Configurar un entorno de varios bosque para entornos híbridos Skype para la empresaConfigure a multi-forest environment for hybrid Skype for Business

En las secciones siguientes se proporcionan instrucciones acerca de cómo configurar un entorno que tiene varios bosques en un modelo de bosque de usuario o recurso para proporcionar funcionalidad empresarial en un escenario híbrido de Skype.The following sections provide guidance on how to configure an environment that has multiple forests in a Resource/User forest model to provide Skype for Business functionality in a hybrid scenario.

Entorno de varios bosques para Hybrid

Validar la topología de bosqueValidate the Forest Topology

Se admiten varios bosques de usuarios. Tenga en cuenta lo siguiente: Multiple user forests are supported. Keep the following in mind:

Para obtener más información, consulte requisitos de entorno para Skype para Business Server 2015.For more information, please refer to Environmental requirements for Skype for Business Server 2015.

Consideraciones sobre el hospedaje de usuariosUser homing considerations

Skype para los usuarios empresariales alojados en local puede tener Exchange hospedado en local o en línea.Skype for Business users homed on premises can have Exchange homed on premises or online. Skype para los usuarios en línea de negocio debe usar Exchange Online para obtener una experiencia óptima; Sin embargo, esto no es necesario.Skype for Business Online users should use Exchange Online for an optimal experience; however, this is not required. No se requiere Exchange local para implementar Skype para la empresa en cualquier caso.Exchange on premises is not required to implement Skype for Business in either case.

Configurar confianzas de bosqueConfigure Forest Trusts

Las confianzas necesarias son confianzas transitivas bidireccionales entre el bosque de recursos y cada uno de los bosques de usuarios.The trusts required are two-way transitive trusts between the resource forest and each of the user forests. Si tiene varios bosques de usuarios, para habilitar la autenticación entre bosques es importante que el enrutamiento de sufijo de nombre esté habilitado para cada una de estas confianzas de bosque.If you have multiple user forests, to enable cross-forest authentication it is important that Name Suffix Routing is enabled for each of these forest trusts. Para obtener instrucciones, vea Administración de confianzas de bosque.For instructions, see Managing Forest Trusts.

Sincronizar las cuentas en el bosque de Skype para la empresa de hospedajeSynchronize Accounts into the forest hosting Skype for Business

Cuando Skype para Business Server se implementa en uno de los bosques (un bosque de recursos), pero proporciona funcionalidad a los usuarios de uno o varios otros bosques (bosques de cuentas), los usuarios de los otros bosques deben estar representados como objetos de usuario deshabilitadas en el bosque donde Skype para Business Server se ha implementado.When Skype for Business Server is deployed in one forest (a resource forest), but provides functionality to users in one or more other forests (account forests), users in the other forests must be represented as disabled user objects in the forest where Skype for Business Server is deployed. Un producto de administración de identidad, como Microsoft Identity Manager, debe estar implementado y configurado para aprovisionar y sincronización de los usuarios de los bosques de cuenta en el bosque donde se implementa Skype para Business Server.An identity management product, such as Microsoft Identity Manager, needs to be deployed and configured to provision and synchronize the users from the account forests into the forest where Skype for Business Server is deployed. Los usuarios deben sincronizarse en el bosque de hospedaje Skype para Business Server como objetos de usuario deshabilitados.Users must be synchronized into the forest hosting Skype for Business Server as disabled user objects. No se puede sincronizar usuarios como objetos de contacto de Active Directory, ya que Azure Active Directory Connect no correctamente sincronizará contactos en Azure AD para su uso con Skype.Users cannot be synchronized as Active Directory contact objects, because Azure Active Directory Connect will not properly synchronize contacts into Azure AD for use with Skype.

Con independencia de cualquier configuración con varios bosque, del bosque que aloja Skype para Business Server también puede proporcionar funcionalidad para los usuarios habilitados que existen en el mismo bosque.Regardless of any multi-forest configuration, the forest hosting Skype for Business Server can also provide functionality for any enabled users that exist in the same forest.

Para obtener una sincronización de identidades adecuada, deben sincronizarse los siguientes atributos:To get proper identity synchronization, the following attributes need to be synchronized:

Bosques de usuariosUser Forests Bosques de recursosResource Forests
atributo de vínculo de cuenta elegidachosen account link attribute
atributo de vínculo de cuenta elegidachosen account link attribute
mail mail
mail mail
ProxyAddressesProxyAddresses
ProxyAddressesProxyAddresses
ObjectSIDObjectSID
msRTCSIP-OriginatorSIDmsRTCSIP-OriginatorSID

El elegido el atributo de vínculo de la cuenta se utilizará como el delimitador de origen.The chosen account link attribute will be used as the Source Anchor. Si tiene un atributo distinto e inmutable que prefiere usar, puede hacerlo, pero asegúrese de editar la regla de notificaciones de AD FS y seleccionar el atributo durante la configuración de AAD Connect.If you have a different and immutable attribute that you would prefer to use, you may do so, just be sure you edit the AD FS claims rule and select the attribute during the AAD Connect configuration.

No sincronizar el UPN entre los bosques.Do not sync the UPN's between the forests. Durante las pruebas, detectamos que era necesario un UPN único para cada bosque de usuarios, ya que no se puede usar el mismo UPN en varios bosques.We found during testing that we needed to use a unique UPN for each user forest, as you cannot use the same UPN across multiple forests. Como resultado, se nos presentaron dos posibilidades: sincronizar el UPN o no sincronizarlo.As a result, we were presented with two possibilities, to synchronize the UPN or to not synchronize.

  • Si el UPN único de cada bosque de usuarios no se sincroniza con el objeto deshabilitado asociado en el bosque de recursos, el inicio de sesión único no podría usarse, como mínimo, durante el intento de inicio de sesión inicial (siempre que el usuario seleccione la opción para guardar la contraseña). En el cliente de Skype Empresarial, se da por supuesto que los valores de SIP/UPN son los mismos. Como la dirección SIP en este escenario es usuario@empresa.com, pero el UPN del objeto habilitado en el bosque de usuarios es en realidad usuario@contoso.empresa.com, el intento de inicio de sesión inicial produciría errores y al usuario se le solicitarían las credenciales. Después de especificar el UPN correcto/real, la solicitud de autenticación se completaría en los controladores de dominio del bosque de usuarios y el inicio de sesión se realizaría correctamente.If the unique UPN from each user forest was not synchronized to the associated disabled object in the resource forest, Single Sign-on would be broken for at least the initial sign-in attempt (assuming the user selected the option to save password). In the SfB client, we assume that the SIP/UPN values are the same. Since the SIP address in this scenario is user@company.com, but the UPN of the enabled object in the user forest is in fact user@contoso.company.com, the initial login attempt would fail and the user would be prompted to enter credentials. Upon entering their correct/actual UPN, the authentication request would be completed against the domain controllers in the user forest, and sign-in would be successful.

  • Si el UPN único de cada bosque de usuarios se sincroniza con el objeto deshabilitado asociado en el bosque de recursos, la autenticación de AD FS produciría errores. La regla de coincidencia encontraría el UPN en el objeto del bosque de recursos, que estaba deshabilitado y no se pudo usar para la autenticación.If the unique UPN from each user forest was synchronized to the associated disabled object in resource forest, AD FS authentication would fail. The matching rule would find the UPN on the object in the resource forest, which was disabled and could not be used for authentication.

Crear un inquilino de Office 365Create an Office 365 tenant

A continuación, deberá facilitar un inquilino de Office 365 que vaya a usar con la implementación.You will next need to provision an Office 365 tenant to use with your deployment. Para obtener más información, vea Los pasos de aprovisionamiento de Office 365.For more information, please see Office 365 Provisioning Steps.

Configurar AD FSConfigure AD FS

Una vez tenga un inquilino, deberá configurar los Servicios de federación de Active Directory (AD FS) en cada uno de los bosques de usuarios. Se presupone que tiene un SIP, una dirección SMTP y un nombre principal de usuario (UPN) únicos para cada bosque. AD FS es opcional y aquí se usa para obtener un inicio de sesión único. También se admite Dirsync con la sincronización de contraseñas, y también se puede usar en lugar de AD FS.Once you have a tenant, you will next need to configure Active Directory Federation Services (AD FS) ineach of the user forests. This assumes you have a unique SIP and SMTP address and User Principal Name (UPN) for each forest. AD FS is optional and is used here to get single-sign on. DirSync with Password Sync is also supported and can also be used in place of AD FS.

Solo se probaron implementaciones con SIP/SMTP y UPN coincidentes. No tener SIP/SMTP/UPN que coincidan puede tener como resultado una funcionalidad reducida, como por ejemplo, problemas con la integración de Exchange y el inicio de sesión único.Only deployments with matching SIP/SMTP and UPNs were tested. Not having matching SIP/SMTP/UPNs may result in reduced functionality, such as problems with Exchange integration and single-sign on.

A menos que utilice un SIP, SMTP/UPN único para los usuarios de cada bosque, aún puede ejecutar en el inicio de sesión único (SSO) problemas - independientemente de donde se implementa AD FS:Unless you use a unique SIP/SMTP/UPN for users from each forest, you can still run into Single Sign-on (SSO) problems - regardless of where AD FS is deployed:

  • En confianzas unidireccionales o bidireccionales entre bosques de usuarios/recursos con una granja de AD FS implementada en cada bosque de usuarios, todos los usuarios comparten un mismo dominio SIP/SMTP, pero un único UPN para cada bosque de usuarios.One-way or two-way trusts between resource/user forests with AD FS farm deployed in each user forest, all users share common SIP/SMTP domain but unique UPN for each user forest.

  • En confianzas bidireccionales entre bosques de usuarios con una granja de AD FS implementada únicamente en bosque de recursos, todos los usuarios comparten un mismo dominio SIP/SMTP, pero un único UPN para cada bosque de usuarios.Two-way trusts between resource/user forests with AD FS farm deployed only in resource forest, all users share common SIP/SMTP domain but unique UPN for each user forest.

Al colocar una granja de AD FS en cada bosque de usuarios y un SIP/SMTP/UPN único para cada bosque, se solucionan dos problemas. Durante los intentos de autenticación, solo se buscarían e identificarían las cuentas del bosque de usuarios específico. Esto ayudará a proporcionar un proceso de autenticación sin errores.By placing an AD FS farm in each user forest and using a unique SIP/SMTP/UPN for each forest, we resolve both issues. Only the accounts in that specific user forest would be searched and matched during authentication attempts. This will help provide a more seamless authentication process.

Esta será una implementación estándar de AD FS de Windows Server 2012 R2 y debería estar funcionando antes de continuar.This will be a standard deployment of the Windows Server 2012 R2 AD FS and should be working before continuing. Para obtener instrucciones, consulte cómo instalar AD FS 2012 R2 para Office 365.For instructions, see How To Install AD FS 2012 R2 For Office 365.

Una vez que se haya implementado, se tiene que editar la regla de notificaciones para que coincida con la regla de delimitador de origen que haya escogido antes. En la MMC de AD FS, en Confianzas para Usuarios autenticados, haga clic con el botón secundario en Plataforma de identidad de Microsoft Office 365 y, a continuación, haga clic en Editar reglas de notificaciones. Edite la primera regla y cambie ObjectSID por employeeNumber.Once deployed, you then have to edit the claims rule to match the Source Anchor selected earlier. In the AD FS MMC, under Relying Party Trusts, right-click Microsoft Office 365 Identity Platform and then click Edit Claim Rules. Edit the first rule and change ObjectSID to employeeNumber.

Pantalla Editar reglas de varios bosques

Configurar AAD ConnectConfigure AAD Connect

AAD Connect se usará para combinar las cuentas entre los diferentes bosques y entre los bosques y Office 365. Debe implementar AAD Connect en el bosque de recursos. Es necesario para poder sincronizar varios bosques y Office 365, lo cual no es compatible con Dirsync.AAD Connect will be used to merge the accounts between the different forests and between the forests and Office 365. You should deploy AAD Connect in the resource forest. It is required to be able to synchronize multiple forests and Office 365, which is not supported by Dirsync.

AAD Connect no sincroniza las cuentas entre bosques locales. Usa conectores de AD para leer objetos que ya están sincronizados entre bosques locales (por FIM o productos similares). A continuación, aprovecha las reglas de filtrado para crear una representación única que coincida al mismo tiempo con el objeto habilitado y deshabilitado en su metaverso y, a continuación, replica ese único objeto combinado en Office 365.AAD Connect does not synchronize the accounts between on-premises forests. It uses AD connectors to read objects that are already synchronized across on-premises forests (by FIM or similar products). It then leverages filtering rules to create a single representation of both the matching enabled and disabled object in its metaverse, and then replicates that single, merged object into Office 365.

Cuando haya terminado y AAD Connect se esté combinando, si observa un objeto en el metaverso, debería ver algo parecido a esto:When finished and AAD Connect is merging, if you look at an object in the metaverse, you should see something similar to this:

Pantalla del objeto en el metaverso de varios bosques

Los atributos resaltados en verde se han combinado de los atributos de Office 365, los amarillos son del bosque de usuarios y los azules son del bosque de recursos.The green highlighted attributes were merged from Office 365, the yellow are from the user forest and the blue are from the resource forest.

Este es un usuario de prueba, y puede ver que AAD Connect identificó los sourceAnchor y cloudSourceAnchor del usuario y los objetos del bosque de recursos, y de Office 365, en nuestro caso, 1101 que es el employeeNumber seleccionado antes. Después, fue capaz de combinar este objeto en lo que se ve arriba.This is a test user, and you can see that AAD Connect has identified the sourceAnchor and the cloudSourceAnchor from the user and the resource forest objects and from Office 365, in our case 1101 which is the employeeNumber selected earlier. It then was able to merge this object into what you see above.

Para obtener más información, vea integración de sus identidades local con Azure Active Directory.For more information, see Integrating your on-premises identities with Azure Active Directory.

AAD Connect debe instalarse usando mayoritariamente los valores predeterminados. Excepto para los siguientes pasos:AAD Connect should be installed using mostly the defaults. Except for the following steps:

  1. Único inicio de sesión - con AD FS ya ha implementado y trabajo, no seleccione ConfigurarSingle sign-in - with AD FS already deployed and working, select Do not configure

  2. Conectar los directorios, agregue todos los dominiosConnect your directories - add all of the domains

  3. Identificar a los usuarios en los directorios locales: seleccione las identidades de usuario existen en varios directorios y seleccione atributos ObjectSID y msExchangeMasterAccountSIDIdentify users in on-premises directories: Select User identities exist across multiple directories and select ObjectSID and msExchangeMasterAccountSID attributes

  4. Identificar a los usuarios en Azure AD: origen de anclaje - seleccione el atributo que se ha elegido después de leer la selección de un atributo de buena sourceAnchor, nombre Principal de usuario - userPrincipalNameIdentify users in Azure AD: Source Anchor - Select the attribute you've chosen after reading Selecting a good sourceAnchor attribute, User Principal Name - userPrincipalName

  5. Las características opcionales - seleccione si tienen híbrida de Exchange implementado o no.Optional features - select whether you have Exchange hybrid deployed or not.

    Nota

    Si solo tiene Exchange Online, es posible que haya un problema con errores de OAuth durante la detección automática debido a la redirección de CNAME.If you have only Exchange Online, there could be an issue with OAuth failures during autodiscover because of CNAME redirection. Para corregir este problema, debe establecer la dirección URL de detección automática de Exchange ejecutando el cmdlet siguiente desde el Skype para Shell de administración de servidor empresarial:To correct this, you will need to set the Exchange Autodiscover URL by running the following cmdlet from the Skype for Business Server Management Shell:

    Set-CsOAuthConfiguration - ExchangeAutoDiscoverURLhttps://autodiscover-s.outlook.com/autodiscover/autodiscover.svcSet-CsOAuthConfiguration -ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc

  6. Granja de AD FS: seleccione Usar una granja de AD FS existente de Windows Server 2012 R2 y escriba el nombre del servidor de AD FS.AD FS Farm: Select Use an existing Windows Server 2012 R2 AD FS farm and enter the name of the AD FS server.

  7. Finalice el asistente y realice las validaciones necesarias.Finish the wizard and perform the necessary validations.

Configurar el modo híbrido de Skype Empresarial ServerConfigure Hybrid mode for Skype for Business Server

Siga los procedimientos recomendados para la configuración de Skype para entornos híbridos de negocio.Follow the best practices for configuring Skype for Business hybrid. Para obtener más información de planeación, vea Planear la implementación híbrida de Skype para Business Server 2015y para obtener información de configuración, vea Configure híbrida con Skype para profesionales en línea.For more planning information, see Plan your hybrid deployment for Skype for Business Server 2015, and for configuration information see Configure hybrid with Skype for Business Online.

Configurar el modo híbrido de Exchange ServerConfigure hybrid mode for Exchange Server

Si es necesario, siga los procedimientos recomendados para realizar la configuración híbrida de Exchange.If necessary, follow the best practices for configuring Exchange hybrid. Para obtener más información, vea Implementaciones híbridas de Exchange Server.For more information, see Exchange Server Hybrid Deployments.