Configuration de Microsoft Lync Server 2013 dans un environnement intersiteConfiguring Microsoft Lync Server 2013 in a cross-premises environment

 

Dernière modification de la rubrique : 2017-02-21Topic Last Modified: 2017-02-21

Dans une configuration intersites, certains de vos utilisateurs sont hébergés sur une installation locale de Microsoft Lync Server 2013 tandis que d’autres sont hébergés sur la version Microsoft 365 ou Office 365 de Lync Server.In a cross-premise configuration, some of your users are homed on an on-premises installation of Microsoft Lync Server 2013 while other users are homed on the Microsoft 365 or Office 365 version of Lync Server. Pour configurer l’authentification de serveur à serveur dans un environnement intersite, vous devez d’abord configurer votre installation locale de Lync Server 2013 afin de faire confiance au serveur d’autorisation Microsoft 365.In order to configure server-to-server authentication in a cross-premises environment, you must first configure your on-premises installation of Lync Server 2013 to trust the Microsoft 365 Authorization server. L’étape initiale de ce processus peut être effectuée en exécutant le script Lync Server Management Shell suivant :The initial step in this process can be carried out by running the following Lync Server Management Shell script:

$TenantID = (Get-CsTenant -Filter {DisplayName -eq "Fabrikam.com"}).TenantId

$sts = Get-CsOAuthServer microsoft.sts -ErrorAction SilentlyContinue
        
   if ($sts -eq $null)
      {
         New-CsOAuthServer microsoft.sts -MetadataUrl "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1"
      }
   else
      {
         if ($sts.MetadataUrl -ne  "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1")
            {
               Remove-CsOAuthServer microsoft.sts
               New-CsOAuthServer microsoft.sts -MetadataUrl "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1"
            }
        }

$exch = Get-CsPartnerApplication microsoft.exchange -ErrorAction SilentlyContinue
        
if ($exch -eq $null)
   {
      New-CsPartnerApplication -Identity microsoft.exchange -ApplicationIdentifier 00000002-0000-0ff1-ce00-000000000000 -ApplicationTrustLevel Full -UseOAuthServer
    }
else
    {
       if ($exch.ApplicationIdentifier -ne "00000002-0000-0ff1-ce00-000000000000")
          {
             Remove-CsPartnerApplication microsoft.exchange
             New-CsPartnerApplication -Identity microsoft.exchange -ApplicationIdentifier 00000002-0000-0ff1-ce00-000000000000 -ApplicationTrustLevel Full -UseOAuthServer 
          }
       else
          {
             Set-CsPartnerApplication -Identity microsoft.exchange -ApplicationTrustLevel Full -UseOAuthServer
          }
   }

Set-CsOAuthConfiguration -ServiceName 00000004-0000-0ff1-ce00-000000000000

N’oubliez pas que le nom de domaine d’un client est généralement différent du nom de l’organisation ; en fait, le nom de domaine est presque toujours identique à l’ID de client. C’est pourquoi la première ligne du script est utilisée pour retourner la valeur de la propriété TenantId du client spécifié (ici, fabrikam.com), puis pour attribuer ce nom à la variable $TenantId :Keep in mind that the realm name for a tenant is typically different than the organization name; in fact, the realm name is almost always the same as the tenant ID. Because of that, the first line in the script is used to return the value of the TenantId property for the specified tenant (in this case, fabrikam.com) and then assign that name to the variable $TenantId:

$TenantID = (Get-CsTenant -DisplayName "Fabrikam.com").TenantId

Une fois le script terminé, vous devez configurer une relation d’approbation entre Lync Server 2013 et le serveur d’autorisation, ainsi qu’une seconde relation d’approbation entre Exchange 2013 et le serveur d’autorisation.After the script completes you must then configure a trust relationship between Lync Server 2013 and the authorization server, and a second trust relationship between Exchange 2013 and the authorization server. Vous pouvez uniquement le faire à l’aide d’applets de commande Microsoft Online Services.This can only be done by using the Microsoft Online Services cmdlets.

Notes

Si vous n’avez pas installé les applets de commande Microsoft Online Services, vous avez deux choses à faire avant de poursuivre.If you have not installed the Microsoft Online Services cmdlets you will need to do two things before proceeding. Tout d’abord, téléchargez et installez la version 64 bits de l’Assistant de connexion Microsoft Online Services.First, download and install the 64-bit version of the Microsoft Online Services Sign-in Assistant. Une fois l’installation terminée, téléchargez et installez la version 64 bits du module Microsoft Online Services pour Windows PowerShell.After installation is complete, download and install the 64-bit version of the Microsoft Online Services Module for Windows PowerShell. Vous trouverez des informations détaillées sur l’installation et l’utilisation du module Microsoft Online Services sur le site Web Microsoft 365 ou Office 365.Detailed information for installing and using the Microsoft Online Services Module can be found on the Microsoft 365 or Office 365 web site. Ces instructions vous indiquent également comment configurer l’authentification unique, la Fédération et la synchronisation entre Microsoft 365 ou Office 36 et Active Directory.These instructions will also tell you how to configure single sign-on, federation, and synchronization between Microsoft 365 or Office 36 and Active Directory.
Si vous n’avez pas installé ces applets de commande, votre script échouera car la Get-CsTenant cmdlet ne sera pas disponible.If you have not installed these cmdlets your script will fail because the Get-CsTenant cmdlet will not be available.

Après avoir configuré Microsoft 365 et après avoir créé les principaux service Microsoft 365 ou Office 365 pour Lync Server 2013 et Exchange 2013, vous devrez enregistrer vos informations d’identification avec ces principaux de service.After you have configured Microsoft 365, and after you have created Microsoft 365 or Office 365 service principals for Lync Server 2013 and Exchange 2013, you will then need to register your credentials with these service principals. Pour ce faire, vous devez d’abord obtenir un certificat X.509 Base64 enregistré sous forme de fichier .CER.In order to do this, you must first obtain an X.509 Base64 saved as a .CER file. Ce certificat est ensuite appliqué aux principaux du service Microsoft 365 ou Office 365.This certificate will then be applied to the Microsoft 365 or Office 365 service principals.

Une fois que vous avez obtenu le certificat X. 509, démarrez le module Microsoft Online Services (cliquez sur Démarrer, sur tous les programmes, sur Microsoft Online Services, puis sur module Microsoft Online Services pour Windows PowerShell).When you have obtained the X.509 certificate, start the Microsoft Online Services Module (click Start, click All Programs, click Microsoft Online Services, and then click Microsoft Online Services Module for Windows PowerShell). Une fois que le module Services s’ouvre, tapez ce qui suit pour importer le module Microsoft Online Windows PowerShell contenant les applets de commande pouvant être utilisées pour gérer les principaux de service :After the Services Module opens, type the following to import the Microsoft Online Windows PowerShell module containing the cmdlets that can be used to manage service principals:

Import-Module MSOnlineExtended

Une fois le module importé, tapez la commande suivante, puis appuyez sur entrée afin de vous connecter à Microsoft 365 :When the module has been imported, type the following command and then press ENTER in order to connect to Microsoft 365:

Connect-MsolService

Après avoir appuyé sur Entrée, une boîte de dialogue d’informations d’identification s’affiche.After you press ENTER, a credentials dialog box will appear. Entrez votre nom d’utilisateur et votre mot de passe Microsoft 365 ou Office 365 dans la boîte de dialogue, puis cliquez sur OK.Enter your Microsoft 365 or Office 365 user name and password in the dialog box, and then click OK.

Dès que vous êtes connecté à Microsoft 365, vous pouvez exécuter la commande suivante afin de retourner des informations sur vos principaux de service :As soon as you are connected to Microsoft 365 you can then run the following command in order to return information about your service principals:

Get-MsolServicePrincipal

Vous devriez obtenir des informations similaires à celles-ci pour tous vos principaux du service :You should get back information similar to this for all your service principals:

ExtensionData        : System.Runtime.Serialization.ExtensionDataObject
AccountEnabled       : True
Addresses            : {}
AppPrincipalId       : 00000004-0000-0ff1-ce00-000000000000
DisplayName          : Microsoft Lync Server
ObjectId             : aada5fbd-c0ae-442a-8c0b-36fec40602e2
ServicePrincipalName : LyncServer/litwareinc.com
TrustedForDelegation : True

L’étape suivante consiste à importer, encoder et assigner le certificat X.509.The next step is to import, encode, and assign the X.509 certificate. Pour importer et coder le certificat, utilisez les commandes Windows PowerShell suivantes, en veillant à spécifier le chemin d’accès complet au fichier. Fichier CER lorsque vous appelez la méthode Import :To import and encode the certificate, use the following Windows PowerShell commands, being sure to specify the complete file path to your .CER file when you call the Import method:

$certificate = New-Object System.Security.Cryptography.X509Certificates.X509Certificate
$certificate.Import("C:\Certificates\Office365.cer")
$binaryValue = $certificate.GetRawCertData()
$credentialsValue = [System.Convert]::ToBase64String($binaryValue)

Une fois que le certificat a été importé et codé, vous pouvez ensuite attribuer le certificat à vos principaux de service Microsoft 365.After the certificate has been imported and encoded, you can then assign the certificate to your Microsoft 365 service principals. Pour cela, commencez par utiliser Get-MsolServicePrincipal pour récupérer la valeur de la propriété AppPrincipalId des principaux du service Lync Server et Microsoft Exchange ; la valeur de la propriété AppPrincipalId sert à identifier le principal du service auquel est assigné le certificat.To do that, first use the Get-MsolServicePrincipal to retrieve the value of the AppPrincipalId property for both the Lync Server and the Microsoft Exchange service principals; the value of the AppPrincipalId property will be used to identify the service principal being assigned the certificate. Une fois la valeur de la propriété AppPrincipalId pour Lync Server 2013, utilisez la commande suivante pour attribuer le certificat à la version Microsoft 365 de Lync Server (les propriétés StartDate et EndDate doivent correspondre à la période de validité du certificat) :With the AppPrincipalId property value for Lync Server 2013 in hand, use the following command to assign the certificate to the Microsoft 365 version of Lync Server (the StartDate and EndDate properties should correspond to the validity period for the certificate):

New-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -Type Asymmetric -Usage Verify -Value $credentialsValue -StartDate 6/1/2012 -EndDate 5/31/2013

Vous devez ensuite répéter la commande, cette fois en utilisant la valeur de la propriété AppPrincipalId pour Exchange 2013.You should then repeat the command, this time using the AppPrincipalId property value for Exchange 2013.

Si vous avez besoin de supprimer ce certificat ultérieurement, vous pouvez le faire en récupérant la propriété KeyId du certificat au préalable :If you later need to delete that certificate, you can do so by first retrieving the KeyId for the certificate:

Get-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000

Cette commande retourne des données comme les suivantes :That command will return data like this one:

Type      : Asymmetric
Value     : 
KeyId     : bc2795f3-2387-4543-a95d-f92c85c7a1b0
StartDate : 6/1/2012 8:00:00 AM
EndDate   : 5/31/2013 8:00:00 AM
Usage     : Verify

Vous pouvez ensuite supprimer le certificat à l’aide d’une commande similaire à celle-ci :You can then delete the certificate by using a command similar to this:

Remove-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -KeyId bc2795f3-2387-4543-a95d-f92c85c7a1b0

En plus d’affecter un certificat, vous devez également configurer le principal de service Microsoft 365 pour Exchange Online en ajoutant le nom de principal du serveur pour votre version sur site de Lync Server 2013.In addition to assigning a certificate you must also configure the Microsoft 365 Service Principal for Exchange Online by adding the Server Principal Name for your on-premise version of Lync Server 2013. Pour ce faire, vous pouvez exécuter les quatre lignes suivantes dans une session Microsoft Online Services PowerShell :This can be done by running the following four lines in a Microsoft Online Services PowerShell session:

Set-MSOLServicePrincipal -AppPrincipalID 00000002-0000-0ff1-ce00-000000000000 -AccountEnabled $true

$lyncSP = Get-MSOLServicePrincipal -AppPrincipalID 00000004-0000-0ff1-ce00-000000000000
$lyncSP.ServicePrincipalNames.Add("00000004-0000-0ff1-ce00-000000000000/lync.contoso.com")
Set-MSOLServicePrincipal -AppPrincipalID 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $lyncSP.ServicePrincipalNames