Configurar un entorno híbrido en Skype Empresarial Server 2015Configure a hybrid environment in Skype for Business Server 2015

Resumen: Configurar Skype para el año 2015 de servidor empresarial en un entorno híbrido.Summary: Configure Skype for Business Server 2015 in a hybrid environment.

En una configuración híbrida, algunos de los usuarios alojados en una instalación local de Skype para Business Server 2015 mientras otros usuarios están alojados en la versión de Office 365 de Skype para Business Server.In a hybrid configuration, some of your users are homed on an on-premises installation of Skype for Business Server 2015 while other users are homed on the Office 365 version of Skype for Business Server. Para configurar la autenticación de servidor a servidor en un entorno híbrido, primero debe configurar la instalación local de Skype para Business Server 2015 confiar en el servidor de autorización de Office 365.In order to configure server-to-server authentication in a hybrid environment, you must first configure your on-premises installation of Skype for Business Server 2015 to trust the Office 365 authorization server. El paso inicial en este proceso puede llevarse a cabo ejecutando el siguiente Skype para secuencia de comandos de Shell de administración de servidor de negocios:The initial step in this process can be carried out by running the following Skype for Business Server Management Shell script:

$TenantID = (Get-CsTenant -Filter {DisplayName -eq "Fabrikam.com"}).TenantId

$sts = Get-CsOAuthServer microsoft.sts -ErrorAction SilentlyContinue

   if ($sts -eq $null)
      {
         New-CsOAuthServer microsoft.sts -MetadataUrl "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1"
      }
   else
      {
         if ($sts.MetadataUrl -ne  "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1")
            {
               Remove-CsOAuthServer microsoft.sts
               New-CsOAuthServer microsoft.sts -MetadataUrl "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1"
            }
        }

$exch = Get-CsPartnerApplication microsoft.exchange -ErrorAction SilentlyContinue

if ($exch -eq $null)
   {
      New-CsPartnerApplication -Identity microsoft.exchange -ApplicationIdentifier 00000002-0000-0ff1-ce00-000000000000 -ApplicationTrustLevel Full -UseOAuthServer
    }
else
    {
       if ($exch.ApplicationIdentifier -ne "00000002-0000-0ff1-ce00-000000000000")
          {
             Remove-CsPartnerApplication microsoft.exchange
             New-CsPartnerApplication -Identity microsoft.exchange -ApplicationIdentifier 00000002-0000-0ff1-ce00-000000000000 -ApplicationTrustLevel Full -UseOAuthServer 
          }
       else
          {
             Set-CsPartnerApplication -Identity microsoft.exchange -ApplicationTrustLevel Full -UseOAuthServer
          }
   }

Set-CsOAuthConfiguration -ServiceName 00000004-0000-0ff1-ce00-000000000000

Tenga en cuenta que el nombre de dominio kerberos de un inquilino normalmente es diferente al nombre de la organización; de hecho, el nombre de dominio kerberos casi siempre es igual al identificador del inquilino. Por tanto, la primera línea del script se usa para devolver el valor de la propiedad TenantId del inquilino especificado (en este caso, fabrikam.com) y para asignar después dicho nombre a la variable $TenantId:Keep in mind that the realm name for a tenant is typically different than the organization name; in fact, the realm name is almost always the same as the tenant ID. Because of that, the first line in the script is used to return the value of the TenantId property for the specified tenant (in this case, fabrikam.com) and then assign that name to the variable $TenantId:

$TenantID = (Get-CsTenant -DisplayName "Fabrikam.com").TenantId

Una vez completada la secuencia de comandos, a continuación, debe configurar una relación de confianza entre Skype para Business Server 2015 y el servidor de autorización y una segunda relación de confianza entre 2013 de Exchange y el servidor de autorización.After the script completes, you must then configure a trust relationship between Skype for Business Server 2015 and the authorization server, and a second trust relationship between Exchange 2013 and the authorization server. Solo podrá hacer esto usando los cmdlets de Microsoft Online Services.This can only be done by using the Microsoft Online Services cmdlets.

Nota

Si no ha instalado los cmdlets de Microsoft Online Services, antes de continuar necesitará realizar dos tareas.If you have not installed the Microsoft Online Services cmdlets, you will need to do two things before proceeding. En primer lugar, descargue e instale la versión de 64 bits de Microsoft Online Services - Ayudante para el inicio de sesión.First, download and install the 64-bit version of the Microsoft Online Services Sign-in Assistant. Una vez completada la instalación, descargue e instale la versión de 64 bits de Microsoft Online Services módulo de Windows PowerShell.After installation is complete, download and install the 64-bit version of the Microsoft Online Services Module for Windows PowerShell. Información detallada para instalar y utilizar el módulo de Microsoft Online Services puede encontrarse en el sitio web de Office 365.Detailed information for installing and using the Microsoft Online Services Module can be found on the Office 365 web site. Estas instrucciones también describen cómo configurar un inicio de sesión único, federación y la sincronización entre Active Directory y de Office 365.These instructions will also tell you how to configure single sign-on, federation, and synchronization between Office 365 and Active Directory.

Si no ha instalado estos cmdlets, el script dará un error porque el cmdlet Get-CsTenant no estará disponible.If you have not installed these cmdlets your script will fail because the Get-CsTenant cmdlet will not be available.

Después de configurar Office 365 y después de haber creado Office 365 principales de servicio para Skype para Business Server 2015 y 2013 de Exchange, necesitará registrar sus credenciales con estas entidades de servicio.After you have configured Office 365, and after you have created Office 365 service principals for Skype for Business Server 2015 and Exchange 2013, you will then need to register your credentials with these service principals. Para ello, primero debe obtener un Base64 X.509 que se guarda como un. Archivo CER.In order to do this, you must first obtain an X.509 Base64 saved as a .CER file. Este certificado se aplicará a las entidades de seguridad del servicio de Office 365.This certificate will then be applied to the Office 365 service principals.

Cuando haya obtenido el certificado X.509, iniciar el módulo de Microsoft Online Services (haga clic en Inicio, seleccione Todos los programas, haga clic en Microsoft Online Servicesy, a continuación, haga clic en Microsoft Online Services Module para Windows PowerShell).When you have obtained the X.509 certificate, start the Microsoft Online Services Module (click Start, click All Programs, click Microsoft Online Services, and then click Microsoft Online Services Module for Windows PowerShell). Cuando se abra el módulo de servicios, escriba lo siguiente para importar el módulo de Microsoft en línea de Windows PowerShell con los cmdlets que se puede utilizar para administrar a identidades de servicio:After the Services Module opens, type the following to import the Microsoft Online Windows PowerShell module containing the cmdlets that can be used to manage service principals:

Import-Module MSOnlineExtended

Cuando se ha importado el módulo, escriba el comando siguiente y presione ENTRAR para conectarse a Office 365:When the module has been imported, type the following command and then press ENTER in order to connect to Office 365:

Connect-MsolService

Tras presionar ENTRAR, aparecerá un cuadro de diálogo de credenciales.After you press ENTER, a credentials dialog box will appear. Escriba su nombre de usuario de Office 365 y contraseña en el cuadro de diálogo y, a continuación, haga clic en Aceptar.Enter your Office 365 user name and password in the dialog box, and then click OK.

Tan pronto como está conectado a Office 365, a continuación, puede ejecutar el siguiente comando para devolver información acerca de las entidades de su servicio:As soon as you are connected to Office 365, you can then run the following command in order to return information about your service principals:

Get-MsolServicePrincipal

La información relativa a todas las entidades de servicio que aparecerá será similar a esta:You should get back information similar to this for all your service principals:

ExtensionData        : System.Runtime.Serialization.ExtensionDataObject
AccountEnabled       : True
Addresses            : {}
AppPrincipalId       : 00000004-0000-0ff1-ce00-000000000000
DisplayName          : Skype for Business Server
ObjectId             : aada5fbd-c0ae-442a-8c0b-36fec40602e2
ServicePrincipalName : SkypeForBusinessServer/litwareinc.com
TrustedForDelegation : True

El paso siguiente es importar, codificar y asignar el certificado X.509.The next step is to import, encode, and assign the X.509 certificate. Para importar y codificar el certificado, utilice los siguientes comandos de Windows PowerShell, asegúrese de especificar la ruta de acceso completa del archivo a su. Archivo CER cuando se llama al método de importación:To import and encode the certificate, use the following Windows PowerShell commands, being sure to specify the complete file path to your .CER file when you call the Import method:

$certificate = New-Object System.Security.Cryptography.X509Certificates.X509Certificate
$certificate.Import("C:\Certificates\Office365.cer")
$binaryValue = $certificate.GetRawCertData()
$credentialsValue = [System.Convert]::ToBase64String($binaryValue)

Una vez importado el certificado y codificado, a continuación, puede asignar el certificado a sus principales de servicio de Office 365.After the certificate has been imported and encoded, you can then assign the certificate to your Office 365 service principals. Para ello, utilice primero la MsolServicePrincipal Get para recuperar el valor de la propiedad AppPrincipalId para el Skype para Business Server y las identidades de servicio de Microsoft Exchange; el valor de la propiedad AppPrincipalId se utilizará para identificar la entidad de seguridad de servicio que se asigna el certificado.To do that, first use the Get-MsolServicePrincipal to retrieve the value of the AppPrincipalId property for both the Skype for Business Server and the Microsoft Exchange service principals; the value of the AppPrincipalId property will be used to identify the service principal being assigned the certificate. Con el AppPrincipalId propiedad valor de Skype para Business Server 2015 en la mano, utilice el comando siguiente para asignar el certificado a la versión de Office 365 de Skype para Business Server:With the AppPrincipalId property value for Skype for Business Server 2015 in hand, use the following command to assign the certificate to the Office 365 version of Skype for Business Server:

New-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -Type Asymmetric -Usage Verify -Value $credentialsValue 

A continuación, debe repetir el comando, esta vez utilizando el valor de la propiedad AppPrincipalId para Exchange de 2013.You should then repeat the command, this time using the AppPrincipalId property value for Exchange 2013.

Si más tarde necesita eliminar el certificado, primero recupere el KeyId del certificado con:If you later need to delete that certificate, you can do so by first retrieving the KeyId for the certificate:

Get-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000

El comando devolverá datos similares a estos:That command will return data like this one:

Type      : Asymmetric
Value     : 
KeyId     : bc2795f3-2387-4543-a95d-f92c85c7a1b0
StartDate : 6/1/2012 8:00:00 AM
EndDate   : 5/31/2013 8:00:00 AM
Usage     : Verify

Entonces podrá eliminar el certificado usando un comando como el siguiente:You can then delete the certificate by using a command similar to this:

Remove-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -KeyId bc2795f3-2387-4543-a95d-f92c85c7a1b0

Además de asignar un certificado, también debe configurar la entidad de seguridad de servicio en línea de Exchange y configurar su versión local de Skype para la URL de servicios Web externas Business Server 2015 como una entidad de seguridad del servicio de Office 365.In addition to assigning a certificate, you must also configure the Exchange Online Service Principal and configure your on-premises version of Skype for Business Server 2015 external Web services URLs as an Office 365 service principal. Para hacerlo, ejecute estos dos comandos:That can be done by carrying out the following two commands.

En el ejemplo siguiente, lync.contoso.com es la URL de servicios Web externa para el Skype para el grupo de servidores empresariales.In the following example, lync.contoso.com is the external Web services URL for the Skype for Business Server pool. Debe repetir estos pasos para agregar todas las URL de servicios Web externas en la implementación.You should repeat these steps to add all the external Web services URLs in the deployment.

Set-MSOLServicePrincipal -AppPrincipalID 00000002-0000-0ff1-ce00-000000000000 -AccountEnabled $true

$lyncSP = Get-MSOLServicePrincipal -AppPrincipalID 00000004-0000-0ff1-ce00-000000000000
$lyncSP.ServicePrincipalNames.Add("00000004-0000-0ff1-ce00-000000000000/lync.contoso.com")
Set-MSOLServicePrincipal -AppPrincipalID 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $lyncSP.ServicePrincipalNames