Bereitstelleneiner Topologie mit einer RessourcengesamtstrukturDeploy a resource forest topology

Die folgenden Abschnitte enthalten Anleitungen zum Konfigurieren einer Umgebung mit mehreren Gesamtstrukturen in einem Ressourcen-Benutzer-Gesamtstrukturmodell, um Skype for Business Funktionalität in einem Hybrid Szenario bereitzustellen.The following sections provide guidance on how to configure an environment that has multiple forests in a resource/user forest model to provide Skype for Business functionality in a hybrid scenario.

Multi-Forest-Umgebung für Hybrid

TopologieanforderungenTopology requirements

Mehrere Benutzergesamtstrukturen werden unterstützt.Multiple user forests are supported. Denken Sie dabei an Folgendes:Keep the following in mind:

Überlegungen zur Benutzer ReferenzierungUser homing considerations

Skype for Business lokal verwalteten Benutzer können Exchange lokal oder online bereit haben.Skype for Business users homed on premises can have Exchange homed on premises or online. Skype for Business Online Benutzer sollten Exchange Online verwenden, um eine optimale Oberfläche zu erzielen. Dies ist jedoch nicht erforderlich.Skype for Business Online users should use Exchange Online for an optimal experience; however, this is not required. Exchange lokal ist nicht erforderlich, um Skype for Business in beiden Fällen zu implementieren.Exchange on premises is not required to implement Skype for Business in either case.

Konfigurieren von GesamtstrukturvertrauensstellungenConfigure forest trusts

In einer Topologie mit Ressourcengesamtstruktur müssen die Ressourcengesamtstrukturen, die Skype for Business Server hosten, jeder Kontogesamtstruktur, die Benutzerkonten enthält, die darauf zugreifen sollen, Vertrauen.In a resource forest topology, the resource forests hosting Skype for Business Server must trust each account forest that contains users' accounts that will access it. Wenn Sie über mehrere Benutzergesamtstrukturen verfügen, ist es wichtig, dass die namens Suffix-Weiterleitung für jede dieser Gesamtstrukturvertrauensstellungen aktiviert ist, um die gesamtstrukturübergreifende Authentifizierung zu aktivieren.If you have multiple user forests, to enable cross-forest authentication it is important that Name Suffix Routing is enabled for each of these forest trusts. Anweisungen finden Sie unter Verwalten von Gesamtstruktur-Vertrauensstellungen.For instructions, see Managing Forest Trusts. Wenn Sie Exchange Server in einer anderen Gesamtstruktur bereitgestellt haben und diese Funktionalität für Skype for Business Benutzer bereitstellt, muss die Gesamtstruktur, die Exchange hostet, dem Gesamtstruktur Hosting Skype for Business Server Vertrauen.If you have Exchange Server deployed in an another forest and it provides functionality for Skype for Business users, the forest hosting Exchange must trust the forest hosting Skype for Business Server. Wenn beispielsweise Exchange in der Kontogesamtstruktur bereitgestellt wurde, bedeutet dies effektiv eine bidirektionale Vertrauensstellung zwischen dem Konto, und Skype for Business Gesamtstrukturen sind in dieser Konfiguration erforderlich.For example, if Exchange were deployed in the account forest, this would effectively mean a two-way trust between account and Skype for Business forests is required in that configuration.

Synchronisieren von Konten in der Gesamtstruktur-Host Skype for BusinessSynchronize accounts into the forest hosting Skype for Business

Wenn Skype for Business Server in einer Gesamtstruktur (einer Ressourcengesamtstruktur) bereitgestellt wird, aber Benutzern in einer oder mehreren Gesamtstrukturen (Konto Gesamtstrukturen) Funktionen bereitstellt, müssen Benutzer in den anderen Gesamtstrukturen als deaktivierte Benutzerobjekte in der Gesamtstruktur dargestellt werden, in der Skype for Business Server wird bereitgestellt.When Skype for Business Server is deployed in one forest (a resource forest), but provides functionality to users in one or more other forests (account forests), users in the other forests must be represented as disabled user objects in the forest where Skype for Business Server is deployed. Ein Identitäts Verwaltungsprodukt wie Microsoft Identity Manager muss bereitgestellt und konfiguriert werden, um die Benutzer aus den Konto Gesamtstrukturen in der Gesamtstruktur bereitzustellen und zu synchronisieren, in der Skype for Business Server bereitgestellt wird.An identity management product, such as Microsoft Identity Manager, needs to be deployed and configured to provision and synchronize the users from the account forests into the forest where Skype for Business Server is deployed. Benutzer müssen mit der Gesamtstruktur synchronisiert werden, die Skype for Business Server als deaktivierte Benutzerobjekte hostet.Users must be synchronized into the forest hosting Skype for Business Server as disabled user objects. Benutzer können nicht als Active Directory Kontaktobjekte synchronisiert werden, da Azure Active Directory Connect Kontakte mit Azure AD nicht ordnungsgemäß für die Verwendung mit Skype synchronisiert.Users cannot be synchronized as Active Directory contact objects, because Azure Active Directory Connect will not properly synchronize contacts into Azure AD for use with Skype.

Unabhängig von der Konfiguration mit mehreren Gesamtstrukturen kann die Gesamtstruktur-Host Skype for Business Server auch Funktionen für alle aktivierten Benutzer bereitstellen, die in der gleichen Gesamtstruktur vorhanden sind.Regardless of any multi-forest configuration, the forest hosting Skype for Business Server can also provide functionality for any enabled users that exist in the same forest.

Um eine ordnungsgemäße Identitätssynchronisierung zu erhalten, müssen die folgenden Attribute synchronisiert werden:To get proper identity synchronization, the following attributes need to be synchronized:

BenutzergesamtstrukturenUser forests RessourcengesamtstrukturenResource forests
Ausgewähltes Konto Link Attributchosen account link attribute
Ausgewähltes Konto Link Attributchosen account link attribute
mailmail
mailmail
ProxyAddressesProxyAddresses
ProxyAddressesProxyAddresses
ObjectSIDObjectSID
msRTCSIP-OriginatorSIDmsRTCSIP-OriginatorSID

Das ausgewählte Konto Link Attribut wird als Quellanker verwendet.The chosen account link attribute will be used as the Source Anchor. Wenn Sie ein anderes und unveränderliches Attribut haben, das Sie lieber verwenden möchten, können Sie dies tun; Achten Sie darauf, die AD FS-Forderungs Regel zu bearbeiten und das Attribut während der Aad Connect-Konfiguration auszuwählen.If you have a different and immutable attribute that you would prefer to use, you may do so; just be sure to edit the AD FS claims rule and select the attribute during the AAD Connect configuration.

Synchronisieren Sie die UPNs nicht zwischen den Gesamtstrukturen.Do not sync the UPNs between the forests. Wir haben beim Testen festgestellt, dass für jede Benutzergesamtstruktur ein eindeutiger UPN verwendet werden musste, da Sie nicht den gleichen UPN in mehreren Gesamtstrukturen verwenden können.We found during testing that we needed to use a unique UPN for each user forest, as you cannot use the same UPN across multiple forests. Dadurch wurden zwei Möglichkeiten angezeigt, um den UPN zu synchronisieren oder nicht zu synchronisieren.As a result, we were presented with two possibilities, to synchronize the UPN or to not synchronize.

  • Wenn der eindeutige UPN aus jeder Benutzergesamtstruktur nicht mit dem zugeordneten deaktivierten Objekt in der Ressourcengesamtstruktur synchronisiert wurde, würde das einmalige Anmelden (Single Sign-on, SSO) mindestens für den anfänglichen Anmeldeversuch unterbrochen (vorausgesetzt, der Benutzer hat die Option zum Speichern des Kennworts ausgewählt).If the unique UPN from each user forest was not synchronized to the associated disabled object in the resource forest, single sign-on (SSO) would be broken for at least the initial sign-in attempt (assuming the user selected the option to save password). Im Skype for Business-Client wird davon ausgegangen, dass die SIP/UPN-Werte identisch sind.In the Skype for Business client, we assume that the SIP/UPN values are the same. Da die SIP-Adresse in diesem Szenario User@Company.com ist, aber der UPN des aktivierten Objekts in der Benutzergesamtstruktur tatsächlich user@contoso.Company.com ist, schlägt der anfängliche Anmeldeversuch fehl, und der Benutzer wird aufgefordert, Anmeldeinformationen einzugeben.Since the SIP address in this scenario is user@company.com, but the UPN of the enabled object in the user forest is in fact user@contoso.company.com, the initial login attempt would fail and the user would be prompted to enter credentials. Bei der Eingabe Ihres richtigen/tatsächlichen UPN würde die Authentifizierungsanforderung für die Domänencontroller in der Benutzergesamtstruktur abgeschlossen werden, und die Anmeldung würde erfolgreich sein.Upon entering their correct/actual UPN, the authentication request would be completed against the domain controllers in the user forest, and sign-in would be successful.

  • Wenn der eindeutige UPN aus jeder Benutzergesamtstruktur mit dem zugeordneten deaktivierten Objekt in der Ressourcengesamtstruktur synchronisiert wurde, tritt bei der AD FS-Authentifizierung ein Fehler auf.If the unique UPN from each user forest was synchronized to the associated disabled object in the resource forest, AD FS authentication would fail. Die Übereinstimmungsregel würde den UPN für das Objekt in der Ressourcengesamtstruktur finden, das deaktiviert war und nicht für die Authentifizierung verwendet werden konnte.The matching rule would find the UPN on the object in the resource forest, which was disabled and could not be used for authentication.

Erstellen eines Office 365 MandantenCreate an Office 365 tenant

Als nächstes müssen Sie einen Office 365 Mandanten bereitstellen, der mit Ihrer Bereitstellung verwendet werden soll.You will next need to provision an Office 365 tenant to use with your deployment. Weitere Informationen finden Sie unter Abonnements, Lizenzen, Konten und Mandanten für die Cloud-Angebote von Microsoft.For more information, please see Subscriptions, licenses, accounts, and tenants for Microsoft's cloud offerings.

Konfigurieren von Active Directory VerbunddienstenConfigure Active Directory Federation Services

Nachdem Sie einen Mandanten haben, müssen Sie Active Directory Verbunddienste (AD FS) in allen Benutzergesamtstrukturen konfigurieren.Once you have a tenant, you will need to configure Active Directory Federation Services (AD FS) in each of the user forests. Dabei wird davon ausgegangen, dass Sie über eine eindeutige SIP-und SMTP-Adresse und einen Benutzerprinzipalnamen (UPN) für jede Gesamtstruktur verfügen.This assumes you have a unique SIP and SMTP address and User Principal Name (UPN) for each forest. AD FS ist optional und wird hier verwendet, um einmaliges Anmelden (Single Sign-on, SSO) zu erhalten.AD FS is optional and is used here to get single sign-on (SSO). Dirsync mit Kennwortsynchronisierung wird ebenfalls unterstützt und kann auch anstelle von AD FS verwendet werden.DirSync with Password Sync is also supported and can also be used in place of AD FS.

Es wurden nur Bereitstellungen mit übereinstimmenden SIP/SMTP-und UPNs getestet.Only deployments with matching SIP/SMTP and UPNs were tested. Die Übereinstimmung mit SIP/SMTP/UPNs kann zu einer eingeschränkten Funktionalität führen, beispielsweise bei Problemen mit der Exchange-Integration und SSO.Not having matching SIP/SMTP/UPNs may result in reduced functionality, such as problems with Exchange integration and SSO.

Wenn Sie keinen eindeutigen SIP/SMTP/UPN für Benutzer aus jeder Gesamtstruktur verwenden, können Sie immer noch bei SSO-Problemen ausgeführt werden, unabhängig davon, wo AD FS bereitgestellt wird:Unless you use a unique SIP/SMTP/UPN for users from each forest, you can still run into SSO problems, regardless of where AD FS is deployed:

  • Unidirektionale oder bidirektionale Vertrauensstellungen zwischen Ressourcen-und Benutzergesamtstrukturen mit AD FS-Farm, die in jeder Benutzergesamtstruktur bereitgestellt wird, verwenden alle Benutzer eine gemeinsame SIP/SMTP-Domäne, jedoch einen eindeutigen UPN für jede Benutzergesamtstruktur.One-way or two-way trusts between resource/user forests with AD FS farm deployed in each user forest, all users share common SIP/SMTP domain but unique UPN for each user forest.

  • Bidirektionale Vertrauensstellungen zwischen Ressourcen-und Benutzergesamtstrukturen mit AD FS-Farm, die nur in der Ressourcengesamtstruktur bereitgestellt wird, verwenden alle Benutzer eine gemeinsame SIP/SMTP-Domäne, jedoch einen eindeutigen UPN für jede Benutzergesamtstruktur.Two-way trusts between resource/user forests with AD FS farm deployed only in resource forest, all users share common SIP/SMTP domain but unique UPN for each user forest.

Durch das Platzieren einer AD FS-Farm in jeder Benutzergesamtstruktur und der Verwendung eines eindeutigen SIP/SMTP/UPN für jede Gesamtstruktur lösen wir beide Probleme.By placing an AD FS farm in each user forest and using a unique SIP/SMTP/UPN for each forest, we resolve both issues. Nur die Konten in dieser bestimmten Benutzergesamtstruktur werden bei Authentifizierungsversuchen durchsucht und abgeglichen.Only the accounts in that specific user forest would be searched and matched during authentication attempts. Dadurch wird ein nahtloser Authentifizierungsprozess gewährleistet.This will help provide a more seamless authentication process.

Dies ist eine Standardbereitstellung des Windows Server 2012 R2 AD FS und sollte funktionieren, bevor Sie fortfahren.This will be a standard deployment of the Windows Server 2012 R2 AD FS and should be working before continuing. Anweisungen finden Sie unter Vorgehensweise zum Installieren von AD FS 2012 R2 für Office 365.For instructions, see How To Install AD FS 2012 R2 For Office 365.

Nachdem Sie bereitgestellt wurden, müssen Sie die Forderungs Regel so bearbeiten, dass Sie dem zuvor ausgewählten Quellanker entspricht.Once deployed, you then have to edit the claims rule to match the Source Anchor selected earlier. Klicken Sie in der AD FS-MMC unter Vertrauensstellungen der vertrauenden Seite mit der rechten Maustaste auf Microsoft Office 365-Identitäts Plattform, und klicken Sie dann auf Anspruchsregeln bearbeiten.In the AD FS MMC, under Relying Party Trusts, right-click Microsoft Office 365 Identity Platform, and then click Edit Claim Rules. Bearbeiten Sie die erste Regel, und ändern Sie die Objekte in employeeNumber.Edit the first rule, and change ObjectSID to employeeNumber.

Bildschirm mit Bearbeitungsregeln für mehrere Gesamtstrukturen

Konfigurieren von Aad ConnectConfigure AAD Connect

In Ressourcengesamtstruktur-Topologien ist es erforderlich, dass Benutzerattribute sowohl aus der Ressourcengesamtstruktur als auch aus beliebigen Konto Gesamtstrukturen in Azure AD synchronisiert werden.In resource forest topologies, it’s required that user attributes from both the resource forest and any account forests(s) are synchronized into Azure AD. Die einfachste und empfohlene Vorgehensweise besteht darin, dass Azure AD Connect-Benutzeridentitäten aus allen Gesamtstrukturen mit aktivierten Benutzerkonten und der Gesamtstruktur, die Skype for Business enthält, synchronisieren und zusammenführen.The simplest and recommended way to do this is to have Azure AD Connect synchronize and merge user identities from all forests that have enabled user accounts and the forest that contains Skype for Business. Ausführliche Informationen finden Sie unter Konfigurieren Azure AD Connect für Skype for Business und Teams.For details see, Configure Azure AD Connect for Skype for Business and Teams.

Beachten Sie, dass Aad Connect keine Synchronisierung lokal zwischen dem Konto und den Ressourcengesamtstrukturen bereitstellt.Note that AAD Connect does not provide synchronization on premises between the account and resource forests. Das muss wie zuvor beschrieben mit Microsoft Identity Manager oder einem ähnlichen Produkt separat konfiguriert werden.That must be separately configured using Microsoft Identity Manager or similar product, as described earlier.

Wenn Sie fertig sind und Aad Connect zusammengeführt wird, sollten Sie, wenn Sie sich ein Objekt in der Metaverse ansehen, etwas Ähnliches sehen:When finished and AAD Connect is merging, if you look at an object in the metaverse, you should see something similar to this:

Multi-Forest-Metaverse-Objekt Bildschirm

Die grün markierten Attribute wurden aus Office 365 zusammengeführt, die gelben stammen aus der Benutzergesamtstruktur und die blau aus der Ressourcengesamtstruktur.The green highlighted attributes were merged from Office 365, the yellow are from the user forest, and the blue are from the resource forest.

Dies ist ein Testbenutzer, und Sie können sehen, dass Aad Connect die Attributs und die cloudSourceAnchor von den Objekten User und Resource Forest aus Office 365 identifiziert hat, in unserem Fall 1101, dem zuvor ausgewählten employeeNumber.This is a test user, and you can see that AAD Connect has identified the sourceAnchor and the cloudSourceAnchor from the user and the resource forest objects from Office 365, in our case 1101, which is the employeeNumber selected earlier. Es war dann in der Lage, dieses Objekt in das zu verschmelzen, was Sie oben sehen.It then was able to merge this object into what you see above.

Weitere Informationen finden Sie unter integrieren Ihrer lokalen Verzeichnisse in Azure Active Directory.For more information, see Integrate your on-premises directories with Azure Active Directory.

Aad Connect sollte mit den Standardeinstellungen installiert werden, mit Ausnahme der folgenden:AAD Connect should be installed using the defaults, except for the following:

  1. Einmaliges Anmelden – mit AD FS bereits bereitgestellt und funktioniert: Wählen Sie nicht konfigurierenaus.Single sign-in - with AD FS already deployed and working: Select Do not configure.

  2. Verbinden Sie Ihre Verzeichnisse: Fügen Sie alle Domänen hinzu.Connect your directories: Add all of the domains.

  3. Identifizieren von Benutzern in lokalen Verzeichnissen: Wählen Sie Benutzeridentitäten in mehreren Verzeichnissenaus, und wählen Sie die Attribute Objekt -und msexchangemasteraccount sid aus .Identify users in on-premises directories: Select User identities exist across multiple directories, and select the ObjectSID and msExchangeMasterAccountSID attributes.

  4. Identifizieren von Benutzern in Azure AD: Quellanker: Wählen Sie das Attribut aus, das Sie nach dem Lesen ausgewählt haben, indem Sie ein gutes Attributs-Attribut, den Benutzerprinzipalnamen – userPrincipalName.Identify users in Azure AD: Source Anchor: Select the attribute you've chosen after reading Selecting a good sourceAnchor attribute, User Principal Name - userPrincipalName.

  5. Optionale Features: Wählen Sie aus, ob Exchange-hybridbereitstellung bereitgestellt ist.Optional features: Select whether you have Exchange hybrid deployed.

    Hinweis

    Wenn Sie nur Exchange Online haben, könnte ein Problem mit OAuth-Fehlern während der AutoErmittlung aufgrund der CNAME-Umleitung auftreten.If you have only Exchange Online, there could be an issue with OAuth failures during autodiscover because of CNAME redirection. Um dies zu beheben, müssen Sie die Exchange-Auto Ermittlungs-URL festlegen, indem Sie das folgende Cmdlet aus der Skype for Business Server Verwaltungsshell ausführen:To correct this, you will need to set the Exchange Autodiscover URL by running the following cmdlet from the Skype for Business Server Management Shell:

    Gruppe-csoauthconfiguration "-ExchangeAutoDiscoverURL https://autodiscover-s.Outlook.com/autodiscover/autodiscover.svcSet-CsOAuthConfiguration -ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc

  6. AD FS-Farm: Wählen Sie vorhandene Windows Server 2012 R2 AD FS-Farm verwenden aus, und geben Sie den Namen des AD FS-Servers ein.AD FS Farm: Select Use an existing Windows Server 2012 R2 AD FS farm and enter the name of the AD FS server.

  7. Beenden Sie den Assistenten, und führen Sie die erforderlichen Validierungen aus.Finish the wizard and perform the necessary validations.

Konfigurieren der Hybrid Konnektivität für Skype for Business ServerConfigure hybrid connectivity for Skype for Business Server

Befolgten Sie die bewährten Methoden für die Konfiguration Skype for Business Hybrid.Follow the best practices for configuring Skype for Business hybrid. Weitere Informationen finden Sie unter Plan Hybrid Connectivity and configure Hybrid Connectivity.For more information information, see Plan hybrid connectivity and Configure hybrid connectivity.

Konfigurieren der Hybrid Konnektivität für Exchange ServerConfigure hybrid connectivity for Exchange Server

Führen Sie bei Bedarf die bewährten Methoden zum Konfigurieren der Exchange-hybridbereitstellung aus.If necessary, follow the best practices for configuring Exchange hybrid. Weitere Informationen finden Sie unter Exchange Server Hybrid Bereitstellungen.For more information, see Exchange Server Hybrid Deployments.