Implantar uma topologia de floresta de recursosDeploy a resource forest topology

As seções a seguir fornecem orientação sobre como configurar um ambiente com várias florestas em um modelo de floresta de recursos/usuários para fornecer a funcionalidade do Skype for Business em um cenário híbrido.The following sections provide guidance on how to configure an environment that has multiple forests in a resource/user forest model to provide Skype for Business functionality in a hybrid scenario.

Ambiente de várias florestas para híbrido

Requisitos de topologiaTopology requirements

Há suporte para várias florestas de usuários.Multiple user forests are supported. Lembre-se do seguinte:Keep the following in mind:

Considerações de Hospedagem de usuárioUser homing considerations

Os usuários do Skype for Business hospedados no local podem ter o Exchange hospedado no local ou online.Skype for Business users homed on premises can have Exchange homed on premises or online. Os usuários do Skype for Business online devem usar o Exchange Online para uma experiência ideal; no entanto, isso não é necessário.Skype for Business Online users should use Exchange Online for an optimal experience; however, this is not required. O Exchange no local não é necessário para implementar o Skype for Business em ambos os casos.Exchange on premises is not required to implement Skype for Business in either case.

Configurar relações de confiança de florestaConfigure forest trusts

Em uma topologia de floresta de recursos, as florestas de recursos que hospedam o Skype for Business Server devem confiar em cada floresta de conta que contenha contas de usuários que irão acessá-la.In a resource forest topology, the resource forests hosting Skype for Business Server must trust each account forest that contains users' accounts that will access it. Se você tiver várias florestas de usuários, para habilitar a autenticação entre florestas, é importante que o roteamento de sufixo de nome esteja habilitado para cada uma dessas relações de confiança de floresta.If you have multiple user forests, to enable cross-forest authentication it is important that Name Suffix Routing is enabled for each of these forest trusts. Para obter instruções, consulte Gerenciando relações de confiança de floresta.For instructions, see Managing Forest Trusts. Se você tem o Exchange Server implantado em outra floresta e fornece funcionalidade para usuários do Skype for Business, a floresta que hospeda o Exchange deve confiar na floresta que hospeda o Skype for Business Server.If you have Exchange Server deployed in an another forest and it provides functionality for Skype for Business users, the forest hosting Exchange must trust the forest hosting Skype for Business Server. Por exemplo, se o Exchange foi implantado na floresta da conta, isso significaria efetivamente uma relação de confiança bidirecional entre a conta e as florestas do Skype for Business são necessárias nessa configuração.For example, if Exchange were deployed in the account forest, this would effectively mean a two-way trust between account and Skype for Business forests is required in that configuration.

Sincronizar contas com a floresta que hospeda o Skype for BusinessSynchronize accounts into the forest hosting Skype for Business

Quando o Skype for Business Server é implantado em uma floresta (uma floresta de recursos), mas fornece funcionalidade aos usuários em uma ou mais florestas (florestas de contas), os usuários nas outras florestas devem ser representados como objetos de usuário desabilitados na floresta onde o Skype for Business Server é implantado.When Skype for Business Server is deployed in one forest (a resource forest), but provides functionality to users in one or more other forests (account forests), users in the other forests must be represented as disabled user objects in the forest where Skype for Business Server is deployed. Um produto de gerenciamento de identidades, como o Microsoft Identity Manager, precisa ser implantado e configurado para provisionar e sincronizar os usuários das florestas de contas na floresta onde o Skype for Business Server está implantado.An identity management product, such as Microsoft Identity Manager, needs to be deployed and configured to provision and synchronize the users from the account forests into the forest where Skype for Business Server is deployed. Os usuários devem ser sincronizados na floresta que hospeda o Skype for Business Server como objetos de usuário desabilitados.Users must be synchronized into the forest hosting Skype for Business Server as disabled user objects. Os usuários não podem ser sincronizados como objetos de contato do Active Directory, pois o Azure Active Directory Connect não sincronizará corretamente os contatos com o Azure AD para uso com o Skype.Users cannot be synchronized as Active Directory contact objects, because Azure Active Directory Connect will not properly synchronize contacts into Azure AD for use with Skype.

Independentemente de qualquer configuração de várias florestas, a floresta que hospeda o Skype for Business Server também pode fornecer funcionalidade para qualquer usuário habilitado que exista na mesma floresta.Regardless of any multi-forest configuration, the forest hosting Skype for Business Server can also provide functionality for any enabled users that exist in the same forest.

Para obter a sincronização de identidade adequada, os seguintes atributos precisam ser sincronizados:To get proper identity synchronization, the following attributes need to be synchronized:

Florestas de usuáriosUser forests Florestas de recursosResource forests
atributo de link da conta escolhidachosen account link attribute
atributo de link da conta escolhidachosen account link attribute
emailmail
emailmail
ProxyAddressesProxyAddresses
ProxyAddressesProxyAddresses
ObjectSIDObjectSID
msRTCSIP-OriginatorSIDmsRTCSIP-OriginatorSID

O atributo de link da conta escolhida será usado como a âncora de origem.The chosen account link attribute will be used as the Source Anchor. Se você tiver um atributo diferente e imutável que prefere usar, você pode fazê-lo; apenas não deixe de editar a regra de declarações do AD FS e selecione o atributo durante a configuração do AAD Connect.If you have a different and immutable attribute that you would prefer to use, you may do so; just be sure to edit the AD FS claims rule and select the attribute during the AAD Connect configuration.

Não sincronize os UPNs entre as florestas.Do not sync the UPNs between the forests. Encontramos durante os testes que precisávamos usar um UPN exclusivo para cada floresta de usuário, já que não é possível usar o mesmo UPN em várias florestas.We found during testing that we needed to use a unique UPN for each user forest, as you cannot use the same UPN across multiple forests. Como resultado, foram apresentadas duas possibilidades, para sincronizar o UPN ou para não sincronizar.As a result, we were presented with two possibilities, to synchronize the UPN or to not synchronize.

  • Se o UPN exclusivo de cada floresta de usuário não tiver sido sincronizado com o objeto desabilitado associado na floresta de recursos, o logon único (SSO) será quebrado por pelo menos a tentativa de entrada inicial (supondo que o usuário selecionou a opção de salvar senha).If the unique UPN from each user forest was not synchronized to the associated disabled object in the resource forest, single sign-on (SSO) would be broken for at least the initial sign-in attempt (assuming the user selected the option to save password). No cliente Skype for Business, presumimos que os valores SIP/UPN são os mesmos.In the Skype for Business client, we assume that the SIP/UPN values are the same. Como o endereço SIP neste cenário é user@company.com, mas o UPN do objeto habilitado na floresta do usuário é na verdade user@contoso.company.com, a tentativa de logon inicial falharia e o usuário será solicitado a inserir credenciais.Since the SIP address in this scenario is user@company.com, but the UPN of the enabled object in the user forest is in fact user@contoso.company.com, the initial login attempt would fail and the user would be prompted to enter credentials. Após a inserção do UPN correto/real, a solicitação de autenticação será concluída em relação aos controladores de domínio na floresta do usuário e a entrada será bem-sucedida.Upon entering their correct/actual UPN, the authentication request would be completed against the domain controllers in the user forest, and sign-in would be successful.

  • Se o UPN exclusivo de cada floresta de usuário foi sincronizado com o objeto desabilitado associado na floresta de recursos, a autenticação do AD FS falhará.If the unique UPN from each user forest was synchronized to the associated disabled object in the resource forest, AD FS authentication would fail. A regra de correspondência localizaria o UPN no objeto na floresta de recursos, que foi desabilitado e não pôde ser usado para autenticação.The matching rule would find the UPN on the object in the resource forest, which was disabled and could not be used for authentication.

Criar uma organização do Microsoft 365 ou do Office 365Create a Microsoft 365 or Office 365 organization

Em seguida, você precisará provisionar uma organização do Microsoft 365 ou do Office 365 para usar com sua implantação.You will next need to provision a Microsoft 365 or Office 365 organization to use with your deployment. Para obter mais informações, consulte assinaturas, licenças, contas e locatários para ofertas de nuvem da Microsoft.For more information, please see Subscriptions, licenses, accounts, and tenants for Microsoft's cloud offerings.

Configurar serviços de Federação do Active DirectoryConfigure Active Directory Federation Services

Depois de ter um locatário, você precisará configurar os serviços de Federação do Active Directory (AD FS) em cada uma das florestas de usuários.Once you have a tenant, you will need to configure Active Directory Federation Services (AD FS) in each of the user forests. Isso pressupõe que você tenha um endereço SIP e SMTP exclusivo e o UPN (nome principal de usuário) para cada floresta.This assumes you have a unique SIP and SMTP address and User Principal Name (UPN) for each forest. O AD FS é opcional e é usado aqui para obter logon único (SSO).AD FS is optional and is used here to get single sign-on (SSO). O DirSync com a sincronização de senha também tem suporte e também pode ser usado no lugar do AD FS.DirSync with Password Sync is also supported and can also be used in place of AD FS.

Somente implantações com SIP/SMTP e UPNs correspondentes foram testadas.Only deployments with matching SIP/SMTP and UPNs were tested. A não correspondência de SIP/SMTP/UPNs pode resultar em uma funcionalidade reduzida, como problemas com a integração com o Exchange e o SSO.Not having matching SIP/SMTP/UPNs may result in reduced functionality, such as problems with Exchange integration and SSO.

A menos que você use um SIP/SMTP/UPN exclusivo para usuários de cada floresta, ainda poderá ter problemas de SSO, independentemente de onde o AD FS está implantado:Unless you use a unique SIP/SMTP/UPN for users from each forest, you can still run into SSO problems, regardless of where AD FS is deployed:

  • Relação de confiança unidirecional ou bidirecional entre florestas de recursos/usuários com o farm do AD FS implantado em cada floresta de usuário, todos os usuários compartilham o domínio SIP/SMTP comum, mas o UPN exclusivo para cada floresta de usuário.One-way or two-way trusts between resource/user forests with AD FS farm deployed in each user forest, all users share common SIP/SMTP domain but unique UPN for each user forest.

  • Relações de confiança bidirecionais entre florestas de recursos/usuários com o farm do AD FS implantado somente na floresta de recursos, todos os usuários compartilham o domínio SIP/SMTP comum, mas o UPN exclusivo para cada floresta de usuário.Two-way trusts between resource/user forests with AD FS farm deployed only in resource forest, all users share common SIP/SMTP domain but unique UPN for each user forest.

Ao colocar um farm do AD FS em cada floresta de usuário e usar um SIP/SMTP/UPN exclusivo para cada floresta, resolvemos os dois problemas.By placing an AD FS farm in each user forest and using a unique SIP/SMTP/UPN for each forest, we resolve both issues. Somente as contas dessa floresta de usuário específico seriam pesquisadas e correspondidas durante as tentativas de autenticação.Only the accounts in that specific user forest would be searched and matched during authentication attempts. Isso ajudará a fornecer um processo de autenticação mais contínuo.This will help provide a more seamless authentication process.

Essa será uma implantação padrão do Windows Server 2012 R2 AD FS e deve estar funcionando antes de continuar.This will be a standard deployment of the Windows Server 2012 R2 AD FS and should be working before continuing. Para obter instruções, consulte como instalar o AD FS 2012 R2 para o Microsoft 365 ou o Office 365.For instructions, see How To Install AD FS 2012 R2 For Microsoft 365 or Office 365.

Depois de implantado, você terá que editar a regra de declarações para corresponder à âncora de origem selecionada anteriormente.Once deployed, you then have to edit the claims rule to match the Source Anchor selected earlier. No MMC do AD FS, em relações de confiança de terceiros confiáveis, clique com o botão direito do mouse em microsoft 365 Identity Platform ou Microsoft Office 365 Identity Platforme selecione Editar regras de declaração.In the AD FS MMC, under Relying Party Trusts, right-click Microsoft 365 Identity Platform or Microsoft Office 365 Identity Platform, and then select Edit Claim Rules. Edite a primeira regra e altere ObjectID para employeeNumber.Edit the first rule, and change ObjectSID to employeeNumber.

Tela de regras de edição de várias florestas

Configurar o AAD ConnectConfigure AAD Connect

Nas topologias de floresta de recursos, é necessário que os atributos de usuário da floresta de recursos e de quaisquer florestas de conta estejam sincronizados com o Azure AD.In resource forest topologies, it’s required that user attributes from both the resource forest and any account forests(s) are synchronized into Azure AD. A maneira mais simples e recomendada de fazer isso é fazer com que o Azure AD Connect Sincronize e mescle as identidades de usuário de todas as florestas que têm as contas de usuário e a floresta que contêm o Skype for Business.The simplest and recommended way to do this is to have Azure AD Connect synchronize and merge user identities from all forests that have enabled user accounts and the forest that contains Skype for Business. Para obter detalhes, confira Configurar o Azure ad Connect para o Skype for Business e o Microsoft Teams.For details see, Configure Azure AD Connect for Skype for Business and Teams.

Observe que o AAD Connect não fornece sincronização local entre as florestas de conta e de recurso.Note that AAD Connect does not provide synchronization on premises between the account and resource forests. Isso deve ser configurado separadamente usando o Microsoft Identity Manager ou produto semelhante, conforme descrito anteriormente.That must be separately configured using Microsoft Identity Manager or similar product, as described earlier.

Quando concluído e o AAD Connect estiver mesclando, se você examinar um objeto no metaverso, deverá ver algo semelhante a isso:When finished and AAD Connect is merging, if you look at an object in the metaverse, you should see something similar to this:

Tela de objeto do metaverso de várias florestas

Os atributos realçados verdes foram mesclados do Microsoft 365 ou do Office 365, o amarelo é da floresta do usuário e o azul é da floresta de recursos.The green highlighted attributes were merged from Microsoft 365 or Office 365, the yellow are from the user forest, and the blue are from the resource forest.

Este é um usuário de teste e você pode ver que o AAD Connect identificou o atributo e o cloudSourceAnchor do usuário e os objetos de floresta de recursos do Microsoft 365 ou do Office 365, no nosso caso 1101, que é o employeeNumber selecionado anteriormente.This is a test user, and you can see that AAD Connect has identified the sourceAnchor and the cloudSourceAnchor from the user and the resource forest objects from Microsoft 365 or Office 365, in our case 1101, which is the employeeNumber selected earlier. Em seguida, ele pôde mesclar este objeto no que você vê acima.It then was able to merge this object into what you see above.

Para obter mais informações, consulte integrar seus diretórios locais com o Azure Active Directory.For more information, see Integrate your on-premises directories with Azure Active Directory.

O AAD Connect deve ser instalado usando os padrões, exceto o seguinte:AAD Connect should be installed using the defaults, except for the following:

  1. Logon único-com o AD FS já implantado e funcionando: selecione não Configurar.Single sign-in - with AD FS already deployed and working: Select Do not configure.

  2. Conecte seus diretórios: Adicione todos os domínios.Connect your directories: Add all of the domains.

  3. Identificar usuários nos diretórios locais: selecione as identidades do usuário em vários diretóriose selecione os atributos msExchangeMasterAccountSID e.Identify users in on-premises directories: Select User identities exist across multiple directories, and select the ObjectSID and msExchangeMasterAccountSID attributes.

  4. Identificar usuários no Azure AD: âncora de origem: selecione o atributo que você escolheu após a leitura selecionando um bom atributo atributo, nome principal do usuário- userPrincipalName.Identify users in Azure AD: Source Anchor: Select the attribute you've chosen after reading Selecting a good sourceAnchor attribute, User Principal Name - userPrincipalName.

  5. Recursos opcionais: selecione se você tem o Exchange híbrido implantado.Optional features: Select whether you have Exchange hybrid deployed.

    Observação

    Se você tiver apenas o Exchange Online, pode haver um problema com falhas do OAuth durante a descoberta automática por causa do redirecionamento de CNAME.If you have only Exchange Online, there could be an issue with OAuth failures during autodiscover because of CNAME redirection. Para corrigir isso, será necessário definir a URL de descoberta automática do Exchange executando o seguinte cmdlet do Shell de gerenciamento do Skype for Business Server:To correct this, you will need to set the Exchange Autodiscover URL by running the following cmdlet from the Skype for Business Server Management Shell:

    Set-CsOAuthConfiguration -ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc 
    
  6. Farm do AD FS: selecione usar um farm existente do AD FS do Windows Server 2012 R2 e digite o nome do servidor do AD FS.AD FS Farm: Select Use an existing Windows Server 2012 R2 AD FS farm and enter the name of the AD FS server.

  7. Finalize o assistente e execute as validações necessárias.Finish the wizard and perform the necessary validations.

Configurar a conectividade híbrida para o Skype for Business ServerConfigure hybrid connectivity for Skype for Business Server

Siga as práticas recomendadas para configurar o Skype for Business híbrido.Follow the best practices for configuring Skype for Business hybrid. Para obter mais informações, consulte Plan Hybrid Connectivity e Configure Hybrid Connectivity.For more information information, see Plan hybrid connectivity and Configure hybrid connectivity.

Configurar a conectividade híbrida para o Exchange ServerConfigure hybrid connectivity for Exchange Server

Se necessário, siga as práticas recomendadas para configurar o Exchange híbrido.If necessary, follow the best practices for configuring Exchange hybrid. Para obter mais informações, consulte implantações híbridas do Exchange Server.For more information, see Exchange Server Hybrid Deployments.