordert DNS aus den folgenden Gründen:
DNS ermöglicht Skype for Business Server 2019 die Ermittlung interner Server oder Pools, sodass die Kommunikation zwischen Servern möglich ist.
MIT DNS können Clientcomputer den Front-End-Pool oder Standard Edition-Server ermitteln, der für SIP-Transaktionen verwendet wird.
Es ordnet einfache URLs für Konferenzen den Servern zu, auf denen diese Konferenzen gehostet werden.
DNS ermöglicht es externen Benutzern und Clientcomputern, für Chats oder Konferenzen eine Verbindung mit Ihren Edgeservern oder dem HTTP-Reverseproxy herzustellen.
Dadurch können UC-Geräte (Unified Communications), die nicht angemeldet sind, den Front-End-Pool oder Standard Edition-Server ermitteln, auf dem der Device Update-Webdienst ausgeführt wird, um Updates abzurufen und Protokolle zu senden.
Die Verwendung von DNS ermöglicht mobilen Clients die automatische Ermittlung von Webdienstressourcen, ohne dass Benutzer in den Geräteeinstellungen manuell URLs eingeben müssen.
Sie wird beim DNS-Lastenausgleich verwendet.
Es ist wichtig zu beachten, dass Skype for Business Server 2019 keine internationalisierten Domänennamen (IDNs) unterstützt.
Und es ist äußerst wichtig, daran zu denken, dass jeder Name in DNS mit dem Computernamen identisch ist, der auf jedem Server konfiguriert ist, der von Skype for Business Server 2019 verwendet wird. Insbesondere dürfen keine Kurznamen in der Umgebung vorhanden sein, und es müssen FQDNs für den Topologie-Generator vorhanden sein.
Dies scheint für jeden Computer, der bereits einer Domäne beigetreten ist, logisch zu sein. Wenn Sie jedoch über einen Edgeserver verfügen, der nicht mit Ihrer Domäne verknüpft ist, kann dieser standardmäßig über einen Kurznamen ohne Domänensuffix verfügen. Stellen Sie sicher, dass dies nicht der Fall ist, entweder im DNS oder auf dem Edgeserver oder auf einem beliebigen Skype for Business Server 2019-Server oder -Pool.
Verwenden Sie definitiv keine Unicode-Zeichen oder Unterstriche in Domänennamen. Standardzeichen (A-Z, a-z, 0-9 und Bindestriche) werden von externen DNS- und öffentlichen Zertifizierungsstellen unterstützt (Sie müssen dem SN im Zertifikat FQDNs zuweisen, daran ist zu denken). Daher ersparen Sie sich viel Mühe, wenn Sie diese Regel von Anfang an im Auge behalten.
Weitere Informationen zu DEN DNS-Anforderungen für Netzwerke finden Sie im Abschnitt Netzwerk in unserer Planungsdokumentation.
Zertifikate
Eine der wichtigsten Dinge, die Sie vor der Bereitstellung tun können, besteht darin, sicherzustellen, dass Sie Ihre Zertifikate in der richtigen Reihenfolge haben. Skype for Business Server 2019 benötigt eine Public Key-Infrastruktur (PKI) für TLS-Verbindungen (Transport Layer Security) und MTLS-Verbindungen (Mutual Transport Layer Security). Im Grunde verwendet Skype for Business Server Zertifikate, die von Zertifizierungsstellen ausgestellt werden, um sicher auf standardisierte Weise zu kommunizieren.
Dies sind einige der Punkte, für die Skype for Business Server 2019 Zertifikate verwendet:
TLS-Verbindungen zwischen Client und Server
MTLS-Verbindungen zwischen Servern
Verbund mithilfe der automatischen DNS-Ermittlung von Partnern
Zugriff von Remotebenutzern auf Sofortnachrichten
Zugriff externer Benutzer auf AV-Sitzungen, Anwendungsfreigabe und Konferenzen
Kommunizieren mit Webanwendungen und Outlook Web Access (OWA)
Daher ist die Zertifikatplanung ein Muss. Sehen wir uns nun eine Liste der Punkte an, die Sie beim Anfordern von Zertifikaten beachten müssen:
Alle Serverzertifikate müssen die Serverautorisierung (Enhanced Key Usage [EKU], erweiterte Schlüsselverwendung für Server) unterstützen.
Alle Serverzertifikate müssen einen Zertifikatsperrlisten-Verteilungspunkt unterstützen.
Alle Zertifikate müssen mithilfe eines Signaturalgorithmus signiert werden, der vom Betriebssystem unterstützt wird. Skype for Business Server 2019 unterstützt die SHA-1- und SHA-2-Suite mit Digestgrößen (224-Bit, 256-Bit, 384-Bit und 512-Bit) und erfüllt oder überschreitet die Betriebssystemanforderungen.
Die automatische Registrierung wird für interne Server unterstützt, auf denen Skype for Business Server 2019 ausgeführt wird.
Die automatische Registrierung wird für Skype for Business Server 2019-Edgeserver nicht unterstützt.
Hinweis
Die Verwendung des RSASSA-PSS-Signaturalgorithmus wird nicht unterstützt und kann unter anderem Fehler bei Anmelde- und Anrufweiterleitungsproblemen verursachen.
Es werden Verschlüsselungsschlüssellängen von 1.024, 2.048 und 4.096 Bit unterstützt. Empfohlen werden Schlüssellängen ab 2.048 Bit.
Der Standarddigestalgorithmus oder der Hashsignaturalgorithmus ist RSA. Die Algorithmen ECDH_P256, ECDH_P384 und ECDH_P521 werden ebenfalls unterstützt.
Das ist viel zu beachten, und es gibt verschiedene Komfortstufen für das Anfordern von Zertifikaten von einer Zertifizierungsstelle. In den folgenden Abschnitten erhalten Sie weitere Anleitungen, um Ihre Planung so einfach wie möglich zu gestalten.
Zertifikate für Ihre internen Server
Sie benötigen Zertifikate für die meisten Ihrer internen Server, und wahrscheinlich erhalten Sie sie von einer internen Zertifizierungsstelle (bei der es sich um eine Zertifizierungsstelle in Ihrer Domäne handelt). Wenn Sie möchten, können Sie diese Zertifikate von einer externen Zertifizierungsstelle (eine im Internet) anfordern. Wenn Sie sich fragen, an welche öffentliche Zertifizierungsstelle Sie gehen sollten, können Sie sich die Liste der Unified Communications-Zertifikatpartner ansehen.
Sie benötigen auch Zertifikate, wenn Skype for Business Server 2019 mit anderen Anwendungen und Servern kommuniziert, z. B. Microsoft Exchange Server. Dies muss natürlich ein Zertifikat sein, das diese anderen Apps und Server auf unterstützte Weise verwenden können. Skype for Business Server 2019 und andere Microsoft-Produkte unterstützen das OAuth-Protokoll (Open Authorization) für die Server-zu-Server-Authentifizierung und -Autorisierung. Wenn Sie interessiert sind, haben wir einen zusätzlichen Planungsartikel für OAuth und Skype for Business Server 2019.
Skype for Business Server 2019 umfasst auch Unterstützung für Zertifikate, die mit der kryptografischen Hashfunktion SHA-256 signiert wurden (ohne dass sie erforderlich sind). Um den externen Zugriff mithilfe von SHA-256 zu unterstützen, muss das externe Zertifikat von einer öffentlichen Zertifizierungsstelle unter Verwendung von SHA-256 ausgestellt werden.
Um die Dinge einfach zu halten, haben wir die Zertifikatanforderungen für Standard Edition-Server, Front-End-Pools und andere Rollen in die folgenden Tabellen eingefügt, und wir haben die fiktiven contoso.com als Beispiele verwendet (Wahrscheinlich verwenden Sie etwas anderes für Ihre Umgebung). Dies sind alle Standard-Webserverzertifikate mit privaten Schlüsseln, die nicht exportierbar sind. Einige zusätzliche Punkte, die Sie beachten müssen:
Die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) für Server wird automatisch konfiguriert, wenn Sie den Zertifikat-Assistenten zum Anfordern von Zertifikaten verwenden.
Der Anzeigename jedes Zertifikats muss im Computerspeicher eindeutig sein.
Wenn Sie sipinternal.contoso.com oder sipexternal.contoso.com in Ihrem DNS konfiguriert haben, müssen sie gemäß den folgenden Beispielnamen dem Alternativen Antragstellernamen (Subject Alternative Name, SAN) des Zertifikats hinzugefügt werden.
Zertifikate für Standard Edition-Server
| Zertifikat | Antragstellername/allgemeiner Name | Alternativer Antragstellername | Beispiel | Kommentare |
|---|---|---|---|---|
| Standard | FQDN des Pools | FQDN des Pools und FQDN des Servers Wenn mehrere SIP-Domänen vorhanden sind und die automatische Clientkonfiguration aktiviert wurde, erkennt der Zertifikat-Assistent die unterstützten FQDNs für SIP-Domänen und fügt diese hinzu. Wenn dieser Pool der Server für die automatische Anmeldung für Clients ist und ein strikter DNS-Abgleich (Domain Name System) in der Gruppenrichtlinie erforderlich ist, benötigen Sie auch Einträge für sip.sipdomain (für jede SIP-Domäne, die Sie haben). |
SN=se01.contoso.com; SAN=se01.contoso.com Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich festgelegt ist, benötigen Sie auch „SAN=sip.contoso.com; SAN=sip.fabrikam.com“. |
Auf Standard Edition-Servern entspricht der Server-FQDN dem FQDN des Pools. Der Assistent erkennt alle SIP-Domänen, die Sie während der Installation angegeben haben, und fügt sie automatisch zum alternativen Antragstellernamen (SAN) hinzu. Sie können dieses Zertifikat auch für die Server-zu-Server-Authentifizierung verwenden. |
| Web, intern | FQDN des Servers | Jeder der folgenden: • Interner Web-FQDN (identisch mit dem FQDN des Servers) UND • Einfache URLs treffen • Einfache EINWAHL-URL • Admin einfache URL ODER • Ein Wildcardeintrag für die einfachen URLs |
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Mit einem Platzhalterzertifikat: SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com |
Sie können den internen Web-FQDN im Topologie-Generator nicht überschreiben. Wenn Sie über mehrere einfache Meet-URLs verfügen, müssen Sie alle als SANs einschließen. Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt. |
| Web, extern | FQDN des Servers | Jeder der folgenden: • Externer Web-FQDN UND • Einfache EINWAHL-URL • Erfüllen einfacher URLs pro SIP-Domäne ODER • Ein Wildcardeintrag für die einfachen URLs |
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Mit einem Platzhalterzertifikat: SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Wenn Sie über mehrere einfache Meet-URLs verfügen, müssen Sie alle als alternative Antragstellernamen einschließen. Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt. |
Zertifikate für Front-End-Server in einem Front-End-Pool
| Zertifikat | Antragstellername/allgemeiner Name | Alternativer Antragstellername | Beispiel | Kommentare |
|---|---|---|---|---|
| Standard | FQDN des Pools | FQDN des Pools und FQDN des Servers Wenn mehrere SIP-Domänen vorhanden sind und die automatische Clientkonfiguration aktiviert wurde, erkennt der Zertifikat-Assistent die unterstützten FQDNs für SIP-Domänen und fügt diese hinzu. Wenn dieser Pool der Server für die automatische Anmeldung für Clients ist und ein strikter DNS-Abgleich (Domain Name System) in der Gruppenrichtlinie erforderlich ist, benötigen Sie auch Einträge für sip.sipdomain (für jede SIP-Domäne, die Sie haben). |
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com Wenn es sich bei diesem Pool um den Server für die automatische Anmeldung für Clients handelt und in den Gruppenrichtlinien der exakte DNS-Abgleich festgelegt ist, benötigen Sie auch „SAN=sip.contoso.com; SAN=sip.fabrikam.com“. |
Der Assistent erkennt alle SIP-Domänen, die Sie während der Installation angegeben haben, und fügt sie automatisch zum alternativen Antragstellernamen (SAN) hinzu. Sie können dieses Zertifikat auch für die Server-zu-Server-Authentifizierung verwenden. |
| Web, intern | FQDN des Pools | Jeder der folgenden: • Interner Web-FQDN (nicht identisch mit dem FQDN des Servers) • Server-FQDN • Skype for Business Pool-FQDN UND • Einfache URLs treffen • Einfache EINWAHL-URL • Admin einfache URL ODER • Ein Wildcardeintrag für die einfachen URLs |
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Mit einem Platzhalterzertifikat: SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com |
Wenn Sie über mehrere einfache Meet-URLs verfügen, müssen Sie alle als alternative Antragstellernamen einschließen. Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt. |
| Web, extern | FQDN des Pools | Jeder der folgenden: • Externer Web-FQDN UND • Einfache EINWAHL-URL • Admin einfache URL ODER • Ein Wildcardeintrag für die einfachen URLs |
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Mit einem Platzhalterzertifikat: SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Wenn Sie über mehrere einfache Meet-URLs verfügen, müssen Sie alle als alternative Antragstellernamen einschließen. Platzhaltereinträge werden für die Einträge für einfache URLs unterstützt. |
Zertifikate für den Direktor
| Zertifikat | Antragstellername/allgemeiner Name | Alternativer Antragstellername | Beispiel |
|---|---|---|---|
| Standard | Directorpool | FQDN des Direktors, FQDN des Director-Pools. Wenn dieser Pool der Server für die automatische Anmeldung für Clients ist und in der Gruppenrichtlinie ein strenger DNS-Abgleich erforderlich ist, benötigen Sie auch Einträge für sip.sipdomain (für jede SIP-Domäne, die Sie verwenden). |
pool.contoso.com; SAN=dir01.contoso.com Wenn dieser Director-Pool der Server für die automatische Anmeldung für Clients ist und in der Gruppenrichtlinie ein strenger DNS-Abgleich erforderlich ist, benötigen Sie auch SAN=sip.contoso.com. SAN=sip.fabrikam.com |
| Web, intern | FQDN des Servers | Jeder der folgenden: • Interner Web-FQDN (identisch mit dem FQDN des Servers) • Server-FQDN • Skype for Business Pool-FQDN UND • Einfache URLs treffen • Einfache EINWAHL-URL • Admin einfache URL ODER • Ein Wildcardeintrag für die einfachen URLs |
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Mit einem Platzhalterzertifikat: SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com |
| Web, extern | FQDN des Servers | Jeder der folgenden: • Externer Web-FQDN UND • Erfüllen einfacher URLs pro SIP-Domäne • Einfache EINWAHL-URL ODER • Ein Wildcardeintrag für die einfachen URLs |
Der externe Web-FQDN für Director muss sich vom Front-End-Pool oder Front-End-Server unterscheiden. SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Mit einem Platzhalterzertifikat: SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
Zertifikate für den eigenständigen Vermittlungsserver
| Zertifikat | Antragstellername/allgemeiner Name | Alternativer Antragstellername | Beispiel |
|---|---|---|---|
| Standard | FQDN des Pools | FQDN des Pools FQDN des Poolmitgliedsservers |
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net |
Zertifikate für Survivable Branch Appliance (insbesondere Survivable Branch Appliance 2015 für Skype for Business Server 2019)
| Zertifikat | Antragstellername/allgemeiner Name | Alternativer Antragstellername | Beispiel |
|---|---|---|---|
| Standard | FQDN der Anwendung | SIP.<sipdomain> (Sie benötigen nur einen Eintrag pro SIP-Domäne) | SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Zertifikate für den Zugriff externer Benutzer (Edge)
Skype for Business Server 2019 unterstützt die Verwendung eines einzelnen öffentlichen Zertifikats für den Zugriff und externe Edge-Schnittstellen für Webkonferenzen sowie den A/V-Authentifizierungsdienst, der alle über die Edgeserver bereitgestellt wird. Ihre interne Edge-Schnittstelle verwendet ein privates Zertifikat, das von Ihrer internen Zertifizierungsstelle ausgestellt wurde. Wenn Sie es jedoch bevorzugen, können Sie auch dafür ein öffentliches Zertifikat verwenden, wenn es von einer vertrauenswürdigen Zertifizierungsstelle stammt.
Ihr Reverseproxy (RP) verwendet auch ein öffentliches Zertifikat, und er verschlüsselt die Kommunikation von Ihrem Rp mit Clients und den Rp mit internen Servern mithilfe von HTTP (oder genauer gesagt TLS über HTTP).
Zertifikate für Mobilität
Wenn Sie Mobilität bereitstellen und die automatische Ermittlung für mobile Clients unterstützen, müssen Sie einige zusätzliche Einträge für alternative Antragstellernamen in Ihre Zertifikate aufnehmen, um die sicheren Verbindungen von den mobilen Clients zu unterstützen.
Sie benötigen SAN-Namen für die automatische Ermittlung für die folgenden Zertifikate:
Directorpool
Front-End-Pool
Reverseproxy
Die Einzelheiten sind in den folgenden Tabellen aufgeführt.
Hier ist eine kleine Vorplanung gut. Manchmal haben Sie jedoch Skype for Business Server 2019 bereitgestellt, ohne die Mobilität bereitstellen zu wollen. Dies tritt später auf, wenn Sie bereits über Zertifikate in Ihrer Umgebung verfügen. Das Erneute Ausstellen der Zertifikate über eine interne Zertifizierungsstelle ist in der Regel ziemlich einfach. Für öffentliche Zertifikate von einer öffentlichen Zertifizierungsstelle kann dies jedoch etwas teurer sein.
Wenn Dies die Situation ist, die Sie sich ansehen, und wenn Sie über viele SIP-Domänen verfügen (was das Hinzufügen von SANS teurer machen würde), können Sie Ihren Reverseproxy so konfigurieren, dass HTTP für die anfängliche AutoErmittlungsdienstanforderung anstelle von HTTPS (die Standardkonfiguration) verwendet wird. Weitere Informationen finden Sie unter Planen der Mobilität.
Zertifikatanforderungen für Directorpool und Front-End-Pool
| Beschreibung | SAN-Eintrag |
|---|---|
| Interne URL des AutoErmittlungsdiensts | SAN=lyncdiscoverinternal.<sipdomain> |
| URL des externen AutoErmittlungsdiensts | SAN=lyncdiscover.<sipdomain> |
Alternativ können Sie SAN=*verwenden.<sipdomain>
Zertifikatanforderungen für Reverseproxy (öffentliche Zertifizierungsstelle)
| Beschreibung | SAN-Eintrag |
|---|---|
| URL des externen AutoErmittlungsdiensts | SAN=lyncdiscover.<sipdomain> |
Dieses SAN muss dem Zertifikat zugewiesen werden, das dem SSL-Listener auf Ihrem Reverseproxy zugewiesen ist.
Hinweis
Ihr Reverseproxylistener verfügt über SANs für Ihre externen Webdienst-URLs. Einige Beispiele wären SAN=skypewebextpool01.contoso.com und dirwebexternal.contoso.com, wenn Sie den Director (optional) bereitgestellt haben.
Dateifreigabe
Skype for Business Server 2019 kann dieselbe Dateifreigabe für den gesamten Dateispeicher verwenden. Beachten Sie Folgendes:
Eine Dateifreigabe muss sich entweder in direct attached storage (DAS) oder in einem Storage Area Network (SAN) befinden. Diese Anforderung umfasst das Distributed File System (DFS) und auch ein redundantes Array unabhängiger Datenträger (RAID) für Dateispeicher. Weitere Informationen zu DFS für Windows Server 2012 finden Sie unter DFS-Namespaces und DFS-Replikation – Übersicht.
Es wird empfohlen, einen freigegebenen Cluster für die Dateifreigabe zu verwenden. Wenn Sie bereits ein Cluster verwenden, sollten Sie Windows Server 2012 oder höhere Versionen clustern.
Hinweis
Warum das neueste Windows? Frühere Versionen verfügen möglicherweise nicht über die richtigen Berechtigungen, um alle Features zu aktivieren. Sie können den Clusteradministrator verwenden, um die Dateifreigaben zu erstellen. Weitere Informationen finden Sie unter Erstellen von Dateifreigaben in einem Cluster.
Vorsicht
Sie sollten wissen, dass die Verwendung von Network Attached Storage (NAS) als Dateifreigabe nicht unterstützt wird. Verwenden Sie daher eine der hier aufgeführten Optionen. Diese Supportbeschränkung wird durch das variable Design von NAS-Geräten verursacht, die dateisystemadapazierbarkeit für den Windows Server-basierten Computer bereitstellen müssen, der auf das freigegebene Dateisystem der Geräte zugreift.