Requisitos de ambiente para o Skype for Business Server 2015
Resumo: Configure seus requisitos não servidores para Skype for Business Server 2015. Há uma variedade de coisas que você deseja configurar antes de fazer sua implantação, incluindo Active Directory, DNS, Certs e Fileshares.
O que é um requisito ambiental para Skype for Business Server 2015? Bem, colocamos tudo o que não está diretamente relacionado ao servidor neste tópico, para que você não precise fazer tanto clique ao redor. Se você estiver procurando pré-requisitos do servidor, poderá marcar os requisitos do servidor para Skype for Business Server documento 2015. O planejamento de rede também está documentado separadamente. Caso contrário, isso é o que temos neste artigo:
Active Directory
Embora muitos dados de configuração para servidores e serviços sejam armazenados no Skype for Business Server repositório de Gerenciamento Central de 2015, há algumas coisas ainda armazenadas no Active Directory:
| Objetos do Active Directory | Tipos de objeto |
|---|---|
| Extensões de esquema |
Extensões de objetos de usuário |
| Extensões para Lync Server 2013 e Lync Server 2010, para manter a compatibilidade com as versões anteriores com suporte. |
|
| Dados |
URI do SIP do usuário e outras configurações de usuário |
| Entre em contato com objetos para aplicativos (como o aplicativo Grupo de Resposta e o aplicativo Atendedor de Conferência). |
|
| Dados publicados para compatibilidade com versões anteriores. |
|
| Um SCP (ponto de controle de serviço) para o repositório de Gerenciamento Central. |
|
| Conta de autenticação Kerberos (um objeto de computador opcional). |
OS para controladores de domínio
Portanto, qual OS para controladores de domínio pode ser usada? Temos a seguinte lista:
Windows Server 2019 (Você deve ter Skype for Business Server atualização cumulativa 5 ou posterior de 2015)
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server 2008
Agora, o nível funcional de domínio de qualquer domínio em que você implanta Skype for Business Server 2015 e o nível funcional da floresta em que você implanta Skype for Business Server 2015, devem ser um dos seguintes:
Windows Server 2019 (Você deve ter Skype for Business Server atualização cumulativa 5 ou posterior de 2015)
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server 2008
Windows Server 2003
É possível ter controladores de domínio somente leitura nesses ambientes? Claro, desde que também haja controladores de domínio graváveis disponíveis no mesmo site que o Skype for Business Server.
Agora, é importante saber que Skype for Business Server 2015 não dá suporte a domínios com rótulo único. O que são esses domínios? Se você tiver um domínio raiz rotulado contoso.local, tudo bem. Se você tiver um domínio raiz chamado local, isso não funcionará e ele não terá suporte como resultado. Um pouco mais sobre isso foi escrito neste artigo da Base de Dados de Conhecimento.
Skype for Business Server 2015 também não dá suporte à renomeação de domínios. Se você realmente tiver que fazer isso, precisará desinstalar Skype for Business Server 2015, fazer o renomeamento de domínio e reinstalar Skype for Business Server 2015.
Por fim, você pode estar lidando com um domínio com um ambiente AD DS bloqueado e tudo bem. Temos mais informações sobre como implantar Skype for Business Server 2015 nesse tipo de ambiente nos documentos de implantação.
Topologias do AD
Skype for Business Server topologias com suporte de 2015 são:
Floresta única com domínio único
Floresta única com uma única árvore e vários domínios
Floresta única com várias árvores e namespaces não contíguos
Várias florestas em uma topologia de floresta central
Várias florestas em uma topologia de floresta de recursos
Várias florestas em uma topologia de floresta de recursos do Skype for Business com o Exchange Online
Várias florestas em uma topologia de floresta de recursos com Skype for Business Online e Microsoft Entra Connect
Temos diagramas e descrições para ajudá-lo a determinar qual topologia você tem em seu ambiente ou o que talvez precise configurar antes de instalar Skype for Business Server 2015. Para mantê-lo simples, também estamos incluindo uma chave:
Floresta única com domínio único
Não fica mais fácil do que isso, é uma única floresta de domínio, esta é uma topologia comum.
Floresta única com uma única árvore e vários domínios
Esse diagrama mostra uma floresta única, mas ela também tem um ou mais domínios filho (há três deles neste exemplo específico). Portanto, o domínio em que os usuários são criados pode ser diferente do domínio no qual Skype for Business Server 2015 é implantado. Por que isso é relevante? É importante lembrar que quando você implanta um pool de front-end Skype for Business Server, todos os servidores nesse pool precisam estar em um único domínio. Você pode ter administração entre domínios por meio do suporte do Skype for Business Server a grupos de administradores universais do Windows.
De volta ao diagrama acima, você pode ver que os usuários de um domínio são capazes de acessar pools Skype for Business Server do mesmo domínio ou de domínios diferentes, mesmo que esses usuários estejam em um domínio filho.
Floresta única com várias árvores e namespaces não contíguos
Pode ser que você tenha uma topologia semelhante a este diagrama, em que você tem uma floresta, mas dentro dessa floresta há vários domínios, com namespaces separados do AD. Se esse for o caso, esse diagrama será uma boa ilustração, pois temos usuários em três domínios diferentes acessando Skype for Business Server 2015. Linhas sólidas indicam que estão acessando um pool de Skype for Business Server em seu próprio domínio, enquanto uma linha tracejada indica que eles estão indo para um pool em uma árvore completamente diferente.
Como você pode ver, usuários no mesmo domínio, na mesma árvore ou mesmo em uma árvore diferente conseguem acessar os pools com sucesso.
Várias florestas em uma topologia de floresta central
Skype for Business Server 2015 dá suporte a várias florestas configuradas em uma topologia de floresta central. Se você não tiver certeza de que é isso que você tem, a floresta central na topologia usa objetos nela para representar usuários nas outras florestas e hospeda contas de usuário para todos os usuários na floresta.
Como isso funciona? Bem, um produto de sincronização de diretório (como Forefront Identity Manager ou FIM) gerencia as contas de usuário da sua organização ao longo de sua existência. Quando uma conta é criada ou excluída de uma floresta, essa mudança é sincronizada até o contato correspondente na floresta central.
Claramente, se sua infraestrutura do AD estiver no local se movendo para essa topologia pode não ser fácil, mas se você já estiver lá ou ainda planejando sua infraestrutura florestal, essa pode ser uma boa escolha. Você pode centralizar sua implantação Skype for Business Server 2015 em uma única floresta, enquanto os usuários podem pesquisar, se comunicar e exibir a presença de outros usuários em qualquer floresta. Todas as atualizações de contato são feitas automaticamente com o software de sincronização.
Várias florestas em uma topologia de floresta de recursos do Skype for Business
Também há suporte para uma topologia de floresta de recursos; é onde uma floresta é dedicada à execução de seus aplicativos de servidor, como Microsoft Exchange Server e Skype for Business Server 2015. Essas florestas de recursos também hospedam uma representação sincronizada de objetos de usuário ativo, mas não contas de usuário habilitadas para logon. Portanto, a floresta de recursos é um ambiente de serviços compartilhados para outras florestas nas quais os objetos de usuários residem, e que têm uma relação de confiança no nível de floresta com a floresta de recursos.
Observe que Exchange Server pode ser implantado na mesma floresta de recursos que Skype for Business Server ou em uma floresta diferente.
Para implantar Skype for Business Server 2015 nesse tipo de topologia, você criaria um objeto de usuário desabilitado na floresta de recursos para cada conta de usuário nas florestas de usuário (se Microsoft Exchange Server já estiver no ambiente, isso poderá ser feito para você). Em seguida, você precisará de uma ferramenta de sincronização de diretório (como Forefront Identity Manager ou FIM) para gerenciar contas de usuário durante o ciclo de vida.
Várias florestas em uma topologia de floresta de recursos do Skype for Business com o Exchange Online
Esta topologia é similar à topologia descrita em Várias florestas em uma topologia de floresta de recursos do Skype for Business.
Nesta topologia, há uma ou mais florestas de usuário e Skype for Business Server é implantada em uma floresta de recursos dedicada. Exchange Server podem ser implantados localmente na mesma floresta de recursos ou em uma floresta diferente e configurados para híbridos com Exchange Online ou serviços de email podem ser fornecidos exclusivamente por Exchange Online para as contas locais. Não há um diagrama disponível para esta topologia.
Várias florestas em uma topologia de floresta de recursos com Skype for Business Online e Microsoft Entra Connect
Neste cenário há várias florestas locais, com uma topologia de floresta de recursos. Há um relacionamento de total confiança entre as florestas do Active Directory. A ferramenta Microsoft Entra Connect é usada para sincronizar contas entre as florestas de usuário locais e o Microsoft 365 ou Office 365.
A organização também tem o Microsoft 365 ou Office 365 e usa Microsoft Entra Connect para sincronizar suas contas locais com o Microsoft 365 ou Office 365. Os usuários habilitados para Skype for Business estão habilitados por meio do Microsoft 365 ou Office 365 e Skype for Business Online. Skype for Business Server não é implantado localmente.
A autenticação de logon único é fornecida por um farm Serviços de Federação do Active Directory (AD FS) localizado na floresta de usuários.
Nesse cenário, há suporte para implantar o Exchange local, Exchange Online, uma solução híbrida do Exchange ou não ter o Exchange implantado. O diagrama mostra somente o Exchange no Local, mas as outras soluções do Exchange são totalmente aceitas.
Várias florestas em uma topologia de floresta de recursos com o Skype for Business híbrido
Nesse cenário, há uma ou mais florestas de usuário locais e Skype for Business é implantada em uma floresta de recursos dedicada e é configurada para o modo híbrido com Skype for Business Online. Exchange Server podem ser implantados localmente na mesma floresta de recursos ou em uma floresta diferente e podem ser configurados para híbridos com Exchange Online. Como alternativa, os serviços de email podem ser fornecidos exclusivamente por Exchange Online para as contas locais.
Para obter mais informações, consulte Configurar um ambiente de várias florestas para Skype for Business híbrida.
Sistema de Nomes de Domínio (DNS)
Skype for Business Server 2015 requer DNS, pelos seguintes motivos:
O DNS permite que Skype for Business Server 2015 descubram servidores ou pools internos, permitindo comunicações servidor a servidor.
O DNS permite que os computadores cliente descubram o pool front-end ou o servidor Standard Edition que está sendo usado para transações SIP.
Ele associa URLs simples para conferências aos servidores que as hospedam.
O DNS permite que usuários externos e computadores cliente se conectem aos servidores do Edge, ou ao proxy reverso HTTP, para mensagens instantâneas (IM) ou conferência.
Ele permite que dispositivos UC (comunicações unificadas) que não estão conectados descubram o pool do Front End ou o servidor Standard Edition que está executando o serviço Web de Atualização de Dispositivo para obter atualizações e enviar logs.
O uso do DNS permite que clientes móveis descubram automaticamente os recursos dos serviços Web sem que os usuários tenham que inserir URLs manualmente em suas configurações do dispositivo.
E também é usado no balanceamento de carga do DNS.
É importante observar que Skype for Business Server 2015 não dá suporte a IDNs (nomes de domínio internacionalizados).
E é extremamente importante lembrar que qualquer nome no DNS é idêntico ao nome do computador configurado em qualquer servidor que esteja sendo usado pelo Skype for Business Server 2015. Especificamente, não podemos ter nomes curtos no ambiente e devemos ter FQDNs para Construtor de Topologia.
Isso parece que seria lógico para qualquer computador já ingressado em um domínio, mas se você tiver um Servidor do Edge que não está ingressado em seu domínio, ele pode ter um padrão de um nome curto, sem sufixo de domínio. Verifique se esse não é o caso, seja no DNS ou no Servidor de Borda, ou em qualquer servidor ou pool Skype for Business Server 2015, nesse caso.
E definitivamente não use caracteres Unicode ou sublinhados. Os caracteres padrão (que são A-Z, a-z, 0-9 e hifens) são os que terão suporte de DNS externo e autoridades públicas de certificado (você precisará atribuir FQDNs à SN no certificado, não se esqueça), então você vai se poupar de muita dor se você nomear com isso em mente.
Para saber mais sobre os requisitos do DNS para redes, consulte a seção Networking da sua documentação de planejamento.
Certificados
Uma das coisas mais importantes a fazer antes da implantação é verificar se os seus certificados estão corretos. Skype for Business Server 2015 precisa de uma PKI (infraestrutura de chave pública) para conexões TLS (segurança de camada de transporte) e MTLS (segurança de camada de transporte mútua). Basicamente, para se comunicar com segurança de forma padronizada, Skype for Business Server usa certificados emitidos pelas Autoridades de Certificado (CAs).
Estas são algumas das coisas que Skype for Business Server 2015 usa certificados para:
Conexões TLS entre clientes e servidores
Conexões MTLS entre servidores
Federação usando a descoberta automática de DNS de parceiros
Acesso de usuários remotos a IM (mensagens instantâneas)
Acesso de usuário externo a sessões de A/V (áudio/vídeo), compartilhamento de aplicativos e conferência
Conversando com aplicativos Web e o Outlook Web Access (OWA)
Portanto, o planejamento de certificados é obrigatório. Agora, vamos examinar uma lista de algumas das coisas que você precisa ter em mente ao solicitar certificados:
Todos os certificados de servidor devem oferecer suporte à autorização de servidor (EKU de servidor).
Todos os certificados de servidor devem conter um CDP (Ponto de Distribuição de CRL).
Todos os certificados devem ser assinados usando um algoritmo de assinatura que seja compatível com o sistema operacional. Skype for Business Server 2015 dá suporte ao pacote SHA-1 e SHA-2 de tamanhos de digestão (224, 256, 384 e 512 bits) e atende ou excede os requisitos do sistema operacional.
Há suporte para o registro automático para servidores internos que executam Skype for Business Server 2015.
Não há suporte para o registro automático para Skype for Business Server servidores do Edge 2015.
Ao enviar uma solicitação de certificado baseada na Web para uma AC do Windows Server 2003, você deve enviá-la de um computador que executa o Windows Server 2003 com SP2 ou Windows XP.
Nota
Embora o KB922706 dê suporte à resolução de problemas com o registro de certificados via Web em relação a um registro de Serviços de Certificados do Windows Server 2003 via Web, ele não permite o uso do Windows Server 2008, do Windows Vista nem do Windows 7 para solicitar um certificado de uma AC do Windows Server 2003.
Nota
O uso do algoritmo de assinatura RSASSA-PSS não é permitido e pode levar a erros no login e a problemas de encaminhamento de chamadas, entre outros.
Nota
Skype for Business Server 2015 não dá suporte a certificados de GNV.
Os comprimentos de chave de criptografia de 1024, 2048 e 4096 são suportados. Comprimentos de pelo menos 2048 são recomendados.
O algoritmo de hash de assinatura ou sumário padrão é RSA. Os algoritmos ECDH_P256, ECDH_P384 e ECDH_P521 também têm suporte.
Então isso é muito para pensar, e definitivamente, há uma variedade de níveis de conforto com a solicitação de certificados de uma AC. Daremos algumas orientações adicionais abaixo para tornar seu planejamento o mais indolor possível.
Certificados para seus servidores internos
Você precisará de certificados para a maioria dos servidores internos e, provavelmente, você os receberá de uma AC interna (essa é uma localizada em seu domínio). Se quiser, você pode solicitar esses certificados de uma AC externa (localizada na internet). Se você estiver se perguntando para qual AC pública você deve ir, você pode marcar a lista de parceiros de certificado de Comunicações Unificadas.
Você também precisará de certificados quando Skype for Business Server 2015 se comunicar com outros aplicativos e servidores, como Microsoft Exchange Server. Esse, obviamente, deve ser um certificado que possa ser usado por outros aplicativos e servidores de maneira suportada. Skype for Business Server 2015 e outros produtos da Microsoft dão suporte ao protocolo OAuth (Autorização Aberta) para autenticação e autorização de servidor para servidor. Se você estiver interessado nisso, teremos um artigo de planejamento adicional para OAuth e Skype for Business Server 2015.
Skype for Business Server 2015 também inclui suporte para certificados (sem necessidade) assinados usando a função de hash criptográfica SHA-256. Para oferecer suporte ao acesso externo usando SHA-256, o certificado externo é emitido por uma AC pública usando SHA-256.
Para tentar manter as coisas simples, colocamos os requisitos de certificado para servidores Standard Edition, pools front-end e outras funções, nas tabelas a seguir, com o contoso.com fictício sendo usado para exemplos (provavelmente você estará usando outra coisa para seu ambiente). Todos esses são certificados do servidor Web padrão, com chaves privadas que não são exportáveis. Outras observações:
O Uso Avançado de Chave (EKU) no servidor é automaticamente configurado quando o assistente de certificado é usado para solicitar certificados.
Cada nome amigável do certificado deve ser exclusivo no repositório do computador.
De acordo com os nomes de exemplo abaixo, se você tiver configurado sipinternal.contoso.com ou sipexternal.contoso.com em seu DNS, eles precisarão ser adicionados ao SAN (Nome Alternativo de Assunto) do certificado.
Certificados para servidores Standard Edition:
| Certificado | Nome de entidade/nome comum | Nome alternativo de entidade | Exemplo | Comentários |
|---|---|---|---|---|
| Padrão |
FQDN do pool |
FQDN do pool e FQDN do servidor Se você tiver vários domínios SIP e tiver habilitado a configuração automática do cliente, o assistente de certificados detectará e adicionará os FQDNs de cada domínio SIP aceito. Se esse pool for o servidor de logon automático para clientes, e a combinação estrita do Sistema de Nome de Domínio (DNS) for exigida na política do grupo, também serão necessárias entradas para o sip.sipdomain (para cada domínio de SIP que você tiver). |
SN=se01.contoso.com; SAN=se01.contoso.com Se esse pool for o servidor de logon automático para clientes, e se a combinação estrita de DNS for exigida na política do grupo, também serão necessários: SAN=sip.contoso.com; SAN=sip.fabrikam.com |
No servidor Standard Edition, o FQDN do servidor é o mesmo que o FQDN do pool. O assistente detecta todos os domínios SIP especificados durante a instalação e os adiciona automaticamente como nomes alternativos de assunto. Você também utiliza este certificado para Autenticação de Servidor para Servidor. |
| Web interna |
FQDN do servidor |
Cada um dos seguintes: • FQDN web interno (que é o mesmo que o FQDN do servidor) AND • Atender a URLs simples • URL simples de discagem • Administração URL simples OR • Uma entrada curinga para as URLs simples |
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Como usar um certificado curinga: SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com |
Você não pode substituir o FQDN web interno no Construtor de Topologia. Se você possui vários Atender a URLs simples, deve incluir todos eles como nomes alternativos de entidade. As entradas curinga são suportadas pelas entradas de URL simples. |
| Web externa |
FQDN do servidor |
Cada um dos seguintes: • FQDN web externo AND • URL simples de discagem • Atender a URLs simples por domínio SIP OR • Uma entrada curinga para as URLs simples |
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Como usar um certificado curinga: SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Se você tiver várias URLs simples do Meet, deverá incluir todas elas como nomes alternativos de assunto. As entradas curinga são suportadas pelas entradas de URL simples. |
Certificados para servidores front-end em um pool de front-end Edição Enterprise:
| Certificado | Nome de entidade/nome comum | Nome alternativo de entidade | Exemplo | Comentários |
|---|---|---|---|---|
| Padrão |
FQDN do pool |
FQDN do pool e FQDN do servidor Se você tiver vários domínios SIP e tiver habilitado a configuração automática do cliente, o assistente de certificados detectará e adicionará os FQDNs de cada domínio SIP aceito. Se esse pool for o servidor de logon automático para clientes, e a combinação estrita do Sistema de Nome de Domínio (DNS) for exigida na política do grupo, também serão necessárias entradas para o sip.sipdomain (para cada domínio de SIP que você tiver). |
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com Se esse pool for o servidor de logon automático para clientes, e se a combinação estrita de DNS for exigida na política do grupo, também serão necessários: SAN=sip.contoso.com; SAN=sip.fabrikam.com |
O assistente detecta quaisquer domínios SIP especificados durante a instalação e os adiciona automaticamente ao nome alternativo para a entidade. Você também utiliza este certificado para Autenticação de Servidor para Servidor. |
| Web interna |
FQDN do pool |
Cada um dos seguintes: • FQDN web interno (que NÃO é o mesmo que o FQDN do servidor) • Servidor FQDN • Skype for Business pool FQDN AND • Atender a URLs simples • URL simples de discagem • Administração URL simples OR • Uma entrada curinga para as URLs simples |
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Como usar um certificado curinga: SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com |
Se você tiver várias URLs simples do Meet, deverá incluir todas elas como nomes alternativos de assunto. As entradas curinga são suportadas pelas entradas de URL simples. |
| Web externa |
FQDN do pool |
Cada um dos seguintes: • FQDN web externo AND • URL simples de discagem • Administração URL simples OR • Uma entrada curinga para as URLs simples |
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Como usar um certificado curinga: SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Se você tiver várias URLs simples do Meet, deverá incluir todas elas como nomes alternativos de assunto. As entradas curinga são suportadas pelas entradas de URL simples. |
Certificados para o Diretor:
| Certificado | Nome de entidade/nome comum | Nome alternativo de entidade | Exemplo |
|---|---|---|---|
| Padrão |
Pool de diretores |
FQDN do Director, FQDN do pool director. Se esse pool for o servidor de logon automático para clientes e a correspondência de DNS estrita for necessária na política de grupo, você também precisará de entradas para sip.sipdomain (para cada domínio SIP que você tiver). |
pool.contoso.com; SAN=dir01.contoso.com Se esse pool de diretores for o servidor de logon automático para clientes e a correspondência estrita de DNS for necessária na política de grupo, você também precisará de SAN=sip.contoso.com; SAN=sip.fabrikam.com |
| Web interna |
FQDN do servidor |
Cada um dos seguintes: • FQDN web interno (que é o mesmo que o FQDN do servidor) • Servidor FQDN • Skype for Business pool FQDN AND • Atender a URLs simples • URL simples de discagem • Administração URL simples OR • Uma entrada curinga para as URLs simples |
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Como usar um certificado curinga: SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com |
| Web externa |
FQDN do servidor |
Cada um dos seguintes: • FQDN web externo AND • Atender a URLs simples por domínio SIP • URL simples de discagem OR • Uma entrada curinga para as URLs simples |
O FQDN da Web externa do Diretor deve ser diferente do pool de Front-End ou do Front End Server. SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Como usar um certificado curinga: SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
Certificados para Servidor de Mediação Autônomo:
| Certificado | Nome de entidade/nome comum | Nome alternativo de entidade | Exemplo |
|---|---|---|---|
| Padrão |
FQDN do pool |
FQDN do pool FQDN do servidor membro do pool |
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net |
Certificados para o dispositivo branch de sobrevivência:
| Certificado | Nome de entidade/nome comum | Nome alternativo de entidade | Exemplo |
|---|---|---|---|
| Padrão |
FQDN do aplicativo |
SIP.<sipdomain> (você precisa apenas de uma entrada por domínio SIP) |
SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Certificados para seu Servidor de Chat Persistente
Ao instalar o Servidor de Chat Persistente, você precisará de um certificado emitido pela mesma AC que o usado por seus servidores internos Skype for Business Server 2015. Isso precisa ser feito para cada servidor que executa os Serviços Web de Chat Persistente para Carregamento/Download de Arquivos. É altamente recomendável que você tenha os certificados necessários antes de iniciar a instalação do Chat Persistente e, se sua AC for externa, ainda mais (essas coisas podem levar um pouco de tempo para serem emitidas).
Certificados para acesso de usuário externo (Borda)
Skype for Business Server 2015 dá suporte ao uso de um único certificado público para interfaces externas do Edge de acesso e conferência web, além do serviço de Autenticação A/V, que é fornecido por meio do Edge Server(s). Sua interface interna do Edge normalmente usará um certificado privado emitido pela sua AC interna, mas, se preferir, você poderá usar um certificado público para isso também, se for de uma AC confiável.
Seu proxy reverso (RP) também usará um certificado público que criptografa a comunicação entre o RP e os clientes e entre o RP e os servidores internos usando HTTP (ou, mais precisamente, TLS sobre HTTP).
Certificados para mobilidade
Se você estiver implantando a mobilidade e estiver dando suporte à descoberta automática para clientes móveis, precisará incluir algumas entradas adicionais de nome alternativo de assunto em seus certificados para dar suporte às conexões seguras dos clientes móveis.
Quais certificados? Você precisará de nomes SAN para descoberta automática nos certificados em:
Pool de diretores
Pool de Front-Ends
Proxy reverso
As especificações serão listadas em cada tabela abaixo.
Agora, é aqui que um pouco de pré-planejamento é bom, mas às vezes você implantou Skype for Business Server 2015 sem a intenção de implantar mobilidade, e isso vem acima da linha quando você já tem certificados em seu ambiente. Reutilizá-los por meio de uma AC interna normalmente é muito fácil, mas com certificados públicos de uma AC pública, isso pode ser um pouco mais caro.
Se é isso que você está olhando, e se você tiver muitos domínios SIP (o que tornaria a adição de SANS mais cara), você pode configurar seu proxy reverso para usar HTTP para a solicitação inicial do Serviço de Descoberta Automática, em vez de usar HTTPS (que é a configuração padrão). O tópico Planejamento para Mobilidade traz mais informações sobre esse assunto.
Requisitos do pool de diretores e do certificado de pool do Front End:
| Descrição | Entrada do SAN |
|---|---|
| URL interna do serviço de Descoberta Automática |
SAN=lyncdiscoverinternal.<sipdomain> |
| URL externa do serviço de Descoberta Automática |
SAN=lyncdiscover.<sipdomain> |
Como alternativa, você pode usar SAN=*.<sipdomain>
Requisitos de certificado de proxy reverso (AC pública):
| Descrição | Entrada do SAN |
|---|---|
| URL externa do serviço de Descoberta Automática |
SAN=lyncdiscover.<sipdomain> |
Este SAN precisa ser atribuído ao certificado que, por sua vez, é atribuído ao Ouvinte do SSL em seu proxy reverso.
Nota
O ouvinte de proxy reverso terá SANs para suas URLs externas dos Serviços Web. Alguns exemplos seriam SAN=skypewebextpool01.contoso.com e dirwebexternal.contoso.com, se você implantou o Director , (que é opcional).
Compartilhamento de arquivo
Skype for Business Server 2015 é capaz de usar o mesmo compartilhamento de arquivos para todo o armazenamento de arquivos. Deve-se ter em mente:
Um compartilhamento de arquivo precisa estar em um armazenamento anexado direto (DAS) ou em uma rede de área de armazenamento (SAN), e isso inclui o sistema de arquivos distribuído (DFS), bem como uma matriz redundante de RAID para repositórios de arquivos. Para obter mais leitura no DFS para Windows Server 2012, marcar esta página do DFS.
Recomendamos um cluster compartilhado para o compartilhamento de arquivo. Se você estiver usando um, deverá agrupar Windows Server 2012 ou Windows Server 2012 R2. O Windows Server 2008 R2 também é aceitável. Por que o Windows mais recente? Versões antigas podem não ter as permissões adequadas para habilitar todos os recursos. Você pode usar o Administrador de Cluster para criar os compartilhamentos de arquivos e este artigo Como criar compartilhamentos de arquivos em um cluster ajudará você com esses detalhes.
Cuidado
Você deve saber que o uso de NAS como compartilhamento de arquivo não é compatível; portanto, use uma das opções listadas acima.