Konfigurieren von Microsoft lync Server 2013 in einer standortübergreifenden UmgebungConfiguring Microsoft Lync Server 2013 in a cross-premises environment

 

Letztes Änderungsstand des Themas: 2017-02-21Topic Last Modified: 2017-02-21

In einer standortübergreifenden Konfiguration werden einige Ihrer Benutzer in einer lokalen Installation von Microsoft lync Server 2013 verwaltet, während andere Benutzer in der Microsoft 365-oder Office 365-Version von lync Server verwaltet werden.In a cross-premise configuration, some of your users are homed on an on-premises installation of Microsoft Lync Server 2013 while other users are homed on the Microsoft 365 or Office 365 version of Lync Server. Um die Server-zu-Server-Authentifizierung in einer standortübergreifenden Umgebung konfigurieren zu können, müssen Sie zunächst Ihre lokale Installation von lync Server 2013 so konfigurieren, dass Sie dem Microsoft 365-autorisierungsserver vertraut.In order to configure server-to-server authentication in a cross-premises environment, you must first configure your on-premises installation of Lync Server 2013 to trust the Microsoft 365 Authorization server. Der erste Schritt in diesem Prozess kann durch Ausführen des folgenden lync Server-Verwaltungsshell Skripts ausgeführt werden:The initial step in this process can be carried out by running the following Lync Server Management Shell script:

$TenantID = (Get-CsTenant -Filter {DisplayName -eq "Fabrikam.com"}).TenantId

$sts = Get-CsOAuthServer microsoft.sts -ErrorAction SilentlyContinue
        
   if ($sts -eq $null)
      {
         New-CsOAuthServer microsoft.sts -MetadataUrl "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1"
      }
   else
      {
         if ($sts.MetadataUrl -ne  "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1")
            {
               Remove-CsOAuthServer microsoft.sts
               New-CsOAuthServer microsoft.sts -MetadataUrl "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1"
            }
        }

$exch = Get-CsPartnerApplication microsoft.exchange -ErrorAction SilentlyContinue
        
if ($exch -eq $null)
   {
      New-CsPartnerApplication -Identity microsoft.exchange -ApplicationIdentifier 00000002-0000-0ff1-ce00-000000000000 -ApplicationTrustLevel Full -UseOAuthServer
    }
else
    {
       if ($exch.ApplicationIdentifier -ne "00000002-0000-0ff1-ce00-000000000000")
          {
             Remove-CsPartnerApplication microsoft.exchange
             New-CsPartnerApplication -Identity microsoft.exchange -ApplicationIdentifier 00000002-0000-0ff1-ce00-000000000000 -ApplicationTrustLevel Full -UseOAuthServer 
          }
       else
          {
             Set-CsPartnerApplication -Identity microsoft.exchange -ApplicationTrustLevel Full -UseOAuthServer
          }
   }

Set-CsOAuthConfiguration -ServiceName 00000004-0000-0ff1-ce00-000000000000

Beachten Sie, dass der Bereichsname für einen Mandanten in der Regel nicht mit dem Namen der Organisation identisch ist. Tatsächlich ist der Bereichsname fast immer identisch mit der Mandanten-ID.Keep in mind that the realm name for a tenant is typically different than the organization name; in fact, the realm name is almost always the same as the tenant ID. Aus diesem Grund wird die erste Codezeile im Skript verwendet, um den Wert der Mandanten-Eigenschaft für den angegebenen Mandanten (in diesem Fall fabrikam.com) zurückzugeben und diesen Namen dann der Variablen $TenantId zuzuweisen:Because of that, the first line in the script is used to return the value of the TenantId property for the specified tenant (in this case, fabrikam.com) and then assign that name to the variable $TenantId:

$TenantID = (Get-CsTenant -DisplayName "Fabrikam.com").TenantId

Nachdem das Skript abgeschlossen ist, müssen Sie eine Vertrauensstellung zwischen lync Server 2013 und dem autorisierungsserver und eine zweite Vertrauensstellung zwischen Exchange 2013 und dem autorisierungsserver konfigurieren.After the script completes you must then configure a trust relationship between Lync Server 2013 and the authorization server, and a second trust relationship between Exchange 2013 and the authorization server. Dies kann nur mithilfe der Microsoft Online Services-Cmdlets erfolgen.This can only be done by using the Microsoft Online Services cmdlets.

Hinweis

Wenn Sie die Microsoft Online Services-Cmdlets nicht installiert haben, müssen Sie zwei Schritte ausführen, bevor Sie fortfahren können.If you have not installed the Microsoft Online Services cmdlets you will need to do two things before proceeding. Laden Sie zuerst die 64-Bit-Version des Microsoft Online Services-Anmelde-Assistenten herunter, und installieren Sie Sie.First, download and install the 64-bit version of the Microsoft Online Services Sign-in Assistant. Laden Sie nach Abschluss der Installation die 64-Bit-Version des Microsoft Online Services-Modul für Windows PowerShell herunter, und installieren Sie es.After installation is complete, download and install the 64-bit version of the Microsoft Online Services Module for Windows PowerShell. Ausführliche Informationen zum Installieren und Verwenden des Microsoft Online Services-Modul finden Sie auf der Microsoft 365-oder Office 365-Website.Detailed information for installing and using the Microsoft Online Services Module can be found on the Microsoft 365 or Office 365 web site. In diesen Anweisungen erfahren Sie außerdem, wie Sie einmaliges Anmelden, Partnerverbund und Synchronisierung zwischen Microsoft 365 oder Office 36 und Active Directory konfigurieren.These instructions will also tell you how to configure single sign-on, federation, and synchronization between Microsoft 365 or Office 36 and Active Directory.
Wenn Sie diese Cmdlets nicht installiert haben, tritt beim Skript ein Fehler auf, da das Get-CsTenant-Cmdlet nicht verfügbar ist.If you have not installed these cmdlets your script will fail because the Get-CsTenant cmdlet will not be available.

Nachdem Sie Microsoft 365 konfiguriert haben und nachdem Sie Microsoft 365 oder Office 365 Dienst Prinzipale für lync Server 2013 und Exchange 2013 erstellt haben, müssen Sie Ihre Anmeldeinformationen bei diesen Dienst Prinzipalen registrieren.After you have configured Microsoft 365, and after you have created Microsoft 365 or Office 365 service principals for Lync Server 2013 and Exchange 2013, you will then need to register your credentials with these service principals. Um dies zu erreichen, müssen Sie zuerst ein X. 509-Base64-Objekt abrufen, das als gespeichert wird. CER-Datei.In order to do this, you must first obtain an X.509 Base64 saved as a .CER file. Dieses Zertifikat wird dann auf die Microsoft 365-oder Office 365-Dienst Prinzipale angewendet.This certificate will then be applied to the Microsoft 365 or Office 365 service principals.

Wenn Sie das X. 509-Zertifikat erhalten haben, starten Sie das Microsoft Online Services-Modul (Klicken Sie im Startmenüauf Alle Programme, klicken Sie auf Microsoft Online Services, und klicken Sie dann auf Microsoft Online Services-Modul für Windows PowerShell).When you have obtained the X.509 certificate, start the Microsoft Online Services Module (click Start, click All Programs, click Microsoft Online Services, and then click Microsoft Online Services Module for Windows PowerShell). Geben Sie nach dem Öffnen des Moduls Dienste Folgendes ein, um das Microsoft Online Windows PowerShell-Modul zu importieren, das die Cmdlets enthält, die zum Verwalten von Dienst Prinzipalen verwendet werden können:After the Services Module opens, type the following to import the Microsoft Online Windows PowerShell module containing the cmdlets that can be used to manage service principals:

Import-Module MSOnlineExtended

Wenn das Modul importiert wurde, geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE, um eine Verbindung mit Microsoft 365 herzustellen:When the module has been imported, type the following command and then press ENTER in order to connect to Microsoft 365:

Connect-MsolService

Nachdem Sie die EINGABETASTE gedrückt haben, wird ein Dialogfeld Anmeldeinformationen angezeigt.After you press ENTER, a credentials dialog box will appear. Geben Sie im Dialogfeld Ihren Microsoft 365-oder Office 365-Benutzernamen und das Kennwort ein, und klicken Sie dann auf OK.Enter your Microsoft 365 or Office 365 user name and password in the dialog box, and then click OK.

Sobald Sie mit Microsoft 365 verbunden sind, können Sie den folgenden Befehl ausführen, um Informationen zu ihren Dienst Prinzipalen zurückzugeben:As soon as you are connected to Microsoft 365 you can then run the following command in order to return information about your service principals:

Get-MsolServicePrincipal

Sie sollten für alle Dienst Prinzipale Informationen zurück erhalten, die diesem ähneln:You should get back information similar to this for all your service principals:

ExtensionData        : System.Runtime.Serialization.ExtensionDataObject
AccountEnabled       : True
Addresses            : {}
AppPrincipalId       : 00000004-0000-0ff1-ce00-000000000000
DisplayName          : Microsoft Lync Server
ObjectId             : aada5fbd-c0ae-442a-8c0b-36fec40602e2
ServicePrincipalName : LyncServer/litwareinc.com
TrustedForDelegation : True

Der nächste Schritt besteht darin, das X. 509-Zertifikat zu importieren, zu codieren und zuzuweisen.The next step is to import, encode, and assign the X.509 certificate. Um das Zertifikat zu importieren und zu codieren, verwenden Sie die folgenden Windows PowerShell Befehle, wobei Sie sicherstellen möchten, dass der vollständige Dateipfad angegeben wird. CER-Datei, wenn Sie die Import-Methode aufrufen:To import and encode the certificate, use the following Windows PowerShell commands, being sure to specify the complete file path to your .CER file when you call the Import method:

$certificate = New-Object System.Security.Cryptography.X509Certificates.X509Certificate
$certificate.Import("C:\Certificates\Office365.cer")
$binaryValue = $certificate.GetRawCertData()
$credentialsValue = [System.Convert]::ToBase64String($binaryValue)

Nachdem das Zertifikat importiert und codiert wurde, können Sie das Zertifikat Ihren Microsoft 365-Dienst Prinzipalen zuweisen.After the certificate has been imported and encoded, you can then assign the certificate to your Microsoft 365 service principals. Verwenden Sie dazu zunächst die Get-MsolServicePrincipal, um den Wert der AppPrincipalId-Eigenschaft sowohl für die lync Server-als auch für den Microsoft Exchange-Dienst Prinzipale abzurufen. der Wert der AppPrincipalId-Eigenschaft wird verwendet, um den Dienstprinzipal zu identifizieren, dem das Zertifikat zugewiesen wurde.To do that, first use the Get-MsolServicePrincipal to retrieve the value of the AppPrincipalId property for both the Lync Server and the Microsoft Exchange service principals; the value of the AppPrincipalId property will be used to identify the service principal being assigned the certificate. Wenn der Wert der AppPrincipalId-Eigenschaft für lync Server 2013 in der Hand ist, verwenden Sie den folgenden Befehl, um das Zertifikat der Microsoft 365-Version von lync Server zuzuweisen (die StartDate-und EndDate-Eigenschaften sollten dem Gültigkeitszeitraum für das Zertifikat entsprechen):With the AppPrincipalId property value for Lync Server 2013 in hand, use the following command to assign the certificate to the Microsoft 365 version of Lync Server (the StartDate and EndDate properties should correspond to the validity period for the certificate):

New-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -Type Asymmetric -Usage Verify -Value $credentialsValue -StartDate 6/1/2012 -EndDate 5/31/2013

Sie sollten dann den Befehl wiederholen, diesmal mit dem AppPrincipalId-Eigenschaftswert für Exchange 2013.You should then repeat the command, this time using the AppPrincipalId property value for Exchange 2013.

Wenn Sie das Zertifikat zu einem späteren Zeitpunkt löschen müssen, können Sie dies zunächst durch Abrufen des KeyId für das Zertifikat tun:If you later need to delete that certificate, you can do so by first retrieving the KeyId for the certificate:

Get-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000

Dieser Befehl gibt Daten wie diese zurück:That command will return data like this one:

Type      : Asymmetric
Value     : 
KeyId     : bc2795f3-2387-4543-a95d-f92c85c7a1b0
StartDate : 6/1/2012 8:00:00 AM
EndDate   : 5/31/2013 8:00:00 AM
Usage     : Verify

Anschließend können Sie das Zertifikat mit einem Befehl wie dem folgenden löschen:You can then delete the certificate by using a command similar to this:

Remove-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -KeyId bc2795f3-2387-4543-a95d-f92c85c7a1b0

Neben dem Zuweisen eines Zertifikats müssen Sie auch den Microsoft 365-Dienstprinzipal für Exchange Online konfigurieren, indem Sie den Server Prinzipalnamen für Ihre lokale Version von lync Server 2013 hinzufügen.In addition to assigning a certificate you must also configure the Microsoft 365 Service Principal for Exchange Online by adding the Server Principal Name for your on-premise version of Lync Server 2013. Dies kann durch Ausführen der folgenden vier Zeilen in einer Microsoft Online Services PowerShell-Sitzung erfolgen:This can be done by running the following four lines in a Microsoft Online Services PowerShell session:

Set-MSOLServicePrincipal -AppPrincipalID 00000002-0000-0ff1-ce00-000000000000 -AccountEnabled $true

$lyncSP = Get-MSOLServicePrincipal -AppPrincipalID 00000004-0000-0ff1-ce00-000000000000
$lyncSP.ServicePrincipalNames.Add("00000004-0000-0ff1-ce00-000000000000/lync.contoso.com")
Set-MSOLServicePrincipal -AppPrincipalID 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $lyncSP.ServicePrincipalNames